Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
funções apropriadas: todos os usuários do Partner Center
Como consultor, fornecedor do painel de controle ou parceiro do CSP (Provedor de Soluções na Nuvem), você tem decisões a tomar sobre opções de autenticação e outras considerações de segurança.
As proteções de privacidade e a segurança para você e seus clientes estão entre nossas principais prioridades. Sabemos que a melhor defesa é a prevenção e que somos tão fortes quanto nosso elo mais fraco. Precisamos de todos em nosso ecossistema para garantir que as proteções de segurança apropriadas estejam em vigor.
Requisitos de segurança obrigatórios
O programa CSP ajuda os clientes a comprar produtos e serviços da Microsoft por meio de parceiros. De acordo com seu contrato com a Microsoft, os parceiros são obrigados a gerenciar o ambiente e fornecer suporte aos clientes aos quais eles vendem.
Os clientes que compram por meio desse canal, confiam em você como parceiro porque você tem acesso de administrador de alto privilégio ao locatário do cliente.
Os parceiros que não implementam os requisitos de segurança obrigatórios não podem fazer transações no programa CSP. Eles também não podem gerenciar locatários de clientes que usam direitos de administrador delegados. Além disso, parceiros que não implementam os requisitos de segurança podem colocar sua participação em programas em risco.
Os termos associados aos requisitos de segurança do parceiro são adicionados ao Contrato de Parceiro da Microsoft. O MPA (Contrato de Parceiro da Microsoft) é atualizado periodicamente e a Microsoft recomenda que todos os parceiros faça check-back regularmente. No que diz respeito aos Assistentes, os mesmos requisitos contratuais estão em vigor.
Todos os parceiros são obrigados a aderir às práticas recomendadas de segurança para que possam proteger ambientes de parceiros e clientes. Essas práticas recomendadas ajudam você a atenuar problemas de segurança, corrigir escalonamentos de segurança e garantir que a confiança dos clientes não esteja comprometida.
Para proteger você e seus clientes, você precisará executar as seguintes ações imediatamente:
Habilitar a MFA para todas as contas de usuário em seu locatário de parceiro
Você deve impor a MFA (autenticação multifator) em todas as contas de usuário em seus locatários parceiros. A autenticação multifator desafia os usuários quando:
- Entre nos serviços de nuvem comerciais da Microsoft.
- Transacione no programa Provedor de Soluções na Nuvem por meio do Partner Center.
- Transacione por meio de APIs.
A imposição de MFA segue estas diretrizes:
- Parceiros que usam a autenticação multifator do Microsoft Entra suportada pela Microsoft. Para obter mais informações, consulte várias maneiras de habilitar a autenticação multifator do Microsoft Entra.
Para obter mais informações, consulte Exigir autenticação multifator para seu tenant parceiro.
Adotar a estrutura modelo de aplicativo seguro
Todos os parceiros que se integram às APIs do Partner Center devem adotar a estrutura modelo de aplicativo seguro para qualquer aplicativo e aplicativos de modelo de autenticação de usuário.
Importante
É altamente recomendável que os parceiros implementem o Modelo de Aplicativo Seguro para integrar a uma API da Microsoft, como o Azure Resource Manager ou o Microsoft Graph. Além disso, os parceiros devem implementar o Modelo de Aplicativo Seguro quando aproveitarem a automação, como o PowerShell usando as credenciais do cliente, para evitar qualquer interrupção ao impor a MFA.
Esses requisitos de segurança ajudam a proteger sua infraestrutura e proteger os dados de seus clientes contra possíveis riscos de segurança, como identificar roubos ou outros incidentes de fraude.
Outros requisitos de segurança
Os clientes confiam em você, como parceiro, para fornecer serviços de valor agregado. É imperativo que você tome todas as medidas de segurança para proteger a confiança do cliente e sua reputação como parceiro.
A Microsoft continua a adicionar medidas de imposição para que os parceiros sejam obrigados a aderir e priorizar a segurança de seus clientes. Esses requisitos de segurança ajudam a proteger sua infraestrutura e proteger os dados de seus clientes contra possíveis riscos de segurança, como identificar roubos ou outros incidentes de fraude.
Os parceiros devem garantir que adotem os princípios da Confiança Zero, conforme descrito nas seções a seguir.
Privilégios granulares de administração delegada
Os recursos GDAP ajudam os parceiros a controlar o acesso às cargas de trabalho de seus clientes, a fim de resolver melhor suas preocupações. Os parceiros podem oferecer mais serviços aos clientes que podem estar desconfortáveis com os níveis atuais de acesso ao parceiro. Eles também podem oferecer serviços a clientes com necessidades regulatórias que exigem acesso menos privilegiado aos parceiros.
O GDAP é um recurso de segurança que fornece aos parceiros acesso menos privilegiado seguindo o protocolo de segurança cibernética de Confiança Zero. Ele permite que os parceiros configurem o acesso granular e limitado por tempo às tarefas de seus clientes em ambientes de produção e teste. Os clientes devem conceder explicitamente o acesso menos privilegiado a seus parceiros.
Para obter mais informações, consulte a visão geral de GDAP (privilégios de administrador delegado granular), informações sobre funções menos privilegiadas e as perguntas frequentes do GDAP
Assista às notificações de fraude do Azure
Como parceiro no programa CSP, você é responsável pelo consumo do Azure do cliente, portanto, é importante que você esteja ciente de quaisquer atividades potenciais de mineração de criptomoedas nas assinaturas do Azure de seus clientes. Essa conscientização ajuda você a tomar medidas imediatas para determinar se o comportamento é legítimo ou fraudulento. Se necessário, você pode suspender os recursos afetados do Azure ou a assinatura do Azure para atenuar o problema.
Para obter mais informações, consulte a detecção e a notificação de fraudes do Azure.
Cadastre-se no Microsoft Entra ID P2
Todos os Agentes Administrativos no cliente CSP devem fortalecer sua segurança cibernética implementando o Microsoft Entra ID P2 e aproveitar as várias funcionalidades para fortalecer seu cliente CSP. O Microsoft Entra ID P2 fornece acesso estendido a logs de entrada e recursos premium, como o PIM (Microsoft Entra Privileged Identity Management) e recursos de Acesso Condicional baseado em risco para fortalecer os controles de segurança.
Aderir às práticas recomendadas de segurança do CSP
É importante seguir todas as práticas recomendadas de CSP para segurança. Saiba mais nas práticas recomendadas de segurança do Provedor de Soluções na Nuvem.
Implementando a autenticação multifator
Para cumprir os requisitos de segurança do parceiro, você deve implementar e impor a MFA para cada conta de usuário em seu locatário de parceiro. Você pode fazer isso de uma das seguintes maneiras:
- Implemente os padrões de segurança do Microsoft Entra. Veja mais na próxima seção, padrões de segurança.
- Compre o Microsoft Entra ID P1 ou P2 para cada conta de usuário. Para obter mais informações, confira Planejar uma implantação de autenticação multifator do Microsoft Entra.
Padrões de segurança
Uma das opções que os parceiros podem usar para atender aos requisitos de MFA é habilitar os padrões de segurança no Microsoft Entra ID. As configurações padrão de segurança oferecem um nível básico de segurança sem custo adicional. Examine como habilitar a MFA para sua organização com a ID do Microsoft Entra. Aqui estão algumas considerações importantes antes de habilitar os padrões de segurança.
- Os parceiros que já adotaram políticas básicas devem tomar medidas para fazer a transição para padrões de segurança.
- Os padrões de segurança são a substituição de disponibilidade geral das políticas de linha de base em versão prévia. Depois que um parceiro habilita os padrões de segurança, eles não podem habilitar políticas básicas.
- As políticas padrão de segurança são habilitadas ao mesmo tempo.
- Os parceiros que usam acesso condicional não podem usar padrões de segurança.
- Os protocolos de autenticação herdados são bloqueados.
- A conta de sincronização do Microsoft Entra Connect é excluída dos padrões de segurança e não é solicitada a se registrar ou executar a autenticação multifator. As organizações não devem usar essa conta para outras finalidades.
Para obter mais informações, consulte Visão geral da autenticação multifator do Microsoft Entra para sua organização e quais são os padrões de segurança?.
Observação
Os padrões de segurança do Microsoft Entra representam a evolução de políticas simplificadas de proteção de linha de base. Se você já habilitou as políticas de proteção de linha de base, é altamente recomendável habilitar os padrões de segurança.
Perguntas frequentes sobre a implementação
Como esses requisitos se aplicam a todas as contas de usuário em seu locatário de parceiro, você precisa considerar várias coisas para garantir uma implantação tranquila. Por exemplo, identifique as contas de usuário no Microsoft Entra ID que não podem executar MFA, e os aplicativos e dispositivos em sua organização que não oferecem suporte à autenticação moderna.
Antes de executar qualquer ação, recomendamos que você conclua as seguintes validações.
Você tem um aplicativo ou dispositivo que não dá suporte ao uso da autenticação moderna?
Quando você impõe a MFA, as autenticações herdadas que usam protocolos IMAP, POP3, SMTP são bloqueadas. Isso ocorre porque esses protocolos não dão suporte à MFA. Para corrigir essa limitação, use o recurso de senhas do aplicativo para garantir que o aplicativo ou dispositivo ainda se autentique. Examine as considerações sobre como usar senhas de aplicativo para determinar se você pode usá-las em seu ambiente.
Você tem usuários do Office 365 com licenças associadas ao seu locatário parceiro?
Antes de implementar qualquer solução, recomendamos que você determine quais versões do Microsoft Office os usuários em seu locatário parceiro estão usando. Há uma chance de seus usuários poderem enfrentar problemas de conectividade com aplicativos como o Outlook. Antes de impor a MFA, é importante garantir que você use o Outlook 2013 SP1 ou posterior e que sua organização tenha a autenticação moderna habilitada. Para obter mais informações, consulte Habilitar a autenticação moderna no Exchange Online.
Para habilitar a autenticação moderna para dispositivos que executam o Windows e têm o Microsoft Office 2013 instalado, você deve criar duas chaves do Registro. Consulte Habilitar a Autenticação Moderna para o Office 2013 em dispositivos Windows.
Há uma política impedindo que qualquer um dos usuários use seus dispositivos móveis enquanto trabalha?
É importante identificar qualquer política corporativa que impeça os funcionários de usar dispositivos móveis enquanto trabalham porque ela influencia qual solução de MFA você implementa. Há soluções, como a fornecida por meio da implementação de padrões de segurança do Microsoft Entra, que permitem apenas o uso de um aplicativo autenticador para verificação. Se sua organização tiver uma política impedindo o uso de dispositivos móveis, considere uma das seguintes opções:
- Implante um aplicativo de senha de uso único baseado em tempo (TOTP) que possa ser executado em um sistema seguro.
Que automação ou integração você tem para autenticar as credenciais do usuário?
A imposição de MFA para usuários, incluindo contas de serviço, no diretório do parceiro, pode afetar qualquer automação ou integração que emprega credenciais de usuário para autenticação. Portanto, é importante identificar quais contas estão sendo usadas nessas situações. Confira a seguinte lista de aplicativos ou serviços de exemplo a serem considerados:
- Use um painel de controle para preparar recursos em nome de seus clientes.
- Integre-se a qualquer plataforma que fatura (no que diz respeito ao programa CSP) e dê suporte aos seus clientes.
- Use scripts de PowerShell que utilizam os cmdlets do Az, AzureRM, Microsoft Graph PowerShell e outros módulos.
Essa lista não é abrangente, portanto, é importante executar uma avaliação completa de qualquer aplicativo ou serviço em seu ambiente que use credenciais de usuário para autenticação. Para atender ao requisito de MFA, use as diretrizes na estrutura modelo de aplicativo seguro sempre que possível.
Acessar o ambiente
Para entender melhor o que ou quem se identifica sem o desafio de MFA, recomendamos que você examine a atividade de login. Por meio do Microsoft Entra ID P1 ou P2, você pode usar o relatório de login. Para obter mais informações, consulte relatórios de atividade de entrada no Centro de administração do Microsoft Entra. Se você não tiver o Microsoft Entra ID P1 ou P2, ou se precisar de uma maneira de obter atividades de login por meio do PowerShell, use o cmdlet Get-PartnerUserSignActivity do módulo Partner Center PowerShell.
Como os requisitos são impostos
Se uma organização parceira receber uma exceção para MFA, as exceções serão respeitadas somente se os usuários que gerenciam locatários de clientes como parte do programa Provedor de Soluções na Nuvem os habilitarem antes de 1º de março de 2022. O não cumprimento dos requisitos de MFA pode resultar na perda de acesso ao locatário do cliente.
O ID do Microsoft Entra e o Partner Center impõem requisitos de segurança de parceiros verificando a presença da declaração de MFA para identificar que a verificação de MFA ocorre. A partir de 18 de novembro de 2019, a Microsoft ativou mais proteções de segurança, anteriormente conhecidas como "imposição técnica" para locatários parceiros.
No momento da ativação, os usuários no locatário do parceiro são solicitados a concluir a verificação de MFA quando realizam operações administrativas em nome de outro locatário (AOBO). Os usuários também precisam concluir a verificação de MFA quando acessam o Partner Center ou chamam AS APIs do Partner Center. Para obter mais informações, consulte Exigir autenticação multifator para seu tenant parceiro.
Os parceiros que não atenderem aos requisitos devem implementar essas medidas o mais rápido possível para evitar interrupções nos negócios. Se você usar a autenticação multifator do Microsoft Entra ou os padrões de segurança do Microsoft Entra, não precisará executar outras ações.
Se você usar uma solução de MFA que não seja da Microsoft, há uma chance de a declaração de MFA não ser emitida. Quando a declaração está ausente, a ID do Microsoft Entra não pode determinar se a MFA desafia a solicitação de autenticação. Para obter informações sobre como verificar se a solução emite a declaração esperada, consulte Testar os requisitos de segurança do parceiro.
Importante
Se sua solução não Microsoft não emitir a declaração esperada, trabalhe com o fornecedor que desenvolveu a solução para determinar quais ações tomar.
Recursos e exemplos
Consulte os seguintes recursos para obter suporte e código de exemplo:
- Comunidade do Grupo de Diretrizes de Segurança do Partner Center: a comunidade do Grupo de Diretrizes de Segurança do Partner Center é uma comunidade online onde você pode aprender sobre os próximos eventos e fazer suas perguntas.
- Exemplos do .NET do Partner Center: este repositório GitHub contém exemplos que foram desenvolvidos usando o .NET que demonstram como você pode implementar a estrutura modelo de aplicativo seguro.
- Exemplos de Java do Partner Center: este repositório GitHub contém exemplos que foram desenvolvidos usando Java que demonstram como você pode implementar a estrutura modelo de aplicativo seguro.
- Partner Center PowerShell – autenticação multifator: este artigo de autenticação multifator fornece detalhes sobre como implementar a estrutura modelo de aplicativo seguro usando o PowerShell.
- Funcionalidades e licenças para autenticação multifator do Microsoft Entra
- Planeje uma implantação de autenticação multifator do Microsoft Entra
- Testar os requisitos de segurança do parceiro usando o PowerShell