Estado de los requisitos de seguridad para partners: obtención de respuestas y comprobación de informes sobre el estado actualPartner security requirements status - get answers and check reports about current status

Se aplica aApplies to

  • Todos los partners que estén en el programa Proveedor de soluciones en la nubeAll partners in the Cloud Solution Provider program
    • Factura directaDirect bill
    • Proveedor indirectoIndirect provider
    • Revendedor indirectoIndirect reseller
  • Todos los proveedores de panel de controlAll Control Panel Vendors
  • Todos los asesoresAll Advisors

Usuarios adecuadosAppropriate users

  • Todos los usuarios habilitados, incluidos los invitadosAll enabled users including guest users

Una mayor seguridad y protección de la privacidad se encuentran entre nuestras principales prioridades.Greater privacy safeguards and security are among our top priorities. Sabemos que la mejor defensa es la prevención y que somos tan seguros como lo sea nuestro vínculo más débil.We know that the best defense is prevention and that we are only as strong as our weakest link. Esta es la razón por la que necesitamos que todos los usuarios de nuestro ecosistema actúen y se aseguren de que tienen las protecciones de seguridad adecuadas.That is why we need everyone in our ecosystem to act and ensure they have appropriate security protections in place. Para ayudar a proteger a los partners y clientes, presentamos un conjunto de requisitos de seguridad obligatorios para los asesores, proveedores de panel de control y partners que participan en el programa Proveedor de soluciones en la nube.To help safeguard partners and customers, we're introducing a set of mandatory security requirements for Advisors, Control Panel Vendors, and partners participating in the Cloud Solution Provider program.

A partir del 1 de agosto de 2019, todos los partners tienen la obligación de aplicar la autenticación multifactor a todos los usuarios, incluidas las cuentas de servicio, en su inquilino de partner.Starting August 1, 2019, all partners are required to enforce multi-factor authentication for all users, including service accounts, in their partner tenant. Para obtener información más detallada sobre las nuevas directivas de seguridad, consulte Requisitos de seguridad para partners.For more detailed information on the new security policies, read Partner Security Requirements.

Queremos asegurarnos de que cada usuario tenga un desafío de MFA para cada autenticación.We want to ensure that each user has an MFA challenge for every single authentication. Esta experiencia se puede realizar de cualquiera de estas maneras:This experience can be accomplished through one of the following ways:

  • Mediante la implementación de Azure AD Premium para asegurarse de que se aplica MFA a todos los usuarios.Implementing Azure AD Premium to ensure that MFA is enforced for each user
  • Implementar los valores predeterminados de seguridad Azure ADImplementing the Azure AD security defaults
  • Mediante la implementación de una solución de terceros para asegurarse de que se aplica MFA a todos los usuarios.Implementing a third-party solution to ensure MFA is enforced for each user

Estado de los requisitos de seguridad para partnersPartner security requirements status

Este informe puede ayudarle a comprobar el estado de los requisitos de seguridad al proporcionar una manera de ver dónde puede que no los cumpla.This report can help you verify the security requirements status by providing a way to see where you might be falling short. El seguimiento se actualiza periódicamente.The tracking is regularly updated.

Nota

El informe de estado de los requisitos de seguridad para partners solo se admite en el Centro de partners.The Partner security requirements status report is supported only in Partner Center. No está disponible en Microsoft Cloud for US Government ni en Microsoft Cloud Germany.It's not available in the Microsoft Cloud for US Government or Microsoft Cloud Germany. Se recomienda encarecidamente a todos los partners que realicen transacciones a través de una nube soberana (21Vianet, gobierno de EE. UU. y Alemania) que adopten estos nuevos requisitos de seguridad de inmediato.We strongly recommend that all partners transacting through a sovereign cloud (21Vianet, US Government, and Germany) adopt these new security requirements immediately. Sin embargo, no es preciso que estos partners cumplan los nuevos requisitos de seguridad que entran en vigor el 1 de agosto de 2019.However, these partners are not required to meet the new security requirements effective August 1, 2019. En el futuro, Microsoft proporcionará más información acerca de la aplicación de estos requisitos de seguridad para las nubes soberanas.Microsoft will provide additional details regarding the enforcement of these security requirements for sovereign clouds in the future.

Informe de Multi-Factor Authentication ("MFA")Multi-factor authentication ("MFA") report

El informe de MFA del Centro de partners ofrece información sobre la implementación de MFA para asociados, para lo cual proporciona dos tipos de métricas basadas en la configuración de MFA y en las actividades del Centro de partners del inquilino del CSP:The Partner Center MFA report offers insights into partner MFA implementation by providing two types of metrics based on MFA configuration and Partner Center activities of the CSP tenant:

Configuración de MFA en un inquilino del CSPMFA configuration on a CSP tenant

Esta métrica está relacionada con la configuración de MFA en un inquilino del CSP, que se captura y se notifica diariamente.This metric is related to the MFA configuration on a CSP tenant that captured and reported on a daily basis. Mide el porcentaje de cuentas de usuario habilitadas en las que se aplica MFA mediante cualquiera de esas opciones de MFA.It measures the percentage of enabled user accounts with MFA enforced using any of those MFA options. Por ejemplo:For example:

  • Contoso es un partner de CSP con 110 cuentas de usuario en el inquilino, 10 de las cuales están deshabilitadas.Contoso is a CSP partner with 110 user accounts in the tenant, 10 of those user accounts are disabled.
  • De las 100 cuentas restantes, en 90 se aplica MFA mediante las opciones de MFA proporcionadas.Out of the rest of 100 user accounts, 90 are enforced MFA using the provided MFA options. Por lo tanto, la métrica muestra un 90 %.Hence, the metric shows 90%.

Actividades del Centro de partners con MFAPartner Center activities with MFA

Cada vez que los empleados inician sesión en el Centro de partners para trabajar o, mediante las API, obtener o enviar datos a través del Centro de partners, su estado de seguridad recibe un desafío y seguimiento.Each time your employees sign in to Partner Center to work or, through APIs, get or send data through Partner Center, their security status is challenged and tracked. En el seguimiento del estado de seguridad también se incluyen las aplicaciones y cualquier aplicación del proveedor del panel de control.Also included in security-status tracking, are your applications and any control panel vendor applications. El estado que se muestra corresponde a los siete días anteriores.The status displayed is for the previous seven days.

Comprobación de MFA realizada por los usuariosMFA verification completed by users

Esta métrica está relacionada con actividades del panel del Centro de partners.This metric is related to activities within the Partner Center dashboard. Mide el porcentaje de operaciones realizadas por los usuarios que han completado la comprobación de MFA.It measures the percentage of operations made by users who have completed MFA verification. Por ejemplo:For example:

  • Contoso es un partner de CSP con dos agentes de administración, Julia y Juan.Contoso is a CSP partner with two admin agents, Jane and John.
  • El primer día, Julia inicia sesión en el panel del Centro de partners sin verificación MFA y realiza tres operaciones.On the first day, Jane logged in to Partner Center dashboard without MFA verification and made three operations.
  • El segundo día, Juan inicia sesión en el panel del Centro de partners sin verificación MFA y realiza cinco operaciones.On the second day, John logged in to Partner Center dashboard without MFA verification and made five operations.
  • El tercer día, Julia inicia sesión en el panel del Centro de partners con verificación MFA y realiza dos operaciones.On the third day, Jane logged in to Partner Center dashboard with MFA verification and made two operations.
  • Los otros cuatro días, ningún agente realiza operaciones.There were no operations made by either agent on the remaining four days.
  • De las 10 operaciones realizadas en el periodo de siete días, dos las realizó un usuario con verificación MFA.Out of the 10 operations made in the 7-day window, two were made by user with MFA verification. Por lo tanto, la métrica muestra un 20 %.Hence, the metric shows 20%.

Usa el archivo Portal requests without MFA para averiguar qué usuario inició sesión en el panel del Centro de partners sin verificación MFA y la hora de la última visita en el período notificado.Use the file Portal requests without MFA to understand which user logged in to Partner Center dashboard without having MFA verification, and time of last visit during the reporting window.

Autenticación de aplicación y usuarioApp+User authentication

Esta métrica está relacionada con el uso de solicitudes de API del Centro de partners realizadas con la autenticación de aplicación y usuario.This metric is related to the use of Partner Center API requests made using App+User authentication. Mide el porcentaje de solicitudes de API realizadas mediante un token de acceso con notificación de MFA.It measures the percentage of API requests made using an access token with MFA claim. Por ejemplo:For example:

  • Fabrikam es un partner de CSP y tiene una aplicación de CSP que usa una combinación de métodos de autenticación de aplicación y usuario y de solo aplicación.Fabrikam is a CSP partner and has a CSP application that uses a mix of App+User authentication and app-only authentication methods.
  • El primer día, la aplicación realiza tres solicitudes de API respaldadas por un token de acceso obtenido mediante el método de autenticación de aplicación y usuario sin la verificación de MFA.On the first day, the application made three API requests, which were backed by an access token obtained through App+User authentication method without MFA verification.
  • El segundo día, la aplicación realiza cinco solicitudes de API respaldadas por un token de acceso obtenido mediante la autenticación de solo aplicación.On the second day, the application made five API requests, which were backed by an access token obtained using App-only authentication.
  • El tercer día, la aplicación realiza dos solicitudes de API respaldadas por un token de acceso obtenido mediante el método de autenticación de aplicación y usuario con verificación MFA.On the third day, the application made two API requests, which were backed by an access token obtained using App+User authentication method with MFA verification.
  • Los otros cuatro días, ningún agente realiza operaciones.There were no operations made by either agent on the remaining four days.
  • Las cinco solicitudes de API del segundo día, que estaban respaldadas por un token de acceso obtenido mediante la autenticación de solo aplicación, se omiten de la métrica, ya que no hacen uso de las credenciales de usuario.The five API requests on the second day, which were backed by an access token obtained through App-only authentication are omitted from the metric since it does not make use of user credentials. De las cinco operaciones restantes, dos de ellas estaban respaldadas por un token de acceso obtenido con la verificación de MFA.Out of the remaining five operations, two of them were backed by an access token obtained with MFA verification. Por lo tanto, la métrica muestra un 40 %.Hence, the metric shows 40%.

Para conocer los resultados de las actividades de aplicación y usuario en el valor distinto de 100 % de esta métrica, usa los archivos:If you want to understand which App+user activities results in the non 100% on this metric, use files:

  • API requests summary para comprender el estado general de MFA por aplicación.API requests summary to understand the overall MFA status by application.
  • All API requests para comprender los detalles de cada una de las solicitudes de API realizadas por los usuarios del inquilino. El resultado está limitado a un máximo de 10 000 solicitudes más recientes a fin de optimizar la experiencia de descarga.All API requests to understand the detail of each API requests made by users of your tenant, the result is limited to maximum 10,000 most recent requests for better downloading experience.

¿Qué debo hacer si las métricas del informe de MFA no corresponde al 100 %?What should I do if the metrics under MFA report aren't 100%

Es posible que las métricas del informe de MFA del Centro de partners no sean del 100 % para los partners que han implementado MFA.It is possible that the metrics under Partner Center MFA report may not be 100% for partners who have implemented MFA. Para comprender por qué, estos son algunos factores a tener en cuenta.To understand why, here are some factors to consider.

Nota

Tendrá que trabajar con alguien de la organización que esté familiarizado con la administración de identidades y la implementación de MFA para el inquilino del partner.You will need to work with somebody from your organization who is familiar with identity management and MFA implementation for your partner tenant.

¿Ha implementado MFA para el inquilino del partner?Have you implemented MFA for your partner tenant?

Si no es así, primero debe implementar MFA para el inquilino del partner.If not, you need to implement MFA for your partner tenant first. Para obtener más información sobre cómo implementar MFA, consulta el artículo Requisitos de seguridad para partners.For details on how to implement MFA, refer to article Partner Security Requirement.

¿Solo ha completado la implementación de MFA recientemente?Have you only recently completed MFA implementation?

Las métricas se calculan cada día y tienen en cuenta las operaciones realizadas en los últimos siete días.The metrics are calculated on a daily basis and take into account operations performed in the last seven days. Si solo ha completado recientemente la implementación de MFA para el inquilino del partner, las métricas pueden no ser del 100 %.If you only recently completed MFA implementation for your partner tenant, the metrics may not be 100%.

¿Algunas cuentas de usuario se han excluido de la implementación de MFA?Have some user accounts been excluded from MFA implementation?

Comprenda si la implementación de MFA actual cubre todas las cuentas de usuario o solo algunas.Understand whether your current MFA implementation covers all user accounts or only some. Algunas soluciones MFA están basadas en directivas y admiten la exclusión de usuarios, mientras que otras pueden requerir que se habilite explícitamente MFA por usuario.Some MFA solutions are policy-based and support user exclusion, while others might require you to explicitly enable MFA on a per-user basis. Compruebe que no ha excluido ningún usuario de la implementación de MFA actual.Verify you have not excluded any user from your current MFA implementation. Las cuentas de usuario que se excluyan e inicien sesión en el Centro de partners para realizar cualquier actividad relacionada con CSP pueden hacer que las métricas no sean del 100 %.Any user account that is excluded and logs in to Partner Center to perform any CSP-related activity can cause the metrics to not be 100%.

¿Solo se requiere MFA cuando se cumplen ciertas condiciones?Is MFA only required when certain conditions are met?

Comprende si la implementación actual solo aplica MFA en condiciones específicas.Understand whether your current implementation only enforces MFA under specific conditions only. Algunas soluciones MFA proporcionan flexibilidad para aplicar MFA solo cuando se cumplen ciertas condiciones.Some MFA solutions provide flexibility to only enforce MFA when certain conditions are met. Por ejemplo, el usuario obtiene acceso desde un dispositivo desconocido o una ubicación desconocida.For example, user is accessing from unknown device or unknown location. Un usuario que esté habilitado para MFA pero que no se requiera que complete la comprobación de MFA al acceder al Centro de partners, puede provocar que las métricas no sean del 100%.A user, who is enabled for MFA but isn't required to complete MFA verification when accessing Partner Center, can cause the metrics to not be 100%.

Nota

En el caso de los partners que han implementado MFA con los valores predeterminados de seguridad de Azure AD, es importante tener en cuenta que, para ninguna de las cuentas de usuario de administrador, se aplicará la autenticación multifactor según el riesgo.For partners who have implemented MFA using Azure AD security defaults, it is important to note that for non-admin user accounts multi-factor authentication will be enforced based on risk. A los usuarios se les pedirá MFA solo durante los intentos de inicio de sesión de riesgo (por ejemplo, el usuario inicia sesión desde una ubicación diferente).Users will be prompted for MFA only during risky sign-in attempts (for example, user is signing in from a different location). Además, los usuarios tendrán hasta 14 días para registrarse para MFA.In addition, users will have up to 14 days to register for MFA. A los usuarios que no hayan completado el registro de MFA no se les solicitará la comprobación de MFA durante el período de 14 días.Users who have not complete MFA registration will not be challenged for MFA verification during the 14-day period. Por lo tanto, se espera que las métricas puede que no sean del 100 % para los partners que han implementado MFA con los valores por defecto de seguridad de Azure AD.Therefore, it is expected that the metrics may not be 100% for partners who have implemented MFA using Azure AD security defaults.

¿Usas una solución de MFA de terceros?Are you using third-party MFA solution?

Si usas una solución de MFA de terceros, identifica cómo se integra con Azure AD.If you are using third-party MFA solution, identify how you are integrating it with Azure AD. En general, hay dos métodos, incluidos los controles personalizados y de federación:In general, there are two methods, including federation and custom controls:

  • Federación de identidades: cuando Azure AD recibe una solicitud de autenticación, Azure AD redirigirá al usuario al proveedor de identidades federado para la autenticación.Identity federation - When Azure AD receives an authentication request, Azure AD will redirect the user to the federated identity provider for authentication. Tras una autenticación correcta, el proveedor de identidades federado redirigirá al usuario a Azure AD junto con un token SAML.Upon successful authentication, the federated identity provider will redirect the user back to Azure AD along with a SAML token. Para que Azure AD reconozca que el usuario ha completado la comprobación de MFA al autenticarse en el proveedor de identidades federado, el token SAML debe incluir la notificación authenticationmethodsreferences (con el valor multipleauthn).In order for Azure AD to recognize that the user has completed MFA verification when authenticating to the federated identity provider, the SAML token must include the authenticationmethodsreferences claim (with value multipleauthn). Compruebe si el proveedor de identidades federado admite la emisión de este tipo de notificaciones.Check whether that the federated identity provider supports issuing such a claim. Si es así, compruebe si el proveedor de identidades federado se ha configurado para ello.If so, check whether the federated identity provider has been configured to do so. Si falta la notificación, Azure AD (y, por tanto, el Centro de partners) no sabrá que el usuario ha completado la verificación MFA y esto puede hacer que la métrica no sea del 100 %.If the claim is missing, Azure AD (and therefore Partner Center) will not know that the user has completed MFA verification and missing the claim can cause the metric to not be 100%.

  • Control personalizado: el control personalizado de Azure AD no se puede usar para identificar si un usuario ha completado la verificación MFA mediante una solución MFA de terceros.Custom Control - Azure AD Custom Control cannot be used to identify whether a user has completed MFA verification through a third-party MFA solution. Como resultado, cualquier usuario que haya completado la comprobación de MFA a través de un control personalizado aparecerá siempre en Azure AD (y, a su vez, en el Centro de partners) como si no hubiera completado dicha comprobación.As a result, any user who has completed MFA verification through a custom control will always appear to Azure AD (and in turn Partner Center) as not having completed MFA verification. Siempre que sea posible, se recomienda usar la Federación de identidades en lugar de un Control personalizado al integrar con Azure AD.Where possible, it is recommended that you switch to using Identity Federation as opposed to Custom Control when integrating with Azure AD.

Identificar qué usuarios han iniciado sesión en el Centro de partners sin usar MFAIdentify which users have logged into Partner Center without MFA

Puede ser útil identificar los usuarios que inician sesión en el Centro de partners sin comprobación de MFA y comprobarlos con la implementación de MFA actual.It may be helpful to identify which users are logging in to Partner Center without MFA verification and verify them against your current MFA implementation. Puede usar el informe de inicio de sesión de Azure AD para averiguar si un usuario ha completado la comprobación de MFA o no.You can use Azure AD sign-in report to find out whether a user has completed MFA verification or not. Actualmente, el informe de inicio de sesión de Azure AD solo está disponible para los partners que se han suscrito a Azure AD Premium o a cualquier SKU de O365, lo que incluye Azure AD Premium (por ejemplo, EMS).Azure AD sign-in report is currently only available to partners who have subscribed to Azure AD Premium or any O365 SKU, which includes Azure AD Premium (for example, EMS).

Pasos siguientesNext steps