Requisitos de seguridad para partnersPartner Security Requirements

Se aplica aApplies to

  • Todos los partners que estén en el programa Proveedor de soluciones en la nubeAll partners in the Cloud Solution Provider program
    • Factura directaDirect bill
    • Proveedor indirectoIndirect provider
    • Revendedor indirectoIndirect reseller
  • Todos los proveedores de panel de controlAll Control Panel Vendors
  • Todos los asesoresAll Advisors

Roles adecuadosAppropriate roles

  • Administrador globalGlobal admin
  • Administrador de usuariosUser admin
  • Agente de administraciónAdmin agent
  • Administrador de facturaciónBilling admin
  • Administrador de partners de MPNMPN partner admin

Una mayor seguridad y protección de la privacidad se encuentran entre nuestras principales prioridades.Greater privacy safeguards and security are among our top priorities. Sabemos que la mejor defensa es la prevención y que somos tan seguros como lo sea nuestro vínculo más débil.We know that the best defense is prevention and that we are only as strong as our weakest link. Esta es la razón por la que necesitamos que todos los usuarios de nuestro ecosistema actúen y se aseguren de tener las protecciones de seguridad adecuadas.That is why we need everyone in our ecosystem to act and ensure appropriate security protections are in place. Para ayudar a proteger a los partners y clientes, presentamos un conjunto de requisitos de seguridad obligatorios para los asesores, proveedores de panel de control y asociados que participen en el programa Proveedor de soluciones en la nube.To help safeguard partners and customers, we are introducing a set of mandatory security requirements for Advisors, Control Panel Vendors, and partners participating in the Cloud Solution Provider program.

IntroducciónOverview

Los partners tienen la obligación de aplicar la autenticación multifactor a todas las cuentas de usuario en su inquilino de partner.Partners are required to enforce multi-factor authentication for all user accounts in their partner tenant. Los términos asociados a los requisitos de seguridad para partners se han agregado al acuerdo entre partners de Microsoft.The terms associated with the partner security requirements have been added to the Microsoft Partner Agreement. En lo que se refiere a los asesores, se aplicarán los mismos requisitos contractuales.As it relates to Advisors the same contractual requirements will be in place.

Los partners que no implementen los requisitos de seguridad obligatorios no podrán realizar transacciones en el programa Proveedor de soluciones en la nube ni administrar los inquilinos del cliente que aprovechen los derechos de administrador delegado, una vez que se apliquen estos requisitos.Partners who do not implement the mandatory security requirements will not be able to transact in the Cloud Solution Provider program or manage customer tenants leveraging delegated admin rights, once these requirements are enforced. Además, los partners que no implementen los requisitos de seguridad pueden poner en peligro su participación en los programas.In addition, partners who do not implement the security requirements may put their participation in programs at risk.

Para protegerte a ti y a tus clientes, es necesario que los partners lleven a cabo inmediatamente las siguientes acciones:To protect you and your customers, we are requiring partners to take the following actions immediately:

  1. Habilitar Multi-Factor Authentication (MFA) para todas las cuentas de usuario del inquilino de partner.Enable Multi-Factor Authentication (MFA) for all user accounts in your partner tenant. Multi-Factor Authentication (MFA) se debe aplicar a todas las cuentas de usuario de los inquilinos de partner al iniciar sesión en los servicios en la nube comerciales de Microsoft o cuando realicen transacciones en el Proveedor de soluciones en la nube a través del Centro de partners o de las API.All user accounts in your partner tenant(s) must be challenged by multi-factor authentication (MFA) when signing into Microsoft commercial cloud services or to transact in the Cloud Solution Provider through Partner Center or via APIs.

  2. Adoptar el marco de modelo de aplicaciones seguras.Adopt the Secure Application Model framework. Adoptar el marco de modelo de aplicaciones seguras.Adopt the Secure Application Model framework. Todos los partners que se integran con la API del Centro de partners deben adoptar el marco de modelo de aplicaciones seguras para las aplicaciones del modelo aplicación + autenticación de usuario.All partners integrating with Partner Center API must adopt the Secure Application Model framework for any app + user auth model applications.

    Importante

    Se recomienda encarecidamente que los partners implementen el modelo de aplicaciones seguras para la integración con una API de Microsoft, como Azure Resource Manager, Microsoft Graph o el uso de la automatización, como PowerShell con credenciales de usuario, para evitar interrupciones cuando se aplica MFA.We strongly recommend that partners implement the Secure Application Model for integrating with a Microsoft API such as Azure Resource Manager, Microsoft Graph, or leveraging automation such as PowerShell using user credentials, to avoid any disruption when MFA is enforced.

La habilitación de Multi-Factor Authentication (MFA) y la adopción del marco de modelo de aplicaciones seguras ayudarán a proteger la infraestructura y los datos de tus clientes frente a posibles riesgos de seguridad, como la identificación de robos u otros incidentes de fraude.Enabling Multi-Factor Authentication (MFA) and adopting the Secure Application Model framework will help protect your infrastructure and safeguard your customer's data from potential security risks such as identify theft or other fraud incidents.

Acciones que debes llevar a caboActions that you need to take

Para cumplir los requisitos de seguridad para partners, debes aplicar la autenticación multifactor para cada cuenta de usuario en el inquilino del partner.To comply with the partner security requirements, you must enforce multi-factor authentication for each user account in your partner tenant. Para lograrlo, puedes realizar cualquiera de las siguientes acciones:This can be accomplished through one of the way following ways:

Nota

Aunque la autenticación multifactor no se requiere contractualmente para una nube soberana (21Vianet, Gobierno de EE. UU. y Alemania), se recomienda encarecidamente que adoptes estos requisitos de seguridad.Although multi-factor authentication is not contractually required for a sovereign cloud (21Vianet, US Government, and Germany) it is highly recommended you adopt these security requirements.

Valores predeterminados de seguridadSecurity defaults

  • Los valores predeterminados de seguridad reemplazan a las directivas de línea base.Security defaults are replacing baseline policies.

  • Las directivas de línea de base seguirán presentes durante un par de meses y quedarán obsoletas a finales de febrero de 2020.Baseline policies will stay for the next a couple of months, and deprecated targeting at the end of Feb 2020.

  • Los partners que ya han adoptado las directivas de línea de base deben tomar medidas para realizar la transición a los valores predeterminados de seguridad.Partners who already adopted baseline policies need to take action to transition to security defaults.

  • Con los valores predeterminados de seguridad, todas las directivas se habilitarán a la vez.With security defaults, all policies will be enabled at once.

  • Para obtener información detallada, consulta Habilitar la autenticación multifactor para la organización y Valores predeterminados de seguridad de Azure Active Directory.For detailed information, read Enable Multi-Factor Authentication for your organization and Azure Active Directory security defaults.

Nota

Los valores predeterminados de seguridad de Azure AD es la evolución simplificada de las directivas de protección de línea base.Azure AD security defaults is the evolution of the baseline protection policies simplified. Si ya has habilitado las directivas de protección de línea de base, se recomienda encarecidamente que habilites los valores predeterminados de seguridad.If you have already enabled the baseline protection policies, then it is highly recommended that you enable security defaults.

Para pasar de las directivas de línea de base a los valores predeterminados de seguridad, lee ¿Cuáles son los valores de seguridad predeterminados?.To transition from baseline policies to security defaults, read What are security defaults?.

ConsideraciónConsideration

Dado que estos requisitos se aplican a todas las cuentas de usuario del inquilino de partner, debes tener en cuenta varias cosas para garantizar una implementación sin problemas, incluida la identificación de las cuentas de usuario en Azure Active Directory que no pueden realizar la autenticación multifactor, así como las aplicaciones y los dispositivos usados por tu organización que no admiten la autenticación moderna.Because these requirements apply to all user accounts in your partner tenant, you need to consider several things to ensure a smooth deployment, including identifying user accounts in Azure Active Directory that cannot perform multi-factor authentication, as well as applications and devices used by your organization that do not support modern authentication.

Antes de realizar cualquier acción, es aconsejable identificar lo siguiente:Prior to performing any action, we recommend you identify the following:

¿Hay alguna aplicación o algún dispositivo que no admita el uso de la autenticación moderna?Do you have an application or device that does not support the use of modern authentication?

Cuando apliques la opción de autenticación heredada de la autenticación multifactor, se bloqueará el uso de protocolos como IMAP, POP3, SMTP, etc., ya que no admiten la autenticación multifactor.When you enforce multi-factor authentication legacy authentication use protocols such as IMAP, POP3, SMTP, etc. will be blocked because they don't support multi-factor authentication. Para solucionar esta limitación, puedes usar una característica conocida como contraseñas de aplicación para asegurarte de que la aplicación o el dispositivo se seguirán autenticando.To address this limitation a feature known as app passwords can be used to ensure the application or device will still authenticate. Debes examinar las consideraciones acerca del uso de contraseñas, que están documentadas aquí, aquí para determinar si se pueden usar en su entorno.You should review the considerations for using app passwords documented here to determine if they can be used in your environment.

¿Hay usuarios que usen Office 365 proporcionados por licencias asociadas a tu inquilino del partner?Do you have users using Office 365 provided by licenses associated with your partner tenant?

Antes de implementar cualquier solución, aconsejamos determinar qué versión de Microsoft Office utilizan los usuarios de tu inquilino de partner.Prior to implementing any solution, we recommend that you determine what version of Microsoft Office is being used by users in your partner tenant. Examina el plan para realizar la autenticación multifactor en implementaciones de Office 365 antes de realizar cualquier acción.Review plan for multi-factor authentication for Office 365 Deployments before taking any action. Existe la posibilidad de que los usuarios tengan problemas de conectividad con aplicaciones como Outlook.There is a chance your users will experience connectivity issues with applications like Outlook. Antes de aplicar la autenticación multifactor, es importante asegurarse de que se usa Outlook 2013 SP1, o cualquier versión posterior, y que la organización tiene habilitada la autenticación moderna.Before enforcing multi-factor authentication, it is important to ensure that Outlook 2013 SP1, or later, is being used and that your organization has modern authentication enabled. Para más información, consulta Habilitar la autenticación moderna en Exchange Online.See Enable modern authentication in Exchange Online for more information.

Para habilitar la autenticación moderna en cualquier dispositivo con Windows que tenga Microsoft Office 2013 instalado, es preciso crear dos claves del Registro.To enable modern authentication for any devices running Windows, that have Microsoft Office 2013 installed, you will need to create two registry keys. Consulta Habilitar autenticación moderna para Office 2013 en dispositivos Windows.See Enable Modern Authentication for Office 2013 on Windows devices.

¿Hay alguna directiva que impida que los usuarios usen sus dispositivos móviles mientras trabajan?Is there a policy preventing any of your users from using their mobile devices while working?

Es importante identificar las directivas corporativas que impiden que los empleados usen dispositivos móviles mientras trabajan, ya que esto influirá en la solución de autenticación multifactor que implementes.It is important to identify any corporate policy that prevents employees from using mobile devices while working because it will influence what multi-factor authentication solution you implement. Hay soluciones, como la que se proporciona a través de la implementación de las directivas de seguridad de Azure AD, que solo permiten el uso de una aplicación de autenticación para la comprobación.There are solutions, such as the one provided through the implementation of Azure AD security defaults, that only allow the use of an authenticator app for verification. Si la organización tiene una directiva que impide el uso de dispositivos móviles, debes tener en cuenta una de las siguientes opciones:In the event your organization has a policy that prevent the use of mobile devices, then you should consider one of the following options

  • Implementar una aplicación de contraseñas de un solo uso y duración definida (TOTP) que se pueda ejecutar en un sistema seguro.Deploy a time-based one-time base password (TOTP) application that can run on secure system

  • Implementar una solución de terceros que aplique la autenticación multifactor a todas las cuentas de usuario del inquilino del partner que proporcione la opción de verificación más adecuada.Implement a third-party solution that enforces multi-factor authentication for each user account in the partner tenant that provides the most appropriate verification option

  • Comprar licencias de Azure Active Directory Premium para los usuarios afectados.Purchase Azure Active Directory Premium licenses for the impacted users

¿Qué automatización o integración tienes que aproveche las credenciales de usuario para la autenticación?What automation or integration do you have that leverages user credentials for authentication?

Como el requisito es aplicar MFA a todos los usuarios, incluidas las cuentas de servicio, del directorio de partners cualquier automatización o integración que aproveche las credenciales de usuario para la autenticación se verá afectada.Since the requirement is to enforce MFA for each user, including service accounts, in your partner directory any automation or integration that leverages user credentials for authentication will be impacted. Por tanto, es importante identificar qué cuentas se usan en estas situaciones.So, it important that you identify what accounts are being used in these situations. A continuación se muestra una lista de ejemplos de aplicaciones o servicios que se deben tener en cuentaThe following is a list of examples of applications or services that should be considered

  • Panel de control que se usa usado para aprovisionar recursos en nombre de los clientesControl panel used to provision resources on behalf of your customers

  • Integración con todas las plataformas que se utilicen para la facturación (en relación con el programa CSP) y soporte técnico a los clientesIntegration with any platform that is used for invoicing (as it relates to the CSP program) and supporting your customers

  • Scripts de PowerShell que usan los módulos Az, AzureRM, Azure AD, MS Online, etc.PowerShell scripts that utilize the Az, AzureRM, Azure AD, MS Online, etc. modules

La lista anterior no es completa.The above list is not comprehensive. Por tanto, es importante que realices una evaluación completa de cualquier aplicación o servicio de tu entorno que aproveche las credenciales de usuario para la autenticación.So, it important that you perform a complete assessment of any application or service in your environment that leverages user credentials for authentication. Para enfrentarte al requisito de la autenticación multifactor, debes implementar las instrucciones del marco de modelo de aplicaciones seguras siempre que sea posible.To contend with the requirement for multi-factor authentication, you should implement the guidance in the Secure Application Model framework where possible.

Acceso al entornoAccessing your environment

Para saber mejor qué o quién realiza la autenticación sin que sea un desafío para la autenticación multifactor, te recomendamos revisar la actividad de inicio de sesión.To better understand what or who is authenticating without being challenged for multi-factor authentication, we recommend you review the sign-in activity. En Azure Active Directory Premium puedes aprovechar el informe de inicio de sesión.Through Azure Active Directory Premium you can leverage the sign-in report. Consulta los informes de actividad de inicio de sesión en el portal de Azure Active Directory para obtener más información.See sign-in activity reports in the Azure Active Directory portal for more information. Si no tienes Azure Active Directory Premium o estás buscando una manera de obtenerlo a través de PowerShell, deberás utilizar el cmdlet Get-PartnerUserSignActivity del módulo de PowerShell del Centro de partners.If you do not have Azure Active Directory Premium, or you are looking for a way obtain this through PowerShell, then you will need to leverage the Get-PartnerUserSignActivity cmdlet from the Partner Center PowerShell module.

Cómo se aplicarán los requisitosHow the requirements will be enforced

Azure Active Directory y el Centro de partners aplicarán los requisitos de seguridad para partners. Para ello, comprobarán la presencia de la notificación de MFA para identificar que se ha producido la verificación de la autenticación multifactor.The partner security requirements will be enforced by Azure Active Directory, and in turn Partner Center, by checking for the presence of the MFA claim to identify that multi-factor authentication verification has taken place. A partir del 18 de noviembre de 2019, Microsoft activará medidas de seguridad adicionales (conocidas anteriormente como "aplicación técnica") para los inquilinos de partner.Starting November 18, 2019, Microsoft will activate additional security safeguards (previously known as “technical enforcement”) to partner tenants.

Tras la activación, se solicitará a los usuarios del inquilino de partner que completen la comprobación Multi-Factor Authentication (MFA) al realizar cualquier operación de administrar en nombre de (AOBO).Upon activation, users in the partner tenant will be requested to complete multi-factor authentication (MFA) verification when performing any admin on behalf of (AOBO) operations. Seguiremos ampliando el ámbito de las medidas de seguridad a otros escenarios y roles de usuario, enviando un aviso previo a los partners.We will continue to extend the scope of the security safeguards to additional scenarios and user roles, providing partners with advance notice. Para obtener más información, consulta este documento, que se actualizará con frecuencia.For more information, please refer to this document which will be updated frequently. Los partners que no han cumplido los requisitos deben implementar estas medidas lo antes posible para evitar interrupciones empresariales.Partners who have not met the requirements should implement these measures as soon as possible to avoid any business disruptions.

Si utilizas Azure Multi-Factor Authentication o las directivas de seguridad de Azure AD, no es necesario realizar ninguna acción adicional.If you are using Azure Multi-Factor Authentication or Azure AD security defaults, there are no additional actions you need to take.

Cuando se usa una solución de autenticación multifactor de terceros, existe la posibilidad de que no se emita la notificación de MFA.When using a third-party multi-factor authentication solution, there is a chance the MFA claim may not be issued. Si falta la notificación, Azure Active Directory no podrá determinar si la autenticación multifactor procesó la solicitud de autenticación.If this claim is missing, Azure Active Directory will not be able determine if the authentication request was challenged by multi-factor authentication. Para obtener más información sobre cómo comprobar si la solución emite la notificación esperada, consulta Prueba de los requisitos de seguridad para partners.For information on how to verify your solution is issuing the expected claim, read Testing the Partner Security Requirements.

Importante

Si la solución de terceros no emite la notificación esperada, deberás contactar con el proveedor que desarrolló la solución para determinar las acciones que se deben llevar a cabo.If your third-party solution does not issue the expected claim, then you will need to work with the vendor who developed the solution to determine what actions should be taken.

Recursos y soporte técnicoResources and support

A continuación, se muestran los recursos en los que puedes encontrar soporte técnico y código de ejemplo:The following are resources where you can find support and sample code: