Requisitos de seguridad para usar el Centro de partners o las API del Centro de partnersSecurity requirements for using Partner Center or Partner Center APIs

Se aplica aApplies to

  • Todos los partners que estén en el programa Proveedor de soluciones en la nubeAll partners in the Cloud Solution Provider program
  • Todos los proveedores de panel de controlAll Control Panel Vendors
  • Todos los asesoresAll Advisors

Usuarios adecuadosAppropriate users

  • Todos los usuarios habilitados, incluidos los invitadosAll enabled users including guest users

En este artículo se explican los requisitos de seguridad obligatorios para asesores, proveedores de panel de control y partners participantes en el programa Proveedor de soluciones en la nube, así como las opciones de autenticación y otras consideraciones de seguridad.This article explains the mandatory security requirements for Advisors, Control Panel Vendors, and partners participating in the Cloud Solution Provider program, as well as authentication options and other security considerations. La seguridad y la protección de la privacidad se encuentran entre nuestras principales prioridades.Privacy safeguards and security are among our top priorities. Sabemos que la mejor defensa es la prevención y que somos tan seguros como lo sea nuestro vínculo más débil.We know that the best defense is prevention and that we are only as strong as our weakest link. Esta es la razón por la que necesitamos que todos los usuarios de nuestro ecosistema actúen y se aseguren de tener las protecciones de seguridad adecuadas.That is why we need everyone in our ecosystem to act and ensure appropriate security protections are in place.

Requisitos de seguridad obligatoriosMandatory security requirements

Los partners que no implementen los requisitos de seguridad obligatorios no podrán realizar transacciones en el programa Proveedor de soluciones en la nube ni administrar los inquilinos del cliente que usen los derechos de administrador delegado.Partners who do not implement the mandatory security requirements will not be able to transact in the Cloud Solution Provider program or manage customer tenants leveraging delegated admin rights. Además, los partners que no implementen los requisitos de seguridad pueden poner en peligro su participación en los programas.In addition, partners who do not implement the security requirements may put their participation in programs at risk. Los términos asociados a los requisitos de seguridad para partners se han agregado al acuerdo entre partners de Microsoft.The terms associated with the partner security requirements have been added to the Microsoft Partner Agreement. En lo que se refiere a los asesores, se aplicarán los mismos requisitos contractuales.As it relates to Advisors, the same contractual requirements will be in place.

Para protegerte a ti y a tus clientes, es necesario que los partners lleven a cabo inmediatamente las siguientes acciones:To protect you and your customers, we are requiring partners to take the following actions immediately:

  1. Habilitar la autenticación multifactor (MFA) para todas las cuentas de usuario del inquilino de partner.Enable multi-factor authentication (MFA) for all user accounts in your partner tenant. Debe aplicar MFA en todas las cuentas de usuario de los inquilinos de partner.You must enforce MFA on all user accounts in your partner tenant(s). MFA presentará un desafío a los usuarios al iniciar sesión en los servicios en la nube comerciales de Microsoft o cuando realicen transacciones en el programa Proveedor de soluciones en la nube a través del Centro de partners o de las API.Users must be challenged by MFA when they sign in to Microsoft commercial cloud services or when they transact in the Cloud Solution Provider program through Partner Center or via APIs.

  2. Adoptar el marco de modelo de aplicaciones seguras.Adopt the Secure Application Model framework. Todos los partners que se integran con las API del Centro de partners deben adoptar el marco del modelo de aplicaciones seguras para las aplicaciones con cualquier modelo de autenticación de aplicación y usuario.All partners integrating with Partner Center APIs must adopt the Secure Application Model framework for any app and user auth model applications.

    Importante

    Se recomienda encarecidamente que los partners implementen el modelo de aplicaciones seguras para la integración con una API de Microsoft, como Azure Resource Manager o Microsoft Graph o al usar la automatización, como PowerShell con credenciales de usuario, para evitar interrupciones cuando se aplica MFA.We strongly recommend that partners implement the Secure Application Model for integrating with a Microsoft API, such as Azure Resource Manager or Microsoft Graph, or when leveraging automation such as PowerShell using user credentials, to avoid any disruption when MFA is enforced.

Estos requisitos de seguridad le ayudarán a proteger su infraestructura y a proteger los datos de sus clientes de posibles riesgos de seguridad, como el robo de identidad u otros incidentes de fraude.These security requirements will help protect your infrastructure and safeguard your customers' data from potential security risks such as identify theft or other fraud incidents.

Implementación de la autenticación multifactorImplementing multi-factor authentication

Para cumplir los requisitos de seguridad para partners, debe implementar y aplicar MFA para cada cuenta de usuario del inquilino del partner.To comply with the partner security requirements, you must implement and enforce MFA for each user account in your partner tenant. Esto se puede lograr de una de las siguientes maneras:You can do this one of the way following ways:

Nota

Aunque la autenticación multifactor no se requiere contractualmente para una nube soberana (Gobierno de EE. UU. y Alemania), es muy recomendable que adopte estos requisitos de seguridad.Although multi-factor authentication is not contractually required for a sovereign cloud (US Government and Germany) it is highly recommended you adopt these security requirements.

Valores predeterminados de seguridadSecurity defaults

Una de las opciones que los partners pueden elegir para implementar los requisitos de MFA es la habilitación de los valores predeterminados de seguridad en Azure AD.One of the options that partners can choose to implement MFA requirements is to enable security defaults in Azure AD. Los valores predeterminados de seguridad ofrecen un nivel básico de seguridad sin ningún costo adicional.Security defaults offer a basic level of security at no extra cost. Revise cómo habilitar MFA para la organización con Azure AD y las consideraciones clave siguientes antes de habilitar los valores predeterminados de seguridad.Review how to enable MFA for your organization with Azure AD and the key considerations below before enabling security defaults.

  • Los partners que ya han adoptado las directivas de línea de base deben tomar medidas para realizar la transición a los valores predeterminados de seguridad.Partners who already adopted baseline policies need to take action to transition to security defaults.

  • Los valores predeterminados de seguridad son el reemplazo de disponibilidad general de las directivas de línea de base de la versión preliminar.Security defaults are the general availability replacement of the preview baseline policies. Una vez que un asociado habilite los valores predeterminados de seguridad, ya no podrá habilitar las directivas de línea de base.Once a partner enables the security defaults, they will no longer be able to enable baseline policies.

  • Con los valores predeterminados de seguridad, todas las directivas se habilitarán a la vez.With security defaults, all policies will be enabled at once.

  • En el caso de los asociados que usan el acceso condicional, los valores predeterminados de seguridad no estarán disponibles.For partners who use conditional access, security defaults will not be available.

  • En este momento, no bloqueamos la autenticación heredada.We do not block legacy authentication at this time. Sin embargo, dado que la mayoría de los eventos relacionados con identidades comprometidas provienen de intentos de inicio de sesión mediante la autenticación heredada, se recomienda a los asociados a apartarse de estos protocolos antiguos.However, as most events related to compromised identities come from sign-in attempts using legacy authentication, partners are encouraged to move away from these older protocols.

  • La cuenta de sincronización de Azure AD Connect se excluye de los valores predeterminados de seguridad.Azure AD Connect synchronization account is excluded from security defaults.

Para obtener información detallada, lea Introducción a Azure Multi-Factor Authentication en una organización y ¿Cuáles son los valores de seguridad predeterminados?.For detailed information, read Overview of Azure Multi-Factor Authentication for your organization and What are security defaults?.

Nota

Los valores predeterminados de seguridad de Azure AD es la evolución simplificada de las directivas de protección de línea base.Azure AD security defaults is the evolution of the baseline protection policies simplified. Si ya ha habilitado las directivas de protección de la base de referencia, es muy recomendable habilitar los valores predeterminados de seguridad.If you have already enabled the baseline protection policies, then it is highly recommended that you enable security defaults.

Consideraciones de implementaciónImplementation considerations

Dado que estos requisitos se aplican a todas las cuentas de usuario del inquilino del partner, debe tener en cuenta varios factores para garantizar una implementación sin problemas.Because these requirements apply to all user accounts in your partner tenant, you need to consider several things to ensure a smooth deployment. Por ejemplo, identifique las cuentas de usuario de Azure AD que no puedan usar MFA, así como las aplicaciones y los dispositivos de la organización que no admiten la autenticación moderna.For example, identify user accounts in Azure AD that cannot perform MFA, as well as applications and devices in your organization that do not support modern authentication.

Antes de realizar cualquier acción, se recomienda completar las validaciones siguientes.Prior to performing any action, we recommend you complete the following validations.

¿Hay alguna aplicación o algún dispositivo que no admita el uso de la autenticación moderna?Do you have an application or device that does not support the use of modern authentication?

Cuando se aplique MFA, se bloquearán los protocolos de uso de autenticación heredados, como IMAP, POP3, SMTP, etc., ya que no admiten MFA.When you enforce MFA, legacy authentication use protocols such as IMAP, POP3, SMTP, etc. will be blocked because they don't support MFA. Para solucionar esta limitación, puede usar las contraseñas de aplicación para asegurarse de que la aplicación o el dispositivo se seguirán autenticando.To address this limitation, use the app passwords feature to ensure the application or device will still authenticate. Revise las consideraciones acerca del uso de contraseñas de aplicación para determinar si se pueden usar en su entorno.Review the considerations for using app passwords to determine if they can be used in your environment.

¿Tiene usuarios de Office 365 con licencias asociadas con su inquilino de partner?Do you have Office 365 users with licenses associated with your partner tenant?

Antes de implementar cualquier solución, aconsejamos determinar qué versión de Microsoft Office utilizan los usuarios del inquilino del partner.Prior to implementing any solution, we recommend that you determine what version of Microsoft Office users in your partner tenant are using. Existe la posibilidad de que los usuarios tengan problemas de conectividad con aplicaciones como Outlook.There is a chance your users will experience connectivity issues with applications like Outlook. Antes de aplicar MFA, es importante asegurarse de que usa Outlook 2013 SP1 o posterior y de que la organización tiene habilitada la autenticación moderna.Before enforcing MFA, it is important to ensure that you are using Outlook 2013 SP1, or later, and that your organization has modern authentication enabled. Para obtener más información, consulta Habilitación de la autenticación moderna en Exchange Online.For more information, see Enable modern authentication in Exchange Online.

Para habilitar la autenticación moderna en los dispositivos con Windows que tengan Microsoft Office 2013 instalado, es preciso crear dos claves del Registro.To enable modern authentication for devices running Windows that have Microsoft Office 2013 installed, you will need to create two registry keys. Consulta Habilitar autenticación moderna para Office 2013 en dispositivos Windows.See Enable Modern Authentication for Office 2013 on Windows devices.

¿Hay alguna directiva que impida que los usuarios usen sus dispositivos móviles mientras trabajan?Is there a policy preventing any of your users from using their mobile devices while working?

Es importante identificar las directivas corporativas que impiden que los empleados usen dispositivos móviles mientras trabajan, ya que esto influirá en la solución MFA que implementes.It is important to identify any corporate policy that prevents employees from using mobile devices while working because it will influence what MFA solution you implement. Hay soluciones, como la que se proporciona a través de la implementación de las directivas de seguridad de Azure AD, que solo permiten el uso de una aplicación de autenticación para la comprobación.There are solutions, such as the one provided through the implementation of Azure AD security defaults, that only allow the use of an authenticator app for verification. Si la organización tiene una directiva que impide el uso de dispositivos móviles, debes tener en cuenta una de las siguientes opciones:If your organization has a policy preventing the use of mobile devices, then consider one of the following options:

  • Implementar una aplicación de contraseñas de un solo uso y duración definida (TOTP) que se pueda ejecutar en un sistema seguro.Deploy a time-based one-time base password (TOTP) application that can run on secure system.

  • Implementar una solución de terceros que aplique MFA a todas las cuentas de usuario del inquilino del partner que proporcione la opción de verificación más adecuada.Implement a third-party solution that enforces MFA for each user account in the partner tenant that provides the most appropriate verification option.

  • Comprar licencias de Azure Active Directory Premium para los usuarios afectados.Purchase Azure Active Directory Premium licenses for the impacted users.

¿Qué automatización o integración tienes que aproveche las credenciales de usuario para la autenticación?What automation or integration do you have to leverage user credentials for authentication?

Dado que aplicamos MFA a todos los usuarios, incluidas las cuentas de servicio, del directorio de partners, esto afecta a cualquier automatización o integración que utilice las credenciales de usuario para la autenticación.Because we enforce MFA for each user, including service accounts, in your partner directory, this will impact any automation or integration that leverages user credentials for authentication. Por tanto, es importante identificar qué cuentas se usan en estas situaciones.So, it is important that you identify which accounts are being used in these situations. Consulta la siguiente lista de aplicaciones o servicios de ejemplo que debes tener en cuenta:See the following list of sample applications or services to consider:

  • Panel de control que se usa usado para aprovisionar recursos en nombre de los clientesControl panel used to provision resources on behalf of your customers

  • Integración con todas las plataformas que se utilicen para la facturación (en relación con el programa CSP) y soporte técnico a los clientesIntegration with any platform that is used for invoicing (as it relates to the CSP program) and supporting your customers

  • Scripts de PowerShell que usan los módulos Az, AzureRM, Azure AD, MS Online, etc.PowerShell scripts that utilize the Az, AzureRM, Azure AD, MS Online, etc. modules

La lista anterior no es completa.The above list is not comprehensive. Por tanto, es importante que realices una evaluación completa de cualquier aplicación o servicio de tu entorno que aproveche las credenciales de usuario para la autenticación.So, it is important that you perform a complete assessment of any application or service in your environment that leverages user credentials for authentication. Para enfrentarse al requisito de MFA, debes implementar las instrucciones del marco de modelo de aplicaciones seguras siempre que sea posible.To contend with the requirement for MFA, you should implement the guidance in the Secure Application Model framework where possible.

Acceso al entornoAccessing your environment

Para saber mejor qué o quién realiza la autenticación sin un desafío para MFA, es recomendable revisar la actividad de inicio de sesión.To better understand what or who is authenticating without being challenged for MFA, we recommend you review the sign-in activity. En Azure Active Directory Premium puedes aprovechar el informe de inicio de sesión.Through Azure Active Directory Premium, you can leverage the sign-in report. Para obtener más información sobre este tema, consulte los Informes de actividad de inicio de sesión en el portal de Azure Active Directory.For more information about this topic, see Sign-in activity reports in the Azure Active Directory portal. Si no tiene Azure Active Directory Premium o está buscando una manera de obtener la actividad de inicio de sesión mediante PowerShell, deberá utilizar el cmdlet Get-PartnerUserSignActivity del módulo de PowerShell del Centro de partners.If you do not have Azure Active Directory Premium, or you are looking for a way obtain this sign-in activity through PowerShell, then you will need to leverage the Get-PartnerUserSignActivity cmdlet from the Partner Center PowerShell module.

Cómo se aplican los requisitosHow the requirements are enforced

Azure AD y el Centro de partners aplican los requisitos de seguridad para partners. Para ello, comprueban la presencia de la notificación de MFA para identificar que se ha producido.Partner security requirements are enforced by Azure AD, and in turn Partner Center, by checking for the presence of the MFA claim to identify that MFA verification has taken place. A partir del 18 de noviembre de 2019, Microsoft activó medidas de seguridad adicionales (conocidas anteriormente como de "aplicación técnica") para los inquilinos de partner.Starting November 18, 2019, Microsoft activated additional security safeguards (previously known as “technical enforcement”) to partner tenants.

Tras la activación, se solicita a los usuarios del inquilino de partner que completen la verificación MFA al realizar cualquier operación de administración delegada (AOBO), acceder al portal del Centro de partners o llamar a las API del Centro de partners.Upon activation, users in the partner tenant are requested to complete MFA verification when performing any admin on behalf of (AOBO) operations, accessing the Partner Center portal, or calling Partner Center APIs. Para obtener más información, consulte Requisito de Multi-Factor Authentication (MFA) para el inquilino de partner.For more information, see Mandating Multi-factor Authentication (MFA) for your partner tenant.

Los partners que no han cumplido los requisitos deben implementar estas medidas lo antes posible para evitar interrupciones empresariales.Partners who have not met the requirements should implement these measures as soon as possible to avoid any business disruptions. Si utilizas Azure Multi-Factor Authentication o las directivas de seguridad de Azure AD, no es necesario realizar ninguna acción adicional.If you are using Azure Multi-Factor Authentication or Azure AD security defaults, there are no additional actions you need to take.

Si usa una solución de MFA de terceros, existe la posibilidad de que no se emita la notificación de MFA.If you are using a third-party MFA solution, there is a chance the MFA claim may not be issued. Si falta la notificación, Azure AD no podrá determinar si MFA generó un desafío para la solicitud de autenticación.If this claim is missing, Azure AD will not be able determine if the authentication request was challenged by MFA. Para obtener más información sobre cómo comprobar si la solución emite la notificación esperada, consulta Prueba de los requisitos de seguridad para partners.For information on how to verify your solution is issuing the expected claim, read Testing the Partner Security Requirements.

Importante

Si la solución de terceros no emite la notificación esperada, deberás contactar con el proveedor que desarrolló la solución para determinar las acciones que se deben llevar a cabo.If your third-party solution does not issue the expected claim, then you will need to work with the vendor who developed the solution to determine what actions should be taken.

Recursos y muestrasResources and samples

Consulta los siguientes recursos para obtener soporte y el código de ejemplo:See the following resources for support and sample code:

Pasos siguientesNext steps