Procedimientos recomendados para la seguridad de CSP

Todos los partners del programa Proveedor de soluciones en la nube (CSP) que acceden al Centro de partners y a las API del Centro de partners deben seguir las instrucciones de seguridad de este artículo para protegerse a sí mismos y a los clientes.

Para obtener información sobre la seguridad del cliente, consulte Procedimientos recomendados de seguridad del cliente.

Importante

Azure Active Directory (Azure AD) Graph está en desuso a partir del 30 de junio de 2023. En el futuro, no estamos realizando más inversiones en Azure AD Graph. Las API de Graph de Azure AD no tienen ningún acuerdo de nivel de servicio ni compromiso de mantenimiento más allá de las correcciones relacionadas con la seguridad. Las inversiones en las nuevas características y funcionalidades solo se realizarán en Microsoft Graph.

Retiraremos Azure AD Graph en pasos incrementales para que tenga tiempo suficiente para migrar las aplicaciones a las API de Microsoft Graph. En una fecha posterior que anunciaremos, bloquearemos la creación de aplicaciones nuevas mediante Azure AD Graph.

Para más información, consulte Importante: Retirada de Azure AD Graph y Desuso del módulo de PowerShell.

Pasos muy recomendados en los inquilinos

• Agregue un contacto de seguridad para las notificaciones de problemas relacionados con la seguridad en el inquilino del Centro de partners.
• Compruebe la puntuación segura de identidad en el identificador de Entra de Microsoft y realice las acciones adecuadas para generar la puntuación.
• Revise e implemente las instrucciones documentadas en Administración del pago, fraude o uso indebido.
• Familiarícese con el actor de amenazas NOBELIUM y los materiales relacionados:
  • NOBELIUM está dedicado a los privilegios administrativos delegados para facilitar ataques más amplios.
  • Entrenamiento de respuestas de NOBELIUM
  • Protección del canal: Recorrido a confianza cero

Procedimientos recomendados de identidad

Requerir autenticación multifactor

• Asegúrese de que todos los usuarios de los inquilinos del Centro de partners y los inquilinos del cliente estén registrados y requieran autenticación multifactor (MFA). Hay varias maneras de configurar MFA. Elija el método que se aplica al inquilino que está configurando:
  • Mi inquilino del Centro de partners o el cliente tiene el id. de Microsoft Entra P1
    • Use el acceso condicional para aplicar MFA.
  • Mi inquilino del Centro de partners o el cliente tiene el id. de Microsoft Entra P2
    • Use el acceso condicional para aplicar MFA.
    • Implemente directivas basadas en riesgos mediante Protección de id. de Microsoft Entra.
    • En el caso de su inquilino del Centro de partners, puede calificar para Microsoft 365 E3 o E5, en función de las ventajas de los derechos de uso interno (IUR). Estas SKU incluyen Microsoft Entra ID P1 o 2, respectivamente.
    • Para el inquilino del cliente, se recomienda habilitar los valores predeterminados de seguridad.
      • Si el cliente usa aplicaciones que requieren autenticación heredada, esas aplicaciones no funcionarán después de habilitar los valores predeterminados de seguridad. Si la aplicación no se puede reemplazar, quitar o actualizar para usar la autenticación moderna, puede aplicar MFA a través de MFA por usuario.
      • Puede supervisar y aplicar el uso de los valores predeterminados de seguridad del cliente mediante la siguiente llamada a Graph API:
        • Tipo de recurso identitySecurityDefaultsEnforcementPolicy: Microsoft Graph v1.0 | Microsoft Learn
• Asegúrese de que el método MFA utilizado es resistente a la suplantación de identidad (phishing). Puede hacerlo mediante la autenticación sin contraseña o la coincidencia de números.
• Si un cliente se niega a usar MFA, no proporcione acceso a ningún rol de administrador a Microsoft Entra ID ni permisos de escritura en suscripciones de Azure.

Acceso a las aplicaciones

• Adopte el marco del modelo de aplicaciones seguras. Todos los partners que se integran con las API del Centro de partners deben adoptar el marco del modelo de aplicaciones seguras para las aplicaciones con cualquier modelo de autenticación de aplicación y usuario.
• Deshabilite el consentimiento del usuario en los inquilinos de Microsoft Entra del Centro de partners o use el flujo de trabajo de consentimiento del administrador.

Privilegios mínimos/ Sin acceso permanente

• Los usuarios que tienen roles administrativos de Microsoft Entra, como el administrador global o el administrador de seguridad, no deben usar periódicamente esas cuentas para el correo electrónico y la colaboración. Cree una cuenta de usuario independiente sin roles administrativos de Microsoft Entra para tareas de colaboración.
• Revise el grupo de agentes de Administración y quite las personas que no necesitan acceso.
• Revise periódicamente el acceso al rol administrativo en el identificador de Microsoft Entra y limite el acceso a las cuentas lo más pocas posible. Para más información, consulte Roles integrados de Microsoft Entra.
• Los usuarios que abandonan la empresa o cambian los roles de la empresa deben quitarse del acceso del Centro de partners.
• Si tiene microsoft Entra ID P2, use Privileged Identity Management (PIM) para aplicar el acceso Just-In-Time (JIT). Use la custodia dual para revisar y aprobar el acceso a los roles de administrador de Microsoft Entra y los roles del Centro de partners.
• Para proteger los roles con privilegios, consulte Introducción a la protección del acceso con privilegios.
• Revise periódicamente el acceso a los entornos del cliente.
  • Quite privilegios de Administración istration delegados inactivos (DAP).
  • Preguntas más frecuentes sobre el GDAP.
  • Asegúrese de que las relaciones de GDAP usen roles con los privilegios mínimos necesarios.

Aislamiento de identidad

• Evite hospedar la instancia del Centro de partners en el mismo inquilino de Microsoft Entra que hospede los servicios de TI internos, como el correo electrónico y las herramientas de colaboración.
• Use cuentas de usuario dedicadas independientes para usuarios con privilegios del Centro de partners que tengan acceso al cliente.
• Evite crear cuentas de usuario en los inquilinos de Microsoft Entra de cliente diseñados para que los asociados administren el inquilino del cliente y los servicios y aplicaciones relacionados.

Procedimientos recomendados de dispositivos

• Solo se permite el acceso de inquilinos del Centro de partners y del cliente desde estaciones de trabajo registradas y correctas que tienen líneas base de seguridad administradas y se supervisan para detectar riesgos de seguridad.
• Para los usuarios del Centro de partners con acceso con privilegios a entornos de cliente, considere la posibilidad de requerir estaciones de trabajo dedicadas (virtuales o físicas) para que esos usuarios accedan a entornos de cliente. Para obtener más información, consulte Protección del acceso con privilegios.

Procedimientos recomendados de la supervisión

API del Centro de partners

• Todos los proveedores de Panel de control deben habilitar el modelo de aplicación seguro y activar el registro para cada actividad de usuario.
• Panel de control proveedores deben habilitar la auditoría de cada agente asociado que inicie sesión en la aplicación y todas las acciones realizadas.

Supervisión y auditoría de inicio de sesión

• Los asociados con una licencia de Microsoft Entra ID P2 califican automáticamente para mantener los datos de registro de auditoría e inicio de sesión de hasta 30 días.

  Confirme que:

  • El registro de auditoría está en su lugar donde se usan las cuentas de administrador delegadas.
  • Los registros capturan el nivel máximo de detalles proporcionados por el servicio.
  • Los registros se conservan durante un período aceptable (hasta 30 días) que permite la detección de actividades anómalas.

  Es posible que el registro de auditoría detallado requiera la compra de más servicios. Para obtener más información, consulte ¿Cuánto tiempo almacena microsoft Entra ID en los datos de informes?

• Revise y compruebe periódicamente las direcciones de correo electrónico de recuperación de contraseñas y los números de teléfono de Microsoft Entra ID para todos los usuarios con los roles de administrador global y actualice si es necesario.

  • Si el inquilino de un cliente está en peligro: el partner de factura directa de CSP, el proveedor indirecto o el revendedor indirecto no pueden ponerse en contacto con el soporte técnico solicitando un cambio de contraseña de Administración istrator en el inquilino del cliente. El cliente debe llamar al soporte técnico de Microsoft siguiendo las instrucciones del tema Restablecer mi contraseña de administrador. El tema Restablecer mi contraseña de administrador tiene un vínculo que los clientes pueden usar para llamar a Soporte técnico de Microsoft. Indique al cliente que mencione que el CSP ya no tiene acceso a su inquilino para ayudar a restablecer la contraseña. El CSP debe considerar la posibilidad de suspender las suscripciones del cliente hasta que se recupere el acceso y se quiten las partes infractoras.

• Implemente los procedimientos recomendados de registro de auditoría y realice una revisión rutinaria de las actividades realizadas por las cuentas de administrador delegadas.

  • ¿Qué son los informes de Microsoft Entra?
  • Análisis de registros de actividad mediante registros de Azure Monitor
  • Referencia de actividad de auditoría de Microsoft Entra ID

• Los asociados deben revisar el informe de usuarios de riesgo dentro de su entorno y abordar las cuentas que se detectan para presentar riesgos según las instrucciones publicadas.

  • Corregir riesgos y desbloquear usuarios
  • Experiencia del usuario con la protección de Microsoft Entra ID

Material relacionado

• Para conocer los procedimientos recomendados para administrar entidades de servicio, consulte Protección de entidades de servicio en microsoft Entra ID.
• Requisitos de seguridad para partners
• Principios rectores de Confianza cero
• Procedimientos recomendados de seguridad del cliente