Requisitos de segurança do parceiro para parceiros usando o Partner Center ou as APIs do Partner CenterPartner security requirements for partners using Partner Center or Partner Center APIs

Aplica-se aApplies to

  • Todos os parceiros no programa Provedor de Soluções na NuvemAll partners in the Cloud Solution Provider program
    • Fatura diretaDirect bill
    • Provedor indiretoIndirect provider
    • Revendedor indiretoIndirect reseller
  • Todos os Fornecedores do Painel de ControleAll Control Panel Vendors
  • Todos os consultoresAll Advisors

Usuários apropriadosAppropriate users

  • Todos os usuários habilitados, incluindo usuários convidadosAll enabled users including guest users

As maiores proteções de privacidade e segurança estão entre nossas principais prioridades.Greater privacy safeguards and security are among our top priorities. Sabemos que a melhor defesa é a prevenção e que somos tão fortes quanto nosso vínculo mais fraco.We know that the best defense is prevention and that we are only as strong as our weakest link. É por isso que precisamos de todos em nosso ecossistema, para agir e garantir que as proteções de segurança adequadas estejam em vigor.That is why we need everyone in our ecosystem to act and ensure appropriate security protections are in place. Para ajudar a proteger parceiros e clientes, estamos introduzindo um conjunto de requisitos de segurança obrigatórios para consultores, fornecedores do painel de controle e parceiros que participam do programa de Provedor de Soluções na Nuvem.To help safeguard partners and customers, we are introducing a set of mandatory security requirements for Advisors, Control Panel Vendors, and partners participating in the Cloud Solution Provider program.

Visão geralOverview

Os parceiros são obrigados a impor a autenticação multifator para todas as contas de usuário em seu locatário de parceiro.Partners are required to enforce multi-factor authentication for all user accounts in their partner tenant. Os termos associados aos requisitos de segurança do parceiro foram adicionados ao Contrato de Parceiro da Microsoft.The terms associated with the partner security requirements have been added to the Microsoft Partner Agreement. Como ele é relacionado aos consultores, os mesmos requisitos contratuais estarão em vigor.As it relates to Advisors, the same contractual requirements will be in place.

Os parceiros que não implementarem os requisitos de segurança obrigatórios não poderão fazer transações no programa de Provedor de Soluções na Nuvem nem gerenciar locatários de clientes que utilizam direitos de administrador delegado, pois esses requisitos são impostos.Partners who do not implement the mandatory security requirements will not be able to transact in the Cloud Solution Provider program or manage customer tenants leveraging delegated admin rights, once these requirements are enforced. Além disso, os parceiros que não implementam os requisitos de segurança podem colocar sua participação em programas em risco.In addition, partners who do not implement the security requirements may put their participation in programs at risk.

Para proteger você e seus clientes, estamos exigindo que os parceiros executem as seguintes ações imediatamente:To protect you and your customers, we are requiring partners to take the following actions immediately:

  1. Habilite a MFA (Autenticação Multifator) para todas as contas de usuário no locatário de parceiros.Enable Multi-Factor Authentication (MFA) for all user accounts in your partner tenant. Todas as contas de usuário em locatários de parceiros devem ser desafiadas pela Autenticação Multifator (MFA) ao entrarem nos serviços de nuvem comercial da Microsoft ou ao realizarem transações no programa Provedor de Soluções na Nuvem por meio do Partner Center ou de APIs.All user accounts in your partner tenant(s) must be challenged by multi-factor authentication (MFA) when they sign into Microsoft commercial cloud services or when they transact in the Cloud Solution Provider program through Partner Center or via APIs.

  2. Adote a estrutura do Modelo de Aplicativo Seguro.Adopt the Secure Application Model framework. Adote a estrutura do Modelo de Aplicativo Seguro.Adopt the Secure Application Model framework. Todos os parceiros que integram a API do Partner Center devem adotar a estrutura do Modelo de Aplicativo Seguro para qualquer aplicativo + aplicativos de modelo de autenticação de usuário.All partners integrating with Partner Center API must adopt the Secure Application Model framework for any app + user auth model applications.

    Importante

    É altamente recomendável que os parceiros implementem o Modelo de Aplicativo Seguro para integrar com uma API da Microsoft, como Azure Resource Manager, Microsoft Graph ou aproveitar a automação, como o PowerShell, usando as credenciais do usuário, para evitar qualquer interrupção quando a MFA é imposta.We strongly recommend that partners implement the Secure Application Model for integrating with a Microsoft API such as Azure Resource Manager, Microsoft Graph, or leveraging automation such as PowerShell using user credentials, to avoid any disruption when MFA is enforced.

Habilitar a MFA (Autenticação Multifator) e adotar a estrutura do Modelo de Aplicativo Seguro ajudará a proteger a sua infraestrutura e os dados do cliente contra possíveis riscos de segurança, identificando roubos e outros incidentes de fraude.Enabling Multi-Factor Authentication (MFA) and adopting the Secure Application Model framework will help protect your infrastructure and safeguard your customer's data from potential security risks such as identify theft or other fraud incidents.

Ações que você precisa adotarActions that you need to take

Para atender aos requisitos de segurança do parceiro, você precisa impor a autenticação multifator para cada conta de usuário em seu locatário do parceiro.To comply with the partner security requirements, you must enforce multi-factor authentication for each user account in your partner tenant. É possível fazer isso das seguintes maneiras:You can do this one of the way following ways:

Observação

Embora a autenticação multifator não seja exigida de modo contratual para uma nuvem soberana (21Vianet, governo dos EUA e Alemanha), é altamente recomendável que você adote esses requisitos de segurança.Although multi-factor authentication is not contractually required for a sovereign cloud (21Vianet, US Government, and Germany) it is highly recommended you adopt these security requirements.

Padrões de segurançaSecurity defaults

A política de padrões de segurança é uma das opções em que os parceiros podem optar por implementar o MFA para os requisitos de segurança, dependendo de suas necessidades corporativas.Security defaults policy is one of the options that partners can choose to implement MFA for the security requirements depending on their business needs. Ela oferece um nível básico de segurança habilitado sem nenhum custo adicional.It offers a basic level of security enabled at no extra cost. Examine como habilitar a MFA para sua organização com o Azure AD e as principais considerações abaixo antes de habilitar os padrões de segurança.Review how to enable MFA for your organization with Azure AD and the key considerations below before enabling the security defaults.

  • As políticas de linha de base permanecerão válidas nos próximos dois meses, mas serão preteridas no final de fevereiro de 2020.Baseline policies will stay for the next couple of months, and deprecated targeting at the end of Feb 2020.

  • Os parceiros que já adotaram políticas de linha de base precisam tomar medidas para fazer a transição para os padrões de segurança.Partners who already adopted baseline policies need to take action to transition to security defaults.

  • Os padrões de segurança são a substituição de disponibilidade geral das políticas de linha de base de visualização.Security defaults are the general availability replacement of the preview baseline policies. Depois que um parceiro habilita os padrões de segurança, eles não poderão mais habilitar as políticas de linha de base.Once a partner enables the security defaults, they will no longer be able to enable baseline policies.

  • Com os padrões de segurança, todas as políticas serão habilitadas ao mesmo tempo.With security defaults, all policies will be enabled at once.

  • Para os parceiros que usam o acesso condicional, os padrões de segurança não estarão disponíveis.For partners who use conditional access, security defaults will not be available.

  • O bloqueio da autenticação herdada não será imposto para parceiros no momento.Blocking legacy authentication will not be enforced for partners at this time. No entanto, como a maioria dos eventos relacionados a identidades comprometidas são provenientes de tentativas de entrada usando a autenticação herdada, os parceiros são incentivados a se afastar desses protocolos mais antigos.However, as most events related to compromised identities come from sign-in attempts using legacy authentication, partners are encouraged to move away from these older protocols.

  • A conta de sincronização do Azure AD Connect é excluída dos padrões de segurança.Azure AD Connect synchronization account is excluded from security defaults.

  • Para obter informações detalhadas, leia Habilitar a autenticação multifator para sua organização e Padrões de segurança do Azure Active Directory.For detailed information, read Enable Multi-Factor Authentication for your organization and Azure Active Directory security defaults.

Observação

Os padrões de segurança do Azure AD são a evolução das políticas de proteção de linha de base simplificadas.Azure AD security defaults is the evolution of the baseline protection policies simplified. Caso você já tenha habilitado as políticas de proteção de linha de base, é altamente recomendável habilitar os padrões de segurança.If you have already enabled the baseline protection policies, then it is highly recommended that you enable security defaults.

Para fazer a transição das políticas de linha de base para os padrões de segurança, leia O que são os padrões de segurança?.To transition from baseline policies to security defaults, read What are security defaults?.

ConsideraçãoConsideration

Como esses requisitos se aplicam a todas as contas de usuário em seu locatário de parceiro, você precisa considerar vários fatores para garantir uma implantação tranquila, incluindo a identificação de contas de usuário no Azure Active Directory que não podem executar a autenticação multifator, bem como aplicativos e dispositivos usados por sua organização que não dão suporte à autenticação moderna.Because these requirements apply to all user accounts in your partner tenant, you need to consider several things to ensure a smooth deployment, including identifying user accounts in Azure Active Directory that cannot perform multi-factor authentication, as well as applications and devices used by your organization that do not support modern authentication.

Antes de executar qualquer ação, é recomendável que você identifique o seguinte:Prior to performing any action, we recommend you identify the following:

Você tem um aplicativo ou dispositivo que não dá suporte ao uso de autenticação moderna?Do you have an application or device that does not support the use of modern authentication?

Quando você impõe a autenticação herdada da autenticação multifator, o uso de protocolos como IMAP, POP3, SMTP etc. é bloqueado porque eles não dão suporte à autenticação multifator.When you enforce multi-factor authentication legacy authentication use protocols such as IMAP, POP3, SMTP, etc. will be blocked because they don't support multi-factor authentication. Para resolver essa limitação, um recurso conhecido como senhas de aplicativo pode ser usado para garantir que o aplicativo ou dispositivo ainda seja autenticado.To address this limitation a feature known as app passwords can be used to ensure the application or device will still authenticate. Você deve examinar as considerações para usar senhas de aplicativo documentadas aqui para determinar se elas podem ser usadas em seu ambiente.You should review the considerations for using app passwords documented here to determine if they can be used in your environment.

Você tem usuários usando o Office 365 fornecido por licenças associadas ao seu locatário do parceiro?Do you have users using Office 365 provided by licenses associated with your partner tenant?

Antes de implementar qualquer solução, recomendamos que você determine qual versão do Microsoft Office está sendo usada pelos usuários em seu locatário do parceiro.Prior to implementing any solution, we recommend that you determine what version of Microsoft Office is being used by users in your partner tenant. Há uma chance de que os usuários tenham problemas de conectividade com aplicativos como o Outlook.There is a chance your users will experience connectivity issues with applications like Outlook. Antes de impor a autenticação multifator, é importante garantir que o Outlook 2013 SP1 ou posterior esteja sendo usado e que sua empresa tenha a autenticação moderna habilitada.Before enforcing multi-factor authentication, it is important to ensure that Outlook 2013 SP1, or later, is being used and that your organization has modern authentication enabled. Consulte Habilitar a autenticação moderna no Exchange Online para obter mais informações.See Enable modern authentication in Exchange Online for more information.

Para habilitar a autenticação moderna para todos os dispositivos que executam o Windows, com o Microsoft Office 2013 instalado, será necessário criar duas chaves do registro.To enable modern authentication for any devices running Windows, that have Microsoft Office 2013 installed, you will need to create two registry keys. Consulte Habilitar a autenticação moderna para o Office 2013 emdispositivos Windows.See Enable Modern Authentication for Office 2013 on Windows devices.

Há uma política que impede que qualquer usuário use seus dispositivos móveis enquanto trabalha?Is there a policy preventing any of your users from using their mobile devices while working?

É importante identificar qualquer política corporativa que impeça que os funcionários usem dispositivos móveis enquanto trabalham, porque isso influenciará a solução de autenticação multifator que você implementará.It is important to identify any corporate policy that prevents employees from using mobile devices while working because it will influence what multi-factor authentication solution you implement. Há soluções, como a fornecida pela implementação dos padrões de segurança do Azure AD, que permitem apenas o uso de um aplicativo autenticador para verificação.There are solutions, such as the one provided through the implementation of Azure AD security defaults, that only allow the use of an authenticator app for verification. Caso sua empresa tenha uma política que impeça o uso de dispositivos móveis, considere uma das seguintes opções:If your organization has a policy preventing the use of mobile devices, then consider one of the following options:

  • Implantar um aplicativo com senha TOTP (senha única baseada em tempo) que pode ser executado no sistema seguroDeploy a time-based one-time base password (TOTP) application that can run on secure system

  • Implemente uma solução de terceiros que impõe a autenticação multifator para cada conta de usuário no locatário do parceiro com a opção de verificação mais apropriadaImplement a third-party solution that enforces multi-factor authentication for each user account in the partner tenant that provides the most appropriate verification option

  • Comprar licenças do Azure Active Directory Premium para os usuários afetadosPurchase Azure Active Directory Premium licenses for the impacted users

Qual automação ou integração você tem para aproveitar as credenciais do usuário para autenticação?What automation or integration do you have to leverage user credentials for authentication?

Como o requisito é impor a MFA para cada usuário, incluindo contas de serviço, em seu diretório de parceiro, qualquer automação ou integração que aproveita as credenciais do usuário para autenticação será afetada.Since the requirement is to enforce MFA for each user, including service accounts, in your partner directory any automation or integration that leverages user credentials for authentication will be impacted. Portanto, é importante que você identifique quais contas são usadas nessas situações.So, it important that you identify what accounts are being used in these situations. Consulte a seguinte lista de aplicativos de exemplo ou serviços a serem considerados:See the following list of sample applications or services to consider:

  • Painel de controle usado para provisionar recursos em nome de seus clientesControl panel used to provision resources on behalf of your customers

  • Integração com qualquer plataforma usada para faturamento (pois está relacionada ao programa CSP) e suporte aos seus clientesIntegration with any platform that is used for invoicing (as it relates to the CSP program) and supporting your customers

  • Scripts do PowerShell que utilizam os módulos AZ, AzureRM, Azure AD, MS online etc.PowerShell scripts that utilize the Az, AzureRM, Azure AD, MS Online, etc. modules

A lista acima não é abrangente.The above list is not comprehensive. Portanto, é importante que você execute uma avaliação completa de qualquer aplicativo ou serviço em seu ambiente, que aproveite as credenciais do usuário para autenticação.So, it important that you perform a complete assessment of any application or service in your environment that leverages user credentials for authentication. Para lidar com o requisito de autenticação multifator, você deve implementar as orientações na estrutura de Modelo de Aplicativo Seguro, sempre que possível.To contend with the requirement for multi-factor authentication, you should implement the guidance in the Secure Application Model framework where possible.

Acessando seu ambienteAccessing your environment

Para entender melhor o que ou quem está autenticando sem precisar fornecer a autenticação multifator, recomendamos que você examine a atividade de entrada.To better understand what or who is authenticating without being challenged for multi-factor authentication, we recommend you review the sign-in activity. Por meio de Azure Active Directory Premium, você pode fazer uso do relatório de entradas.Through Azure Active Directory Premium, you can leverage the sign-in report. Confira Relatórios de atividade de entrada no portal do Azure Active Directory para obter mais informações.See sign-in activity reports in the Azure Active Directory portal for more information. Se não tiver o Azure Active Directory Premium ou se estiver procurando uma maneira de obtê-lo por meio do PowerShell, você precisará fazer uso do cmdlet Get-PartnerUserSignActivity do módulo Partner Center do PowerShell.If you do not have Azure Active Directory Premium, or you are looking for a way obtain this through PowerShell, then you will need to leverage the Get-PartnerUserSignActivity cmdlet from the Partner Center PowerShell module.

Como os requisitos serão impostosHow the requirements will be enforced

Os requisitos de segurança do parceiro serão impostos pelo Azure Active Directory e, em seguida, pelo Partner Center, verificando a presença da declaração de MFA para identificar que a verificação da autenticação multifator ocorreu.The partner security requirements will be enforced by Azure Active Directory, and in turn Partner Center, by checking for the presence of the MFA claim to identify that multi-factor authentication verification has taken place. A partir de 18 de novembro de 2019, a Microsoft ativará proteções de segurança adicionais (anteriormente conhecida como "imposição técnica") para locatários de parceiros.Starting November 18, 2019, Microsoft will activate additional security safeguards (previously known as “technical enforcement”) to partner tenants.

Após a ativação, os usuários no locatário do parceiro deverão concluir a verificação da MFA (autenticação multifator) ao executar qualquer operação de AOBO (administração em nome de).Upon activation, users in the partner tenant will be requested to complete multi-factor authentication (MFA) verification when performing any admin on behalf of (AOBO) operations. Continuaremos a estender o escopo das proteções de segurança para cenários adicionais e funções de usuário, fornecendo aos parceiros um aviso prévio.We will continue to extend the scope of the security safeguards to additional scenarios and user roles, providing partners with advance notice. Para obter mais informações, consulte este documento que será atualizado com frequência.For more information, please refer to this document, which will be updated frequently. Os parceiros que não atenderam aos requisitos devem implementar essas medidas assim que possível para evitar qualquer interrupção nos negócios.Partners who have not met the requirements should implement these measures as soon as possible to avoid any business disruptions.

Se você está usando a Autenticação Multifator do Azure ou padrões de segurança do Azure AD, não há nenhuma ação adicional que você precisa executar.If you are using Azure Multi-Factor Authentication or Azure AD security defaults, there are no additional actions you need to take.

Ao usar uma solução de autenticação multifator de terceiros, há uma chance de a declaração de MFA não ser emitida.When using a third-party multi-factor authentication solution, there is a chance the MFA claim may not be issued. Se essa declaração estiver ausente, o Azure Active Directory não poderá determinar se a solicitação de autenticação foi desafiada pela autenticação multifator.If this claim is missing, Azure Active Directory will not be able determine if the authentication request was challenged by multi-factor authentication. Para obter informações sobre como verificar se sua solução está emitindo a declaração esperada, leia Teste dos Requisitos de Segurança do Parceiro.For information on how to verify your solution is issuing the expected claim, read Testing the Partner Security Requirements.

Importante

Se sua solução de terceiros não emitir a declaração esperada, você precisará trabalhar com o fornecedor que desenvolveu a solução para determinar quais ações devem ser executadas.If your third-party solution does not issue the expected claim, then you will need to work with the vendor who developed the solution to determine what actions should be taken.

Recursos e suporteResources and support

Consulte os seguintes recursos para obter suporte e o código de exemplo:See the following resources for support and sample code: