Requisitos de segurança para usar o Partner Center ou as APIs do Partner Center

Funções apropriadas: todos os usuários do Partner Center

Como consultor, fornecedor do painel de controle ou parceiro CSP (Provedor de Soluções na Nuvem), você tem decisões a tomar em relação às opções de autenticação e outras considerações de segurança.

A segurança e as proteções de privacidade para você e seus clientes estão entre nossas principais prioridades. Sabemos que a melhor defesa é a prevenção e que somos tão fortes quanto nosso vínculo mais fraco. É por isso que precisamos de todos em nosso ecossistema para garantir que proteções de segurança adequadas estejam em vigor.

Requisitos de segurança obrigatórios

O programa CSP permite que os clientes comprem produtos e serviços da Microsoft por meio de parceiros. De acordo com o contrato deles com a Microsoft, é necessário que os parceiros gerenciem o ambiente e forneçam suporte para os clientes para os quais eles vendem.

Os clientes que compram por meio desse canal confiam em você como parceiro porque você tem acesso de administrador de alto privilégio ao locatário do cliente.

Os parceiros que não implementarem os requisitos de segurança obrigatórios não poderão fazer transações no programa de CSP nem gerenciar locatários de clientes que utilizam direitos de administrador delegado. Além disso, os parceiros que não implementam os requisitos de segurança podem colocar sua participação em programas em risco.

Os termos associados aos requisitos de segurança do parceiro foram adicionados ao Contrato de Parceiro da Microsoft. O Microsoft Partner Agreement (MPA) é atualizado periodicamente e a Microsoft recomenda que todos os parceiros verifiquem regularmente. Como ele é relacionado aos consultores, os mesmos requisitos contratuais estarão em vigor.

Todos os parceiros são obrigados a aderir às melhores práticas de segurança para que possam proteger ambientes de parceiros e clientes. A adesão a essas práticas recomendadas ajuda a mitigar problemas de segurança e corrigir escalonamentos de segurança, garantindo que a confiança do cliente não seja comprometida.

Para proteger você e seus clientes, exigimos que os parceiros tomem as seguintes ações imediatamente:

• Habilitar MFA para todas as contas de usuário
• Adotar a estrutura do Modelo de Aplicativo Seguro

Habilitar a MFA em todas as contas de usuário no seu locatário de parceiro

Você precisa impor a MFA em todas as contas de usuário no seu locatário de parceiro. Os usuários precisam passar pela MFA ao entrarem nos serviços de nuvem comercial da Microsoft ou ao realizarem transações no programa Provedor de Soluções na Nuvem por meio do Partner Center ou de APIs.

A imposição da MFA segue estas diretrizes:

• Parceiros que usam a autenticação multifator Microsoft Entra com suporte da Microsoft. Para obter mais informações, consulte Várias maneiras de habilitar a autenticação multifator do Microsoft Entra (com suporte para MFA)
• O parceiro que implementou qualquer MFA de terceiros e parte da lista de exceções ainda pode acessar o Partner Center e as APIs com exceções, mas não pode gerenciar o cliente usando DAP/GDAP (não são permitidas exceções)
• Se a organização do parceiro recebeu anteriormente uma exceção para MFA, os usuários que gerenciam locatários de clientes como parte do programa CSP devem ter habilitado os requisitos de MFA da Microsoft antes de 1º de março de 2022. O não cumprimento dos requisitos de MFA pode resultar na perda do acesso do locatário do cliente.
• Saiba mais sobre como exigir a autenticação multifator (MFA) para seu locatário parceiro.

Adotar a estrutura do Modelo de Aplicativo Seguro

Todos os parceiros que integram as APIs do Partner Center precisam adotar a estrutura do Modelo de Aplicativo Seguro em qualquer aplicativo e aplicativos de modelo de autenticação de usuário.

Importante

É altamente recomendável que os parceiros implementem o Modelo de Aplicativo Seguro para integrar com uma API da Microsoft, como Azure Resource Manager, Microsoft Graph ou aproveitem a automação, como o PowerShell, usando as credenciais do usuário, para evitar qualquer interrupção quando a MFA é imposta.

Esses requisitos de segurança ajudam a proteger sua infraestrutura e proteger os dados de seus clientes contra possíveis riscos de segurança, como roubo de identidade ou outros incidentes de fraude.

Outros requisitos de segurança

Os clientes confiam em você como parceiro deles para fornecer serviços com valor agregado. É imprescindível que você tome todas as medidas de segurança para proteger a confiança do cliente e sua reputação como parceiro.

A Microsoft continua a adicionar medidas de imposição para que todos os parceiros sejam obrigados a aderir e priorizar a segurança de seus clientes. Esses requisitos de segurança ajudarão a proteger a sua infraestrutura e a proteger os dados dos seus clientes contra possíveis riscos de segurança, como identificar roubos ou outros incidentes de fraude.

O parceiro é responsável por garantir que ele esteja adotando os princípios de confiança zero, especificamente o seguinte.

DAP (privilégios de administrador delegado)

Os DAP (privilégios de administrador delegado) fornecem a capacidade de gerenciar o serviço ou a assinatura de um cliente em seu nome. O cliente deve conceder ao parceiro permissões administrativas para esse serviço. Como os privilégios fornecidos ao parceiro para gerenciar o cliente são altamente elevados, a Microsoft recomenda que todos os parceiros removam DAPs inativos. Todos os parceiros que gerenciam o locatário do cliente usando privilégios de administrador delegado devem remover o DAP inativo do Partner Center para evitar qualquer impacto no locatário do cliente e em seus ativos.

Para obter mais informações, consulte o Guia de monitoramento de relações administrativas e remoção de DAP de autoatendimento, as perguntas frequentes sobre privilégios de administração delegada e o guia de privilégios administrativos delegados de direcionamento NOBELIUM.

Além disso, o DAP será preterido em breve. Recomendamos fortemente que todos os parceiros que estão usando ativamente o DAP gerenciem seus locatários clientes e migrem para um modelo de privilégios de administrador delegados granulares de privilégios mínimos para gerenciar com segurança os locatários de seus clientes.

Transição para funções de privilégios mínimos para gerenciar locatários de cliente

Como o DAP será preterido em breve, a Microsoft recomenda que se afaste do modelo DAP atual (que dá aos agentes administradores acesso de administrador global permanente ou perpétuo) e o substitua por um modelo de acesso delegado refinado. O modelo de acesso delegado refinado reduz os riscos de segurança para os clientes e os efeitos desses riscos sobre eles. Ele também oferece controle e flexibilidade para restringir o acesso por cliente no nível de carga de trabalho dos funcionários que estão gerenciando os serviços e ambientes de seus clientes.

Para obter mais informações, consulte a Visão geral dos GDAP (privilégios de administrador delegado granular), informações sobre funções com privilégios mínimos e as Perguntas frequentes sobre os GDAP

Fique atento às notificações sobre fraude do Azure

Como parceiro no programa do CSP, você é responsável pelo consumo do Azure por parte do seu cliente, portanto, é importante estar ciente de quaisquer atividades potenciais de mineração de criptomoeda nas assinaturas do Azure dos seus clientes. Essa atenção permite que você tome medidas imediatas para determinar se o comportamento é legítimo ou fraudulento e, se necessário, suspender os recursos afetados do Azure ou a assinatura do Azure para atenuar o problema.

Para obter mais informações, consulte a Detecção e notificação de fraude do Azure.

Inscreva-se no Microsoft Entra ID P2

Todos os Agentes Administrativos no locatário CSP devem fortalecer sua segurança cibernética implementando o Microsoft Entra ID P2 e aproveitar os vários recursos para fortalecer seu locatário CSP. O Microsoft Entra ID P2 fornece acesso estendido a logs de entrada e recursos premium, como o Microsoft Entra Privileged Identity Management (PIM) e recursos de Acesso Condicional baseados em risco para fortalecer os controles de segurança.

Aderir às melhores práticas de segurança do CSP

É importante seguir todas as melhores práticas do CSP para segurança. Saiba mais em Melhores Práticas de segurança do Provedor de Soluções na Nuvem.

Implementando a autenticação multifator

Para atender aos requisitos de segurança do parceiro, você precisa implementar e impor a MFA para cada conta de usuário no seu locatário do parceiro. É possível fazer isso das seguintes maneiras:

• Implemente os padrões de segurança do Microsoft Entra. Veja mais na próxima seção, Padrões de segurança.

• Compre o Microsoft Entra ID P1 ou P2 para cada conta de usuário. Para obter mais informações, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra.

Padrões de segurança

Uma das opções que os parceiros podem escolher para implementar os requisitos de MFA é habilitar padrões de segurança no Microsoft Entra ID. Os padrões de segurança oferecem um nível básico de segurança sem nenhum custo adicional. Analise como habilitar a MFA para sua organização com o Microsoft Entra ID e as principais considerações abaixo antes de habilitar os padrões de segurança.

• Os parceiros que já adotaram políticas de linha de base precisam tomar medidas para fazer a transição para os padrões de segurança.

• Os padrões de segurança são a substituição de disponibilidade geral das políticas de linha de base de versão prévia. Depois que um parceiro habilita os padrões de segurança, ele não pode habilitar as políticas de linha de base.

• Com os padrões de segurança, todas as políticas são habilitadas de uma só vez.

• Para parceiros que usam acesso condicional, os padrões de segurança não estão disponíveis.

• Os protocolos de autenticação herdados são bloqueados.

• A conta de sincronização do Microsoft Entra Connect é excluída dos padrões de segurança e não será solicitada a registrar ou executar a autenticação multifator. As organizações não devem usar essa conta para outros fins.

Para obter informações detalhadas, consulte Visão geral da autenticação multifator do Microsoft Entra para sua organização e O que são padrões de segurança?.

Observação

Os padrões de segurança do Microsoft Entra são a evolução das políticas de proteção de linha de base simplificadas. Se você já tiver habilitado as políticas de proteção de linha de base, é altamente recomendável habilitar os padrões de segurança.

FAQ (Perguntas Frequentes) sobre implementação

Como esses requisitos se aplicam a todas as contas de usuário no seu locatário do parceiro, há várias considerações que precisam ser feitas para garantir uma implantação tranquila. Por exemplo, identifique contas de usuário no Microsoft Entra ID que não podem executar MFA e aplicativos e dispositivos em sua organização que não oferecem suporte à autenticação moderna.

Antes de executar qualquer ação, recomendamos que você conclua as validações a seguir.

Você tem um aplicativo ou dispositivo que não dá suporte ao uso de autenticação moderna?

Quando você impõe MFA, protocolos de uso de autenticação herdada como IMAP, POP3, SMTP e outros são bloqueados porque não oferecem suporte a MFA. Para resolver essa limitação, use o recurso de senhas de aplicativo para garantir que o aplicativo ou dispositivo ainda será autenticado. Examine as considerações para usar senhas de aplicativo a fim de determinar se elas podem ser usadas no seu ambiente.

Você tem usuários do Office 365 com licenças associadas ao seu locatário do parceiro?

Antes de implementar qualquer solução, recomendamos que você determine quais versões dos usuários do Microsoft Office em seu locatário parceiro estão usando. Há uma chance de que os usuários tenham problemas de conectividade com aplicativos como o Outlook. Antes de impor a MFA, é importante confirmar que você está usando o Outlook 2013 SP1 ou posterior e que a sua empresa tem a autenticação moderna habilitada. Para obter mais informações, confira Habilitar a autenticação moderna no Exchange Online.

Para habilitar a autenticação moderna para dispositivos que executam o Windows que têm o Microsoft Office 2013 instalado, você deve criar duas chaves do Registro. Consulte Habilitar a autenticação moderna para o Office 2013 emdispositivos Windows.

Há uma política que impede que qualquer usuário use seus dispositivos móveis enquanto trabalha?

É importante identificar toda política corporativa que impede que os funcionários usem dispositivos móveis enquanto trabalham, porque isso influenciará qual solução de MFA você implementará. Existem soluções, como a fornecida por meio da implementação de padrões de segurança do Microsoft Entra, que permitem apenas o uso de um aplicativo autenticador para verificação. Caso sua empresa tenha uma política que impeça o uso de dispositivos móveis, considere uma das seguintes opções:

• Implantar um aplicativo com senha TOTP (senha única baseada em tempo) que pode ser executado no sistema seguro.

Qual automação ou integração você tem para usar as credenciais do usuário para autenticação?

A imposição de MFA para cada usuário, incluindo contas de serviço, em seu diretório de parceiro, pode afetar qualquer automação ou integração que use credenciais de usuário para autenticação. Assim, é importante que você identifique quais contas estão sendo usadas nessas situações. Consulte a seguinte lista de aplicativos de exemplo ou serviços a serem considerados:

• Painel de controle usado para provisionar recursos em nome de seus clientes

• Integração com qualquer plataforma usada para faturamento (pois está relacionada ao programa CSP) e suporte aos seus clientes

• Scripts do PowerShell que usam o Az, AzureRM, Microsoft Graph PowerShell e outros módulos

A lista anterior não é abrangente, portanto, é importante que você realize uma avaliação completa de qualquer aplicativo ou serviço em seu ambiente que use credenciais de usuário para autenticação. Para lidar com o requisito de MFA, você deve implementar a orientação na estrutura de Modelo de Aplicativo Seguro , sempre que possível.

Acessando seu ambiente

Para entender melhor o que ou quem está autenticando sem ser desafiado para MFA, recomendamos que você revise a atividade de entrada. Por meio do Microsoft Entra ID P1 ou P2, você pode usar o relatório de entrada. Para obter mais informações sobre esse assunto, consulte Relatórios de atividades de entrada no Centro de administração do Microsoft Entra. Se você não tiver o Microsoft Entra ID P1 ou P2, ou se estiver procurando uma maneira de obter essa atividade de entrada por meio do PowerShell, será necessário usar o cmdlet Get-PartnerUserSignActivity do módulo PowerShell do Partner Center.

Como os requisitos são impostos

Se a organização do seu parceiro recebeu anteriormente uma exceção para MFA, os usuários que gerenciam locatários de clientes como parte do programa CSP devem ter habilitado os requisitos de MFA da Microsoft antes de 1º de março de 2022. O não cumprimento dos requisitos de MFA pode resultar na perda do acesso do locatário do cliente.

Os requisitos de segurança do parceiro são impostos pelo Microsoft Entra ID e, por sua vez, pelo Partner Center, verificando a presença da declaração de MFA para identificar que a verificação de MFA ocorreu. Desde 18 de novembro de 2019, a Microsoft ativou mais proteções de segurança (anteriormente conhecidas como "imposição técnica") para locatários parceiros.

Após a ativação, os usuários no locatário do parceiro são solicitados a concluir a verificação de MFA ao executar qualquer administração em nome de operações (AOBO), acessar o Partner Center ou chamar APIs do Partner Center. Para obter mais informações, consulte Mandando a autenticação multifator (MFA) para seu locatário parceiro.

Os parceiros que não atenderam aos requisitos devem implementar essas medidas assim que possível para evitar qualquer interrupção nos negócios. Se você estiver usando a autenticação multifator do Microsoft Entra ou os padrões de segurança do Microsoft Entra, não precisará executar outras ações.

Se você estiver usando uma solução de MFA de terceiros, há uma chance de que a declaração de MFA não seja emitida. Se essa declaração estiver ausente, a ID do Microsoft Entra não poderá determinar se a solicitação de autenticação foi contestada pela MFA. Para obter informações sobre como verificar se sua solução está emitindo a declaração esperada, leia Testando os requisitos de segurança do parceiro.

Importante

Se sua solução de terceiros não emitir a declaração esperada, você precisará trabalhar com o fornecedor que desenvolveu a solução para determinar quais ações devem ser tomadas.

Recursos e exemplos

Consulte os seguintes recursos para obter suporte e o código de exemplo:

• Comunidade do Grupo de Orientação de Segurança do Partner Center: A comunidade do Grupo de Orientação de Segurança do Partner Center é uma comunidade online onde você pode aprender sobre os próximos eventos e fazer quaisquer perguntas que possa ter.
• Exemplos do .NET do Partner Center: Este repositório do GitHub contém exemplos que foram desenvolvidos usando o .NET que demonstram como você pode implementar a estrutura do Modelo de Aplicativo Seguro.
• Exemplos Java do Partner Center: Este repositório do GitHub contém exemplos que foram desenvolvidos usando Java que demonstram como você pode implementar a estrutura do Modelo de Aplicativo Seguro.
• Partner Center PowerShell - autenticação multifator: este artigo sobre autenticação multifator fornece detalhes sobre como implementar a estrutura do Modelo de Aplicativo Seguro usando o PowerShell.
• Recursos e licenças para autenticação multifator do Microsoft Entra
• Planejar uma implantação multifator do Microsoft Entra
• Testar os requisitos de segurança de parceiros usando o PowerShell

Próximas etapas

• Forçar o uso da MFA (autenticação multifator) para o locatário do parceiro