Perguntas frequentes sobre os requisitos de segurança de parceirosFrequently asked questions about the partner security requirements

Aplica-se aApplies to

  • Partner CenterPartner Center

Usuários apropriadosAppropriate users

  • Todos os usuários habilitados, incluindo usuários convidadosAll enabled users including guest users

Requisitos de segurança de parceirosPartner security requirements

Este artigo contém algumas perguntas frequentes sobre os requisitos de segurança de parceiros.This article contains some frequently asked questions for the partner security requirements.

Quais são os requisitos de segurança do parceiro e por que os parceiros devem implementá-los?What are the partner security requirements and why should partners implement?

Garantias de segurança e privacidade maiores e contínuas estão entre as nossas principais prioridades, e continuamos ajudando os parceiros a proteger os clientes e os locatários.Greater and ongoing security and privacy safeguards are among our top priorities and we continue to help partners protect their customers and tenants. Continuamos a ver uma escalada no número e na sofisticação dos ataques de segurança, principalmente aqueles relacionados a incidentes de comprometimento da identidade.We continue to see more sophisticated, increasing number of security attacks, primarily related to identity compromise incidents. Como os controles preventivos desempenham um papel fundamental em uma estratégia de defesa geral para impedir os ataques de segurança, introduzimos requisitos de segurança obrigatórios em 2019.As preventive controls play a key role in an overall defense strategy to thwart security attacks, we introduced mandatory security requirements in 2019. Todos os parceiros que participam do programa CSP (Provedor de Soluções na Nuvem), fornecedores de painel de controle e consultores devem implementar os requisitos para manter a conformidade.All partners participating in the Cloud Solution Provider (CSP) program, Control Panel Vendors, and Advisors should implement the requirements to stay compliant.

Quais são as principais linhas do tempo e marcos?What are the key timelines and milestones?

Os termos associados a esses requisitos de segurança, incluindo linhas do tempo e marcos, estão incluídos no Contrato de Parceiro da Microsoft de 2019.The terms associated with these security requirements, including timelines and milestones, are included with the Microsoft Partner Agreement in 2019. Você precisará implementar esses requisitos de segurança o quanto antes para manter a conformidade com a sua participação no programa CSP.You will need to implement these security requirements as soon as possible to stay compliant with your participation in the CSP program.

O que acontecerá se eu não implementar esses requisitos de segurança do parceiro?What will happen if I don't implement these partner security requirements?

O Contrato de Parceiro da Microsoft exige que você imponha a autenticação multifator às contas de usuário e adote o Modelo de Aplicativo Seguro para interagir com a API da Central de Parceiros.The Microsoft Partner Agreement requires that you enforce multi-factor authentication for user accounts, and adopt the secure application model for interacting with the Partner Center API.

Os parceiros que não seguirem essas práticas de segurança poderão perder a capacidade de realizar transações no programa CSP ou de gerenciar locatários de clientes usando direitos de administrador delegado.Partners who don't abide by these security practices may lose their ability to transact in the CSP program or manage customer tenants using delegate admin rights.

Os requisitos de segurança se aplicam a todas as geografias?Do the security requirements apply to all geographies?

Sim, os requisitos de segurança se aplicam a todas as geografias.Yes, the security requirements apply to all geographies. É altamente recomendável que todos os parceiros que negociam em uma nuvem soberana (21Vianet, governo dos EUA e Alemanha) atuem e adotem esses novos requisitos de segurança imediatamente.We strongly recommend that all partners transacting through a sovereign cloud (21Vianet, US Government, and Germany) act and adopt these new security requirements immediately. No entanto, esses parceiros não precisam atender aos novos requisitos de segurança em vigor a partir de 1º de agosto.However, these partners aren't required to meet the new security requirements effective August 1. Futuramente, a Microsoft fornecerá detalhes adicionais sobre a imposição desses requisitos de segurança para nuvens soberanas.Microsoft will provide additional details regarding the enforcement of these security requirements for sovereign clouds in the future.

É possível abrir exceção para uma conta?Is it possible to get an exclusion for an account?

Não, não é possível isentar nenhuma conta de usuário do requisito de ter a MFA imposta.No, it is not possible to exclude any user account from the requirement of having MFA enforced. Considerando a natureza altamente privilegiada de ser um parceiro, o Contrato de Parceiro da Microsoft exige que a autenticação multifator seja imposta para todas as contas de usuário do seu locatário de parceiro.Given the highly privileged nature of being a partner, the Microsoft Partner Agreement requires that multi-factor authentication is enforced for each user account in your partner tenant.

Como faço para saber se atendi aos requisitos de segurança do parceiro?How do I know if I have met the partner security requirements?

Será necessário concluir as seguintes etapas:You need to complete the following steps:

  • Você precisa atender a todos os requisitos descritos em requisitos de segurança do parceiro.You need to meet all requirements outlined in the partner security requirements.
  • Você precisa garantir que a autenticação multifator seja imposta em todas as contas de usuário em seu locatário do parceiro.You need to ensure all user accounts in your partner tenant have multi-factor authentication enforced.

Para ajudar a identificar as principais áreas em que você pode executar ações, estamos fornecendo o relatório de status dos requisitos de segurança, que está disponível por meio do Partner Center.To help identify the key areas where you can take actions, we are providing the security requirements status report that is available through Partner Center.

Confira o status dos requisitos de segurança do parceiro para obter mais informações sobre o relatório de status.See partner security requirements status for more information on the status report.

Ações necessáriasRequired Actions

Quais são as principais ações que preciso executar para atender aos requisitos?What are the key actions I need to take to meet the requirements?

Todos os parceiros do programa CSP (cobrança direta, provedor indireto e revendedor indireto), consultores e fornecedores de painel de controle precisam atender aos requisitos.All partners in the CSP program (direct bill, indirect provider, and indirect reseller), Advisors, and Control Panel Vendors must meet the requirements.

  1. Impor a MFA para todos os usuáriosEnforce MFA for all users

    Todos os parceiros do programa CSP, assistentes e fornecedores de painel de controle são obrigados a impor a MFA para todos os usuários do locatário de parceiro.All partners in the CSP program, Advisors, and Control Panel Vendors are required to enforce MFA for all users in their partner tenant.

    Considerações adicionais:Additional considerations:

    • os provedores indiretos precisarão trabalhar com os revendedores indiretos para se integrar ao Partner Center, caso ainda não o tenham feito, além de encorajar seus revendedores a atender aos requisitos.Indirect providers need to work with indirect resellers to onboard to Partner Center if they have not done so already and encourage their resellers to meet the requirements.
    • A MFA do Azure está sendo disponibilizada para todos os usuários no locatário de parceiro sem nenhum custo por meio dos padrões de segurança do Azure AD com o único método de verificação de um aplicativo autenticador que dá suporte à TOTP (Senhas Avulsas por Tempo Limitado).Azure MFA is being made available to all users in the partner tenant at no cost through Azure AD security defaults with the only verification method of an authenticator application that supports time-based one time passwords (TOTP).
    • Há métodos de verificação adicional disponíveis por meio das SKUs do Azure Active Directory Premium, caso outros métodos – uma chamada telefônica ou mensagem e texto – sejam necessários.Additional verification methods are available through the Azure Active Directory Premium SKUs, if other methods such as a phone call or text message are required.
    • Os parceiros também podem aproveitar uma solução de MFA de terceiros para cada conta ao acessar os serviços de nuvem comercial da Microsoft.Partners can also leverage a third-party MFA solution for each account when accessing Microsoft commercial cloud services.
  2. Adotar a estrutura do Modelo de Aplicativo SeguroAdopt the Secure Application Model framework

    Todos os parceiros que desenvolveram uma integração personalizada usando qualquer API (como as APIs do Azure Resource Manager, do Microsoft Graph, do Partner Center, etc.) ou que implementaram uma automação personalizada usando ferramentas como o PowerShell, precisarão adotar a estrutura do Modelo de Aplicativo Seguro para se integrar com os serviços em nuvem da Microsoft.All partners who have developed custom integration using any APIs (such as Azure Resource Manager, Microsoft Graph, Partner Center API, etc.) or implemented custom automation using tools such PowerShell, will need to adopt the Secure Application Model framework to integrate with Microsoft cloud services. Deixar de fazer isso pode resultar em uma interrupção devido à implantação da MFA.Failure to do so may result in a disruption due to MFA deployment. Os recursos a seguir fornecem uma visão geral e orientações a respeito de como adotar o modelo.The following resources provide an overview and guidance regarding how to adopt the model.

    Consulte o fornecedor com relação à adoção da estrutura Modelo de Aplicativo Seguro se você estiver usando um painel de controle.Consult with the vendor if you're using a control panel regarding the adoption of the Secure Application Model framework.

    Os fornecedores de painel de controle são obrigados a se integrar com o Partner Center como fornecedores de painel de controle e começar a implementar esses requisitos imediatamente.Control panel vendors are required to onboard to Partner Center as control panel vendor and start implementing this requirement immediately. Confira Partner Center: estrutura do Modelo de Aplicativo Seguro.Refer to the Partner Center: Secure Application Model framework. Os fornecedores de painel de controle devem aceitar e gerenciar o consentimento dos parceiros do CSP em vez de credenciais e limpar todas as credenciais de parceiros do CSP existentes.Control panel vendors must accept and manage CSP partners' consent instead of credentials and purge all existing CSP partners' credentials.

Autenticação MultifatorMulti-Factor Authentication

O que é a MFA (Autenticação Multifator)?What is Multi-Factor Authentication (MFA)?

A MFA é um mecanismo de segurança por meio do qual os indivíduos são autenticados por mais de um procedimento obrigatório de validação e segurança.MFA is a security mechanism though which individuals are authenticated through more than one required security and validation procedure. Ela funciona exigindo dois ou mais dos seguintes métodos de autenticação:It works by requiring two or more of the following authentication methods:

  • Algo que você sabe (geralmente uma senha)Something you know (typically a password)
  • Algo que você tem (um dispositivo confiável que não é duplicado facilmente, como um telefone)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Algo seu (biometria)Something you are (biometrics)

Qual é o custo para habilitar a MFA?What is the cost of enabling MFA?

A Microsoft fornece MFA sem custo por meio da implementação de padrões de segurança do Azure AD.Microsoft provides MFA at no cost through the implementation of Azure AD security defaults. A única opção de verificação disponível por meio desta versão da MFA é um aplicativo autenticador.The only verification option available through this version of MFA is an authenticator application. Se for necessário realizar uma chamada telefônica ou enviar uma mensagem SMS, será preciso comprar uma licença do Azure Active Directory Premium.If a phone call or SMS message is required, then an Azure Active Directory Premium license will need to be purchased. Como alternativa, você pode utilizar uma solução de terceiros para fornecer a MFA a cada usuário no seu locatário de parceiro; nesse caso, é sua responsabilidade garantir que a solução de MFA esteja sendo imposta e que você esteja em conformidade.Alternatively, you can utilize a third-party solution to provide MFA for each user in your partner tenant - in this case, it is your responsibility to ensure your MFA solution is being enforced and that you're compliant.

Quais ações precisarei executar se eu já tiver uma solução de MFA?What actions do I need to take if I already have an MFA solution?

Por meio desses requisitos de segurança, será exigido que os usuários de um locatário de parceiro sejam autenticados usando a MFA ao acessar os serviços de nuvem comercial da Microsoft.Through these security requirements users in a partner tenant will be required to authenticate using MFA when accessing Microsoft commercial cloud services. Uma solução de terceiros pode ser usada para atender a esses requisitos.Third-party solutions can be used to fulfill these requirements. A Microsoft não fornece mais testes de validação a provedores de identidade independentes para compatibilidade com o Azure Active Directory.Microsoft no longer provides validation testing to independent identity providers for compatibility with Azure Active Directory. Para testar seu produto quanto à interoperabilidade, veja estas diretrizes.To test your product for interoperability, refer to these guidelines.

Importante

Quando estiver usando uma solução de terceiros, será importante verificar se a solução está emitindo a declaração de AMR (referência do método de autenticação) que inclui o valor de MFA.When you're using a third-party solution, it is important to verify that the solution is issuing the authentication method reference (AMR) claim that includes the MFA value. Confira Teste dos Requisitos de Segurança do Parceiro para obter detalhes de como validar a solução de terceiros que está emitindo a declaração esperada.See Testing the Partner Security Requirements for details on how validating your third-party solution is issuing the expected claim.

Eu uso vários locatários de parceiros para realizar transações.I use multiple partner tenants to transact. É necessário implementar a MFA em todos eles?Do I need to implement MFA on them all?

Sim, será necessário impor a MFA a cada locatário do Azure Active Directory associado aos programas CSP ou Advisor.Yes, you'll need to enforce MFA for each Azure Active Directory tenant associated with the CSP program or the Advisor program. Para comprar uma licença do Azure Active Directory Premium, será necessário comprar uma licença do Azure Active Directory para os usuários em cada locatário do Azure Active Directory.To purchase an Azure Active Directory Premium license, you must purchase an Azure Active Directory license for the users in each Azure Active Directory tenant.

É necessário impor a MFA a todas as contas de usuário do meu locatário de parceiro?Does each user account in my partner tenant need to have MFA enforced?

Sim, cada usuário precisará ter a MFA imposta.Yes, each user will need to have MFA enforced. No entanto, se você estiver usando os padrões de segurança do Azure AD, não será necessária nenhuma ação adicional, porque o recurso impõe a MFA a todas as contas de usuário.However, if you're using Azure AD security defaults, then there is no additional action required because that feature enforces MFA for all user accounts. A habilitação de padrões de segurança é uma forma gratuita e fácil de verificar se as contas de usuário estão em conformidade com a MFA e não são afetadas quando a MFA é imposta.Enabling security defaults is a free and easy way to ensure your user accounts are MFA-compliant and not impacted when MFA is enforced.

Sou um parceiro de cobrança direta da Microsoft.I am a direct bill partner with Microsoft. O que preciso fazer?What do I need to do?

Parceiros de cobrança direta do Provedor de Soluções na Nuvem devem impor a MFA para cada usuário do seu locatário de parceiro.Direct bill Cloud Solution Provider partners must enforce MFA for each user in their partner tenant.

Sou um revendedor indireto e realizo transações apenas por meio de um distribuidor.I am an indirect reseller and only transact though a distributor. Mesmo assim tenho que habilitar a MFA?Do I still have to do enable MFA?

Todos os revendedores indiretos precisam impor a MFA para cada usuário do seu locatário de parceiro.All indirect resellers are required to enforce MFA for each user in their partner tenant. O revendedor indireto deve habilitar a MFA.The indirect reseller must enable MFA.

Eu não uso a API da Central de Parceiros.I don't use the Partner Center API. Mesmo assim preciso implementar a MFA?Do I still need to implement MFA?

Sim, esse requisito de segurança destina-se a todos os usuários, incluindo os usuários administradores de parceiros e os usuários finais do locatário de parceiro.Yes, this security requirement is for all users including partner admin users and end users in a partner tenant.

Quais fornecedores de terceiros oferecem soluções de MFA compatíveis com o Azure Active Directory?Which third-party vendors provide MFA solutions compatible with Azure Active Directory?

Ao examinar os fornecedores e as soluções de MFA, os parceiros devem garantir que a solução escolhida seja compatível com o Azure Active Directory.When reviewing MFA vendors and solutions, partners must ensure the solution they choose is compatible with Azure Active Directory.

A Microsoft não fornece mais testes de validação a provedores de identidade independentes para compatibilidade com o Azure Active Directory.Microsoft no longer provides validation testing to independent identity providers for compatibility with Azure Active Directory. Caso deseje testar seu produto quanto à interoperabilidade, veja estas diretrizes.If you would like to test your product for interoperability, refer to these guidelines.

Para obter mais informações, confira a lista de compatibilidade da federação do Azure AD.For more information, see the Azure AD federation compatibility list.

Como posso testar a MFA em nossa área restrita de integração?How can I test MFA in our integration sandbox?

O recurso de padrões de segurança do Azure AD deve ser habilitado ou, como alternativa, você pode aproveitar a solução de terceiros que utiliza a federação.The Azure AD security defaults feature should be enabled or alternatively you can leverage third-party solution that utilizes federation.

A habilitação da MFA afetará o meu modo de interação com o locatário do meu cliente?Will enabling MFA affect how I interact with my customer's tenant?

Não.No. O cumprimento desses requisitos de segurança não afetará a maneira como você gerencia seus clientes.The fulfillment of these security requirements will not impact how you manage your customers. Sua capacidade de executar operações administrativas delegadas não será interrompida.Your ability to perform delegated administrative operations will not be interrupted.

Meus clientes estão sujeitos aos requisitos de segurança de parceiros?Are my customers subject to the partner security requirements?

Não, não é necessário impor a MFA para cada usuário nos locatários do Azure AD do seu cliente.No, it is not required that you enforce MFA for each user in your customer's Azure AD tenants. No entanto, é recomendável que você trabalhe com cada cliente para determinar a melhor maneira de proteger os usuários de cada um deles.However, it is recommended that you work with each customer to determine how best to protect their users.

Qualquer usuário pode ser excluído do requisito da MFA?Can any user be excluded from the MFA requirement?

Não, todos os usuários do seu locatário de parceiro, inclusive as contas de serviço, serão obrigados a se autenticar usando a MFA.No, each user, including service accounts, in your partner tenant will be required to authenticate using MFA.

Os requisitos de segurança de parceiros se aplicam à área restrita de integração?Do the partner security requirements apply to the integration sandbox?

Sim, os requisitos de segurança de parceiros se aplicam à área restrita de integração.Yes, the partner security requirements apply to the integration sandbox. Isso significa que você precisará implementar a solução de MFA apropriada para os usuários no locatário da área restrita de integração.This means you'll need to implement the appropriate MFA solution for users in the integration sandbox tenant. É recomendável que você implemente os padrões de segurança do Azure AD para fornecer MFA.It is recommended that you implement of Azure AD security defaults to provide MFA.

Como faço para configurar uma conta de acesso de emergência?How do I configure an emergency access (break glass) account?

É considerada uma melhor prática criar uma ou duas contas de acesso de emergência para impedir o bloqueio não intencional do seu locatário do Azure AD.It is considered a best practice to create one or two emergency access accounts to prevent being inadvertently locked out of your Azure AD tenant. Em relação aos requisitos de segurança de parceiros, é necessário que cada usuário seja autenticado usando a MFA.With respect to the partner security requirements, it is required that each user authenticates using MFA. Esse requisito significa que você precisará modificar a definição da conta de acesso de emergência.This requirement means you'll need to modify the definition of an emergency access account. Pode ser uma conta que esteja aproveitando uma solução de MFA de terceiros.It could be an account that is leveraging a third-party solution for MFA.

O ADFS (Serviço de Federação do Active Directory) será necessário se eu estiver usando uma solução de terceiros?Is Active Directory Federation Service (ADFS) required if I am using a third-party solution?

Não, não será necessário ter o ADFS (Serviço de Federação do Active Directory) se você estiver usando uma solução de terceiros.No, it is not required to have Active Directory Federation Service (ADFS) if you're using a third-party solution. É recomendável que você trabalhe com o fornecedor da solução para determinar quais são os requisitos da solução dele.It is recommended that you work with the vendor of the solution determine what the requirements for their solution are.

É um requisito habilitar os padrões de segurança do Azure AD?Is it a requirement to enable Azure AD security defaults?

Não, não é obrigatório habilitar os padrões de segurança do Azure AD.No, it is not required that you enable Azure AD security defaults.

O acesso condicional pode ser usado para atender ao requisito de MFA?Can conditional access be used to meet the MFA requirement?

Sim, você pode usar o acesso condicional para impor a MFA para cada usuário do seu locatário de parceiro, inclusive das contas de serviço.Yes, you can use conditional access to enforce MFA for each user, including service accounts, in your partner tenant. Contudo, considerando a natureza altamente privilegiada de um parceiro, precisamos garantir que cada usuário tenha um desafio de MFA a cada autenticação realizada.However, given the highly privileged nature of being a partner we need to ensure that each user has an MFA challenge for every single authentication. Isso significa que você não poderá aproveitar o recurso de acesso condicional que contorna o requisito de MFA.This means you won't be able to leverage the feature of conditional access that circumvents the requirement for MFA.

A conta de serviço usada pelo Azure AD Connect será afetada pelos requisitos de segurança de parceiros?Will the service account used by Azure AD Connect be impacted by the partner security requirements?

Não, a conta de serviço usada pelo Azure AD Connect não será afetada pelos requisitos de segurança de parceiros.No, the service account used by Azure AD Connect will not be impacted by the partner security requirements. Se você tiver um problema com o Azure AD Connect em virtude da imposição da MFA, abra uma solicitação de suporte técnico junto ao suporte da Microsoft.If you experience an issue with Azure AD Connect as result of enforcing MFA, then open a technical support request with Microsoft support.

Modelo de Aplicativo SeguroSecure Application Model

Quem deve adotar o modelo de aplicativo seguro para atender aos requisitos?Who should adopt the secure application model to meet the requirements?

A Microsoft está introduzindo uma estrutura segura e escalonável para autenticar parceiros do CSP (Provedor de Soluções na Nuvem) e CPVs (Fornecedores de Painel de Controle) que aproveitam a Autenticação Multifator.Microsoft is introducing a secure, scalable framework for authenticating Cloud Solution Provider (CSP) partners and Control Panel Vendors (CPV) that leverages Multi-Factor Authentication. Consulte o guia do Modelo de Aplicativo Seguro para obter mais informações.See the Secure Application Model guide for more information. Todos os parceiros que desenvolveram uma integração personalizada usando qualquer API (como as APIs do Azure Resource Manager, do Microsoft Graph, do Partner Center, etc.) ou que implementaram uma automação personalizada usando ferramentas como o PowerShell, precisarão adotar a estrutura do Modelo de Aplicativo Seguro para se integrar com os serviços em nuvem da Microsoft.All partners who have developed custom integration using any APIs (such as Azure Resource Manager, Microsoft Graph, Partner Center API, etc.) or implemented custom automation using tools such PowerShell, will need to adopt the Secure Application Model framework to integrate with Microsoft cloud services.

O que é o Modelo de Aplicativo Seguro?What is the Secure Application Model?

A Microsoft está introduzindo uma estrutura segura e escalonável para autenticar parceiros do CSP (Provedor de Soluções na Nuvem) e CPVs (Fornecedores de Painel de Controle) que aproveitam a Autenticação Multifator.Microsoft is introducing a secure, scalable framework for authenticating Cloud Solution Provider (CSP) partners and Control Panel Vendors (CPV) that leverages Multi-Factor Authentication. Consulte o guia do Modelo de Aplicativo Seguro para obter mais informações.See the Secure Application Model guide for more information.

Como faço para implementar o Modelo de Aplicativo Seguro?How do I implement the Secure Application Model?

Todos os parceiros que desenvolveram uma integração personalizada usando qualquer API (como as APIs do Azure Resource Manager, do Microsoft Graph, do Partner Center, etc.) ou que implementaram uma automação personalizada usando ferramentas como o PowerShell, precisarão adotar a estrutura do Modelo de Aplicativo Seguro para se integrar com os serviços em nuvem da Microsoft.All partners who have developed custom integration using any APIs (such as Azure Resource Manager, Microsoft Graph, Partner Center API, etc.) or implemented custom automation using tools such PowerShell, will need to adopt the Secure Application Model framework to integrate with Microsoft cloud services. Deixar de fazer isso pode resultar em uma interrupção devido à implantação da MFA.Failure to do so may result in a disruption due to MFA deployment. Os recursos a seguir fornecem uma visão geral e orientações a respeito de como adotar o modelo.The following resources provide an overview and guidance regarding how to adopt the model.

Se você estiver usando um painel de controle, precisará consultar o fornecedor com relação à adoção da estrutura Modelo de Aplicativo Seguro.If you're using a control panel, then you need to consult with the vendor regarding the adoption of the Secure Application Model framework.

Os fornecedores de painel de controle são obrigados a se integrar com o Partner Center como fornecedores de painel de controle e começar a implementar esses requisitos imediatamente.Control panel vendors are required to onboard to Partner Center as control panel vendor and start implementing this requirement immediately. Confira Partner Center: estrutura do Modelo de Aplicativo Seguro.Refer to the Partner Center: Secure Application Model framework. Os fornecedores de painel de controle devem aceitar e gerenciar o consentimento dos parceiros do CSP em vez de credenciais e limpar todas as credenciais de parceiros do CSP existentes.Control panel vendors must accept and manage CSP partners' consent instead of credentials and purge all existing CSP partners' credentials.

O Modelo de Aplicativo Seguro precisa ser implementado somente para a API/o SDK do Partner Center?Does the Secure Application Model need to be implemented for the Partner Center API/SDK only?

Por meio da imposição da autenticação multifator a todas as contas de usuário, qualquer automação ou integração destinada à execução não interativa será afetada.By enforcing multi-factor authentication for all user accounts, any automation or integration that is intended to run non-interactively will be impacted. Embora os requisitos de segurança do parceiro exijam que você habilite o modelo de aplicativo seguro para a API do Partner Center, ele pode ser utilizado para atender à necessidade de um segundo fator de autenticação com automação e integração.While the partner security requirements require you to enable the secure application model for the Partner Center API, it can be leveraged to address the need for a second factor of authentication with automation and integration.

Observação

Os recursos que estão sendo acessados precisarão ser compatíveis com a autenticação baseada em token de acesso.Resources being accessed will need to support access token-based authentication.

Estou usando ferramentas de automação, como o PowerShell.I am using automation tools such as PowerShell. Como faço para implementar o Modelo de Aplicativo Seguro?How do I implement the Secure Application Model?

Você precisará implementar o Modelo de Aplicativo Seguro se a automação for destinada à execução não interativa e depender de credenciais do usuário para autenticação.You will need to implement the Secure Application Model if your automation is intended to be run non-interactively and relies on user credentials for authentication. Confira Modelo de Aplicativo Seguro | PowerShell do Partner Center para obter orientação sobre como implementar essa estrutura.See Secure Application Model | Partner Center PowerShell for guidance on how to implement this framework.

Observação

Nem todas as ferramentas de automação fornecem autenticação com tokens de acesso.Not all automation tools provide the ability to authenticate using access tokens. Poste uma mensagem no grupo Diretrizes de Segurança da Central de Parceiros caso precise obter ajuda para entender quais alterações são necessárias.Post a message on the Partner Center Security Guidance group if you need help understanding what changes need to be made.

É recomendável que você use uma conta de serviço à qual tenha sido atribuído o menor nível de permissões.It is recommended that you use a service account that has been assigned the least privileged permissions. Em relação à API do Partner Center, você deve usar uma conta que tenha recebido a função Agente de Vendas ou Agente Administrativo.With respect to the Partner Center API, you should use an account that has either been assigned to the Sales Agent or Admin Agents role.

Usar uma identidade com privilégios mínimos é uma prática recomendada.It is a best practice to use least-privileged identity. Isso reduzirá o risco.This will reduce risk. Não é recomendável usar uma conta que tenha privilégios de administrador global, pois isso fornece mais permissões do que o necessário.It is not recommended to use an account that has global admin privileges because that would be providing more permissions than what is required.

Eu sou um parceiro do CSP.I am a CSP partner. Como faço para saber se o meu CPV (Fornecedor de Painel de Controle) está trabalhando para implementar a solução ou não?How do I know if my Control Panel Vendor (CPV) is working on implementing the solution or not?

Para parceiros que usam a solução de um CPV (Fornecedor de Painel de Controle) para realizar transações no programa do CSP (Provedor de Soluções na Nuvem), é sua responsabilidade consultar seu CPV.For partners using a Control Panel Vendor (CPV) solution to transact in the Cloud Solution Provider (CSP) program, it is your responsibility to consult with your CPV.

Quem é um CPV (Fornecedor de Painel de Controle)?Who is a Control Panel Vendor (CPV)?

Um Fornecedor de Painel de Controle é um fornecedor independente de software que desenvolve aplicativos a serem usados por Parceiros do CSP para integração com as APIs do Partner Center.A Control Panel vendor is an independent software vendor that develops apps for use by CSP Partners to integrate with Partner Center APIs. Um fornecedor de painel de controle não é um Parceiro CSP com acesso direto às APIs ou ao Painel da Central de Parceiros.A Control Panel vendor is not a CSP Partner with direct access to the Partner Center dashboard or APIs. Uma descrição detalhada está disponível no guia Partner Center: Modelo de Aplicativos Seguros.A detailed description is available within the Partner Center: Secure Applications Model guide.

Eu sou um CPV.I am a CPV. Como faço para me registrar?How do I enroll?

Para se registrar como um CPV (Fornecedor de Painel de Controle), siga as orientações fornecidas aqui.To enroll as a control panel vendor (CPV), follow the guidelines provided here.

Os CPVs precisam entrar em contato pelo email CPVHelp@microsoft.com para receber o link de registro e fornecer um patrocinador funcionário da Microsoft que mantenha uma relação comercial com o CPV ou que tenha conhecimento dos negócios realizados por ele.CPVs must contact CPVHelp@microsoft.com to receive the enrollment link and provide a Microsoft employee sponsor who has a business relationship with the CPV or knows their business. Por exemplo, um PDM (Gerente de Desenvolvimento de Parceiros).For example, a Partner Development Manager (PDM).

Depois de se registrar e registrar seus aplicativos na Central de Parceiros, você terá acesso às APIs da Central de Parceiros.Once you enroll in Partner Center and register your applications, you'll have access to Partner Center APIs. Você receberá as informações de área restrita por meio de uma notificação da Central de Parceiros se for um novo CPV.You will receive your sandbox information via a Partner Center notification if you're a new CPV. Depois de concluir o registro como CPV da Microsoft e aceitar o contrato de CPV, você poderá:Once you have completed enrollment as a Microsoft CPV and accepted the CPV agreement, you can:

  1. Gerenciar aplicativos multilocatários (adicionar aplicativos ao portal do Azure e registrar e cancelar o registro de aplicativos no Partner Center).Manage multi-tenant application (add applications to Azure portal, register and unregister applications in Partner Center).

    Observação

    os CPVs deverão registrar seus aplicativos no Partner Center para serem autorizados a usar as APIs do Partner Center.CPVs must register their applications in Partner Center to get authorized for Partner Center APIs. Apenas adicionar aplicativos ao portal do Azure não autoriza os aplicativos de CPV a usarem as APIs do Partner Center.Adding applications to the Azure portal alone does not authorize CPV applications for Partner Center APIs.

  2. Exiba e gerencie seu perfil de CPV.View and manage your CPV profile.

  3. Exiba e gerencie seus usuários que precisam de acesso aos recursos de CPV.View and manage your users who need access to CPV capabilities. Um CPV só pode ter o administrador global da função.A CPV can only have the role Global Admin.

Estou usando o SDK do Partner Center.I am using the Partner Center SDK. O SDK adotará automaticamente o Modelo de Aplicativo Seguro?Will SDK automatically adopt the Secure Application Model?

Não, você precisará seguir as diretrizes fornecidas no guia do Modelo de Aplicativo Seguro.No, you'll need to follow the guidelines provided in the Secure Application Model guide.

Posso gerar um token de atualização para o Modelo de Aplicativo Seguro com as contas que não têm a MFA habilitada?Can I generate a refresh token for the secure application model with accounts that don't have MFA enabled?

Sim, é possível gerar um token de atualização com uma conta que não imponha a MFA.Yes, a refresh token can be generated using an account that does not have MFA enforced. No entanto, deve-se evitar isso.However, this should be avoided. Qualquer token gerado usando uma conta que não tenha a MFA habilitada não poderá acessar os recursos devido ao requisito de MFA.Any token generated using an account that does not have MFA enabled will not be able to access resources due to the requirement for MFA.

Como o meu aplicativo deverá obter um token de acesso se habilitarmos a MFA?How should my application obtain an access token if we enable MFA?

Será necessário seguir o guia do Modelo de Aplicativo Seguro, que fornece detalhes sobre como fazer isso e, ao mesmo tempo, manter-se em conformidade com os novos requisitos de segurança.You will need to follow the Secure Application Model guide that provides detail on how to do so whilst complying with the new security requirements. Você pode encontrar um código de exemplo em .NET aqui e um código de exemplo em Java aqui.You can find .NET sample code here and Java sample code here.

Como um CPV, eu devo criar um aplicativo do Azure AD em nosso locatário do CPV ou no locatário do parceiro do CSP?As a CPV, do I create an Azure AD application in our CPV tenant or the tenant of the CSP partner?

O CPV precisará criar o aplicativo do Azure Active Directory no locatário associado ao seu registro como CPV.The CPV will need to create the Azure Active Directory application in the tenant associated with their enrollment as a CPV.

Sou um CSP que está usando a autenticação somente por aplicativo.I am a CSP that is using app only authentication. Eu preciso fazer alguma alteração?Do I need to make any changes?

A autenticação somente por aplicativo não é afetada, pois as credenciais de usuário não são usadas para solicitar um token de acesso.App only authentication is not impacted as user credentials aren't being used to request an access token. Se as credenciais do usuário estiverem sendo compartilhadas, os CPVs (Fornecedores de Painel de Controle) deverão adotar a estrutura do Modelo de Aplicativo Seguro e limpar todas as credenciais de parceiro existentes que eles tiverem.If user credentials are being shared, then control panel vendors (CPVs) must adopt the Secure Application Model framework and purge any existing partner credentials they have.

Como um CPV, eu posso aproveitar o estilo de autenticação somente por aplicativo para obter tokens de acesso?As a CPV can I leverage the app only authentication style to get access tokens?

Não, os Fornecedores de Painel de Controle não podem utilizar o estilo de autenticação somente por aplicativo para solicitar tokens de acesso em nome do parceiro.No, Control Panel Vendor partners cannot utilize the app only authentication style to request access tokens on the behalf of partner. Eles devem implementar o Modelo de Aplicativo Seguro, que utiliza o estilo de autenticação por aplicativo + usuário.They should implement the secure application model, which utilizes the app + user authentication style.

Imposição técnicaTechnical Enforcement

O que é a ativação de garantias de segurança?What is the activation of security safeguards?

Todos os parceiros que participam do programa CSP (Provedor de Soluções na Nuvem), CPVs (fornecedores de painel de controle) e consultores devem implementar os requisitos obrigatórios de segurança do parceiro para manter a conformidade.All partners participating in the Cloud Solution Provider (CSP) program, Control Panel Vendors (CPVs), and Advisors should implement the mandatory security requirements to stay compliant.

Para fornecer proteção adicional, a Microsoft iniciou a ativação de garantias de segurança que ajuda os parceiros a proteger os locatários e os clientes obrigando o uso da verificação da MFA (autenticação multifator) para impedir o acesso não autorizado.To provide additional protection, Microsoft began the activation of security safeguards that helps partners secure their tenants and their customers by mandating multi-factor authentication (MFA) verification to prevent unauthorized access.

Concluímos com êxito a ativação das funcionalidades de AOBO (administrador em nome de) para todos os locatários de parceiros.We successfully completed the activation for admin-on-behalf-of (AOBO) capabilities to all partner tenants. Para ajudar a proteger ainda mais os parceiros e os clientes, como meta para o segundo trimestre de 2020, iniciaremos a ativação das transações da Central de Parceiros no CSP, ajudando os parceiros a proteger os negócios e os clientes contra incidentes relacionados a roubo de identidade.To further help protect partners and customers, targeting Q2 CY2020, we will begin the activation for Partner Center transactions in CSP, helping partners protect their businesses and customers from identity-theft related incidents.

Para obter mais informações, acesse a página Como obrigar o uso da MFA (Autenticação Multifator) ao locatário de parceiro.For more information, visit Mandating Multi-factor Authentication (MFA) for your partner tenant page.

Estou usando uma solução de MFA de terceiros e estou sendo bloqueado, o que devo fazer?I am using a third-party MFA solution and I am being blocked, what should I do?

Para validar se a conta que está acessando os recursos foi desafiada pela autenticação multifator, verificaremos a declaração de referência do método de autenticação para ver se a MFA está listada.To validate that the account accessing resources was challenged for multi-factor authentication, we will be checking the authentication method reference claim to see if MFA is listed. Algumas soluções de terceiros não emitem essa declaração ou não incluem o valor da MFA.Some third-party solutions don't issue this claim or don't include the MFA value. Se a declaração estiver ausente ou se o valor da MFA não estiver listado, não haverá como determinar se a conta autenticada foi desafiada pela autenticação multifator.If the claim is missing, or the MFA value is not listed, then there is no way to determine if the authenticated account was challenged for multi-factor authentication. Será necessário trabalhar com o fornecedor da solução de terceiros a fim de determinar quais ações precisam ser adotadas para que a solução emita a declaração da referência do método de autenticação.You will need to work with the vendor for your third-party solution to determine what actions need to be taken so the solution will issue the authentication method reference claim.

Confira Teste dos Requisitos de Segurança do Parceiro caso não tenha certeza se a sua solução de terceiros está emitindo a declaração esperada.See Testing the Partner Security Requirements if you're unsure if your third-party solution is issuing the expected claim or not.

A MFA está me impedindo de oferecer suporte ao meu cliente usando o AOBO, o que devo fazer?MFA is blocking me from supporting my customer using AOBO, what should I do?

A imposição técnica para requisitos de segurança do parceiro será verificada caso a conta autenticada tenha sido desafiada para executar uma autenticação multifator.The technical enforcement for the partner security requirements will be checked if the authenticated account has been challenged for multi-factor authentication. Caso contrário, você será redirecionado para a página de entrada e receberá uma solicitação para executar a autenticação novamente.If the account has not been, then you'll be redirected to the sign in page and prompted to authenticate again. Leia sobre como obter experiência e diretrizes adicionais nesta documentação de MFA (Autenticação Multifator) para seu locatário parceiro.Read additional experience and guidance in this Mandating Multi-factor Authentication (MFA) for your partner tenant documentation. Caso o domínio não seja federado, após a autenticação bem-sucedida, você precisará configurar a autenticação multifator.In the scenario where your domain is not federated, after successfully authenticating, you'll be prompted to set up multi-factor authentication. Ao concluir essa operação, você poderá gerenciar seus clientes usando o AOBO.Once that is completed, you'll be able to manage your customers using AOBO. Caso o domínio seja federado, você precisará verificar se a conta está sendo desafiada pela autenticação multifator.In the scenario where your domain is federated, then you'll need to ensure the account is being challenged for multi-factor authentication.

Transição para os padrões de segurançaSecurity Defaults Transition

Como fazer a transição das políticas de linha de base para os padrões de segurança ou outras soluções de MFA?How can I transition from baseline policies to security defaults or other MFA solutions?

As políticas de "linha de base" do Azure AD (Azure Active Directory) estão sendo removidas e substituídas por "padrões de segurança", um conjunto mais abrangente de políticas de proteção para você e seus clientes.Azure Active Directory (Azure AD) "baseline" policies are being removed and replaced with "security defaults", a more comprehensive set of protection policies for you and your customers. Os padrões de segurança podem ajudar a proteger a sua organização contra ataques de segurança relacionados a roubo de identidade.Security defaults can help protect your organization from identity-theft related security attacks.

A implementação da MFA (autenticação multifator) será removida devido à desativação das políticas de linha de base se você não tiver feito a transição das políticas de linha de base para a política de padrões de segurança ou para outras opções de implementação de MFA.Your multi-factor authentication (MFA) implementation will be removed due to the baseline policies retirement if you haven't transitioned from baseline policies to the security defaults policy or other MFA implementation options. Todos os usuários nos seus locatários de parceiros que executam operações protegidas por MFA serão solicitados a concluir a verificação de MFA.Any users in your partner tenants performing MFA protected operations will be requested to complete MFA verification. Examine diretrizes mais detalhadas aqui.Review more detailed guidance here. Para manter a conformidade e minimizar as interrupções, execute uma das seguintes ações:To stay compliant and minimize disruptions, take one of the following actions:

  • Transição para os padrões de segurançaTransition to security defaults
    • A política de padrões de segurança é uma das opções que os parceiros podem escolher para implementar a MFA.Security defaults policy is one of the options that partners can choose to implement MFA. Ela oferece um nível básico de segurança habilitado sem nenhum custo adicional.It offers a basic level of security enabled at no extra cost.
    • Saiba como habilitar a MFA para a sua organização com o Azure AD e examine as principais considerações sobre os padrões de segurança.Learn how to enable MFA for your organization with Azure AD and review the security defaults key considerations.
    • Habilite a política de padrões de segurança de acordo com as suas necessidades comerciais.Enable security defaults policy if it meets your business needs.
  • Transição para o acesso condicionalTransition to Conditional Access
    • Se a política de padrões de segurança não atender às suas necessidades, habilite o acesso condicional.If security defaults policy does not serve your needs, enable Conditional Access. Para obter mais informações, examine a documentação do acesso condicional do Azure AD.For more information, review the Azure AD Conditional Access documentation.

Principais recursosKey Resources

Como começarHow to get started

Recursos para adotar o Modelo de Aplicativo SeguroResources for adopting secure application model

SuporteSupport

Onde posso obter suporte?Where can I get support?

Para obter recursos de suporte a fim de atender aos requisitos de segurança, se você tiver o ASfP (Suporte Avançado para Parceiros), entre em contato com seu Gerente de Conta de Serviço; se tiver o contrato de PSfP (Suporte Premier para Parceiros), entre em contato com o Gerente de Conta de Serviço e o Gerente de Conta Técnico.For support resources to meet the security requirements, if you have Advanced Support for Partners (ASfP) contact your Service Account Manager; for Premier Support for Partners agreement (PSfP), contact your Service Account Manager and Technical Account Manager.

Como faço para obter informações técnicas e suporte para me ajudar a adotar a estrutura do Modelo de Aplicativo Seguro?How do I get technical information and support to help me adopt secure application model framework?

Há opções de suporte técnico de produto do Azure Active Directory disponíveis por meio dos seus benefícios do MPN.Technical product support options for Azure Active Directory are available through your MPN benefits. Parceiros com acesso a assinaturas ativas do ASfP ou do PSfP podem trabalhar com seus Gerentes de Conta associados (SAM/TAM) para entender melhor as opções disponíveis.Partners with access to an active ASfP or PSfP subscription can work with their associated account manager (SAM/TAM) to best understand the options available to them.

Como posso entrar em contato com o suporte se eu perder o acesso ao Partner Center?How do I contact support if I've lost access to Partner Center?

Caso perca o acesso devido a um problema de MFA, entre em contato com o administrador global de seu locatário.If you lose access due to an MFA issue, contact the global admin for your tenant. Seu departamento interno de TI poderá informar quem é o seu administrador global.Your internal IT department will be able to tell you who your global admin is.

Caso tenha esquecido sua senha, leia o artigo Não foi possível entrar para obter ajuda.If you forgot your password, read Unable to sign in for help.

Onde posso encontrar mais informações sobre problemas técnicos comuns?Where can I find more information about common technical issues?

Informações sobre os problemas técnicos comuns podem ser encontradas em Requisitos de segurança de parceiros para parceiros usando o Partner Center ou as APIs do Partner CenterInformation regarding the common technical issues can be found in Partner security requirements for partners using Partner Center or Partner Center APIs