Partilhar via

Melhores práticas de segurança do CSP

  • Artigo

Todos os parceiros no programa CSP (Provedor de Soluções na Nuvem) que acessam as APIs do Partner Center e do Partner Center devem seguir as orientações de segurança deste artigo para se protegerem a si mesmos e aos clientes.

Para segurança do cliente, consulte Práticas recomendadas de segurança do cliente.

Importante

O Azure Ative Directory (Azure AD) Graph foi preterido a partir de 30 de junho de 2023. No futuro, não faremos mais investimentos no Azure AD Graph. As APIs do Azure AD Graph não têm SLA ou compromisso de manutenção além das correções relacionadas à segurança. Os investimentos em novos recursos e funcionalidades só serão feitos no Microsoft Graph.

Desativaremos o Azure AD Graph em etapas incrementais para que você tenha tempo suficiente para migrar seus aplicativos para APIs do Microsoft Graph. Em uma data posterior que anunciaremos, bloquearemos a criação de novos aplicativos usando o Azure AD Graph.

Para saber mais, consulte Importante: Aposentadoria do Azure AD Graph e Descontinuação do módulo Powershell.

Práticas recomendadas de identidade

Exigir autenticação multifator

  • Certifique-se de que todos os usuários em seus locatários do Partner Center e seus locatários de clientes estejam registrados e exijam autenticação multifator (MFA). Há várias maneiras de configurar o MFA. Escolha o método que se aplica ao locatário que você está configurando:
    • O locatário do My Partner Center/Cliente tem o Microsoft Entra ID P1
      • Use o Acesso Condicional para impor a MFA.
    • O locatário do My Partner Center/Cliente tem o Microsoft Entra ID P2
      • Use o Acesso Condicional para impor a MFA.
      • Implemente políticas baseadas em risco usando a Proteção de ID do Microsoft Entra.
      • Para o locatário do Partner Center, você pode se qualificar para o Microsoft 365 E3 ou E5, dependendo dos benefícios dos Direitos de Uso Interno (IUR). Esses SKUs incluem o Microsoft Entra ID P1 ou 2, respectivamente.
      • Para o locatário do seu cliente, recomendamos ativar os padrões de segurança.
        • Se o cliente estiver usando aplicativos que exigem autenticação herdada, esses aplicativos não funcionarão depois que você ativar os padrões de segurança. Se o aplicativo não puder ser substituído, removido ou atualizado para usar a autenticação moderna, você poderá impor a MFA por meio da MFA por usuário.
        • Você pode monitorar e impor o uso de padrões de segurança pelo cliente usando a seguinte chamada à API do Graph:
  • Certifique-se de que o método MFA usado é resistente a phishing. Você pode fazer isso usando autenticação sem senha ou correspondência de número.
  • Se um cliente se recusar a usar o MFA, não forneça a ele nenhum acesso de função de administrador à ID do Microsoft Entra ou permissões de gravação para Assinaturas do Azure.

Acesso da aplicação

  • Adote a estrutura do Modelo de Aplicativo Seguro. Todos os parceiros que se integram com APIs do Partner Center devem adotar a estrutura Secure Application Model para qualquer aplicativo e aplicativo de modelo de autenticação de usuário.
  • Desative o consentimento do usuário nos locatários do Partner Center Microsoft Entra ou use o fluxo de trabalho de consentimento de administrador.

Privilégio mínimo / Sem acesso permanente

  • Os usuários que têm funções administrativas do Microsoft Entra, como administrador global ou administrador de segurança, não devem usar regularmente essas contas para email e colaboração. Crie uma conta de usuário separada sem funções administrativas do Microsoft Entra para tarefas de colaboração.
  • Revise o grupo de agentes administradores e remova as pessoas que não precisam de acesso.
  • Analise regularmente o acesso à função administrativa no Microsoft Entra ID e limite o acesso ao menor número possível de contas. Para obter mais informações, veja Funções incorporadas do Microsoft Entra.
  • Os usuários que deixam a empresa ou mudam de função dentro da empresa devem ser removidos do acesso ao Partner Center.
  • Se você tiver o Microsoft Entra ID P2, use o Privileged Identity Management (PIM) para impor o acesso just-in-time (JIT). Use a custódia dupla para revisar e aprovar o acesso para funções de administrador do Microsoft Entra e funções do Partner Center.
  • Para proteger funções privilegiadas, consulte Visão geral sobre como proteger acesso privilegiado.
  • Analise regularmente o acesso aos ambientes dos clientes.

Isolamento de identidade

  • Evite hospedar sua instância do Partner Center no mesmo locatário do Microsoft Entra que hospeda seus serviços internos de TI, como ferramentas de email e colaboração.
  • Use contas de usuário separadas e dedicadas para usuários privilegiados do Partner Center que tenham acesso de cliente.
  • Evite criar contas de usuário em locatários do Microsoft Entra do cliente destinados a serem usados por parceiros para administrar o locatário do cliente e aplicativos e serviços relacionados.

Práticas recomendadas para dispositivos

  • Permita apenas o acesso do Partner Center e do locatário do cliente a partir de estações de trabalho registradas e íntegras que tenham linhas de base de segurança gerenciadas e sejam monitoradas quanto a riscos de segurança.
  • Para usuários do Partner Center com acesso privilegiado aos ambientes do cliente, considere a necessidade de estações de trabalho dedicadas (virtuais ou físicas) para que esses usuários acessem os ambientes do cliente. Para obter mais informações, consulte Protegendo o acesso privilegiado.

Melhores práticas de monitorização

APIs do Centro de Parceiros

  • Todos os fornecedores do Painel de Controle devem habilitar o modelo de aplicativo seguro e ativar o registro em log para cada atividade do usuário.
  • Os fornecedores do Painel de Controle devem permitir a auditoria de cada agente parceiro que faz login no aplicativo e todas as ações tomadas.

Monitorização e auditoria de início de sessão

  • Os parceiros com uma licença Microsoft Entra ID P2 qualificam-se automaticamente para manter os dados de registo de auditoria e início de sessão até 30 dias.

    Confirme que:

    • O log de auditoria está em vigor onde as contas de administrador delegado são usadas.
    • Os logs estão capturando o nível máximo de detalhes fornecidos pelo serviço.
    • Os logs são retidos por um período aceitável (até 30 dias) que permite a deteção de atividade anômala.

    O registro detalhado de auditoria pode exigir a compra de mais serviços. Para obter mais informações, consulte Por quanto tempo o Microsoft Entra ID armazena dados de relatórios?

  • Revise e verifique regularmente os endereços de email e números de telefone de recuperação de senha na ID do Microsoft Entra para todos os usuários com as funções de administrador global e atualize, se necessário.

    • Se o locatário de um cliente estiver comprometido: o Parceiro de Fatura Direta do CSP, o Provedor Indireto ou o Revendedor Indireto não poderão entrar em contato com o suporte solicitando uma alteração de senha de Administrador no locatário do cliente. O Cliente deve ligar para o suporte da Microsoft seguindo as instruções no tópico Redefinir minha senha de administrador. O tópico Redefinir minha senha de administrador tem um link que os clientes podem usar para ligar para o Suporte da Microsoft. Instrua o Cliente a mencionar que o CSP não tem mais acesso ao locatário para ajudar na redefinição da senha. O CSP deve considerar a suspensão das assinaturas do cliente até que o acesso seja recuperado e as partes infratoras sejam removidas.

  • Implemente as práticas recomendadas de log de auditoria e execute a revisão de rotina da atividade executada por contas de administrador delegado.

  • Os parceiros devem analisar o relatório de usuários de risco em seu ambiente e abordar as contas que são detetadas como apresentando risco de acordo com as diretrizes publicadas.