Requisitos de segurança do Centro de Parceiros

Funções apropriadas: Agente de administração

O Dashboard Requisitos de Segurança é uma ferramenta poderosa projetada para ajudar a avaliar e melhorar a sua postura de segurança atual no Centro de Parceiros. Esse recurso concede aos provedores diretos e indiretos acesso à sua pontuação de segurança. Os requisitos de segurança fornecidos são recomendações acionáveis que são geradas com base em vulnerabilidades do sistema e padrões de ataque comuns. Ao implementar essas recomendações e verificar regularmente se há atualizações, você pode reforçar suas defesas de segurança. Esse painel consolida o status de todos os requisitos de segurança em uma única pontuação abrangente, permitindo que você avalie rapidamente sua situação de segurança atual. Quanto maior a pontuação, menor o nível de risco identificado, dando-lhe uma compreensão clara da sua prontidão de segurança.

Gerencie sua postura de segurança

O Painel de Requisitos de Segurança fornece uma visão geral completa da sua postura de segurança. Você pode monitorar e ajustar suas configurações, políticas e procedimentos de segurança roteando a partir deste painel. O Painel de Requisitos de Segurança permite-lhe gerir e melhorar proativamente a sua postura de segurança e orientar-se para os Princípios de Confiança Zero.

Funcionalidades principais

Descrição geral

A pontuação de segurança mostra um instantâneo do seu status de segurança no Partner Center.

Os Requisitos de segurança (visão geral) mostram o número total de requisitos de segurança, incluindo totais para aqueles que foram concluídos e não concluídos.

Secção Requisitos de segurança

Na seção Requisitos de segurança, você encontrará uma lista selecionada de requisitos e recomendações de segurança. Esses requisitos e recomendações podem ajudá-lo a identificar áreas de melhoria na integridade da segurança, resolver preocupações, mitigar riscos e aprimorar sua postura geral de segurança.

Descrição dos requisitos de segurança:

• Requisito de segurança: Breve descrição do requisito.

• Descrição: explicação pormenorizada do requisito de segurança.

• Status: Indica se o requisito foi concluído ou não.

• Insights: Dados acionáveis adaptados às necessidades individuais, oferecendo mais informações sobre áreas que requerem atenção.

• Pontuação: A pontuação associada a cada requisito, contribuindo para a sua pontuação geral de segurança.

• Instruções de implementação: contém links diretos para os recursos instrucionais que ajudam a entender e implementar cada recomendação. Esses links também são fornecidos abaixo em Recursos adicionais. Estes guias passo-a-passo ajudam-no a implementar cada recomendação de forma eficaz, elevando assim a sua segurança.

• Etapas acionáveis: links para uma página onde o requisito pode ser resolvido.

  Nota

  Se você não tiver a função ou o acesso certos, precisará entrar em contato com a pessoa certa em sua organização.

Secção de requisitos futuros

A seção Requisitos futuros mostra uma prévia dos requisitos que serão implementados em um futuro próximo. Os requisitos que não estiverem completos deduzirão pontos da pontuação geral em uma data futura.

Como é calculada a sua pontuação de segurança

A pontuação de segurança é um valor decimal (inteiro de ponto flutuante) entre 0 e 100. A pontuação reflete a postura de segurança do seu inquilino.

A Classificação de Segurança é calculada usando as classificações dos requisitos de segurança individuais. Cada requisito de segurança recebe uma classificação máxima entre zero e 20. A classificação máxima para um requisito de segurança é decidida com base no peso relativo desse requisito em comparação com os outros requisitos. A classificação máxima está sujeita a alterações com base na mudança das prioridades do negócio.

O algoritmo de cálculo atual concede uma pontuação máxima para um requisito compatível, zero caso contrário.

A pontuação geral de segurança é calculada usando a seguinte fórmula: (soma das pontuações individuais dos requisitos de segurança) / (soma das pontuações máximas dos requisitos de segurança individuais) * 100.

Requisitos de segurança e instruções de implementação

Como implementar os requisitos de segurança?

Nota

Soluções de MFA de terceiros, como Okta, Ping, Duo e outras, não são suportadas nas recomendações de MFA de identidade. As soluções de MFA de terceiros não são consideradas nos cálculos de pontuação de requisitos.

Requisito: Habilitar MFA

Pontos de pontuação de segurança: 20

Exigir autenticação multifator (MFA) para funções administrativas dificulta o acesso de invasores às contas. As funções administrativas têm permissões mais altas do que os usuários típicos. Se alguma dessas contas for comprometida, toda a sua organização será exposta.

No mínimo, proteja as seguintes funções:

• Administrador global
• Administrador de autenticação
• Administrador de faturação
• Administrador de acesso condicional
• Administrador do Exchange
• Administrador do serviço de assistência
• Administrador de segurança
• Administrador do SharePoint
• Administrador de usuários

Passos de implementação

Nota

Para ser considerado completo para este requisito, você precisa garantir que cada usuário administrador tenha sido coberto pelo requisito de MFA por meio de Padrões de Segurança / Acesso Condicional / MFA por usuário e que cada um deles tenha realmente configurado fatores de verificação adicionais (por exemplo, um dispositivo de sua escolha para prompts de verificação).

Isso inclui contas de quebra-vidro. Para saber mais, consulte Gerenciar contas de administrador de acesso de emergência - ID do Microsoft Entra.

1. A Microsoft fornece orientação passo a passo para selecionar e habilitar o método MFA correto para sua organização no Centro de administração do Microsoft 365. Vá para o assistente de MFA do Microsoft 365.
2. Se você quiser executar a implementação sozinho e estiver usando o Microsoft Entra ID Free, ative os padrões de segurança. Observação: os padrões de segurança e o Acesso Condicional não podem ser usados lado a lado. Para saber mais, consulte Habilitar padrões de segurança
3. Se você investiu em licenças do Microsoft Entra ID P1 ou P2, pode criar uma política de Acesso Condicional do zero ou usando um modelo. Siga estas etapas para criar uma política de Acesso Condicional do zero ou usando um modelo.
4. Acompanhe o progresso do seu administrador no registo de métodos de autenticação acedendo a Métodos de autenticação de segurança > do Microsoft Entra ID > Detalhes > de registo do utilizador (requer licenças Microsoft Entra ID P1 ou P2). Vá para Detalhes de registro do usuário.

Recursos

• Como funciona o MFA
• Planejar uma implantação de autenticação multifator do Microsoft Entra
• O que são padrões de segurança?
• Gerir contas de acesso de emergência no Microsoft Entra ID

Requisito: A resposta aos alertas é, em média, de 24 horas ou menos

Pontos de pontuação de segurança: 20

Os alertas devem ser triados e respondidos dentro de 24 horas após aparecerem no Partner Center, com o objetivo de responder dentro de 1 hora. Isso garante proteção imediata para os locatários clientes e minimiza as perdas financeiras. O tempo de resposta é medido desde o momento em que o alerta aparece no Partner Center até quando um usuário parceiro faz uma alteração no alerta, como atualizar seu status ou código de motivo. O tempo médio de resposta é calculado com base nos últimos 30 dias de atividade.

Passos de implementação

1. Certifique-se de ter um contato de segurança do Partner Center configurado, pois esse endereço de e-mail receberá notificações de alertas por padrão. Você pode usar uma caixa de correio compartilhada ou uma caixa de correio que alimenta um sistema de tíquetes.
2. Mantenha um manual documentado de resposta a incidentes que defina as funções, responsabilidades, planos de resposta e informações de contato.
3. Especifique um código de motivo para cada alerta. A Microsoft usa seus comentários para medir a eficácia dos alertas gerados.

Recursos

• Alertas do Partner Center
• Deteção e notificação de fraude do Azure
• Contato de segurança CSP

Requisito: Fornecer um contacto de segurança

Pontos de pontuação de segurança: 10

Quando qualquer problema relacionado à segurança acontece em um locatário parceiro do Provedor de Soluções na Nuvem (CSP), a Microsoft deve ser capaz de comunicar o problema e recomendar as etapas apropriadas a um contato de segurança designado em uma organização parceira, que agirá com urgência para mitigar e corrigir as preocupações de segurança o mais rápido possível.

Os administradores globais ou outras funções no Partner Center não têm a experiência ou o alcance necessários para agir em incidentes importantes relacionados à segurança. Todos os parceiros devem atualizar o contato de segurança do locatário parceiro.

O contato de segurança é um indivíduo ou um grupo de pessoas que são responsáveis por problemas relacionados à segurança dentro da organização parceira.

Passos de implementação

Preencha o e-mail, número de telefone e nome da caixa de correio individual ou partilhada responsável por responder a incidentes de segurança na sua empresa.

Recursos

• Contato de segurança do Provedor de Soluções na Nuvem

Requisito: Todas as subscrições do Azure têm um orçamento de despesas

Pontos de pontuação de segurança: 10

Acompanhar o uso da assinatura do Azure do seu cliente ajuda você a ajudar o cliente a gerenciar o uso do Azure e evitar cobranças mais altas do que o previsto. Você deve discutir com seus clientes suas expectativas de gastos mensais e definir um orçamento de gastos em sua assinatura. As notificações também podem ser configuradas para serem enviadas quando um cliente usa mais de 80% ou mais do orçamento de gastos configurado. O orçamento de gastos não coloca um teto para os gastos, por isso é importante notificar seu cliente quando ele atingir 80% de uso para que ele possa planejar o desligamento de recursos ou esperar uma conta mais alta.

Nota

Os parceiros que estão no NCE (New Commerce Experience) e têm um orçamento de gastos configurado receberão pontos de pontuação para este requisito. No entanto, os parceiros do Legacy não receberão pontos.

Passos de implementação

Consulte Definir um orçamento de gastos do Azure para os seus clientes