Práticas recomendadas de segurança do CSP

Todos os parceiros no programa CSP (Provedor de Soluções na Nuvem) que acessam as APIs do Partner Center e do Partner Center devem seguir as diretrizes de segurança deste artigo para proteger a si mesmos e aos clientes.

Para segurança do cliente, consulte Práticas recomendadas de segurança do cliente.

Importante

O Gráfico do Azure Active Directory (Azure AD) foi preterido a partir de 30 de junho de 2023. No futuro, não faremos mais investimentos no Azure AD Graph. As APIs do Azure AD Graph não têm SLA ou compromisso de manutenção além das correções relacionadas à segurança. Os investimentos nos novos recursos e funcionalidades só serão feitos no Microsoft Graph.

Desativaremos o Azure AD Graph em etapas incrementais para que você tenha tempo suficiente para migrar seus aplicativos para as APIs do Microsoft Graph. Em uma data posterior que anunciaremos, bloquearemos a criação de novos aplicativos usando o Azure AD Graph.

Para saber mais, consulte Importante: Aposentadoria do Graph do Azure AD e Substituição do módulo do Powershell.

Etapas altamente recomendadas em seus locatários

• Adicione um contato de segurança para notificações de problemas relacionados à segurança no locatário do Partner Center.
• Verifique sua pontuação de segurança de identidade no Microsoft Entra ID e execute as ações apropriadas para aumentar sua pontuação.
• Revise e implemente as diretrizes documentadas em Gerenciamento de falta de pagamento, fraude ou uso indevido.
• Familiarize-se com o agente de ameaças NOBELIUM e materiais relacionados:
  • O NOBELIUM se direciona a privilégios administrativos delegados para facilitar ataques mais amplos
  • Treinamento de resposta ao NOBELIUM
  • Protegendo o canal: jornada para a confiança zero

Melhores práticas de identidade

Exigir autenticação multifator

• Certifique-se de que todos os usuários em seus locatários do Partner Center e seus locatários clientes estejam registrados e exijam autenticação multifator (MFA). Há várias maneiras de configurar o MFA. Escolha o método que se aplica ao locatário que você está configurando:
  • O locatário do meu Partner Center/Cliente tem o Microsoft Entra ID P1
    • Use o Acesso Condicional para impor MFA.
  • O locatário do Meu Partner Center/Cliente tem o Microsoft Entra ID P2
    • Use o Acesso Condicional para impor MFA.
    • Implemente políticas baseadas em risco usando o Microsoft Entra ID Protection.
    • Para seu locatário do Partner Center, você pode se qualificar para o Microsoft 365 E3 ou E5, dependendo dos benefícios de Direitos de Uso Interno (IUR). Esses SKUs incluem o Microsoft Entra ID P1 ou 2, respectivamente.
    • Para o locatário do cliente, recomendamos habilitar os padrões de segurança.
      • Se o cliente estiver usando aplicativos que exigem autenticação herdada, esses aplicativos não funcionarão depois que você habilitar os padrões de segurança. Se o aplicativo não puder ser substituído, removido ou atualizado para usar autenticação moderna, você poderá impor MFA por meio de MFA por usuário.
      • Você pode monitorar e impor o uso de padrões de segurança pelo cliente usando a seguinte chamada da Graph API:
        • Tipo de recurso identitySecurityDefaultsEnforcementPolicy - Microsoft Graph v1.0 | Aprenda com a Microsoft
• Verifique se o método MFA usado é resistente a phishing. Você pode fazer isso usando autenticação sem senha ou correspondência de números.
• Se um cliente se recusar a usar a MFA, não forneça a ele nenhum acesso de função de administrador à ID do Microsoft Entra nem permissões de gravação para Assinaturas do Azure.

Acesso ao aplicativo

• Adote a estrutura do Modelo de Aplicativo Seguro. Todos os parceiros que integram as APIs do Partner Center precisam adotar a estrutura do Modelo de Aplicativo Seguro em qualquer aplicativo e aplicativos de modelo de autenticação de usuário.
• Desative o consentimento do usuário nos locatários do Partner Center Microsoft Entra ou use o fluxo de trabalho de consentimento do administrador.

Privilégio mínimo / Sem acesso permanente

• Os usuários que têm funções administrativas do Microsoft Entra, como administrador global ou administrador de segurança, não devem usar essas contas regularmente para email e colaboração. Crie uma conta de usuário separada sem funções administrativas do Microsoft Entra para tarefas de colaboração.
• Revise o grupo Agente administrador e remova as pessoas que não precisam de acesso.
• Analise regularmente o acesso à função administrativa no Microsoft Entra ID e limite o acesso ao menor número possível de contas. Para obter mais informações, confira Funções internas do Microsoft Entra.
• Os usuários que deixam a empresa ou mudam de função dentro da empresa devem ser removidos do acesso ao Partner Center.
• Se você tiver o Microsoft Entra ID P2, use o PIM (Gerenciamento de Identidade Privilegiada) para impor o acesso just-in-time (JIT). Use a custódia dupla para revisar e aprovar o acesso para funções de administrador do Microsoft Entra e funções do Partner Center.
• Para proteger funções privilegiadas, consulte Visão geral sobre proteção de acesso privilegiado.
• Analise regularmente o acesso aos ambientes do cliente.
  • Remova privilégios de administração delegada (DAP) inativos.
  • Perguntas frequentes sobre o GDAP.
  • Certifique-se de que os relacionamentos GDAP estejam utilizando funções com o mínimo de privilégios necessários.

Isolamento de identidade

• Evite hospedar sua instância do Partner Center no mesmo locatário do Microsoft Entra que hospeda seus serviços internos de TI, como email e ferramentas de colaboração.
• Use contas de usuário dedicadas separadas para usuários privilegiados do Partner Center que têm acesso de cliente.
• Evite criar contas de usuário em locatários do Microsoft Entra de clientes destinados a serem usados por parceiros para administrar o locatário do cliente e aplicativos e serviços relacionados.

Práticas recomendadas de dispositivos

• Permita apenas o acesso do Partner Center e do locatário do cliente a partir de estações de trabalho registradas e íntegras que tenham linhas de base de segurança gerenciadas e sejam monitoradas quanto a riscos de segurança.
• Para usuários do Partner Center com acesso privilegiado a ambientes de clientes, considere exigir estações de trabalho dedicadas (virtuais ou físicas) para que esses usuários acessem ambientes de clientes. Para obter mais informações, consulte Protegendo o acesso privilegiado.

Melhores práticas de monitoramento

APIs do Partner Center

• Todos os fornecedores do Painel de Controle devem Habilitar o modelo de aplicativo seguro e ativar o registro em log para cada atividade do usuário.
• Os fornecedores do Painel de Controle devem habilitar a auditoria de cada agente parceiro que efetua login no aplicativo e de todas as ações executadas.

Monitoramento e auditoria de entrada

• Os parceiros com uma licença do Microsoft Entra ID P2 se qualificam automaticamente para manter os dados de log de auditoria e entrada por até 30 dias.

  Confirme que:

  • O log de auditoria está em vigor onde as contas de administrador delegado são usadas.
  • Os logs estão capturando o nível máximo de detalhes fornecidos pelo serviço.
  • Os logs são retidos por um período aceitável (até 30 dias) que permite a detecção de atividade anômala.

  O registro detalhado de auditoria pode exigir a compra de mais serviços. Para obter mais informações, consulte Por quanto tempo o Microsoft Entra ID armazena dados de relatório?

• Revise e verifique regularmente endereços de email e números de telefone de recuperação de senha na ID do Microsoft Entra para todos os usuários com as funções de administrador global e atualize, se necessário.

  • Se o locatário de um cliente for comprometido: o Parceiro de Cobrança Direta do CSP, o Provedor Indireto ou seu Revendedor Indireto não poderão entrar em contato com o suporte solicitando uma alteração de senha de Administrador no locatário do cliente. O Cliente deve ligar para o suporte da Microsoft seguindo as instruções no tópico Redefinir minha senha de administrador. O tópico Redefinir minha senha de administrador tem um link que os clientes podem usar para ligar para o Suporte da Microsoft. Instrua o Cliente a mencionar que o CSP não tem mais acesso ao seu locatário para ajudar na redefinição da senha. O CSP deve considerar a suspensão das assinaturas do cliente até que o acesso seja recuperado e as partes infratoras sejam removidas.

• Implemente as práticas recomendadas de log de auditoria e execute uma revisão rotineira das atividades executadas por contas de administrador delegadas.

  • O que são os relatórios do Microsoft Entra?
  • Analisar logs de atividade usando logs do Azure Monitor
  • Referência de atividades de auditoria do Microsoft Entra

• Os parceiros devem revisar o relatório de usuários de risco em seu ambiente e abordar as contas que são detectadas como apresentando risco de acordo com as orientações publicadas.

  • Corrigir riscos e desbloquear usuários
  • Experiências do usuário com o Microsoft Entra ID Protection

Materiais relacionados

• Para obter as práticas recomendadas para gerenciar entidades de serviço, consulte Protegendo entidades de serviço no Microsoft Entra ID.
• Requisitos de segurança de parceiros
• Princípios orientadores da Confiança Zero
• Práticas recomendadas de segurança do cliente