Geeignete Rollen: Alle Partner Center-Benutzer
In diesem Artikel werden einige häufig gestellte Fragen zu den Sicherheitsanforderungen für Partner im Arbeitsbereich "Kontoeinstellungen" beantwortet.
Was sind die Sicherheitsanforderungen für Partner, und warum sollten Partner sie implementieren?
Wir sehen eine zunehmende Anzahl immer anspruchsvollerer Sicherheitsangriffe - hauptsächlich Angriffe im Zusammenhang mit Identitätskompromittierung.
Wir haben obligatorische Sicherheitsanforderungen eingeführt, da präventive Kontrollen eine Schlüsselrolle in einer allgemeinen Verteidigungsstrategie spielen. Alle Partner, die am Cloud Solution Provider (CSP)-Programm teilnehmen, Systemsteuerung Lieferanten und Berater müssen diese Sicherheitsanforderungen implementieren, um die Einhaltung zu gewährleisten.
Was sind die Zeitachsen und Meilensteine für die Implementierung von Sicherheitsanforderungen?
Die Mit den Sicherheitsanforderungen verbundenen Bedingungen, einschließlich Zeitachsen und Meilensteinen, sind im Microsoft Partner-Vereinbarung enthalten. Sie müssen diese Sicherheitsanforderungen so bald wie möglich implementieren, um konform zu bleiben, damit Sie am CSP-Programm teilnehmen können.
Was geschieht, wenn ich die Sicherheitsanforderungen für Partner nicht implementiert?
Die Microsoft Partner-Vereinbarung erfordert, dass Sie die mehrstufige Authentifizierung für Benutzerkonten erzwingen und das sichere Anwendungsmodell für die Interaktion mit der Partner Center-API übernehmen.
Partner, die diese Sicherheitspraktiken nicht einhalten, können die Möglichkeit verlieren, Transaktionen im CSP-Programm durchzuführen oder Kundenmandanten mithilfe von Administratorrechten zu verwalten.
Gelten die Sicherheitsanforderungen für alle geografischen Regionen?
Ja. (Obwohl Azure Government derzeit nicht erforderlich ist, um die Sicherheitsanforderungen zu erfüllen, empfehlen wir dringend, dass alle Partner diese Sicherheitsanforderungen sofort übernehmen.)
Sind Ausnahmen für ein Konto möglich?
Nein, es ist nicht möglich, ein Benutzerkonto von der Anforderung auszuschließen, dass die mehrstufige Authentifizierung (MFA) erzwungen wird. Angesichts des privilegierten Charakters eines Partners erfordert die Microsoft Partner-Vereinbarung, dass die mehrstufige Authentifizierung für jedes Benutzerkonto in Ihrem Partnermandanten erzwungen wird.
Gewusst wie wissen, ob ich die Sicherheitsanforderungen des Partners erfüllt?
Führen Sie die folgenden Schritte aus, um die Sicherheitsanforderungen des Partners zu erfüllen:
- Erfüllen Sie alle Anforderungen, die in den Sicherheitsanforderungen für die Verwendung von Partner Center- oder Partner Center-APIs beschrieben sind.
- Stellen Sie sicher, dass alle Benutzerkonten in Ihrem Partnermandanten mehrstufige Authentifizierung erzwungen haben.
Um Bereiche zu identifizieren, in denen Sie Maßnahmen ergreifen können, stellen wir den Statusbericht über Sicherheitsanforderungen im Partner Center bereit.
Erforderliche Aktionen
Welche Maßnahmen muss ich ergreifen, um die Sicherheitsanforderungen zu erfüllen?
Alle Partner im CSP-Programm (Direktrechnung, indirekter Anbieter und indirekter Wiederverkäufer), Berater und Systemsteuerung Lieferanten müssen die Anforderungen erfüllen.
Durchsetzen der MFA für alle Benutzer
Alle Partner im CSP-Programm, Berater und Control Panel-Anbieter müssen die MFA für alle Benutzer in ihrem Partnermandanten erzwingen.
Weitere Überlegungen:
- Indirekte Anbieter müssen mit indirekten Wiederverkäufern zusammenarbeiten, um das Partner Center zu integrieren, sofern sie dies noch nicht getan haben, und ermutigen Sie ihre Händler, die Anforderungen zu erfüllen.
- Die mehrstufige Microsoft Entra-Authentifizierung steht Benutzern im Partnermandanten kostenlos über Microsoft Entra-Sicherheitsstandard zur Verfügung, wobei die einzige Überprüfungsmethode einer Authentifikatoranwendung, die zeitbasierte, einmalige Kennwörter (TOTP) unterstützt.
- Andere Überprüfungsmethoden sind über die Microsoft Entra P1- oder P2-SKUs verfügbar, wenn andere Methoden wie Telefonanrufe oder Sms erforderlich sind.
- Beim Zugriff auf kommerzielle Clouddienste von Microsoft können Partner für jedes Konto auch die MFA-Lösung eines Drittanbieters verwenden.
Einführen des Frameworks Sicheres Anwendungsmodell
Partner, die eine benutzerdefinierte Integration mithilfe von APIs (z. B. Azure Resource Manager, Microsoft Graph, Partner Center-API usw.) entwickelt oder benutzerdefinierte Automatisierung mithilfe von Tools wie PowerShell implementiert haben, müssen das Secure Application Model Framework zur Integration in Microsoft-Clouddienste übernehmen. Dies kann aufgrund der MFA-Bereitstellung zu einer Unterbrechung führen.
Die folgenden Ressourcen bieten eine Übersicht und Anleitungen zur Einführung des Modells.
- Übersicht über das sichere Anwendungsmodell
- Partner Center: Leitfaden zum sicheren Anwendungsmodell
- Partner im CSP-Programm: .NET-Beispielcode zum Aktivieren des sicheren Anwendungsmodells
- Dokumentation zur Authentifizierung in Partner Center
- Partner Center PowerShell Multifactor Authentication (MFA)-Dokument
Wenn Sie einen Control Panel verwenden, wenden Sie sich im Hinblick auf die Übernahme des Frameworks „Sicheres Anwendungsmodell“ an den Hersteller.
Anbieter von Systemsteuerungen müssen sich als Systemsteuerungsanbieter in Partner Center integrieren und sofort mit der Implementierung dieser Anforderung beginnen. Weitere Informationen finden Sie im Partner Center: Secure Application Model Framework.
Control Panel-Anbieter müssen anstelle von Anmeldeinformationen die Zustimmung von CSP-Partnern akzeptieren und verwalten und alle vorhandenen Anmeldeinformationen von CSP-Partnern löschen.
Mehrstufige Authentifizierung
Was ist mehrstufige Authentifizierung (MFA)?
MFA ist ein Sicherheitsmechanismus zum Authentifizieren von Personen mit mehr als einem erforderlichen Sicherheits- und Validierungsverfahren. Dies funktioniert durch das Anfordern von mindestens zwei der folgenden Authentifizierungsmethoden:
- Etwas, das Sie wissen (in der Regel ein Kennwort)
- Etwas, das Sie besitzen (ein vertrauenswürdiges Gerät, das nicht auf einfache Weise dupliziert werden kann, z. B. ein Telefon)
- Etwas, das Sie sind (biometrisch)
Gibt es Kosten für die Aktivierung von MFA?
Microsoft bietet MFA ohne Kosten durch die Implementierung von Microsoft Entra-Sicherheitsstandardeinstellungen. Die einzige Überprüfungsoption, die bei dieser Version der MFA zur Verfügung steht, ist eine Authenticator-App.
- Wenn ein Telefonanruf oder eine SMS-Nachricht erforderlich ist, muss eine Microsoft Entra P1- oder P2-Lizenz erworben werden.
- Alternativ können Sie eine Drittanbieterlösung verwenden, um MFA für jeden Benutzer in Ihrem Partnermandanten bereitzustellen. In diesem Fall liegt es in Ihrer Verantwortung, sicherzustellen, dass Ihre MFA-Lösung erzwungen wird und dass Sie konform sind.
Welche Maßnahmen muss ich ergreifen, wenn ich bereits über eine MFA-Lösung verfüge?
Benutzer in einem Partnermandanten müssen sich mit MFA authentifizieren, wenn Sie auf kommerzielle Microsoft-Clouddienste zugreifen. Zur Erfüllung dieser Anforderungen können Drittanbieterlösungen verwendet werden. Microsoft stellt unabhängigen Identitätsanbietern keine Tests mehr für die Validierung der Kompatibilität mit Microsoft Entra ID zur Verfügung. Informationen zum Testen Ihres Produkts für die Interoperabilität finden Sie in den Microsoft Entra Identity Provider Compatibility Docs.
Wichtig
Wenn Sie eine Drittanbieterlösung verwenden, ist es wichtig zu überprüfen, ob die Lösung den Authentifizierungsmethodeverweis (AMR)-Anspruch ausgibt, der den MFA-Wert enthält. Ausführliche Informationen zur Überprüfung Ihrer Drittanbieterlösung, die den erwarteten Anspruch ausgibt, finden Sie unter Testen der Partnersicherheitsanforderungen.
Ich führe Transaktionen mit mehreren Partnermandanten aus. Muss ich MFA für alle implementieren?
Ja. Sie müssen MFA für jeden Microsoft Entra-Mandanten erzwingen, der dem CSP-Programm oder dem Advisor-Programm zugeordnet ist. Um eine Microsoft Entra ID P1- oder P2-Lizenz zu erwerben, müssen Sie eine Microsoft Entra ID-Lizenz für die Benutzer in jedem Microsoft Entra-Mandanten erwerben.
Muss MFA für jedes Benutzerkonto in meinem Partnermandanten erzwungen werden?
Ja. Jeder Benutzer muss MFA erzwungen haben. Wenn Sie jedoch die Microsoft Entra-Sicherheitsstandards verwenden, ist keine andere Aktion erforderlich, da dieses Feature MFA für alle Benutzerkonten erzwingt. Das Aktivieren von Sicherheitsstandardeinstellungen ist eine kostenlose und einfache Möglichkeit, um sicherzustellen, dass Ihre Benutzerkonten MFA-kompatibel sind und nicht betroffen sind, wenn MFA erzwungen wird.
Ich bin Microsoft-Partner mit direkter Abrechnung. Wie muss ich vorgehen?
Cloud Solution Provider-Partner mit direkter Abrechnung müssen die MFA für jeden Benutzer in ihrem Partnermandanten erzwingen.
Ich bin indirekter Handelspartner und führe Transaktionen nur über einen Distributor durch. Muss ich trotzdem MFA aktivieren?
Ja. Alle indirekten Handelspartner müssen die MFA für jeden Benutzer in ihrem Partnermandanten erzwingen. Der indirekte Wiederverkäufer muss MFA aktivieren.
Ich verwende die Partner Center-API nicht. Muss ich die MFA dennoch implementieren?
Ja. Diese Sicherheitsanforderung gilt für alle Benutzer, einschließlich Partneradministratorbenutzern und Endbenutzern in einem Partnermandanten.
Welche Drittanbieter bieten MFA-Lösungen, die mit Microsoft Entra ID kompatibel sind?
Wenn Sie MFA-Anbieter und -Lösungen überprüfen, müssen Sie sicherstellen, dass die ausgewählte Lösung mit Microsoft Entra ID kompatibel ist.
Microsoft stellt unabhängigen Identitätsanbietern keine Tests mehr für die Validierung der Kompatibilität mit Microsoft Entra ID zur Verfügung. Wenn Sie Ihr Produkt für die Interoperabilität testen möchten, lesen Sie die Kompatibilitätsdokumente des Microsoft Entra-Identitätsanbieters.
Weitere Informationen finden Sie in der Microsoft Entra-Verbundkompatibilitätsliste.
Wie kann ich die MFA in unserer Sandbox für die Integration testen?
Das Microsoft Entra-Sicherheitsstandardfeature sollte aktiviert sein. Alternativ können Sie eine Drittanbieterlösung verwenden, die einen Partnerverbund verwendet.
Wirkt sich die Aktivierung der MFA darauf aus, wie ich mit meinem Kundenmandanten interagiere?
Nein Die Erfüllung dieser Sicherheitsanforderungen wirkt sich nicht auf die Verwaltung der Kunden aus. Die Möglichkeit, delegierte administrative Vorgänge auszuführen, wird nicht beeinträchtigt.
Unterliegen meine Kunden den Sicherheitsanforderungen für Partner?
Nein Sie müssen MFA nicht für jeden Benutzer in den Microsoft Entra-Mandanten Ihres Kunden erzwingen. Es wird jedoch empfohlen, dass Sie mit jedem Kunden zusammenarbeiten, um zu bestimmen, wie sie ihre Benutzer am besten schützen können.
Kann ein Benutzer von der MFA-Anforderung ausgenommen werden?
Nein Jeder Benutzer in Ihrem Partnermandanten, einschließlich Dienstkonten, muss sich mit MFA authentifizieren.
Gelten die Sicherheitsanforderungen für Partner auch für die Sandbox zur Integration?
Ja. Dies bedeutet, dass Sie die entsprechende MFA-Lösung für Benutzer im Integrations-Sandkastenmandanten implementieren müssen. Es wird empfohlen, Microsoft Entra-Sicherheitsstandardwerte für die Bereitstellung von MFA zu implementieren.
Gewusst wie ein Notfallzugriffskonto konfigurieren ("Break glass")
Es wird als bewährte Methode angesehen, ein oder zwei Notfallzugriffskonten zu erstellen, um zu verhindern, dass versehentlich Ihr Microsoft Entra-Mandant gesperrt wird. Aufgrund der Sicherheitsanforderungen für Partner muss sich jeder Benutzer per MFA authentifizieren. Diese Anforderung bedeutet, dass Sie die Definition eines Notfallzugriffskontos ändern müssen. Es kann sich um ein Konto handeln, das eine Drittanbieterlösung für MFA verwendet.
Ist der Active Directory-Verbunddienst (Active Directory Federation Service, ADFS) erforderlich, wenn ich eine Drittanbieterlösung verwende?
Nein Wenn Sie eine Drittanbieterlösung verwenden, ist es nicht erforderlich, über den Active Directory-Verbunddienst (Active Directory Federation Service, ADFS) zu verfügen. Es wird empfohlen, mit dem Anbieter der Lösung zusammenzuarbeiten, um zu bestimmen, welche Anforderungen für ihre Lösung erfüllt sind.
Ist es eine Anforderung, Microsoft Entra-Sicherheitsstandardwerte zu aktivieren?
Nein
Kann der bedingte Zugriff zur Erfüllung der MFA-Anforderung verwendet werden?
Ja. Sie können den bedingten Zugriff verwenden, um MFA für jeden Benutzer, einschließlich Dienstkonten, in Ihrem Partnermandanten zu erzwingen. Angesichts der privilegierten Natur eines Partners müssen wir jedoch sicherstellen, dass jeder Benutzer eine MFA-Herausforderung für jede einzelne Authentifizierung hat. Dies bedeutet, dass Sie das Feature des bedingten Zugriffs nicht verwenden können, das die Anforderung für MFA umgeht.
Wird das von Microsoft Entra Connect verwendete Dienstkonto von den Sicherheitsanforderungen des Partners betroffen sein?
Nein Das von Microsoft Entra Connect verwendete Dienstkonto ist von den Sicherheitsanforderungen des Partners nicht betroffen. Wenn beim Erzwingen von MFA ein Problem mit Microsoft Entra Connect aufgetreten ist, öffnen Sie eine technische Supportanfrage mit dem Microsoft-Support.
Sicheres Anwendungsmodell
Wer sollte das sichere Anwendungsmodell übernehmen, um die Anforderungen zu erfüllen?
Microsoft hat ein sicheres, skalierbares Framework für die Authentifizierung von CSP-Partnern (Cloud Solution Provider) und Systemsteuerung Vendors (CPV) eingeführt, das die mehrstufige Authentifizierung verwendet. Weitere Informationen finden Sie im Leitfaden für das sichere Anwendungsmodell. Alle Partner, die eine benutzerdefinierte Integration mithilfe von APIs (z. B. Azure Resource Manager, Microsoft Graph, Partner Center-API usw.) entwickelt oder mithilfe von Tools wie PowerShell benutzerdefinierte Automatisierung implementiert haben, müssen das Secure Application Model Framework zur Integration in Microsoft Cloud Services übernehmen.
Was ist das sichere Anwendungsmodell?
Microsoft führt ein sicheres, skalierbares Framework für die Authentifizierung von CSP-Partnern (Cloud Solution Provider) und Systemsteuerung Vendors (CPV) ein, das die mehrstufige Authentifizierung verwendet. Weitere Informationen finden Sie im Leitfaden für das sichere Anwendungsmodell.
Wie implementiere ich das sichere Anwendungsmodell?
Alle Partner, die eine benutzerdefinierte Integration mithilfe von APIs (z. B. Azure Resource Manager, Microsoft Graph, Partner Center-API usw.) entwickelt haben oder benutzerdefinierte Automatisierung mithilfe von Tools wie PowerShell implementiert haben, müssen das Secure Application Model Framework zur Integration in Microsoft-Clouddienste übernehmen. Dies kann aufgrund der MFA-Bereitstellung zu einer Unterbrechung führen.
Die folgenden Ressourcen bieten eine Übersicht und Anleitungen zur Einführung des Modells:
- Übersicht über das sichere Anwendungsmodell
- Partner Center: Leitfaden zum sicheren Anwendungsmodell
- Partner im CSP-Programm: .NET-Beispielcode zum Aktivieren des sicheren Anwendungsmodells
- Dokumentation zur Authentifizierung in Partner Center
- Partner Center PowerShell Multifactor Authentication (MFA)-Dokument
Wenn Sie eine Systemsteuerung verwenden, müssen Sie sich mit dem Anbieter hinsichtlich der Einführung des Secure Application Model Frameworks in Verbindung setzen.
Anbieter von Systemsteuerungen müssen partner Center als Systemsteuerungsanbieter integrieren und sofort mit der Implementierung dieser Anforderung beginnen.
Weitere Informationen finden Sie im Partner Center: Secure Application Model Framework. Control Panel-Anbieter müssen anstelle von Anmeldeinformationen die Zustimmung von CSP-Partnern akzeptieren und verwalten und alle vorhandenen Anmeldeinformationen von CSP-Partnern löschen.
Muss das sichere Anwendungsmodell nur für die Partner Center-API bzw. das Partner Center SDK implementiert werden?
Durch das Erzwingen der mehrstufigen Authentifizierung für alle Benutzerkonten ist jede Automatisierung oder Integration, die nicht interaktiv ausgeführt werden soll, betroffen. Obwohl die Sicherheitsanforderungen für Partner erfordern, dass Sie das sichere Anwendungsmodell für die Partner Center-API aktivieren, kann es verwendet werden, um die Notwendigkeit einer zweiten Authentifizierungsstufe mit Automatisierung und Integration zu erfüllen.
Hinweis
Auf ressourcen, auf die zugegriffen wird, muss die zugriffstokenbasierte Authentifizierung unterstützen.
Ich verwende Automatisierungstools wie z. B. PowerShell. Wie implementiere ich das sichere Anwendungsmodell?
Sie müssen das sichere Anwendungsmodell implementieren, wenn Ihre Automatisierung nicht interaktiv ausgeführt wird und auf Benutzeranmeldeinformationen für die Authentifizierung basiert. Informationen zur Implementierung dieses Frameworks findest du unter Sicheres Anwendungsmodell | Partner Center PowerShell.
Hinweis
Nicht alle Automatisierungstools können sich mithilfe von Zugriffstoken authentifizieren. Wenn du genauere Informationen dazu benötigst, welche Änderungen erforderlich sind, sende eine Nachricht an die Gruppe Partner Center Security Guidance.
Welche Benutzeranmeldeinformationen sollte der Anwendungsadministrator beim Durchführen des Zustimmungsprozesses bereitstellen?
Es wird empfohlen, ein Dienstkonto zu verwenden, dem die geringstmöglichen Berechtigungen zugewiesen wurden. In Bezug auf die Partner Center-API sollten Sie ein Konto verwenden, das entweder der Rolle "Vertriebsmitarbeiter" oder "Administrator-Agent" zugewiesen wurde.
Warum sollte der Anwendungsadministrator beim Ausführen des Zustimmungsprozesses keine Anmeldeinformationen für globale Administratoren bereitstellen?
Es ist eine bewährte Methode, eine am wenigsten privilegierte Identität zu verwenden, da dadurch das Risiko reduziert wird. Es wird nicht empfohlen, ein Konto zu verwenden, das über globale Administratorrechte verfügt, da sie mehr Berechtigungen als erforderlich bereitstellt.
Ich bin CSP-Partner. Woher weiß ich, ob mein Control Panel-Anbieter an der Implementierung der Lösung arbeitet oder nicht?
Für Partner, die eine Systemsteuerung Vendor (CPV)-Lösung für Transaktionen im CSP-Programm (Cloud Solution Provider) verwenden, liegt es in Ihrer Verantwortung, sich mit Ihrem CPV zu beraten.
Was ist ein Systemsteuerungsanbieter (CPV)?
Ein Systemsteuerungsanbieter ist ein unabhängiger Softwareanbieter, der Apps für die Verwendung von CSP-Partnern entwickelt, um sie in Partner Center-APIs zu integrieren. Ein Systemsteuerungsanbieter ist kein CSP-Partner mit direktem Zugriff auf das Partner Center oder apIs. Eine detaillierte Beschreibung ist im Partner Center verfügbar: Leitfaden für das Modell für sichere Anwendungen.
Ich bin ein CPV. Wie registriere ich mich?
Um sich als Systemsteuerungsanbieter (CPV) zu registrieren, befolgen Sie die Richtlinien in "Registrieren als Systemsteuerung Anbieter", um CSP-Partnersysteme mit Partner Center-APIs zu integrieren.
Nachdem Sie sich im Partner Center registriert und Ihre Anwendungen registriert haben, haben Sie Zugriff auf Partner Center-APIs. Wenn Sie ein neues CPV sind, erhalten Sie Ihre Sandkasteninformationen in einer Partner Center-Benachrichtigung. Nachdem Sie die Registrierung als Microsoft CPV abgeschlossen und den CPV-Vertrag akzeptiert haben, können Sie:
Verwalten von Mehrinstanzenanwendungen (Hinzufügen von Anwendungen zu Azure-Portal und Registrieren und Aufheben der Registrierung von Anwendungen im Partner Center).
Hinweis
CPVs müssen ihre Anwendungen in Partner Center registrieren, um die Autorisierung für Partner Center-APIs zu erhalten. Das Hinzufügen von Anwendungen in das Azure-Portal allein reicht nicht aus, um CPV-Anwendungen für Partner Center-APIs zu autorisieren.
Anzeigen und Verwalten deines CPV-Profils.
Anzeigen und Verwalten Ihrer Benutzer, die Zugriff auf CPV Funktionen benötigen. Ein CPV kann nur über die Rolle "Globaler Administrator" verfügen.
Ich verwende das Partner Center SDK. Übernimmt das SDK automatisch das sichere Anwendungsmodell?
Nein Sie müssen die Richtlinien im Leitfaden zum sicheren Anwendungsmodell befolgen.
Kann ich ein Aktualisierungstoken für das sichere Anwendungsmodell mit Konten generieren, die nicht für die MFA aktiviert wurden?
Ja. Ein Aktualisierungstoken kann mit einem Konto generiert werden, das keine MFA erzwungen hat. Dies sollte jedoch vermieden werden. Jedes Token, das mit einem Konto ohne aktivierte MFA generiert wurde, kann nicht auf Ressourcen zugreifen, das MFA hierfür erforderlich ist.
Wie kann meine Anwendung ein Zugriffstoken abrufen, wenn ich die MFA aktiviere?
Befolgen Sie den Leitfaden zum sicheren Anwendungsmodell, in dem Details dazu bereitgestellt werden, während sie den neuen Sicherheitsanforderungen entsprechen. Sie finden .NET-Beispielcode im Partner Center DotNet Samples – Secure App Model and Java sample code at Partner Center Java Samples.
Als CPV erstelle ich eine Microsoft Entra-Anwendung in unserem CPV-Mandanten oder dem Mandanten des CSP-Partners?
Die CPV muss die Microsoft Entra-Anwendung im Mandanten erstellen, der ihrer Registrierung als CPV zugeordnet ist.
Ich bin ein CSP, der die Nur-App-Authentifizierung verwendet. Muss ich Änderungen vornehmen?
Die Nur-App-Authentifizierung ist nicht betroffen, da Benutzeranmeldeinformationen nicht zum Anfordern eines Zugriffstokens verwendet werden. Wenn Benutzeranmeldeinformationen freigegeben werden, müssen Control Panel-Anbieter das Framework „Sicheres Anwendungsmodell“ übernehmen und alle vorhandenen Partneranmeldeinformationen löschen.
Kann ich als CPV den Nur-App-Authentifizierungsstil verwenden, um Zugriffstoken abzurufen?
Nein Systemsteuerung Lieferantenpartner können den Nur-App-Authentifizierungsstil nicht verwenden, um Zugriffstoken im Namen des Partners anzufordern. Sie müssen das sichere Anwendungsmodell implementieren, bei dem alle Apps und Benutzer authentifiziert werden müssen.
Technische Erzwingung
Was ist die Aktivierung von Sicherheitsmaßnahmen?
Alle Partner, die am Cloud Solution Provider-Programm (CSP) teilnehmen, Control Panel Vendors (CPVs) und Berater sollten die obligatorischen Sicherheitsanforderungen implementieren, um konform zu bleiben.
Um mehr Schutz zu bieten, begann Microsoft mit der Aktivierung von Sicherheitsvorkehrungen, mit denen Partner ihre Mandanten und ihre Kunden schützen können, indem sie eine Mehrstufige Authentifizierung (MFA) zur Verhinderung nicht autorisierter Zugriffe anzuweisen.
Wir haben die Aktivierung der AOBO-Funktionen (Admin-on-Behalf-Of, Administrator im Auftrag von) für alle Partnermandanten erfolgreich abgeschlossen. Um Partner und Kunden weiter zu schützen, beginnen wir mit der Aktivierung von Partner Center-Transaktionen in CSP und helfen Partnern, ihre Unternehmen und Kunden vor Identitätsdiebstahl zu schützen.
Weitere Informationen finden Sie auf der Seite "Mehrstufige Authentifizierung (Multifactor Authentication, MFA)" für Ihre Partnermandantenseite .
Ich verwende eine MFA-Lösung von Drittanbietern, und ich werde blockiert. Wie sollte ich vorgehen?
Um zu überprüfen, ob das Konto, das auf Ressourcen zugreift, für die mehrstufige Authentifizierung herausgefordert wurde, überprüfen wir den Referenzanspruch der Authentifizierungsmethode, um festzustellen, ob MFA aufgeführt ist. Einige Drittanbieterlösungen geben diesen Anspruch nicht aus oder beziehen den MFA-Wert nicht mit ein. Wenn der Anspruch fehlt oder der MFA-Wert nicht aufgeführt ist, gibt es keine Möglichkeit, zu ermitteln, ob das authentifizierte Konto für die mehrstufige Authentifizierung herausgefordert wurde. Sie müssen mit dem Anbieter für Ihre Drittanbieterlösung zusammenarbeiten, um zu bestimmen, welche Aktionen ausgeführt werden sollen, damit die Lösung den Verweisanspruch der Authentifizierungsmethode ausgibt.
Wenn Sie nicht sicher sind, ob Ihre Drittanbieterlösung den erwarteten Anspruch ausgibt oder nicht, lesen Sie "Testen der Sicherheitsanforderungen für Partner".
MFA hindert mich daran, meinen Kunden mit AOBO zu unterstützen. Wie sollte ich vorgehen?
Die technische Durchsetzung der Sicherheitsanforderungen für Partner wird überprüft, wenn das authentifizierte Konto für die mehrstufige Authentifizierung herausgefordert wurde. Wenn das Konto nicht überprüft wurde, werden Sie zur Anmeldeseite umgeleitet und aufgefordert, sich erneut zu authentifizieren.
Weitere Erfahrungen und Anleitungen finden Sie unter Mandating Multifactor Authentication (MFA) für Ihren Partnermandanten.
In einem Szenario, in dem Ihre Domäne nicht verbunden ist, werden Sie nach der erfolgreichen Authentifizierung aufgefordert, die mehrstufige Authentifizierung einzurichten. Nachdem dies abgeschlossen ist, können Sie Ihre Kunden mit AOBO verwalten. In einem Szenario, in dem Ihre Domäne verbunden ist, müssen Sie sicherstellen, dass das Konto für die mehrstufige Authentifizierung herausfordert wird.
Umstellung von Sicherheitsstandards
Wie kann ich von Basisrichtlinien auf Sicherheitsstandards oder andere MFA-Lösungen umstellen?
Microsoft Entra ID "Baseline"- Richtlinien werden entfernt und durch "Sicherheitsstandardwerte" ersetzt , ein umfassenderer Satz von Schutzrichtlinien für Sie und Ihre Kunden. Sicherheitsstandards können dazu beitragen, Ihre Organisation vor Sicherheitsangriffen im Zusammenhang mit Identitätsdiebstahl zu schützen.
Ihre mehrstufige Authentifizierungsimplementierung (MFA) wird aufgrund der Einstellung der Basisrichtlinien entfernt, wenn Sie nicht von basisplanbasierten Richtlinien auf die Sicherheitsstandardrichtlinie oder andere MFA-Implementierungsoptionen umgestellt haben. Alle Benutzer in Ihren Partnermandanten, die durch MFA geschützte Vorgänge ausführen, werden aufgefordert, die MFA-Überprüfung abzuschließen. Ausführlichere Anleitungen finden Sie unter Mandatierung der mehrstufigen Authentifizierung für Ihren Partnermandanten.
Führen Sie die folgenden Schritte aus, um die Kompatibilität zu gewährleisten und Unterbrechungen zu minimieren:
- Übergang zu Sicherheitsstandardeinstellungen
- Die Richtlinie für Sicherheitsstandards ist eine der Optionen, die Partner zur Implementierung von MFA wählen können. Sie bietet eine grundlegende Sicherheitsstufe, die ohne Zusatzkosten bereitgestellt wird.
- Erfahren Sie, wie Sie MFA für Ihre Organisation mit Microsoft Entra ID aktivieren und die wichtigsten Überlegungen zur Sicherheit überprüfen.
- Aktivieren Sie die Richtlinie für Sicherheitsstandards, wenn Sie Ihren Geschäftsanforderungen entspricht.
- Übergang zum bedingten Zugriff
- Wenn die Richtlinie für Sicherheitsstandards Ihren Anforderungen nicht entspricht, aktivieren Sie "Bedingter Zugriff". Weitere Informationen erhalten Sie in der Dokumentation zum bedingten Zugriff von Microsoft Entra.
Wichtige Ressourcen
Was ist Microsoft Secure Score?
- Anzeigen der Sicherheitsanforderungen für Partner: Schrittweise Anleitung.
- Leiten Sie Ihre Fragen und Ihr Feedback an die Partner Center Security Guidance Group weiter.
- Nimm an Informationsveranstaltungen und Webinaren für Partner teil. Überprüfen Sie den detaillierten Zeitplan und die Ressourcen auf der Partner-Communityseite.
Was sind Ressourcen für die Einführung des sicheren Anwendungsmodells?
- Übersicht über das sichere Anwendungsmodell
- Partner Center: Leitfaden zum sicheren Anwendungsmodell
- Partner im CSP-Programm: .NET-Beispielcode zum Aktivieren des sicheren Anwendungsmodells
- Dokumentation zur Authentifizierung in Partner Center
- Partner Center PowerShell Multifactor Authentication (MFA)-Dokument
Unterstützung
Wo erhalte ich Support?
Unterstützungsressourcen zur Erfüllung der Sicherheitsanforderungen:
- Wenn Sie über erweiterten Support für Partner (ASfP) verfügen, wenden Sie sich an Ihren Service Account Manager.
- Wenden Sie sich an Ihren Service Account Manager und technical Account Manager, um den Premier Support für Partnervereinbarungen (PSfP) zu erhalten.
Gewusst wie technische Informationen und Support erhalten, um mir bei der Einführung des sicheren Anwendungsmodellframeworks zu helfen?
Technische Produktsupportoptionen für Microsoft Entra ID sind über Ihre Microsoft AI Cloud Partner Program-Vorteile verfügbar. Partner mit Zugriff auf ein aktives ASfP- oder PSfP-Abonnement können mit ihrem zugehörigen Account Manager (SAM/TAM) zusammenarbeiten, um die besten verfügbaren Optionen zu verstehen.
Gewusst wie kontaktieren Sie den Support, wenn ich den Zugriff auf Partner Center verliere?
Wenn Sie aufgrund eines MFA-Problems den Zugriff verlieren, wenden Sie sich an den Sicherheitsadministrator für Ihren Mandanten. Ihre interne IT-Abteilung kann Ihnen mitteilen, wer Ihr Sicherheitsadministrator ist.
Wenn Sie Ihr Kennwort vergessen haben, können Sie sich nicht anmelden , um Hilfe zu finden.
Wo finde ich Informationen zu häufigen technischen Problemen?
Informationen zu häufigen technischen Problemen finden Sie unter Sicherheitsanforderungen für Partner, die das Partner Center oder Partner Center-APIs verwenden.