Udostępnij za pośrednictwem

Wymaganie uwierzytelniania wieloskładnikowego (MFA) dla dzierżawy partnera

  • Artykuł

Odpowiednie role: Agent administracyjny | Agent sprzedaży | Agent pomocy technicznej | Administrator rozliczeń | Administrator zabezpieczeń

Wśród naszych najważniejszych priorytetów znajdują się lepsze bezpieczeństwo i ochrona prywatności, a my kontynuujemy pomoc partnerom w ochronie ich klientów i najemców.

Aby pomóc partnerom chronić swoje firmy i klientów przed kradzieżą tożsamości i nieautoryzowanym dostępem, aktywowaliśmy więcej zabezpieczeń dla dzierżaw partnerskich. Te zabezpieczenia nakazują i weryfikują uwierzytelnianie wieloskładnikowe. Wymaganie użycia uwierzytelniania wieloskładnikowego pomaga partnerom zabezpieczyć dostęp do zasobów klientów przed kompromitacją danych dostępowych.

Ten artykuł zawiera szczegółowe przykłady i wskazówki dotyczące mandatu uwierzytelniania wieloskładnikowego (MFA) w Centrum partnerskim.

Partnerzy uczestniczący w programie Cloud Solution Provider (CSP), dostawcy oprogramowania panelu sterowania (CPV) i doradcy muszą wdrożyć wymagania dotyczące zabezpieczeń partnerów, aby zachować zgodność.

Partnerzy muszą wdrożyć uwierzytelnianie wieloskładnikowe dla wszystkich kont użytkowników w dzierżawie partnerskiej, w tym użytkowników gości. Użytkownicy muszą ukończyć weryfikację uwierzytelniania wieloskładnikowego dla następujących obszarów:

Centrum partnerskie

Niektóre strony w Centrum partnerskim są chronione przez uwierzytelnianie wieloskładnikowe, w tym:

  • Wszystkie strony pod kartą Klienci (czyli wszystkie strony z adresem URL rozpoczynającym się od )
  • Wszystkie strony pod kartą Wsparcie>Żądania klientów (na przykład wszystkie strony dostępne przy użyciu adresu URL rozpoczynającego się od https://partner.microsoft.com/dashboard/v2/support/customers/*)
  • Wszystkie strony w zakładce Fakturowanie

Inne strony w Centrum partnerskim, takie jak strona Przegląd i strona sprawdzania stanu kondycji usługi, nie wymagają uwierzytelniania dwuskładnikowego.

W poniższej tabeli przedstawiono, które typy użytkowników są autoryzowane do uzyskiwania dostępu do tych stron chronionych za pomocą uwierzytelniania wieloskładnikowego (i mają to wpływ na tę funkcję).

Strona chroniona za pomocą uwierzytelniania wieloskładnikowego Agenci administracyjni Agenci sprzedaży Agenci pomocy technicznej Administrator zabezpieczeń Administrator rozliczeń
Wszystkie strony pod kartą Klienci x x x
Wszystkie strony w zakładce Wsparcie Żądania klienta x x
Strona rozliczeń x x x
Obszar roboczy zabezpieczeń x x

Aby uzyskać dostęp do tych stron, należy najpierw ukończyć weryfikację uwierzytelniania wieloskładnikowego.

Obsługiwane opcje uwierzytelniania wieloskładnikowego

Ważne

Partnerzy są zobowiązani do korzystania z dostawcy uwierzytelniania zgodnego ze zintegrowanym oświadczeniem usługi MFA firmy Microsoft Entra ID. Zintegrowane oświadczenie wskazuje rzeczywisty typ poświadczeń podany podczas uwierzytelniania. Partnerzy są zobowiązani do korzystania ze zintegrowanego uwierzytelniania wieloskładnikowego w celu zarządzania dzierżawami klientów za pomocą GDAP.

Centrum partnerskie i interfejsy API

W przypadku następujących interfejsów API Centrum partnerskiego wymagany jest dostęp aplikacji i użytkownika oraz uwierzytelnianie wieloskładnikowe usługi Microsoft Entra ID.

  • Odnajdywanie (cena/katalog/promocja)
  • Transakcje i zarządzanie
  • Rozliczenia i uzgadnianie
  • Zarządzanie klientami przy użyciu dostępu delegowanego/AOBO
  • Przypisanie użytkownika i licencji (tylko z DAP)
  • Przypisanie użytkownika i licencji (z GDAP)
  • Szczegółowe relacje administracyjne — żądanie i przypisywanie dostępu

Dostępne są następujące opcje dla partnerów:

  • Użyj wbudowanych metod uwierzytelniania firmy Microsoft, aby spełnić wymagania uwierzytelniania wieloskładnikowego.
  • Jeśli używasz dostawcy tożsamości federacyjnej, upewnij się, że federacja jest skonfigurowana do akceptowania federacyjnego uwierzytelniania wieloskładnikowego.
  • Jeśli chcesz użyć ADFS do skonfigurowania zewnętrznego drugiego czynnika, zobacz dostawców innych firm z ofertami uwierzytelniania wieloskładnikowego dostępnymi w AD FS: Konfigurowanie metod uwierzytelniania dla AD FS
  • Zaimplementuj uwierzytelnianie wieloskładnikowe: natychmiast włącz uwierzytelnianie wieloskładnikowe za pośrednictwem domyślnych ustawień zabezpieczeń lub dostępu warunkowego, postępując zgodnie ze wskazówkami dotyczącymi domyślnych zabezpieczeń.

Przykłady weryfikacji

Aby zilustrować sposób działania weryfikacji w Centrum partnerskim, rozważ poniższe przykłady.

Przykład 1: Partner zaimplementował uwierzytelnianie wieloskładnikowe firmy Microsoft

  1. Alejandra pracuje dla dostawcy usług w chmurze o nazwie Contoso. Firma Contoso zaimplementowała uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników w dzierżawie partnera firmy Contoso przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

  2. Alejandra uruchamia nową sesję przeglądarki i przechodzi do strony przeglądu Centrum partnerskiego (która nie jest chroniona za pomocą uwierzytelniania wieloskładnikowego). Partner Center przekierowuje Alejandrę do Microsoft Entra ID do zalogowania się.

  3. Ze względu na istniejącą konfigurację uwierzytelniania wieloskładnikowego firmy Contoso, Alejandra musi przejść weryfikację MFA. Po pomyślnym zalogowaniu się i weryfikacji uwierzytelniania wieloskładnikowego Alejandra zostanie przekierowana z powrotem do strony przeglądu Partner Center.

  4. Alejandra próbuje uzyskać dostęp do jednej ze stron chronionych przez uwierzytelnianie wieloskładnikowe w Centrum partnerskim. Ponieważ aplikacja Alejandra zakończyła weryfikację uwierzytelniania wieloskładnikowego podczas logowania wcześniej, alejandra może uzyskać dostęp do strony chronionej za pomocą uwierzytelniania wieloskładnikowego bez konieczności ponownego przeprowadzania weryfikacji uwierzytelniania wieloskładnikowego.

Przykład 2: Partner zaimplementował usługę MFA firmy innej niż Microsoft przy użyciu federacji tożsamości

  1. Prashob działa dla dostawcy CSP o nazwie Wingtip. Wingtip zaimplementował uwierzytelnianie wieloskładnikowe dla wszystkich swoich użytkowników w dzierżawie partnera Wingtip przy użyciu uwierzytelniania wieloskładnikowego innej firmy niż Microsoft, które jest zintegrowane z Microsoft Entra ID za pośrednictwem federacji tożsamości.

  2. Prashob otwiera nową sesję przeglądarki i przechodzi do strony głównej Centrum Partnerskiego (która nie jest chroniona uwierzytelnianiem wieloskładnikowym). Centrum partnerskie przekierowuje aplikację Prashob do identyfikatora Entra firmy Microsoft, aby się zalogować.

  3. Ponieważ Wingtip ma konfigurację federacji tożsamości, Microsoft Entra ID przekierowuje Prashob do dostawcy tożsamości federacyjnej w celu ukończenia weryfikacji logowania i uwierzytelniania wieloskładnikowego. Po pomyślnym zalogowaniu się i weryfikacji uwierzytelniania wieloskładnikowego Prashob zostaje przekierowany z powrotem do Microsoft Entra ID, a następnie do strony przeglądu Centrum partnerskiego.

  4. Prashob próbuje uzyskać dostęp do jednej ze stron chronionych za pomocą uwierzytelniania wieloskładnikowego w Centrum partnerskim. Ponieważ prashob zakończył już weryfikację uwierzytelniania wieloskładnikowego podczas logowania wcześniej, może uzyskać dostęp do strony chronionej uwierzytelnianiem wieloskładnikowym bez konieczności ponownego przeprowadzania weryfikacji uwierzytelniania wieloskładnikowego.

  5. Prashob następnie przechodzi do strony zarządzania usługami, aby dodać użytkowników w Microsoft Entra ID firmy Contoso. Ponieważ Prashob używa dostawcy uwierzytelniania zgodnego z Entra z silnym uwierzytelnianiem, mogą uzyskać dostęp do dzierżawy klienta bez żadnych problemów.

Zaleceniem dla prashob w tym przykładzie jest użycie rozwiązania uwierzytelniania wieloskładnikowego firmy Microsoft lub dostawcy uwierzytelniania zgodnego z rozwiązaniem Entra, aby umożliwić mu pomyślne zarządzanie dzierżawą klienta.

Przykład 3. Partner nie zaimplementował uwierzytelniania wieloskładnikowego

  1. Partner CSP o nazwie Fabrikam nie zaimplementował jeszcze uwierzytelniania wieloskładnikowego. Firma Microsoft zaleca, aby zaimplementowali rozwiązanie MFA obsługiwane przez Microsoft Entra ID.

  2. Jan pracuje dla firmy Fabrikam. Firma Fabrikam nie zaimplementowała uwierzytelniania wieloskładnikowego dla żadnych użytkowników w ramach dzierżawy partnerskiej Fabrikam.

  3. Jan rozpoczyna nową sesję przeglądarki i przechodzi do strony głównej Centrum Partnerskiego (która nie jest chroniona uwierzytelnianiem wieloskładnikowym). Centrum partnerskie przekierowuje Johna do identyfikatora Entra firmy Microsoft, aby się zalogować.

  4. Po pomyślnym zalogowaniu, John jest przekierowywany z powrotem do strony głównej Centrum partnerskiego, ponieważ nie ukończył wieloskładnikowej weryfikacji tożsamości.

  5. Jan próbuje uzyskać dostęp do jednej ze stron chronionych za pomocą uwierzytelniania wieloskładnikowego w Centrum partnerskim. Ponieważ John nie ukończył weryfikacji uwierzytelniania wieloskładnikowego, Centrum partnerskie przekierowuje go do Microsoft Entra ID, aby zakończyć tę weryfikację. Ponieważ jest to pierwszy raz Jan jest wymagany do ukończenia uwierzytelniania wieloskładnikowego, Jan jest również proszony o zarejestrowanie się w celu uwierzytelniania wieloskładnikowego. Po pomyślnym zarejestrowaniu usługi MFA i weryfikacji uwierzytelniania wieloskładnikowego Jan może uzyskać dostęp do strony chronionej uwierzytelnianiem wieloskładnikowym.

  6. W innym dniu, zanim firma Fabrikam zaimplementuje uwierzytelnianie wieloskładnikowe dla dowolnego użytkownika, Jan rozpocznie nową sesję przeglądarki i przejdzie do strony przeglądu Centrum partnerskiego (która nie jest chroniona za pomocą uwierzytelniania wieloskładnikowego). Partner Center przekierowuje Johna do Microsoft Entra ID, aby zalogować się bez monitu dotyczącego uwierzytelniania wieloskładnikowego.

  7. Jan próbuje uzyskać dostęp do jednej ze stron chronionych za pomocą uwierzytelniania wieloskładnikowego w Centrum partnerskim. Ponieważ Jan nie ukończył weryfikacji uwierzytelniania wieloskładnikowego, Centrum partnerskie przekierowuje Jana do Microsoft Entra ID, aby zakończyć tę weryfikację. Ponieważ Jan zarejestrował uwierzytelnianie wieloskładnikowe, tym razem jest proszony tylko o ukończenie weryfikacji uwierzytelniania wieloskładnikowego.

Przykład 4: Partner zaimplementował usługę MFA firmy innej niż Microsoft, która nie jest zgodna z firmą Microsoft Entra

  1. Trent pracuje dla dostawcy CSP o nazwie Wingtip. Wingtip wdrożył uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników w dzierżawie partnera Wingtip, korzystając z usług MFA innych niż Microsoft w chmurowym środowisku z dostępem warunkowym.

  2. Trent uruchamia nową sesję przeglądarki i przechodzi do strony przeglądu Centrum partnerskiego (która nie jest chroniona MFA). Centrum partnerskie przekierowuje Trenta do Microsoft Entra ID, aby się zalogować.

  3. Ponieważ Wingtip używa integracji uwierzytelniania wieloskładnikowego spoza firmy Microsoft, która nie jest zgodna z Microsoft Entra ID i nie zapewnia silnego uwierzytelniania, Trent będzie miał zablokowany dostęp do wszystkich stron i interfejsów API chronionych przez uwierzytelnianie wieloskładnikowe w Centrum partnerskim.

Ponieważ Trent uzyskuje dostęp do stron chronionych za pomocą uwierzytelniania wieloskładnikowego, musi przedstawić MFA z mocnym uwierzytelnianiem, aby uzyskać dostęp do tych stron.

Partnerzy są zobowiązani do korzystania z dostawcy uwierzytelniania zgodnego z Identyfikatorem Entra Microsoft, który obsługuje oświadczenie metody poświadczeń ("oświadczenie amr" w dokumentacji oświadczeń tokenu dostępu — Platforma tożsamości Microsoft), odzwierciedlające rzeczywisty typ poświadczeń podany podczas uwierzytelniania.

Zdecydowanie zachęcamy partnerów CSP do natychmiastowego wdrożenia uwierzytelniania wieloskładnikowego zgodnego z Microsoft Entra ID, aby podnieść podstawowy poziom zabezpieczeń dzierżawy.

API Centrum Partnerów

Interfejs API Centrum partnerskiego obsługuje zarówno uwierzytelnianie tylko dla aplikacji, jak i uwierzytelnianie aplikacji i użytkownika (App+User).

Podczas używania uwierzytelniania aplikacji i użytkownika, Centrum partnerskie wymaga weryfikacji MFA. Mówiąc dokładniej, gdy aplikacja partnerska wysyła żądanie interfejsu API do Centrum partnerskiego, musi zawierać token dostępu w nagłówku autoryzacji żądania.

Uwaga

Struktura modelu bezpiecznych aplikacji to skalowalna struktura do uwierzytelniania partnerów CSP i cpV za pośrednictwem architektury usługi Microsoft Azure MFA podczas wywoływania interfejsów API Centrum partnerskiego. Należy zaimplementować tę platformę podczas korzystania z uwierzytelniania wieloskładnikowego w automatyzacji usług.

Gdy Centrum partnerskie odbiera żądanie interfejsu API z tokenem dostępu uzyskanym przy użyciu uwierzytelniania App+User, interfejs API Centrum partnerskiego sprawdza obecność wartości MFA w oświadczeniu odwołania do metody uwierzytelniania (AMR). Aby sprawdzić, czy token dostępu zawiera oczekiwaną wartość odwołania do metody uwierzytelniania (AMR), możesz użyć dekodera JWT:

{
  "aud": "https://api.partnercenter.microsoft.com",
  "iss": "https://sts.windows.net/df845f1a-7b35-40a2-ba78-6481de91f8ae/",
  "iat": 1549088552,
  "nbf": 1549088552,
  "exp": 1549092452,
  "acr": "1",
  "amr": [
    "pwd",
    "mfa"
  ],
  "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "appidacr": "0",
  "family_name": "Adminagent",
  "given_name": "CSP",
  "ipaddr": "127.0.0.1",
  "name": "Adminagent CSP",
  "oid": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "scp": "user_impersonation",
  "tenant_region_scope": "NA",
  "tid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "unique_name": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "upn": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "ver": "1.0"
}

  • Jeśli wartość jest obecna, Centrum Partnerskie stwierdza, że weryfikacja uwierzytelniania wieloskładnikowego została ukończona i przetwarza żądanie API.

  • Jeśli wartość nie jest obecna, interfejs API Centrum partnerskiego odrzuca żądanie z następującą odpowiedzią:

    HTTP/1.1 401 Unauthorized - MFA required
Transfer-Encoding: chunked
Request-Context: appId=cid-v1:11112222-bbbb-3333-cccc-4444dddd5555
WWW-Authenticate: Bearer error="invalid_token"
Date: Thu, 14 Feb 2019 21:54:58 GMT

Podczas wywoływania interfejsów API Centrum Partnerskiego, tokeny dostępu tylko dla aplikacji są obsługiwane wyłącznie dla operacji, które nie wymagają przypisań ról GDAP w dzierżawie klienta.

Aby dowiedzieć się więcej najlepszych rozwiązań, zobacz Uwierzytelnianie i autoryzacja interfejsu API — omówienie.

Administrowanie delegowane przez partnera

Partnerzy będący dzierżawcami powinni używać szczegółowych delegowanych uprawnień administratora (GDAP) do zarządzania zasobami klientów za pośrednictwem portali usług online firmy Microsoft (portal.azure.com lub admin.microsoft.com), w wierszu poleceń i interfejsów API (przy użyciu uwierzytelniania aplikacji i użytkownika). Aby uzyskać więcej informacji, zobacz obsługiwane opcje MFA.

Korzystanie z portali usług

Partnerzy programu CSP mogą administrować swoimi klientami z portalu Partner Center za pośrednictwem interfejsu zarządzania usługami. Partnerzy mogą przejść do klienta i wybrać pozycję Zarządzanie usługami, aby móc administrować określoną usługą dla klienta. Partnerzy muszą postępować zgodnie ze wskazówkami dotyczącymi roli GDAP najmniejszych uprawnień, aby uzyskać odpowiednią rolę GDAP w zakresie zarządzania klientami.

W przypadku uzyskiwania dostępu do portali usługi Online Services firmy Microsoft przy użyciu uprawnień delegowanego administratora partnera (Admin-On-Behalf-Of) w celu zarządzania zasobami klientów, wiele z tych portali wymaga, aby konto partnera było uwierzytelniane interaktywnie, z ustawioną dzierżawą Microsoft Entra klienta jako kontekst uwierzytelniania. Konto partnera jest wymagane do zalogowania się do dzierżawy klienta.

Uwierzytelnianie przez Microsoft Entra ID wymaga od użytkownika ukończenia weryfikacji MFA, jeśli istnieją zasady wymagające MFA. Istnieją dwa możliwe środowiska użytkownika, w zależności od tego, czy konto partnera jest tożsamością zarządzaną, czy federacyjną:

  • Jeśli konto partnera jest tożsamością zarządzaną, Microsoft Entra ID bezpośrednio monituje użytkownika o ukończenie uwierzytelniania wieloskładnikowego. Jeśli konto partnera nie zostało wcześniej zarejestrowane dla uwierzytelniania wieloskładnikowego przy użyciu identyfikatora Entra firmy Microsoft, użytkownik zostanie poproszony o wcześniejsze ukończenie rejestracji uwierzytelniania wieloskładnikowego.

  • Jeśli konto partnera jest tożsamością federacyjną, doświadczenie zależy od tego, jak administrator partnera skonfigurował federację w usłudze Microsoft Entra ID. Podczas konfigurowania federacji w usłudze Microsoft Entra ID, administrator partnera może wskazać Microsoft Entra ID, czy dostawca tożsamości federacyjnej obsługuje uwierzytelnianie wieloskładnikowe czy nie.

    • Jeśli tak, identyfikator Entra firmy Microsoft przekierowuje użytkownika do dostawcy tożsamości federacyjnej w celu ukończenia weryfikacji uwierzytelniania wieloskładnikowego.
    • Jeśli nie, identyfikator Entra firmy Microsoft bezpośrednio monituje użytkownika o ukończenie weryfikacji uwierzytelniania wieloskładnikowego. Jeśli konto partnera nie zostało wcześniej zarejestrowane dla uwierzytelniania wieloskładnikowego przy użyciu identyfikatora Entra firmy Microsoft, użytkownik zostanie poproszony o wcześniejsze ukończenie rejestracji uwierzytelniania wieloskładnikowego.

Ogólne doświadczenie jest podobne do scenariusza, w którym klient końcowy zaimplementował uwierzytelnianie wieloskładnikowe dla swoich administratorów. Na przykład dzierżawa klienta włączyła domyślne ustawienia zabezpieczeń Microsoft Entra, co wymaga, aby wszystkie konta z uprawnieniami administracyjnymi musiały zalogować się do dzierżawy klienta przy użyciu weryfikacji MFA, w tym agentów administratorów i agentów pomocy technicznej.

W celach testowych partnerzy mogą włączyć domyślne ustawienia zabezpieczeń Microsoft Entra w dzierżawie klienta, a następnie spróbować użyć uprawnień Granular Delegated Administration Privileges (GDAP) partnera do uzyskania dostępu do dzierżawy klienta.

Uwaga

Nie wszystkie portale firmy Microsoft umożliwiające korzystanie z usług online wymagają logowania się kont partnerów do tenanta klienta podczas uzyskiwania dostępu do zasobów klienta z użyciem frameworka GDAP. Zamiast tego niektóre wymagają od kont partnerów jedynie zalogowania się do dzierżawy partnera. Przykładem jest Centrum administracyjne programu Exchange. Z czasem oczekujemy, że te portale będą wymagać od użytkowników kont partnerskich zalogowania się do dzierżawy klienta podczas korzystania z GDAP.

Doświadczenie rejestracji MFA

Podczas weryfikacji uwierzytelniania wieloskładnikowego, jeśli konto partnera nie zostało wcześniej zarejestrowane dla uwierzytelniania wieloskładnikowego, identyfikator Entra firmy Microsoft monituje użytkownika o wcześniejsze ukończenie rejestracji uwierzytelniania wieloskładnikowego.

Przejrzyj więcej informacji na temat metody Microsoft Authenticator:

Screenshot of the first step in MFA registration.Zrzut ekranu przedstawiający pierwszy krok procesu rejestracji uwierzytelniania wieloskładnikowego.

Gdy użytkownik wybierze pozycję Dalej, zostanie poproszony o wybranie z listy metod weryfikacji.

Zrzut ekranu z drugiego kroku rejestracji MFA.Zrzut ekranu z drugiego kroku rejestracji MFA.

Po pomyślnej rejestracji użytkownik musi ukończyć weryfikację uwierzytelniania wieloskładnikowego przy użyciu wybranej metody weryfikacji.

Typowe problemy

Aby dowiedzieć się, czy twoje żądanie jest prawidłowe, zapoznaj się z listą typowych problemów zgłaszanych przez innych partnerów.

Problem 1: Partner potrzebuje więcej czasu na zaimplementowanie uwierzytelniania wieloskładnikowego dla swoich agentów partnerskich

Partner nie rozpoczął lub nadal jest w trakcie implementowania uwierzytelniania wieloskładnikowego dla swoich partnerów, którzy wymagają dostępu do portali usług online firmy Microsoft z użyciem delegowanych uprawnień administracyjnych partnera do zarządzania zasobami klientów. Partner potrzebuje więcej czasu na ukończenie implementacji uwierzytelniania wieloskładnikowego. Czy jest to prawidłowa przyczyna wyjątku technicznego?

Odpowiedź: Nie. Partner musi zaplanować wdrożenie uwierzytelniania wieloskładnikowego dla swoich użytkowników, aby uniknąć zakłóceń.

Uwaga

Mimo że partner nie zaimplementował uwierzytelniania wieloskładnikowego dla swoich agentów partnerskich, agenci partnerów mogą nadal uzyskiwać dostęp do portali usług online firmy Microsoft, używając przywilejów administracji delegowanej przez partnera, jeśli będą mogli ukończyć rejestrację MFA i weryfikację uwierzytelniania wieloskładnikowego, gdy zostaną o to poproszeni podczas logowania do dzierżawy klienta. Ukończenie rejestracji uwierzytelniania wieloskładnikowego nie powoduje automatycznej aktywacji użytkownika do uwierzytelniania wieloskładnikowego.

Problem 2: Partner nie zaimplementował uwierzytelniania wieloskładnikowego, ponieważ nie potrzebuje dostępu do zarządzania klientami

Partner ma niektórych użytkowników w dzierżawach partnerów, którzy nie wymagają dostępu do portali usług Online Services firmy Microsoft w celu zarządzania zasobami klientów przy użyciu uprawnień administracji delegowanej partnera. Partner jest w trakcie implementowania uwierzytelniania wieloskładnikowego dla tych użytkowników i potrzebuje więcej czasu na ukończenie. Czy jest to prawidłowa przyczyna wyjątku technicznego?

Odpowiedź: Nie. Ponieważ te konta użytkowników nie używają uprawnień administracji delegowanej partnera do zarządzania zasobami klientów, nie będą one wymagane do zalogowania się do dzierżawy klienta. Nie będą one miały wpływu na usługę Microsoft Entra ID wymagającą weryfikacji za pomocą uwierzytelniania wieloskładnikowego podczas logowania do dzierżawcy klienta. Wszyscy użytkownicy muszą posiadać MFA przy uzyskiwaniu dostępu do Partner Center lub obciążeń klientów, aby zarządzać zasobami klienta.

Problem 3: Partner nie zaimplementował uwierzytelniania wieloskładnikowego dla kont usług użytkowników

Partner ma pewne konta użytkowników w swoich dzierżawach, które są używane przez urządzenia jako konta usługowe. Te konta z niskimi uprawnieniami nie wymagają dostępu do Centrum partnerskiego ani portali usług online firmy Microsoft do zarządzania zasobami klientów przy użyciu uprawnień administratora delegowanego partnera. Czy jest to prawidłowa przyczyna wyjątku technicznego?

Odpowiedź: Nie. Ponieważ te konta użytkowników nie używają uprawnień administracji delegowanej partnera do zarządzania zasobami klientów, nie są one wymagane do zalogowania się do dzierżawy klienta. Nie będą one podlegały wymogowi uwierzytelniania wieloskładnikowego Microsoft Entra ID podczas logowania się do dzierżawy klienta. Jeśli interfejs API lub portal wymaga uwierzytelniania aplikacji i użytkownika, każdy użytkownik musi używać uwierzytelniania wieloskładnikowego.

Problem 4. Partner nie może zaimplementować uwierzytelniania wieloskładnikowego przy użyciu aplikacji Microsoft Authenticator

Partner ma zasady "czystego biurka", które nie zezwalają pracownikom na wprowadzanie osobistych urządzeń przenośnych do obszaru roboczego. Bez dostępu do osobistych urządzeń przenośnych pracownicy nie mogą zainstalować aplikacji Microsoft Authenticator, która jest jedyną weryfikacją uwierzytelniania wieloskładnikowego obsługiwaną przez domyślne ustawienia zabezpieczeń firmy Microsoft Entra. Czy jest to prawidłowa przyczyna wyjątku technicznego?

Odpowiedź: Nie. Partner powinien rozważyć następującą alternatywę, aby pracownicy mogli nadal wykonywać weryfikację uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do Centrum partnerskiego:

  • Partner może również zarejestrować się w usłudze Microsoft Entra ID P1 lub P2 albo użyć rozwiązań uwierzytelniania wieloskładnikowego firmy innej niż Microsoft, które są zgodne z identyfikatorem Entra firmy Microsoft, które mogą zapewnić więcej metod weryfikacji. Aby dowiedzieć się więcej, zobacz Obsługiwane metody uwierzytelniania.

Problem 5: Partner nie może zaimplementować uwierzytelniania wieloskładnikowego ze względu na użycie starszych protokołów uwierzytelniania

Partner ma niektórych agentów partnerskich, którzy nadal korzystają ze starszych protokołów uwierzytelniania, które nie są zgodne z usługą MFA. Na przykład użytkownicy nadal korzystają z programu Outlook 2010, który jest oparty na starszych protokołach uwierzytelniania. Włączenie uwierzytelniania wieloskładnikowego dla tych agentów partnerskich spowoduje zakłócenia korzystania ze starszych protokołów uwierzytelniania. Czy jest to prawidłowa przyczyna wyjątku technicznego?

Odpowiedź: Nie. Partnerzy są zachęcani do odejścia od używania starszych protokołów uwierzytelniania z powodu potencjalnych skutków bezpieczeństwa, ponieważ te protokoły nie mogą być chronione przy użyciu weryfikacji uwierzytelniania wieloskładnikowego i są znacznie bardziej podatne na naruszenie poświadczeń. Zalecamy, aby wycofać wszystkie starsze uwierzytelnianie i używać wartości domyślnych zabezpieczeń lub dostępu warunkowego. Aby przygotować się do odejścia od starszego uwierzytelniania, zapoznaj się z raportem użycia starszego uwierzytelniania i wskazówkami dotyczącymi blokowania starszego uwierzytelniania.

Aby zrozumieć najnowszy plan obsługi starszego uwierzytelniania dla programu Outlook, przeczytaj wpis dotyczący Podstawowego uwierzytelniania i usługi Exchange Online, i śledź blog zespołu Exchange, aby otrzymywać nadchodzące wiadomości.

Problem 6: Partner zaimplementował usługę MFA firmy innej niż Microsoft, która nie jest rozpoznawana przez identyfikator entra firmy Microsoft

Partner zaimplementował uwierzytelnianie wieloskładnikowe dla swoich użytkowników przy użyciu rozwiązania MFA firmy innej niż Microsoft. Jednak partner nie jest w stanie poprawnie skonfigurować rozwiązania MFA firmy innej niż Microsoft tak, aby przekazywało do Microsoft Entra ID informację o ukończeniu weryfikacji MFA podczas uwierzytelniania użytkownika. Czy jest to prawidłowa przyczyna wyjątku technicznego?

Odpowiedź: Nie, partnerzy są zobowiązani do korzystania z dostawcy uwierzytelniania zgodnego z Microsoft Entra ID, który obsługuje twierdzenie metody poświadczeń ("AMR"), dokumentacja dotycząca twierdzeń tokenu dostępu — Platforma tożsamości Microsoft, odzwierciedlając rzeczywisty typ poświadczeń podany podczas uwierzytelniania.

Zdecydowanie zachęcamy do natychmiastowego zaimplementowania uwierzytelniania wieloskładnikowego zgodnego z Microsoft Entra ID, aby podnieść poziom bezpieczeństwa Twojej dzierżawy.

Powiązana zawartość

  • Stan wymagań dotyczących zabezpieczeń partnera