Często zadawane pytania dotyczące wymagań dotyczących zabezpieczeń partnerów

Odpowiednie role: wszyscy użytkownicy Centrum partnerskiego

Ten artykuł zawiera odpowiedzi na kilka typowych pytań dotyczących wymagań dotyczących zabezpieczeń partnerów w obszarze roboczym Ustawienia konta.

Jakie są wymagania dotyczące zabezpieczeń partnerów i dlaczego partnerzy powinni je zaimplementować?

Widzimy coraz większą liczbę coraz bardziej zaawansowanych ataków zabezpieczeń — przede wszystkim ataki związane z naruszeniem tożsamości.

Wprowadziliśmy obowiązkowe wymagania bezpieczeństwa, ponieważ mechanizmy kontroli prewencyjnej odgrywają kluczową rolę w ogólnej strategii obrony. Wszyscy partnerzy uczestniczący w programie Dostawca rozwiązań w chmurze (CSP), dostawcy Panel sterowania i doradcy muszą wdrożyć te wymagania dotyczące zabezpieczeń, aby zachować zgodność.

Jakie są osie czasu i punkty kontrolne na potrzeby implementowania wymagań dotyczących zabezpieczeń?

Terminy związane z wymaganiami dotyczącymi zabezpieczeń, w tym osie czasu i kamieni milowych, są zawarte w umowie partnerskiej firmy Microsoft. Aby zachować zgodność, musisz jak najszybciej wdrożyć te wymagania dotyczące zabezpieczeń, aby móc uczestniczyć w programie CSP.

Co się stanie, jeśli nie zaimplementuję wymagań dotyczących zabezpieczeń partnera?

Umowa partnerska firmy Microsoft wymaga wymuszenia uwierzytelniania wieloskładnikowego dla kont użytkowników oraz wdrożenia bezpiecznego modelu aplikacji do interakcji z interfejsem API Centrum partnerskiego.

Partnerzy, którzy nie przestrzegają tych praktyk zabezpieczeń, mogą utracić możliwość transakcji w programie CSP lub zarządzać dzierżawami klientów przy użyciu delegowanych praw administratora.

Czy wymagania dotyczące zabezpieczeń mają zastosowanie do wszystkich lokalizacji geograficznych?

Tak. (Mimo że platforma Azure Government nie jest obecnie wymagana do spełnienia wymagań dotyczących zabezpieczeń, zdecydowanie zalecamy natychmiastowe przyjęcie tych wymagań dotyczących zabezpieczeń przez wszystkich partnerów).

Czy można uzyskać wykluczenie dla konta?

Nie, nie można wykluczyć żadnego konta użytkownika z wymagania dotyczącego wymuszania uwierzytelniania wieloskładnikowego (MFA). Biorąc pod uwagę wysoce uprzywilejowany charakter bycia partnerem, umowa partnerów firmy Microsoft wymaga wymuszania uwierzytelniania wieloskładnikowego dla każdego konta użytkownika w dzierżawie partnera.

Jak mogę wiedzieć, czy spełniam wymagania dotyczące zabezpieczeń partnera?

Aby spełnić wymagania dotyczące zabezpieczeń partnera, wykonaj następujące kroki:

Aby ułatwić identyfikowanie obszarów, w których można podjąć działania, udostępniamy raport o stanie wymagań dotyczących zabezpieczeń w Centrum partnerskim.

Wymagane akcje

Jakie działania należy wykonać, aby spełnić wymagania dotyczące zabezpieczeń?

Wszyscy partnerzy w programie CSP (rozliczanie bezpośrednie, dostawca pośredni i odsprzedawca pośredni), doradcy i Panel sterowania Dostawcy muszą spełniać wymagania.

  1. Wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

    Wszyscy partnerzy w programie CSP, doradcy i dostawcy Panel sterowania muszą wymusić uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników w dzierżawie partnera.

    Inne zagadnienia:

    • Dostawcy pośredni muszą współpracować z odsprzedawcami pośrednimi, aby dołączyć do Centrum partnerskiego, jeśli jeszcze tego nie zrobili, i zachęcić swoich odsprzedawców do spełnienia wymagań.
    • Uwierzytelnianie wieloskładnikowe firmy Microsoft jest dostępne dla użytkowników w dzierżawie partnera bez ponoszenia kosztów za pośrednictwem domyślnych ustawień zabezpieczeń firmy Microsoft Entra, przy użyciu jedynej metody weryfikacji aplikacji wystawcy uwierzytelnienia, która obsługuje hasła jednorazowe oparte na czasie (TOTP).
    • Inne metody weryfikacji są dostępne za pośrednictwem jednostek SKU Microsoft Entra P1 lub P2 , jeśli są wymagane inne metody, takie jak rozmowa telefoniczna lub wiadomość SMS.
    • Partnerzy mogą również używać rozwiązania MFA innej firmy dla każdego konta podczas uzyskiwania dostępu do komercyjnych usług w chmurze firmy Microsoft.
  2. Wdrożenie struktury modelu zabezpieczeń aplikacji

    Partnerzy, którzy opracowali niestandardową integrację przy użyciu dowolnych interfejsów API (takich jak usługa Azure Resource Manager, program Microsoft Graph, interfejs API Centrum partnerskiego itd.) lub zaimplementowali niestandardową automatyzację przy użyciu narzędzi takich jak program PowerShell, muszą przyjąć strukturę Secure Application Model, aby zintegrować się z usługami w chmurze firmy Microsoft. Niepowodzenie tej czynności może spowodować zakłócenia z powodu wdrożenia uwierzytelniania wieloskładnikowego.

    Poniższe zasoby zawierają omówienie i wskazówki dotyczące sposobu wdrażania modelu.

    Skontaktuj się z dostawcą, jeśli używasz panelu sterowania dotyczącego wdrażania platformy Secure Application Model.

    Dostawcy panelu sterowania muszą dołączyć do Centrum partnerskiego jako dostawców panelu sterowania i natychmiast rozpocząć wdrażanie tego wymagania. Zapoznaj się z centrum partnerskim : bezpieczna struktura modelu aplikacji.

    Dostawcy panelu sterowania muszą zaakceptować zgodę partnerów CSP i zarządzać nimi zamiast poświadczeń i czyścić wszystkie istniejące poświadczenia partnerów CSP.

Uwierzytelnianie wieloskładnikowe

Co to jest uwierzytelnianie wieloskładnikowe (MFA)?

Uwierzytelnianie wieloskładnikowe to mechanizm zabezpieczeń umożliwiający uwierzytelnianie osób przy użyciu więcej niż jednej wymaganej procedury zabezpieczeń i weryfikacji. Działa to przez wymaganie co najmniej dwóch następujących metod uwierzytelniania:

  • Coś, co znasz (zazwyczaj hasło)
  • Coś, co masz (zaufane urządzenie, które nie jest łatwo zduplikowane, jak telefon)
  • Coś, co jesteś (biometryczne)

Czy istnieje koszt włączenia uwierzytelniania wieloskładnikowego?

Firma Microsoft zapewnia uwierzytelnianie wieloskładnikowe bez kosztów dzięki implementacji domyślnych ustawień zabezpieczeń firmy Microsoft Entra. Jedyną opcją weryfikacji dostępną przy użyciu tej wersji uwierzytelniania wieloskładnikowego jest aplikacja wystawcy uwierzytelnienia.

  • Jeśli wymagana jest rozmowa telefoniczna lub wiadomość SMS, należy kupić licencję Microsoft Entra P1 lub P2 .
  • Alternatywnie możesz użyć rozwiązania innej firmy, aby zapewnić uwierzytelnianie wieloskładnikowe dla każdego użytkownika w dzierżawie partnera. W takim przypadku twoim obowiązkiem jest upewnienie się, że rozwiązanie MFA jest wymuszane i że jest zgodne.

Jakie akcje należy wykonać, jeśli mam już rozwiązanie uwierzytelniania wieloskładnikowego?

Użytkownicy w dzierżawie partnera muszą uwierzytelniać się przy użyciu uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do komercyjnych usług w chmurze firmy Microsoft. Rozwiązania innych firm mogą służyć do spełnienia tych wymagań. Firma Microsoft nie zapewnia już testowania poprawności niezależnym dostawcom tożsamości w celu zapewnienia zgodności z identyfikatorem Entra firmy Microsoft. Aby przetestować produkt pod kątem współdziałania, zobacz Dokumentacja zgodności dostawcy tożsamości firmy Microsoft.

Ważne

Jeśli używasz rozwiązania innej firmy, ważne jest, aby sprawdzić, czy rozwiązanie wystawia oświadczenie odwołania do metody uwierzytelniania (AMR), które zawiera wartość uwierzytelniania wieloskładnikowego. Aby uzyskać szczegółowe informacje na temat sprawdzania poprawności rozwiązania innej firmy wystawiającego oczekiwane oświadczenie, zobacz Testowanie wymagań zabezpieczeń partnera.

Do transakcji używam wielu dzierżaw partnerów. Czy muszę zaimplementować uwierzytelnianie wieloskładnikowe na wszystkich z nich?

Tak. Należy wymusić uwierzytelnianie wieloskładnikowe dla każdej dzierżawy usługi Microsoft Entra skojarzonej z programem CSP lub programem Advisor. Aby kupić licencję Microsoft Entra ID P1 lub P2, musisz kupić licencję Microsoft Entra ID dla użytkowników w każdej dzierżawie firmy Microsoft Entra.

Czy każde konto użytkownika w dzierżawie partnera musi mieć wymuszaną uwierzytelnianie wieloskładnikowe?

Tak. Każdy użytkownik musi mieć wymuszoną uwierzytelnianie wieloskładnikowe. Jeśli jednak używasz domyślnych ustawień zabezpieczeń firmy Microsoft Entra, nie jest wymagana żadna inna akcja, ponieważ ta funkcja wymusza uwierzytelnianie wieloskładnikowe dla wszystkich kont użytkowników. Włączenie wartości domyślnych zabezpieczeń jest bezpłatnym i łatwym sposobem zapewnienia, że konta użytkowników są zgodne z uwierzytelnianiem wieloskładnikowym i nie mają wpływu na wymuszanie uwierzytelniania wieloskładnikowego.

Jestem partnerem rozliczanym bezpośrednio z firmą Microsoft. Co należy zrobić?

Partnerzy Dostawca rozwiązań w chmurze rozliczania bezpośredniego muszą wymusić uwierzytelnianie wieloskładnikowe dla każdego użytkownika w dzierżawie partnera.

Jestem odsprzedawcą pośrednim i tylko transakcją za pośrednictwem dystrybutora. Czy nadal muszę włączyć uwierzytelnianie wieloskładnikowe?

Tak. Wszyscy odsprzedawcy pośredni są zobowiązani do wymuszania uwierzytelniania wieloskładnikowego dla każdego użytkownika w dzierżawie partnera. Odsprzedawca pośredni musi włączyć uwierzytelnianie wieloskładnikowe.

Nie używam interfejsu API Centrum partnerskiego. Czy nadal muszę zaimplementować uwierzytelnianie wieloskładnikowe?

Tak. To wymaganie dotyczące zabezpieczeń dotyczy wszystkich użytkowników, w tym użytkowników administracyjnych partnerów i użytkowników końcowych w dzierżawie partnera.

Którzy dostawcy innych firm udostępniają rozwiązania MFA zgodne z identyfikatorem Entra firmy Microsoft?

Podczas przeglądania dostawców i rozwiązań uwierzytelniania wieloskładnikowego należy upewnić się, że wybrane rozwiązanie jest zgodne z identyfikatorem Entra firmy Microsoft.

Firma Microsoft nie zapewnia już testowania poprawności niezależnym dostawcom tożsamości w celu zapewnienia zgodności z identyfikatorem Entra firmy Microsoft. Jeśli chcesz przetestować produkt pod kątem współdziałania, zapoznaj się z dokumentacją zgodności dostawcy tożsamości firmy Microsoft.

Aby uzyskać więcej informacji, zobacz listę zgodności federacji firmy Microsoft.

Jak przetestować uwierzytelnianie wieloskładnikowe w piaskownicy integracji?

Należy włączyć funkcję wartości domyślnych zabezpieczeń firmy Microsoft. Alternatywnie możesz użyć rozwiązania innej firmy, które korzysta z federacji.

Czy włączenie uwierzytelniania wieloskładnikowego wpłynie na sposób interakcji z dzierżawą klienta?

L.p. Spełnienie tych wymagań dotyczących zabezpieczeń nie wpłynie na sposób zarządzania klientami. Możliwość wykonywania delegowanych operacji administracyjnych nie zostanie przerwana.

Czy moi klienci podlegają wymaganiom w zakresie zabezpieczeń partnera?

L.p. Nie musisz wymuszać uwierzytelniania wieloskładnikowego dla każdego użytkownika w dzierżawach firmy Microsoft w firmie Microsoft. Zalecamy jednak pracę z każdym klientem, aby określić, jak najlepiej chronić swoich użytkowników.

Czy można wykluczyć dowolnego użytkownika z wymagania uwierzytelniania wieloskładnikowego?

L.p. Każdy użytkownik w dzierżawie partnera, w tym konta usług, musi uwierzytelniać się przy użyciu uwierzytelniania wieloskładnikowego.

Czy wymagania dotyczące zabezpieczeń partnerów mają zastosowanie do piaskownicy integracji?

Tak. Oznacza to, że należy zaimplementować odpowiednie rozwiązanie uwierzytelniania wieloskładnikowego dla użytkowników w dzierżawie piaskownicy integracji. Zalecamy zaimplementowanie domyślnych ustawień zabezpieczeń firmy Microsoft w celu zapewnienia uwierzytelniania wieloskładnikowego.

Jak mogę skonfigurować konto dostępu awaryjnego ("break glass")?

Najlepszym rozwiązaniem jest utworzenie jednego lub dwóch kont dostępu awaryjnego, aby zapobiec niezamierzonemu zablokowaniu dzierżawy firmy Microsoft Entra. W odniesieniu do wymagań dotyczących zabezpieczeń partnerów wymagane jest, aby każdy użytkownik uwierzytelnił się przy użyciu uwierzytelniania wieloskładnikowego. To wymaganie oznacza, że musisz zmodyfikować definicję konta dostępu awaryjnego. Może to być konto korzystające z rozwiązania innej firmy na potrzeby uwierzytelniania wieloskładnikowego.

Czy usługa federacyjna Active Directory (ADFS) jest wymagana, jeśli używam rozwiązania innej firmy?

L.p. W przypadku korzystania z rozwiązania innej firmy nie jest wymagana usługa federacyjna Active Directory (ADFS). Zaleca się pracę z dostawcą rozwiązania, aby określić, jakie są wymagania dotyczące ich rozwiązania.

Czy jest wymagane włączenie domyślnych ustawień zabezpieczeń firmy Microsoft w usłudze Microsoft Entra?

L.p.

Czy można użyć dostępu warunkowego, aby spełnić wymaganie uwierzytelniania wieloskładnikowego?

Tak. Dostęp warunkowy umożliwia wymuszanie uwierzytelniania wieloskładnikowego dla każdego użytkownika, w tym kont usług, w dzierżawie partnera. Jednak biorąc pod uwagę wysoce uprzywilejowany charakter bycia partnerem, musimy upewnić się, że każdy użytkownik ma wyzwanie uwierzytelniania wieloskładnikowego dla każdego uwierzytelniania. Oznacza to, że nie można użyć funkcji dostępu warunkowego, która pomija wymaganie uwierzytelniania wieloskładnikowego.

Czy konto usługi używane przez program Microsoft Entra Connect będzie miało wpływ na wymagania dotyczące zabezpieczeń partnera?

L.p. Konto usługi używane przez program Microsoft Entra Connect nie będzie miało wpływu na wymagania dotyczące zabezpieczeń partnera. Jeśli wystąpi problem z programem Microsoft Entra Connect w wyniku wymuszenia uwierzytelniania wieloskładnikowego, otwórz wniosek o pomoc techniczną z pomocą techniczną firmy Microsoft.

Bezpieczny model aplikacji

Kto powinien przyjąć bezpieczny model aplikacji, aby spełnić wymagania?

Firma Microsoft wprowadziła bezpieczną, skalowalną platformę do uwierzytelniania partnerów Dostawca rozwiązań w chmurze (CSP) i dostawców Panel sterowania (CPV), które korzystają z uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Przewodnik dotyczący bezpiecznego modelu aplikacji. Wszyscy partnerzy, którzy opracowali niestandardową integrację przy użyciu dowolnych interfejsów API (takich jak Azure Resource Manager, Microsoft Graph, Interfejs API Centrum partnerskiego itd.) lub zaimplementowali niestandardową automatyzację przy użyciu takich narzędzi programu PowerShell, będą musieli wdrożyć platformę Secure Application Model w celu integracji z usługami firmy Microsoft w chmurze.

Co to jest model bezpiecznej aplikacji?

Firma Microsoft wprowadza bezpieczną, skalowalną platformę do uwierzytelniania partnerów Dostawca rozwiązań w chmurze (CSP) i dostawców Panel sterowania (CPV), które korzystają z uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Przewodnik dotyczący bezpiecznego modelu aplikacji.

Jak mogę zaimplementować model bezpiecznej aplikacji?

Wszyscy partnerzy, którzy opracowali niestandardową integrację przy użyciu dowolnych interfejsów API (takich jak Azure Resource Manager, Microsoft Graph, Interfejs API Centrum partnerskiego itd.) lub zaimplementowali niestandardową automatyzację przy użyciu narzędzi takich jak program PowerShell, muszą przyjąć platformę Secure Application Model w celu integracji z usługami w chmurze firmy Microsoft. Niepowodzenie tej czynności może spowodować zakłócenia z powodu wdrożenia uwierzytelniania wieloskładnikowego.

Następujące zasoby zawierają omówienie i wskazówki dotyczące sposobu wdrażania modelu:

Jeśli korzystasz z panelu sterowania, musisz skontaktować się z dostawcą w sprawie wdrożenia platformy Secure Application Model.

Dostawcy panelu sterowania muszą dołączyć do Centrum partnerskiego jako dostawcę panelu sterowania i natychmiast rozpocząć wdrażanie tego wymagania.

Zapoznaj się z centrum partnerskim : bezpieczna struktura modelu aplikacji. Dostawcy panelu sterowania muszą zaakceptować zgodę partnerów CSP i zarządzać nimi zamiast poświadczeń i czyścić wszystkie istniejące poświadczenia partnerów CSP.

Czy model bezpiecznej aplikacji musi zostać zaimplementowany tylko dla interfejsu API/zestawu SDK Centrum partnerskiego?

Wymuszając uwierzytelnianie wieloskładnikowe dla wszystkich kont użytkowników, ma to wpływ na dowolną automatyzację lub integrację przeznaczoną do uruchamiania nieinterakcyjnego. Mimo że wymagania dotyczące zabezpieczeń partnerów wymagają włączenia bezpiecznego modelu aplikacji dla interfejsu API Centrum partnerskiego, może służyć do zaspokojenia potrzeby drugiego czynnika uwierzytelniania za pomocą automatyzacji i integracji.

Uwaga

Zasoby, do których uzyskuje się dostęp, muszą obsługiwać uwierzytelnianie oparte na tokenach dostępu.

Używam narzędzi automatyzacji, takich jak program PowerShell. Jak mogę zaimplementować model bezpiecznej aplikacji?

Należy zaimplementować model bezpiecznej aplikacji, jeśli automatyzacja działa nieinterakcyjnie i opiera się na poświadczeniach użytkownika na potrzeby uwierzytelniania. Zobacz Bezpieczny model aplikacji | Centrum partnerskie programu PowerShell zawiera wskazówki dotyczące implementowania tej platformy.

Uwaga

Nie wszystkie narzędzia automatyzacji mogą uwierzytelniać się przy użyciu tokenów dostępu. Opublikuj komunikat w grupie Wskazówki dotyczące zabezpieczeń Centrum partnerskiego, jeśli potrzebujesz pomocy w zrozumieniu, jakie zmiany należy wprowadzić.

Jakie poświadczenia użytkownika powinny podać administrator aplikacji podczas wykonywania procesu wyrażania zgody?

Zaleca się użycie konta usługi, do którego przypisano najmniej uprzywilejowane uprawnienia. W odniesieniu do interfejsu API Centrum partnerskiego należy użyć konta przypisanego do roli agenta sprzedaży lub agenta administracyjnego.

Dlaczego administrator aplikacji nie powinien podawać poświadczeń użytkownika administratora globalnego podczas wykonywania procesu wyrażania zgody?

Najlepszym rozwiązaniem jest użycie tożsamości o najniższych uprawnieniach, ponieważ zmniejsza to ryzyko. Nie zaleca się używania konta z uprawnieniami administratora globalnego, ponieważ zapewnia więcej uprawnień niż są wymagane.

Jestem partnerem CSP. Jak mogę wiedzieć, czy mój dostawca Panel sterowania (CPV) pracuje nad implementacją rozwiązania, czy nie?

W przypadku partnerów korzystających z rozwiązania dostawcy Panel sterowania (CPV) do transakcji w programie Dostawca rozwiązań w chmurze (CSP) należy skontaktować się z dostawcą CPV.

Co to jest dostawca panelu sterowania (CPV)?

Dostawca panelu sterowania jest niezależnym dostawcą oprogramowania, który opracowuje aplikacje do użycia przez partnerów CSP w celu integracji z interfejsami API Centrum partnerskiego. Dostawca panelu sterowania nie jest partnerem CSP z bezpośrednim dostępem do Centrum partnerskiego lub interfejsów API. Szczegółowy opis jest dostępny w Centrum partnerskim: Bezpieczny model aplikacji.

Jestem CPV. Jak mogę zarejestrować?

Aby zarejestrować się jako dostawca panelu sterowania (CPV), postępuj zgodnie z wytycznymi w temacie Rejestrowanie jako dostawca Panel sterowania, aby ułatwić integrację systemów partnerskich CSP z interfejsami API Centrum partnerskiego.

Po zarejestrowaniu się w Centrum partnerskim i zarejestrowaniu aplikacji będziesz mieć dostęp do interfejsów API Centrum partnerskiego. Jeśli jesteś nowym protokołem CPV, otrzymasz informacje o piaskownicy w powiadomieniu Centrum partnerskiego. Po zakończeniu rejestracji jako CPV firmy Microsoft i zaakceptowaniu umowy CPV możesz:

  • Zarządzanie aplikacjami wielodostępnym (dodawanie aplikacji do witryny Azure Portal oraz rejestrowanie i wyrejestrowywanie aplikacji w Centrum partnerskim).

    Uwaga

    Certyfikaty CPV muszą zarejestrować swoje aplikacje w Centrum partnerskim, aby uzyskać autoryzację dla interfejsów API Centrum partnerskiego. Dodawanie aplikacji do samej witryny Azure Portal nie autoryzuje aplikacji CPV dla interfejsów API Centrum partnerskiego.

  • Wyświetlanie profilu CPV i zarządzanie nim.

  • Wyświetlanie użytkowników, którzy potrzebują dostępu do funkcji CPV i zarządzanie nimi. Protokół CPV może mieć rolę Administrator globalny.

Używam zestawu SDK Centrum partnerskiego. Czy zestaw SDK automatycznie przyjmie model bezpiecznej aplikacji?

L.p. Należy postępować zgodnie z wytycznymi w przewodniku Secure Application Model (Bezpieczny model aplikacji).

Czy mogę wygenerować token odświeżania dla bezpiecznego modelu aplikacji z kontami, które nie mają włączonej uwierzytelniania wieloskładnikowego?

Tak. Token odświeżania można wygenerować przy użyciu konta, które nie ma wymuszanej uwierzytelniania wieloskładnikowego. Należy jednak unikać tego. Każdy token wygenerowany przy użyciu konta, które nie ma włączonej uwierzytelniania wieloskładnikowego, nie będzie mógł uzyskać dostępu do zasobów ze względu na wymaganie uwierzytelniania wieloskładnikowego.

Jak moja aplikacja powinna uzyskać token dostępu, jeśli włączymy uwierzytelnianie wieloskładnikowe?

Postępuj zgodnie z przewodnikiem Secure Application Model (Bezpieczny model aplikacji), który zawiera szczegółowe informacje na temat tego, jak to zrobić, jednocześnie spełniając nowe wymagania dotyczące zabezpieczeń. Przykładowy kod platformy .NET można znaleźć w witrynie Partner Center DotNet Samples — Secure App Model and Java sample code ( Przykładowe przykłady języka Java centrum partnerskiego w Centrum partnerskim).

Czy jako protokół CPV należy utworzyć aplikację firmy Microsoft Entra w dzierżawie CPV, czy dzierżawie partnera CSP?

Protokół CPV musi utworzyć aplikację Microsoft Entra w dzierżawie skojarzonej z rejestracją jako protokół CPV.

Jestem dostawcą CSP, który korzysta z uwierzytelniania tylko dla aplikacji. Czy muszę wprowadzić jakieś zmiany?

Nie ma to wpływu na uwierzytelnianie tylko aplikacji, ponieważ poświadczenia użytkownika nie są używane do żądania tokenu dostępu. Jeśli poświadczenia użytkownika są udostępniane, dostawcy panelu sterowania (CPV) muszą przyjąć strukturę Secure Application Model i przeczyścić wszystkie istniejące poświadczenia partnera, które mają.

Czy jako protokół CPV można użyć stylu uwierzytelniania tylko dla aplikacji, aby uzyskać tokeny dostępu?

L.p. Panel sterowania Partnerzy dostawcy nie mogą używać stylu uwierzytelniania tylko do aplikacji w celu żądania tokenów dostępu w imieniu partnera. Powinny one zaimplementować bezpieczny model aplikacji, który korzysta ze stylu uwierzytelniania aplikacji i użytkownika.

Wymuszanie techniczne

Co to jest aktywacja zabezpieczeń?

Wszyscy partnerzy uczestniczący w programie Dostawca rozwiązań w chmurze (CSP), dostawcy Panel sterowania (CPV) i doradcy powinni wdrożyć obowiązkowe wymagania dotyczące zabezpieczeń, aby zachować zgodność.

Aby zapewnić większą ochronę, firma Microsoft rozpoczęła aktywację zabezpieczeń, które pomagają partnerom zabezpieczyć dzierżawy i swoich klientów, nakazując weryfikację uwierzytelniania wieloskładnikowego (MFA), aby zapobiec nieautoryzowanemu dostępowi.

Pomyślnie ukończyliśmy aktywację funkcji administratora w imieniu (AOBO) dla wszystkich dzierżaw partnerów. Aby dodatkowo pomóc w ochronie partnerów i klientów, rozpoczniemy aktywację transakcji w Centrum partnerskim w programie CSP, pomagając partnerom chronić swoje firmy i klientów przed kradzieżą tożsamości.

Aby uzyskać więcej informacji, zobacz Mandating Multifactor Authentication (MFA) for your partner tenant page (Mandating Multifactor Authentication( MFA) for your partner tenant page (Mandating Multifactor Authentication( MFA) for your partner tenant (Mandating Multifactor Authentication) (Uwierzytelnianie wieloskład

Używam rozwiązania uwierzytelniania wieloskładnikowego innej firmy i jestem zablokowany. Co mam robić?

Aby sprawdzić, czy konto dostępu do zasobów zostało zakwestionowane w przypadku uwierzytelniania wieloskładnikowego, sprawdzamy oświadczenie referencyjne metody uwierzytelniania, aby sprawdzić, czy uwierzytelnianie wieloskładnikowe znajduje się na liście. Niektóre rozwiązania innych firm nie wystawiają tego oświadczenia lub nie zawierają wartości uwierzytelniania wieloskładnikowego. Jeśli brakuje oświadczenia lub jeśli wartość uwierzytelniania wieloskładnikowego nie znajduje się na liście, nie ma możliwości określenia, czy uwierzytelnione konto zostało zakwestionowane na potrzeby uwierzytelniania wieloskładnikowego. Musisz pracować z dostawcą rozwiązania innej firmy, aby określić, które działania należy wykonać, aby rozwiązanie wystawiało oświadczenie referencyjne metody uwierzytelniania.

Jeśli nie masz pewności, czy rozwiązanie innej firmy wystawia oczekiwane oświadczenie, czy nie, zobacz Testowanie wymagań zabezpieczeń partnerów.

Uwierzytelnianie wieloskładnikowe blokuje obsługę mojego klienta przy użyciu usługi AOBO. Co mam robić?

Wymuszanie techniczne wymagań dotyczących zabezpieczeń partnera jest sprawdzane, czy uwierzytelnione konto zostało zakwestionowane w przypadku uwierzytelniania wieloskładnikowego. Jeśli konto nie zostało zaznaczone, nastąpi przekierowanie do strony logowania i wyświetlenie monitu o ponowne uwierzytelnienie.

Aby uzyskać więcej doświadczenia i wskazówek, zobacz Mandating Multifactor Authentication (MFA) dla dzierżawy partnera.

W scenariuszu, w którym domena nie jest federacyjna, po pomyślnym uwierzytelnieniu zostanie wyświetlony monit o skonfigurowanie uwierzytelniania wieloskładnikowego. Po zakończeniu będziesz mieć możliwość zarządzania klientami przy użyciu usługi AOBO. W scenariuszu, w którym domena jest federacyjna, należy upewnić się, że konto jest kwestionowane w przypadku uwierzytelniania wieloskładnikowego.

Przejście wartości domyślnych zabezpieczeń

Jak mogę przejść z zasad punktu odniesienia do domyślnych ustawień zabezpieczeń lub innych rozwiązań uwierzytelniania wieloskładnikowego?

Zasady "odniesienia" identyfikatora entra firmy Microsoft są usuwane i zastępowane "wartościami domyślnymi zabezpieczeń", bardziej kompleksowym zestawem zasad ochrony dla Ciebie i Twoich klientów. Wartości domyślne zabezpieczeń mogą pomóc w ochronie organizacji przed atakami bezpieczeństwa związanymi z kradzieżą tożsamości.

Implementacja uwierzytelniania wieloskładnikowego (MFA) zostanie usunięta z powodu wycofania zasad punktu odniesienia, jeśli nie przeniesiono z zasad punktu odniesienia do zasad domyślnych zabezpieczeń lub innych opcji implementacji uwierzytelniania wieloskładnikowego. Wszyscy użytkownicy w dzierżawach partnerskich wykonujących operacje chronione za pomocą uwierzytelniania wieloskładnikowego będą proszeni o ukończenie weryfikacji uwierzytelniania wieloskładnikowego. Aby uzyskać bardziej szczegółowe wskazówki, zobacz Mandating multifactor authentication for your partner tenant (Mandating multifactor authentication for your partner tenant).

Aby zachować zgodność i zminimalizować zakłócenia, wykonaj następujące czynności:

  • Przejście do domyślnych ustawień zabezpieczeń
    • Domyślne zasady zabezpieczeń to jedna z opcji, które partnerzy mogą wybrać do zaimplementowania uwierzytelniania wieloskładnikowego. Oferuje on podstawowy poziom zabezpieczeń włączony bez dodatkowych kosztów.
    • Dowiedz się, jak włączyć uwierzytelnianie wieloskładnikowe dla organizacji przy użyciu identyfikatora Entra firmy Microsoft i zapoznać się z kluczowymi zagadnieniami dotyczącymi zabezpieczeń.
    • Włącz domyślne zasady zabezpieczeń, jeśli spełniają twoje potrzeby biznesowe.
  • Przejście do dostępu warunkowego
    • Jeśli zasady domyślne zabezpieczeń nie obsługują Twoich potrzeb, włącz dostęp warunkowy. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dotyczącą dostępu warunkowego firmy Microsoft.

Kluczowe zasoby

Jak mogę zacząć?

Jakie są zasoby do wdrażania bezpiecznego modelu aplikacji?

Pomoc techniczna

Gdzie mogę uzyskać pomoc techniczną?

Aby zasoby pomocy technicznej spełniały wymagania dotyczące zabezpieczeń:

  • Jeśli masz zaawansowaną pomoc techniczną dla partnerów (ASfP), skontaktuj się z menedżerem konta usługi.
  • Aby uzyskać pomoc techniczną Premier dla partnerów (PSfP), skontaktuj się z menedżerem konta usługi i menedżerem konta technicznego.

Jak mogę uzyskać informacje techniczne i pomoc techniczną, aby pomóc mi wdrożyć bezpieczną strukturę modelu aplikacji?

Opcje pomocy technicznej dla identyfikatora Entra firmy Microsoft są dostępne za pośrednictwem korzyści programu Microsoft AI Cloud Partner Program. Partnerzy z dostępem do aktywnej subskrypcji ASfP lub PSfP mogą współpracować z skojarzonym menedżerem kont (SAM/TAM), aby zrozumieć najlepsze dostępne opcje.

Jak mogę skontaktować się z pomocą techniczną w przypadku utraty dostępu do Centrum partnerskiego?

Jeśli utracisz dostęp z powodu problemu z uwierzytelnianiem wieloskładnikowym, skontaktuj się z administratorem zabezpieczeń dzierżawy. Wewnętrzny dział IT może poinformować Cię, kto jest administratorem zabezpieczeń.

Jeśli nie pamiętasz hasła, zobacz Nie można zalogować się, aby uzyskać pomoc.

Gdzie można znaleźć więcej informacji na temat typowych problemów technicznych?