適當的角色:所有合作夥伴中心使用者
本文會回答帳戶設定工作區中合作夥伴安全性需求的一些常見問題。
合作夥伴有何安全性需求?合作夥伴為何應實作這些需求?
我們看到越來越多的複雜安全性攻擊 , 主要是與身分識別入侵相關的攻擊。
我們引進 了強制安全性需求 ,因為預防性控制在整體防禦策略中扮演了關鍵角色。 參與 雲端解決方案提供者 (CSP) 計劃、控制台 廠商和 Advisors 的所有合作夥伴都必須實作這些安全性需求,才能保持符合規範。
實作安全性需求的時程表和里程碑為何?
與安全性需求相關聯的詞彙,包括時程表和里程碑,都包含在 Microsoft 合作夥伴合約 中。 您必須儘快實作這些安全性需求,才能符合規範,以便參與 CSP 計劃。
如果我未實作合作夥伴安全性需求,會發生什麼事?
Microsoft 合作夥伴合約 要求您為使用者帳戶強制執行多重要素驗證,並採用安全的應用程式模型來與合作夥伴中心 API 互動。
不符合這些安全性做法的合作夥伴可能會失去在 CSP 計劃中交易或使用委派系統管理員許可權管理客戶租使用者的能力。
安全性需求適用於所有地理位置嗎?
是。 (雖然 Azure Government 目前不需要符合安全性需求,但我們強烈建議 所有 合作夥伴立即採用這些安全性需求。
是否可以要求特別排除某個帳戶?
否,無法排除強制執行多重要素驗證 (MFA) 需求的任何用戶帳戶。 鑒於成為合作夥伴的特殊許可權本質,Microsoft 合作夥伴合約 會要求針對合作夥伴租使用者中的每個使用者帳戶強制執行多重要素驗證。
如何? 知道我是否符合合作夥伴安全性需求?
若要符合合作夥伴安全性需求,請使用下列步驟:
- 符合使用合作夥伴中心或合作夥伴中心 API 的安全性需求中所述的所有需求。
- 請確定合作夥伴租使用者中的所有用戶帳戶都強制執行多重要素驗證。
為了協助識別您可以採取動作的區域,我們會在合作夥伴中心提供 安全性需求狀態報告 。
必要動作
我需要採取哪些動作才能符合安全性需求?
CSP 計劃中的所有合作夥伴(直接計費、間接提供者和間接轉銷商)、Advisors 和 控制台 廠商都必須符合需求。
為所有使用者強制執行 MFA
雲端解決方案提供者計畫、顧問及控制台廠商中的所有合作夥伴都必須針對其合作夥伴租用戶中的所有使用者強制執行 MFA。
其他考量:
- 如果間接提供者尚未這麼做,則必須與間接轉銷商合作,才能上線合作夥伴中心,並鼓勵其轉銷商符合需求。
- Microsoft Entra 多重要素驗證可透過Microsoft Entra 安全性預設值提供給合作夥伴租使用者中的使用者,其唯一的驗證方法支援以時間為基礎的單次密碼(TOTP)。
- 如果需要其他方法,例如電話或簡訊,則其他驗證方法可透過 Microsoft Entra P1 或 P2 SKU 取得。
- 當 Microsoft 存取商業雲端服務時,合作夥伴也可以使用每個帳戶的第三方 MFA 解決方案。
採用安全應用程式模型架構
使用任何 API 開發自定義整合的合作夥伴(例如 Azure Resource Manager、Microsoft Graph、合作夥伴中心 API 等)或使用 PowerShell 等工具實作自定義自動化,必須採用 安全應用程式模型架構 來與Microsoft雲端服務整合。 若無法這麼做,可能會導致 MFA 部署中斷。
下列資源提供如何採用模型的概觀和指引。
- 安全應用程式模型概觀 \(英文\)
- 合作夥伴中心:安全應用程式模型指南
- 雲端解決方案提供者計畫中的合作夥伴:用於啟用安全應用程式模型的 .NET 範例程式碼 \(英文\)
- 合作夥伴中心驗證文件 \(英文\)
- 合作夥伴中心 PowerShell 多重要素驗證 (MFA) 檔
如果您使用的是控制台,則請向廠商洽詢有關採用安全應用程式模型架構的事宜。
控制面板廠商必須 以控制面板廠商身分上線 至合作夥伴中心,並立即開始實作這項需求。 請參閱合作夥伴中心:安全應用程式模型架構。
控制台廠商必須接受並管理雲端解決方案提供者合作夥伴的同意 (而非認證),並清除所有現有雲端解決方案提供者合作夥伴的認證。
多重要素驗證
什麼是多重要素驗證 (MFA)?
MFA 是一種安全性機制,可使用一個以上的必要安全性和驗證程式來驗證個人。 它是透過要求進行下列兩種或更多驗證方法來運作:
- 您知道的資訊 (通常是密碼)
- 您擁有的某些東西 (無法輕易複製的信任裝置,例如電話)
- 代表您身分的事物 (生物識別技術)
啟用 MFA 是否有成本?
Microsoft透過實作 Microsoft Entra 安全性預設值來提供 MFA。 使用此 MFA 版本唯一可用的驗證選項是驗證器應用程式。
- 如果需要電話或簡訊, 則必須購買Microsoft Entra P1 或 P2 授權。
- 或者,您也可以利用第三方解決方案,為合作夥伴租使用者中的每個使用者提供 MFA。 在此情況下,您必須負責確保強制執行 MFA 解決方案,且符合規範。
如果我已經有 MFA 解決方案,需要採取哪些動作?
在 Microsoft 存取商業雲端服務時,合作夥伴租使用者中的用戶必須使用 MFA 進行驗證。 您可以使用第三方解決方案來滿足這些需求。 Microsoft 不會再對獨立識別提供者提供 Microsoft Entra ID 相容性驗證測試。 若要測試產品的互操作性,請參閱 Microsoft Entra Identity Provider Compatibility Docs。
重要
如果您使用第三方解決方案,請務必確認解決方案是否發出包含 MFA 值的驗證方法參考 (AMR) 宣告。 如需驗證第三方解決方案如何發出預期宣告的詳細資訊,請參閱 測試合作夥伴安全性需求。
我使用多個合作夥伴租用戶來進行交易。 我需要對所有 MFA 實作嗎?
是。 您必須針對與 CSP 計劃或 Advisor 計劃相關聯的每個Microsoft Entra 租使用者強制執行 MFA。 若要購買Microsoft Entra ID P1 或 P2 授權,您必須為每個Microsoft Entra 租使用者中的使用者購買Microsoft Entra 標識符授權。
我合作夥伴租用戶中的每個使用者帳戶是否都必須強制執行 MFA?
是。 每個用戶都必須強制執行 MFA。 不過,如果您使用 Microsoft Entra 安全性預設值,則不需要採取其他動作,因為該功能會為所有使用者帳戶強制執行 MFA。 啟用安全性預設值是一種免費且簡單的方法,可確保您的用戶帳戶符合 MFA 規範,且在強制執行 MFA 時不會受到影響。
我是Microsoft的直接帳單合作夥伴。 我需要做什麼事嗎?
直接計費 雲端解決方案提供者 合作夥伴必須為其合作夥伴租使用者中的每個用戶強制執行 MFA。
我是間接轉銷商,只能透過散發者進行交易。 我仍然必須啟用 MFA 嗎?
是。 所有間接轉銷商都必須針對其合作夥伴租用戶中的每個使用者強制執行 MFA。 間接轉銷商必須啟用 MFA。
我沒有使用合作夥伴中心 API。 我是否仍然需要實作 MFA?
是。 此安全性需求適用於所有使用者,包括合作夥伴系統管理員使用者和合作夥伴租使用者中的終端使用者。
哪些第三方廠商提供與 Microsoft Entra 識別符相容的 MFA 解決方案?
當您檢閱 MFA 廠商和解決方案時,您必須確定您選擇的解決方案與Microsoft Entra 識別碼相容。
Microsoft 不會再對獨立識別提供者提供 Microsoft Entra ID 相容性驗證測試。 如果您想要測試產品的互操作性,請參閱 Microsoft Entra Identity Provider Compatibility Docs。
如需詳細資訊,請參閱 Microsoft Entra 同盟相容性清單。
我要如何在我們的整合沙箱中測試 MFA?
應啟用Microsoft Entra 安全性預設值功能。 或者,您可以使用使用同盟的第三方解決方案。
啟用 MFA 是否會影響我與客戶租用戶之間的互動方式?
否。 履行這些安全性需求不會影響您管理客戶的方式。 您執行委派系統管理作業的能力不會中斷。
我的客戶是否需要遵守合作夥伴安全性需求?
否。 您不需要為客戶Microsoft Entra 租使用者中的每個用戶強制執行 MFA。 不過,我們建議您與每位客戶合作,以判斷保護其使用者的最佳方式。
是否可以將任何使用者排除於 MFA 需求之外?
否。 合作夥伴租使用者中的每個使用者,包括服務帳戶,都必須使用 MFA 進行驗證。
合作夥伴安全性需求是否適用於整合沙箱?
是。 這表示您必須為整合沙箱租使用者中的用戶實作適當的 MFA 解決方案。 建議您實作 Microsoft Entra 安全性預設值,以提供 MFA。
如何? 設定緊急存取權 (“破玻璃”) 帳戶嗎?
最佳做法是建立一或兩個緊急存取帳戶,以防止意外鎖定您的 Microsoft Entra 租使用者。 針對合作夥伴安全性需求,每個使用者都必須使用 MFA 進行驗證。 這項需求表示您必須修改緊急存取帳戶的定義。 這可能是使用 MFA 第三方解決方案的帳戶。
如果我使用第三方解決方案,是否需要 Active Directory 同盟服務 (ADFS?
否。 如果您使用第三方解決方案,則不需要有 Active Directory 同盟服務 (ADFS)。 建議您與解決方案的廠商合作,以判斷其解決方案的需求為何。
需要啟用Microsoft Entra 安全性預設值嗎?
否。
是否可以使用條件式存取來符合 MFA 需求?
是。 您可以使用條件式存取為合作夥伴租使用者中的每個用戶強制執行 MFA,包括服務帳戶。 不過,鑒於成為合作夥伴的特殊許可權本質,我們需要確保每位用戶對於每個單一驗證都有 MFA 挑戰。 這表示您無法使用條件式存取的功能來規避 MFA 的需求。
Microsoft Entra Connect 所使用的服務帳戶是否會受到合作夥伴安全性需求的影響?
否。 Microsoft Entra Connect 所使用的服務帳戶不會受到合作夥伴安全性需求的影響。 如果您在強制執行 MFA 時遇到Microsoft Entra Connect 的問題,請開啟具有Microsoft支援的技術支援要求。
安全應用程式模型
誰應該採用安全應用程式模型來符合需求?
Microsoft引進了安全、可調整的架構,用於驗證使用多重要素驗證的 雲端解決方案提供者(CSP)合作夥伴和 控制台 廠商(CPV)。 如需詳細資訊,請參閱 安全應用程式模型指南。 所有使用任何 API 開發自定義整合的合作夥伴(例如 Azure Resource Manager、Microsoft Graph、合作夥伴中心 API 等等)或使用 PowerShell 這類工具實作自定義自動化,都必須採用 安全應用程式模型架構 來與Microsoft雲端服務整合。
什麼是安全應用程式模型?
Microsoft引進了安全、可調整的架構,用於驗證使用多重要素驗證的 雲端解決方案提供者(CSP)合作夥伴和 控制台 廠商(CPV)。 如需詳細資訊,請參閱 安全應用程式模型指南。
我要如何實作安全應用程式模型?
所有使用任何 API 開發自定義整合的合作夥伴(例如 Azure Resource Manager、Microsoft Graph、合作夥伴中心 API 等等)或使用 PowerShell 這類工具實作自定義自動化,都必須採用 安全應用程式模型架構 來與Microsoft雲端服務整合。 若無法這麼做,可能會導致 MFA 部署中斷。
下列資源提供如何採用模型的概觀和指引:
- 安全應用程式模型概觀 \(英文\)
- 合作夥伴中心:安全應用程式模型指南
- 雲端解決方案提供者計畫中的合作夥伴:用於啟用安全應用程式模型的 .NET 範例程式碼 \(英文\)
- 合作夥伴中心驗證文件 \(英文\)
- 合作夥伴中心 PowerShell 多重要素驗證 (MFA) 檔
如果您使用控制面板,您必須洽詢廠商關於採用安全應用程式模型架構的問題。
控制面板廠商必須 以控制面板廠商身分上線 至合作夥伴中心,並立即開始實作這項需求。
請參閱合作夥伴中心:安全應用程式模型架構。 控制台廠商必須接受並管理雲端解決方案提供者合作夥伴的同意 (而非認證),並清除所有現有雲端解決方案提供者合作夥伴的認證。
安全應用程式模型是否僅需針對合作夥伴中心 API/SDK 實作?
藉由對所有使用者帳戶強制執行多重要素驗證,任何想要以非互動方式執行的自動化或整合都會受到影響。 雖然合作夥伴安全性需求要求您啟用合作夥伴中心 API 的安全應用程式模型,但它可以用來解決使用自動化和整合進行第二個驗證要素的需求。
注意
存取的資源必須支援存取令牌型驗證。
我使用自動化工具,例如PowerShell。 我要如何實作安全應用程式模型?
如果您的自動化以非互動方式執行,並依賴使用者認證進行驗證,則必須實作安全應用程式模型。 請參閱安全應用程式模型 | 合作夥伴中心 PowerShell \(英文\) 以取得如何實作此架構的指引。
注意
並非所有自動化工具都可以使用存取令牌進行驗證。 如果您需要協助以了解應該進行哪些變更,請在合作夥伴中心安全性指引 \(英文\) 群組上張貼訊息。
應用程式系統管理員在執行同意程序時,應該提供哪些使用者認證?
建議您使用已獲指派最低許可權的服務帳戶。 在合作夥伴中心 API 方面,您應該使用已指派給 Sales Agent 或 Admin Agent 角色的帳戶。
執行同意程式時,應用程式管理員為何不應該提供全域管理員用戶認證?
最佳做法是使用最低許可權的身分識別,因為這樣做可降低風險。 不建議使用具有全域管理員許可權的帳戶,因為該帳戶提供的許可權比必要更多。
我是 CSP 合作夥伴。 我要如何知道自己的控制台廠商 (CPV) 是否正在實作該解決方案?
對於使用 控制台 Vendor (CPV) 解決方案在 雲端解決方案提供者 (CSP) 計劃中交易的合作夥伴,您必須負責洽詢您的 CPV。
什麼是控制面板廠商 (CPV)?
控制面板廠商是一個獨立的軟體廠商,可開發供 CSP 合作夥伴使用的應用程式,以與合作夥伴中心 API 整合。 控制面板廠商不是直接存取合作夥伴中心或 API 的 CSP 合作夥伴。 合作夥伴中心內有 詳細的描述:安全應用程式模型指南。
我是 CPV 我要如何註冊?
若要註冊為控制面板廠商(CPV),請遵循註冊為 控制台 廠商中的指導方針,協助整合 CSP 合作夥伴系統與合作夥伴中心 API。
註冊合作夥伴中心並註冊應用程式之後,您將能夠存取合作夥伴中心 API。 如果您是新的 CPV,您會在合作夥伴中心通知中收到沙箱資訊。 完成註冊為Microsoft CPV 並接受 CPV 合約之後,您可以:
管理多租使用者應用程式(將應用程式新增至 Azure 入口網站,並在合作夥伴中心註冊和取消註冊應用程式)。
注意
CPV 必須在合作夥伴中心註冊其應用程式,以取得合作夥伴中心 API 的授權。 單獨將應用程式新增至 Azure 入口網站 並不會授權合作夥伴中心 API 的 CPV 應用程式。
檢視及管理您的 CPV 設定檔。
檢視及管理您需要存取 CPV 功能的使用者。 CPV 只能有全域管理員角色。
我使用合作夥伴中心 SDK。 SDK 是否會自動採用安全應用程式模型?
否。 您必須遵循安全應用程式模型指南中的指導方針。
我是否可以搭配未啟用 MFA 的帳戶針對安全應用程式模型產生重新整理權杖?
是。 您可以使用未強制執行 MFA 的帳戶來產生重新整理令牌。 不過,應該避免這樣做。 由於 MFA 的需求,使用未啟用 MFA 的帳戶所產生的任何令牌將無法存取資源。
在啟用 MFA 的情況下,我的應用程式要如何取得存取權杖?
請遵循安全 應用程式模型指南 ,詳細說明如何遵循新的安全性需求。 您可以在合作夥伴中心 DotNet 範例 - 保護應用程式模型和 Java 範例程式代碼的合作夥伴中心 Java 範例中找到 .NET 範例程式代碼。
身為 CPV,我是否在我們的 CPV 租使用者或 CSP 合作夥伴的租使用者中建立Microsoft Entra 應用程式?
CPV 必須在與註冊為 CPV 相關聯的租使用者中建立Microsoft Entra 應用程式。
我是使用僅限應用程式驗證的 CSP。 我是否需要進行任何變更?
應用程式專用驗證不會受到影響,因為使用者認證不會用來要求存取令牌。 如果會共用使用者認證,控制台廠商 (CPV) 必須採用安全應用程式模型架構,並清除其所擁有的任何現有合作夥伴認證。
身為 CPV,我可以使用僅限應用程式驗證樣式來取得存取令牌嗎?
否。 控制台 廠商合作夥伴無法使用僅限應用程式驗證樣式來代表合作夥伴要求存取令牌。 他們應該實作安全應用程式模型,這能運用應用程式 + 使用者驗證樣式。
技術強制執行
什麼是安全性保護的啟用?
參與「雲端解決方案提供者 (CSP)」計畫、「控制台廠商 (CPV)」和「顧問」的所有合作夥伴,都應該實作強制的安全性需求才能繼續符合規範。
為了提供更多保護,Microsoft開始啟用安全性保護措施,藉由要求多重要素驗證(MFA) 驗證以防止未經授權的存取,協助合作夥伴保護其租使用者及其客戶的安全。
我們已成功對所有合作夥伴租用戶完成 admin-on-behalf-of (AOBO) 功能的啟用。 為了進一步協助保護合作夥伴和客戶,我們將開始啟用 CSP 中的合作夥伴中心交易,協助合作夥伴保護其企業和客戶免於身分識別竊取相關事件。
如需詳細資訊,請參閱 為您的合作夥伴租 用戶頁面管理多重要素驗證 (MFA)。
我正在使用第三方 MFA 解決方案,而且我遭到封鎖。 我該怎麼做?
若要驗證存取資源的帳戶是否受到多重要素驗證的挑戰,我們會檢查 驗證方法參考 宣告,以查看是否已列出 MFA。 有些第三方解決方案不會發出此宣告,或不包含 MFA 值。 如果宣告遺失,或未列出 MFA 值,則無法判斷已驗證的帳戶是否受到多重要素驗證的挑戰。 您必須與第三方解決方案的廠商合作,以判斷要採取的動作,讓解決方案發出驗證方法參考宣告。
如果您不確定您的第三方解決方案是否發出預期的宣告,請參閱 測試合作夥伴安全性需求。
MFA 阻止我使用 AOBO 支援我的客戶。 我該怎麼做?
如果已驗證的帳戶遭到多重要素驗證的挑戰,則會檢查合作夥伴安全性需求的技術強制執行。 如果尚未核取帳戶,系統會將您重新導向至登入頁面,並提示您再次進行驗證。
如需更多經驗和指引,請參閱 為您的合作夥伴租使用者管理多重要素驗證 (MFA)。
在網域未同盟的情況下,成功驗證之後,系統會提示您設定多重要素驗證。 完成後,您將能夠使用 AOBO 來管理您的客戶。 在同盟網域的案例中,您必須確保帳戶受到多重要素驗證的挑戰。
安全性預設值轉換
如何從基準原則轉換到安全性預設值或其他 MFA 解決方案?
Microsoft專案標識碼 「基準」原則正在移除,並取代 為「安全性預設值」,這是一組更完整的保護原則,可供您和您的客戶使用。 安全性預設值可協助您的組織防範身分識別竊取的相關安全性攻擊。
如果您尚未從基準原則轉換為安全性默認原則或其他 MFA 實作選項,您的多重要素驗證 (MFA) 實作將會因為基準原則淘汰而移除。 系統會要求合作夥伴租用戶中執行受 MFA 保護作業的使用者完成 MFA 驗證。 如需更詳細的指引,請參閱 為您的合作夥伴租使用者管理多重要素驗證。
若要保持符合規範並將中斷降到最低,請使用下列步驟:
- 轉換至安全性預設值
- 安全性預設值原則是合作夥伴可選擇來實作 MFA 的其中一個選項。 其提供基本層級的安全性,而且不需額外費用即可啟用。
- 瞭解如何使用 Microsoft Entra ID 為您的組織啟用 MFA,並檢閱 安全性預設值的重要考慮。
- 請啟用符合您商務需求的安全性預設值原則。
- 轉換至條件式存取
- 如果安全性默認原則不符合您的需求,請啟用條件式存取。 如需詳細資訊,請檢閱 Microsoft Entra 條件式存取檔。
主要資源
如何開始使用?
- 檢視 合作夥伴安全性需求:逐步指南。
- 將您的問題和意見反應導向 合作夥伴中心安全性指引群組。
- 參與近期的合作夥伴辦公時間和網路研討會。 檢查合作夥伴社群頁面上的詳細排程和資源。
採用安全應用程式模型的資源為何?
支援
我可以在哪裡取得支援?
若要支援資源以符合安全性需求:
- 如果您有合作夥伴的進階支援(ASfP),請連絡您的服務帳戶管理員。
- 如需合作夥伴合約 (PSfP) 的頂級支援,請連絡您的服務帳戶管理員和技術帳戶管理員。
如何? 取得技術資訊和支援,以協助我採用安全的應用程式模型架構?
Microsoft Entra ID 的技術產品支援選項可透過您的Microsoft AI Cloud Partner 計畫權益取得。 具有使用中 ASfP 或 PSfP 訂用帳戶存取權的合作夥伴,可以與其相關聯的帳戶管理員(SAM/TAM)合作,瞭解其可用的最佳選項。
如果我無法存取合作夥伴中心,如何? 連絡支持人員嗎?
如果您因為 MFA 問題而失去存取權,請連絡租使用者的安全性系統管理員。 您的內部 IT 部門可以告訴您安全性系統管理員是誰。
如果您忘記密碼,請參閱 無法登入 以取得協助。
我可以在哪裡找到常見技術性問題的詳細資訊?
有關常見技術性問題的資訊,請參閱合作夥伴使用合作夥伴中心或合作夥伴中心 API 時的安全性需求