Mandatierung der mehrstufigen Authentifizierung (Multifactor Authentication, MFA) für Ihren Partnermandanten

Geeignete Rollen: Administrator-Agent | Vertriebsbeauftragter| | Helpdesk-Agent| Abrechnungs-Agent | Globaler Administrator

Eine bessere Sicherheit und fortlaufende Sicherheit und Datenschutzmaßnahmen gehören zu unseren obersten Prioritäten, und wir unterstützen Partner weiterhin beim Schutz ihrer Kunden und Mandanten.

Um Partner dabei zu unterstützen, ihre Unternehmen und Kunden vor Identitätsdiebstahl und unbefugtem Zugriff zu schützen, haben wir mehr Sicherheitsvorkehrungen für Partnermandanten aktiviert. Diese Schutzmaßnahmen erfordern und überprüfen MFA. Durch die Mandatierung von MFA können Partner ihren Zugriff auf Kundenressourcen vor Kompromittierung von Anmeldeinformationen schützen.


In diesem Artikel finden Sie ausführliche Beispiele und Anleitungen zur Mandatierung der mehrstufigen Authentifizierung (MFA) in Partner Center.

Partner, die am CSP-Programm (Cloud Solution Provider) teilnehmen, Systemsteuerung Vendors (CPVs) und Berater müssen die Sicherheitsanforderungen für Partner implementieren, um die Compliance zu gewährleisten.

Partner sind verpflichtet, MFA für alle Benutzerkonten in ihrem Partnermandanten durchzusetzen. Dazu gehören auch Gastbenutzer. Benutzer müssen die MFA-Überprüfung für die folgenden Bereiche durchführen:

Partner Center

Einige Seiten im Partner Center sind MFA-geschützt, einschließlich:

  • Alle Seiten unter der Registerkarte Kunden (d. a. alle Seiten mit einer URL, die mit https://partner.microsoft.com/commerce/*beginnt)
  • Alle Seiten unter der RegisterkarteSupportkundenanfragen> (z. B. alle Seiten, auf die mit einer URL zugegriffen wird, die mit https://partner.microsoft.com/dashboard/support/csp/customers/*beginnt)
  • Seite "Abrechnung"

Andere Seiten in Partner Center, z. B. die Seite Übersicht und die Seite Dienststatusüberprüfung , erfordern keine MFA.


In der folgenden Tabelle sind die Benutzertypen aufgeführt, die für den Zugriff auf diese durch MFA geschützten Seiten autorisiert sind (und daher von diesem Feature betroffen sind).

Durch MFA geschützte Seiten Administrator-Agents Vertriebsbeauftragte Helpdesk-Agents Globaler Administrator Rechnungsadministrator
Alle Seiten unter der Registerkarte "Kunden " x x x
Alle Seiten unter der Registerkarte Supportkundenanfragen > x x
Seite "Abrechnung" x x x

Wenn Sie versuchen, auf eine dieser Seiten zuzugreifen, aber noch nicht die MFA-Überprüfung abgeschlossen haben, müssen Sie dies tun.

Unterstützte MFA-Optionen

  • Partner, die Microsoft verwenden, unterstützen Azure Active Directory (Azure AD) Multi-Factor Authentication. Weitere Informationen finden Sie in der Übersicht über die Möglichkeiten zum Aktivieren von Azure AD Multi-Factor Authentication (unterstützte MFA).
  • Partner, die eine Drittanbieter-MFA und einen Teil der Ausnahmeliste implementiert haben, können weiterhin auf das Partner Center und die APIs mit Ausnahmen zugreifen, aber keine Kunden mit DAP/GDAP verwalten (keine Ausnahme zulässig).
  • Wenn der Organisation eines Partners zuvor eine Ausnahme für MFA gewährt wurde, mussten Benutzer, die Kundenmandanten im Rahmen des CSP-Programms verwalten, die Microsoft MFA-Anforderungen vor dem 1. März 2022 aktivieren. Die Nichteinhaltung der MFA-Anforderungen kann zum Verlust des Zugriffs auf Kundenmandanten führen.

Die folgende Tabelle zeigt, welche Szenarien betroffen sind, wenn die MFA-Ausnahme entfernt wird.

Wichtig

Partner müssen die Azure MFA verwenden, um Kundenmandanten mit DAP oder GDAP zu verwalten. Es werden keine Ausnahmen unterstützt.

MFA-Ausnahmen sind nur zulässig, wenn eine kompatible Drittanbieter-MFA innerhalb des Partner Center und der APIs verwendet wird. Sie sind nicht zulässig, wenn ein Kundenmandant mithilfe von DAP oder GDAP verwaltet wird.

Partner Center und APIs

Für die in der folgenden Tabelle aufgeführten Partner Center-APIs wird App- und Benutzerzugriff benötigt.

Szenario Azure AD-unterstützte MFA Jegliche MFA von Drittanbietern Keine mehrstufige Authentifizierung
Ermittlung (Preis/Katalog/Promotion) MFA unterstützt Ausnahme unterstützt Kein Zugriff
Transaktion und Verwaltung MFA unterstützt Ausnahme unterstützt Kein Zugriff
Abrechnung und Abstimmung MFA unterstützt Ausnahme unterstützt Kein Zugriff
Verwalten von Kunden mit delegiertem Zugriff/AOBO MFA unterstützt Keine Ausnahme unterstützt Kein Zugriff
Benutzer- und Lizenzzuweisung (nur mit DAP) MFA unterstützt Ausnahme unterstützt Kein Zugriff
Benutzer- und Lizenzzuweisung (mit GDAP) MFA unterstützt Keine Ausnahme unterstützt Kein Zugriff
Anforderung granularer Administratorbeziehungen und Zugriffszuweisung MFA unterstützt Keine Ausnahme unterstützt Kein Zugriff

Andere Workloads

Mögliche andere Workloads für diese Kategorie sind Azure AD und Microsoft Exchange.

Szenario Azure AD-unterstützte MFA Jegliche MFA von Drittanbietern
Ermittlung (Preis/Katalog/Promotion)
Transaktion und Verwaltung
Abrechnung und Abstimmung
Verwalten von Kunden mit delegiertem Zugriff/AOBO MFA unterstützt Keine Ausnahmen unterstützt
Benutzer- und Lizenzzuweisung MFA unterstützt Keine Ausnahmen unterstützt

Überprüfungsbeispiele

Sehen Sie sich die folgenden Beispiele an, um zu veranschaulichen, wie die Überprüfung im Partner Center funktioniert.

Beispiel 1: Partner hat Azure AD MFA implementiert

  1. Consuela arbeitet für einen CSP mit dem Namen Contoso. Contoso hat MFA für alle Benutzer unter dem Contoso-Partnermandanten mithilfe von Azure AD MFA implementiert.

  2. Consuela startet eine neue Browsersitzung und wechselt zur Übersichtsseite des Partner Center (die nicht MFA-geschützt ist). Partner Center leitet Consuela zur Anmeldung an Azure AD um.

  3. Aufgrund der vorhandenen Azure AD MFA-Einrichtung durch Contoso muss Consuela eine MFA-Überprüfung durchführen. Nach erfolgreicher Anmeldung und MFA-Überprüfung wird Consuela zurück zur Partner Center-Übersichtsseite umgeleitet.

  4. Consuela versucht, auf eine der MFA-geschützten Partner Center-Seiten zuzugreifen. Da Consuela die MFA-Überprüfung bereits während der Anmeldung durchgeführt hat, kann Consuela auf die MFA-geschützte Seite zugreifen, ohne die MFA-Überprüfung erneut durchlaufen zu müssen.

Beispiel 2: Partner hat Drittanbieter-MFA mithilfe des Identitätsverbunds implementiert

  1. Prashob arbeitet für einen CSP mit dem Namen Wingtip. Wingtip hat Drittanbieter-MFA für alle Benutzer unter dem Wingtip-Partnermandanten mit Drittanbieter-MFA implementiert, die über einen Identitätsverbund in Azure AD integriert ist.

  2. Prashob startet eine neue Browsersitzung und wechselt zur Partner Center-Übersichtsseite (die nicht MFA-geschützt ist). Partner Center leitet Prashob für die Anmeldung an Azure AD um.

  3. Da Wingtip einen Identitätsverbund eingerichtet hat, leitet Azure AD Prashob an den Verbundidentitätsanbieter um, um die Anmeldung und MFA-Überprüfung abzuschließen. Nach erfolgreicher Anmeldung und MFA-Überprüfung wird Prashob zurück zu Azure AD und dann zur Übersichtsseite des Partner Center umgeleitet.

  4. Prashob versucht, auf eine der MFA-geschützten Partner Center-Seiten zuzugreifen. Da Prashob die MFA-Überprüfung bereits während der Anmeldung abgeschlossen hat, kann er auf die geschützte MFA-Seite zugreifen, ohne die MFA-Überprüfung erneut durchlaufen zu müssen.

  5. Prashob wechselt anschließend zur Seite für die Dienstverwaltung, um der Azure Active Directory-Instanz von Contoso Benutzer hinzuzufügen. Da Prashob die Microsoft MFA nicht zum Verwalten des Kundenmandanten verwendet hat, wird die Verwaltung des Kundenmandanten blockiert.

Die Empfehlung für Prashob in diesem Beispiel besteht darin, die Azure AD Multi-Factor Authentication-Lösung zu verwenden, damit er den Mandanten des Kunden erfolgreich verwalten kann.

Beispiel 3: Partner hat MFA nicht implementiert

  1. Ein CSP-Partner namens Fabrikam hat noch keine MFA implementiert. Microsoft empfiehlt, eine Azure AD-unterstützte MFA-Lösung zu implementieren.

  2. John arbeitet für Fabrikam. Fabrikam hat MFA für keinen Benutzer unter dem Fabrikam-Partnermandanten implementiert.

  3. John startet eine neue Browsersitzung und wechselt zur Partner Center-Übersichtsseite (die nicht MFA-geschützt ist). Partner Center leitet John an Azure AD um, um sich anzumelden.

  4. Da Fabrikam MFA nicht implementiert hat, muss John die MFA-Überprüfung nicht abschließen. Nach erfolgreicher Anmeldung wird John zurück zur Partner Center-Übersichtsseite weitergeleitet.

  5. John versucht, auf eine der durch MFA geschützten Seiten im Partner Center zuzugreifen. Da John die MFA-Überprüfung nicht abgeschlossen hat, leitet Partner Center John an Azure AD um, um die MFA-Überprüfung abzuschließen. Da John zum ersten Mal die MFA abschließen muss, wird John auch aufgefordert, sich für MFA zu registrieren. Nach erfolgreicher MFA-Registrierung und MFA-Überprüfung kann John auf die MFA-geschützte Seite zugreifen.

  6. An einem anderen Tag, bevor Fabrikam MFA für jeden Benutzer implementiert, startet John eine neue Browsersitzung und wechselt zur Übersichtsseite von Partner Center (die nicht MFA-geschützt ist). Partner Center leitet John an Azure AD um, um sich ohne MFA-Eingabeaufforderung anzumelden.

  7. John versucht, auf eine der durch MFA geschützten Seiten im Partner Center zuzugreifen. Da John die MFA-Überprüfung nicht abgeschlossen hat, leitet Partner Center John an Azure AD um, um die MFA-Überprüfung abzuschließen. Da John MFA registriert hat, wird er dieses Mal nur aufgefordert, die MFA-Überprüfung abzuschließen.

Beispiel 4: Partner hat Drittanbieter-MFA mit bedingtem Zugriff implementiert

  1. Trent arbeitet für einen CSP mit dem Namen Wingtip. Wingtip hat für alle Benutzer im Wingtip-Partnermandanten MFA implementiert und verwendet in seiner Cloudumgebung eine Drittanbieter-MFA mit bedingtem Zugriff.

  2. Trent startet eine neue Browsersitzung und wechselt zur Partner Center-Übersichtsseite (die nicht MFA-geschützt ist). Partner Center leitet Trent an Azure AD um, um sich anzumelden.

  3. Da Wingtip über eine gültige MFA-Integration von Drittanbietern verfügt und Teil der Ausnahme ist, leitet Azure AD Trent um, um die Anmeldung und MFA-Überprüfung abzuschließen. Nach erfolgreicher Anmeldung und MFA-Überprüfung wird Trent zurück zu Azure AD und dann zur Übersichtsseite des Partner Center umgeleitet.

  4. Trent versucht, auf eine der durch MFA geschützten Seiten im Partner Center zuzugreifen. Da Trent die MFA-Überprüfung bereits während der Anmeldung abgeschlossen hat, kann Trent auf die geschützte MFA-Seite zugreifen, ohne erneut die MFA-Überprüfung durchlaufen zu müssen.

  5. Wenn Trent versucht, über die Dap/GDAP-Übersicht über die Dienstverwaltungsseite in Partner Center auf seinen Kunden Contoso zuzugreifen, ist er nicht zulässig, da er die von Azure AD unterstützte MFA verwenden muss. In diesem Artikel erfahren Sie, wie Sie Azure AD MFA aktivieren können.

Der empfohlene nächste Schritt besteht darin, dass Trent die Azure AD Multi-Factor Authentication-Lösung verwendet, um den Contoso-Mandanten des Kunden erfolgreich verwalten zu können.

Partner Center-API

Die Partner Center-API unterstützt sowohl die reine App-Authentifizierung als auch die Anwendungs- und Benutzerauthentifizierung ( App+Benutzer).

Wenn App+Benutzerauthentifizierung verwendet wird, erfordert Partner Center die MFA-Überprüfung. Genauer gesagt, wenn eine Partneranwendung eine API-Anforderung an Partner Center sendet, muss sie ein Zugriffstoken im Autorisierungsheader der Anforderung enthalten.

Hinweis

Das Framework „Sicheres Anwendungsmodell“ ist ein skalierbares Framework zum Authentifizieren von CSP-Partnern und CPVs über die Microsoft Azure MFA-Architektur beim Aufruf von Partner Center-APIs. Sie müssen dieses Framework implementieren, bevor Sie MFA für Ihren Mandanten aktivieren.

Wenn Partner Center eine API-Anforderung mit einem Zugriffstoken empfängt, das mithilfe von App+Benutzerauthentifizierung abgerufen wurde, überprüft die Partner Center-API, ob der MFA-Wert im Anspruch Authentication Method Reference (AMR) vorhanden ist. Sie können einen JWT-Decoder verwenden, um zu überprüfen, ob ein Zugriffstoken den erwarteten AMR-Wert enthält:

{
  "aud": "https://api.partnercenter.microsoft.com",
  "iss": "https://sts.windows.net/df845f1a-7b35-40a2-ba78-6481de91f8ae/",
  "iat": 1549088552,
  "nbf": 1549088552,
  "exp": 1549092452,
  "acr": "1",
  "amr": [
    "pwd",
    "mfa"
  ],
  "appid": "23ec45a3-5127-4185-9eff-c8887839e6ab",
  "appidacr": "0",
  "family_name": "Adminagent",
  "given_name": "CSP",
  "ipaddr": "127.0.0.1",
  "name": "Adminagent CSP",
  "oid": "4988e250-5aee-482a-9136-6d269cb755c0",
  "scp": "user_impersonation",
  "tenant_region_scope": "NA",
  "tid": "df845f1a-7b35-40a2-ba78-6481de91f8ae",
  "unique_name": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "upn": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "ver": "1.0"
}
  • Wenn der Wert vorhanden ist, schließt Partner Center daraus, dass die MFA-Überprüfung abgeschlossen wurde, und verarbeitet die API-Anforderung.

  • Wenn der Wert nicht vorhanden ist, lehnt die Partner Center-API die Anforderung mit der folgenden Antwort ab:

    HTTP/1.1 401 Unauthorized - MFA required
    Transfer-Encoding: chunked
    Request-Context: appId=cid-v1:03ce8ca8-8373-4021-8f25-d5dd45c7b12f
    WWW-Authenticate: Bearer error="invalid_token"
    Date: Thu, 14 Feb 2019 21:54:58 GMT
    

Wenn App-Only Authentifizierung verwendet wird, funktionieren die APIs, die App-Only Authentifizierung unterstützen, kontinuierlich, ohne dass MFA erforderlich ist.

Vom Partner delegierte Verwaltung

Partnerkonten, einschließlich Admin-Agents und Helpdesk-Agents, können ihre partner delegierten Administratorrechte (DAP) oder granulare delegierte Administratorrechte (Granular Delegated Admin Privileges, GDAP) verwenden, um Kundenressourcen über Microsoft Online Services-Portale, Befehlszeilenschnittstelle (CLI) und APIs (mit App+Benutzerauthentifizierung) zu verwalten. Weitere Informationen finden Sie unter Unterstützte MFA-Optionen.

Verwenden von Dienstportalen

Wenn Sie auf Microsoft Online Services-Portale mit delegierten Admin-Berechtigungen (Admin-On-Behalf-Of) zugreifen, um Kundenressourcen zu verwalten, ist für viele dieser Portale eine interaktive Authentifizierung des Partnerkontos erforderlich, wobei der Azure AD-Mandant des Kunden als Authentifizierungskontext festgelegt ist. Das Partnerkonto muss sich beim Kundenmandanten anmelden.

Wenn Azure AD solche Authentifizierungsanforderungen empfängt, muss das Partnerkonto die MFA-Überprüfung abschließen. Je nachdem, ob es sich bei dem Partnerkonto um eine verwaltete oder eine Verbundidentität handelt, gibt es zwei Möglichkeiten:

  • Wenn das Partnerkonto eine verwaltete Identität ist, fordert Azure AD den Benutzer direkt auf, die MFA-Überprüfung abzuschließen. Wenn das Partnerkonto zuvor noch nicht für MFA bei Azure AD registriert wurde, wird der Benutzer aufgefordert, zuerst die MFA-Registrierung abzuschließen .

  • Wenn es sich bei dem Partnerkonto um eine Verbundidentität handelt, ist die Vorgehensweise davon abhängig, wie der Partneradministrator den Verbund in Azure AD konfiguriert hat. Beim Einrichten eines Verbunds in Azure AD kann der Partneradministrator Azure AD informieren, ob der Verbundidentitätsanbieter MFA unterstützt.

    • Wenn ja, leitet Azure AD den Benutzer an den Verbundidentitätsanbieter um, um die MFA-Überprüfung abzuschließen.
    • Andernfalls fordert Azure AD den Benutzer direkt auf, die MFA-Überprüfung abzuschließen. Wenn das Partnerkonto zuvor noch nicht für MFA bei Azure AD registriert wurde, wird der Benutzer aufgefordert, zuerst die MFA-Registrierung abzuschließen .

Die Gesamterfahrung ähnelt dem Szenario, in dem ein Endbenutzermandant MFA für seine Administratoren implementiert hat. Der Kundenmandant hat beispielsweise Azure AD-Sicherheitsstandards aktiviert, sodass sich alle Konten mit Administratorrechten mit MFA-Überprüfung beim Kundenmandanten anmelden müssen, einschließlich Admin Und Helpdesk-Agents.

Zu Testzwecken können Partner die Azure AD-Sicherheitsstandards im Kundenmandanten aktivieren und dann versuchen, vom Partner delegierte Verwaltungsberechtigungen für den Zugriff auf den Kundenmandanten zu verwenden.

Hinweis

Nicht alle Microsoft Online Service-Portale erfordern partnerkonten die Anmeldung beim Kundenmandanten beim Kundenmandanten, wenn sie mit delegierten Admin-Berechtigungen auf Kundenressourcen zugreifen. Stattdessen müssen sich einige Partnerkonten nur beim Partnermandanten anmelden. Ein Beispiel hierfür ist das Exchange Admin Center. Wir gehen davon aus, dass für diese Portale in Zukunft Partnerkonten erforderlich sein werden, die sich beim Kundenmandanten anmelden müssen, wenn sie vom Partner delegierte Verwaltungsberechtigungen verwenden.

Verwenden von Dienst-APIs

Einige Microsoft Online Services-APIs (z. B. Azure Resource Manager, Microsoft Graph usw.) unterstützen Partner, die delegierte Admin-Berechtigungen von Partnern verwenden, um Kundenressourcen programmgesteuert zu verwalten.

Um vom Partner delegierte Verwaltungsberechtigungen mit diesen APIs zu verwenden, muss die Partneranwendung ein Zugriffstoken in den API-Anforderungsautorisierungsheader einschließen. Das Zugriffstoken wird abgerufen, indem sich ein Partnerbenutzerkonto bei Azure AD authentifiziert. Dabei wird das Azure AD des Kunden als Authentifizierungskontext festgelegt. Die Partneranwendung erfordert, dass sich ein Partnerbenutzerkonto beim Kundenmandanten anmeldet.

Wenn Azure AD eine Authentifizierungsanforderung empfängt, benötigt Azure AD das Partnerbenutzerkonto, um die MFA-Überprüfung abzuschließen. Wenn das Partnerbenutzerkonto noch nicht für MFA registriert wurde, wird das Benutzerkonto aufgefordert, zuerst die MFA-Registrierung abzuschließen.

Alle Partneranwendungen, die in diese APIs mit vom Partner delegierten Verwaltungsberechtigungen integriert sind, sind von diesem Feature betroffen. Um sicherzustellen, dass Partneranwendungen mit diesen APIs weiterhin ohne Unterbrechung zusammenarbeiten können:

  • Partner müssen die Verwendung einer nicht interaktiven Benutzerauthentifizierungsmethode mit Azure AD vermeiden, um das Zugriffstoken abzurufen. Wenn Sie eine nicht interaktive Benutzerauthentifizierungsmethode wie den Kennwortfluss verwenden, kann Azure AD den Benutzer nicht auffordern, die MFA-Überprüfung abzuschließen. Der Partner muss stattdessen zu einer interaktiven Benutzerauthentifizierungsmethode wie dem OpenID Connect-Flow wechseln.

  • Wenn die interaktive Benutzerauthentifizierungsmethode verwendet wird, sollte der Partner ein Partnerbenutzerkonto verwenden, das bereits für MFA aktiviert ist. Wenn Sie von Azure AD dazu aufgefordert werden, können Partner alternativ die MFA-Registrierung und die MFA-Überprüfung während der Anmeldung abschließen.

  • Dies ähnelt dem Szenario, in dem ein Endbenutzermandant MFA für seine Administratoren implementiert hat. Der Kundenmandant hat beispielsweise Azure AD-Sicherheitsstandards aktiviert, sodass sich alle Benutzerkonten mit Administratorrechten mit MFA-Überprüfung beim Kundenmandanten anmelden müssen, einschließlich Admin-Agents und Helpdesk-Agents. Zu Testzwecken können Partner die Azure AD-Sicherheitsstandards im Kundenmandanten aktivieren und dann versuchen, vom Partner delegierte Verwaltungsberechtigungen für den programmgesteuerten Zugriff auf den Kundenmandanten zu verwenden.

MFA-Registrierungsablauf

Wenn das Partnerbenutzerkonto noch nicht für MFA registriert wurde, wird der Benutzer während der MFA-Überprüfung zunächst von Azure AD aufgefordert, die MFA-Registrierung abzuschließen:

Screenshot des ersten Schritts bei der MFA-Registrierung.

Nachdem Sie Weiter ausgewählt haben, wird der Benutzer aufgefordert, aus einer Liste der Überprüfungsmethoden auszuwählen.

Screenshot des zweiten Schritts in der MFA-Registrierung.

Nach erfolgreicher Registrierung muss der Benutzer die MFA-Überprüfung mit der gewählten Überprüfungsmethode abschließen.

Häufige Probleme

Bevor Sie eine technische Ausnahme von der MFA-Anforderung beantragen, überprüfen Sie die Liste der häufigen Probleme, die von anderen Partnern gemeldet wurden, um festzustellen, ob Ihr Antrag gültig ist.

Problem 1: Partner benötigt mehr Zeit für die Implementierung von MFA für seine Partner-Agents

Ein Partner hat noch nicht damit begonnen oder ist noch dabei, MFA für seine Partner-Agents zu implementieren, die Zugriff auf Portale für Microsoft-Onlinedienste benötigen, um Kundenressourcen mit vom Partner delegierten Verwaltungsberechtigungen zu verwalten. Der Partner benötigt mehr Zeit, um die MFA-Implementierung abzuschließen. Handelt es sich um einen gültigen Grund für eine technische Ausnahme?

Antwort: Nein Ein Partner muss planen, MFA für seine Benutzer zu implementieren, um Unterbrechungen zu vermeiden.

Hinweis

Obwohl ein Partner MFA für seine Partner-Agents nicht implementiert hat, können die Partner-Agents weiterhin mithilfe delegierter Administratorrechte auf Microsoft Online Services-Portale zugreifen, wenn sie die MFA-Registrierung und MFA-Überprüfung abschließen können, wenn sie bei der Anmeldung beim Kundenmandanten dazu aufgefordert werden. Das Abschließen der MFA-Registrierung aktiviert den Benutzer nicht automatisch für MFA.

Problem 2: Partner hat keine MFA für Benutzerkonten implementiert, die keine delegierten Admin-Berechtigungen verwenden.

Ein Partner verfügt über einige Benutzer in seinen Partnermandanten, die keinen Zugriff auf Microsoft Online Services-Portale benötigen, um Kundenressourcen mithilfe delegierter Administratorrechte des Partners zu verwalten. Der Partner ist gerade dabei, MFA für diese Benutzer zu implementieren, und benötigt mehr Zeit zum Abschließen des Vorgangs. Handelt es sich um einen gültigen Grund für eine technische Ausnahme?

Antwort: Nein Da diese Benutzerkonten keine delegierten Administratorrechte des Partners zum Verwalten von Kundenressourcen verwenden, müssen sie sich nicht beim Kundenmandanten anmelden. Sie sind nicht betroffen, wenn Azure AD die MFA-Überprüfung während der Anmeldung beim Kundenmandanten erfordert.

Problem 3: Partner hat MFA für Benutzerkonten nicht implementiert.

Ein Partner verfügt über einige Benutzerkonten in seinen Partnermandanten, die von Geräten als Dienstkonten verwendet werden. Diese Konten mit geringen Berechtigungen erfordern keinen Zugriff auf Partner Center oder Microsoft Online Services-Portale, um Kundenressourcen mithilfe delegierter Administratorrechte des Partners zu verwalten. Ist dies ein gültiger Grund für eine technische Ausnahme?

Antwort: Nein Da diese Benutzerkonten keine delegierten Administratorrechte des Partners zum Verwalten von Kundenressourcen verwenden, müssen sie sich nicht beim Kundenmandanten anmelden. Sie sind nicht betroffen, wenn Azure AD die MFA-Überprüfung während der Anmeldung beim Kundenmandanten erfordert.

Problem 4: Partner kann MFA nicht mit der Microsoft Authenticator-App implementieren

Ein Partner verfügt über eine "Clean Desk"-Richtlinie, die es Mitarbeitern nicht erlaubt, ihre persönlichen mobilen Geräte in ihren Arbeitsbereich zu bringen. Ohne Zugriff auf ihre persönlichen mobilen Geräte können die Mitarbeiter die Microsoft Authenticator-App nicht installieren. Dies ist die einzige MFA-Überprüfung, die von Den Azure AD-Sicherheitsstandards unterstützt wird. Handelt es sich um einen gültigen Grund für eine technische Ausnahme?

Antwort: Nein Der Partner sollte die folgende Alternative in Betracht ziehen, damit seine Mitarbeiter weiterhin die MFA-Überprüfung durchführen können, wenn sie auf Partner Center zugreifen:

  • Partner können sich auch für Azure AD Premium- oder Drittanbieter-MFA-Lösungen (kompatibel mit Azure AD) registrieren, die weitere Überprüfungsmethoden bereitstellen können.

Problem 5: Der Partner kann MFA aufgrund der Verwendung von Legacyauthentifizierungsprotokollen nicht implementieren.

Ein Partner arbeitet mit einigen Partner-Agents zusammen, die noch ältere Authentifizierungsprotokolle verwenden, die nicht mit MFA kompatibel sind. Beispielsweise verwenden die Benutzer noch Outlook 2010, das auf Legacyauthentifizierungsprotokollen basiert. Wenn MFA für diese Partner-Agents aktiviert wird, wird die Verwendung von Legacyauthentifizierungsprotokollen unterbrochen. Handelt es sich um einen gültigen Grund für eine technische Ausnahme?

Antwort: Nein Partner werden empfohlen, die Verwendung von Legacyauthentifizierungsprotokollen aufgrund potenzieller Sicherheitsauswirkungen zu entfernen, da diese Protokolle nicht mit der MFA-Überprüfung geschützt werden können und viel anfälliger für Kompromittierung von Anmeldeinformationen sind. Wenn der Wechsel von der Verwendung von Legacyauthentifizierungsprotokollen keine Option ist, sollten Partner erwägen, sich für Azure AD Premium zu registrieren, das die Verwendung von Anwendungskennwörtern unterstützt. Anwendungskennwörter sind einmalige, vom System generierte Kennwörter und sind stärker als von Menschen generierte Kennwörter. Mithilfe von Anwendungskennwörtern können Partner MFA für ihre Benutzer implementieren, während sie auf Anwendungskennwörter nur für Ältere Authentifizierungsprotokolle zurückgreifen.

Um den neuesten Plan zur Unterstützung der Legacyauthentifizierung für Outlook zu verstehen, lesen Sie den Beitrag über die Grundlegende Authentifizierung und Exchange Online, und folgen Sie dem Blog des Exchange-Teams, um die bevorstehenden Neuigkeiten zu erhalten.

Hinweis

Obwohl der Partner MFA für seine Partner-Agents nicht implementiert hat, können die Partner-Agents weiterhin über delegierte Administratorrechte von Partnern auf Microsoft Online Services-Portale zugreifen, wenn sie die MFA-Registrierung und MFA-Überprüfung durchführen können, wenn sie bei der Anmeldung beim Kundenmandanten dazu aufgefordert werden. Das Abschließen der MFA-Registrierung aktiviert den Benutzer nicht automatisch für MFA.

Problem 6: Partner hat Drittanbieter-MFA implementiert, die von Azure AD nicht erkannt wird

Ein Partner hat MFA für seine Benutzer mit einer MFA-Lösung eines Drittanbieters implementiert. Der Partner kann jedoch die MFA-Lösung des Drittanbieters nicht ordnungsgemäß konfigurieren, um Azure AD zu vermitteln, dass die MFA-Überprüfung während der Benutzerauthentifizierung durchgeführt wurde. Handelt es sich um einen gültigen Grund für eine technische Ausnahme?

Antwort: Dieses Szenario kann ein gültiger Grund für eine technische Ausnahme für Partner Center-Transaktionen und -Verwaltung sein. Wenn der Partnerorganisation jedoch zuvor eine Ausnahme für die MFA gewährt wurde, müssen Benutzer, die Kundenmandanten im Rahmen des CSP-Programms verwalten, die MFA-Anforderungen von Microsoft vor dem 1. März 2022 implementieren. Die Nichteinhaltung der MFA-Anforderungen kann zum Verlust des Kundenmandantenzugriffs führen. Vergewissern Sie sich vor dem Übermitteln einer Anforderung für eine technische Ausnahme beim MFA-Lösungsanbieter des Drittanbieters, dass die MFA-Lösung nicht so konfiguriert werden kann, dass der Anspruch authenticationmethodsreferences (mit dem Wert multipleauthn) an Azure AD übermittelt wird, um anzugeben, dass die MFA-Überprüfung während der Benutzerauthentifizierung abgeschlossen wurde. Wenn Sie eine Anforderung für eine technische Ausnahme übermitteln, müssen Sie Details zur verwendeten MFA-Lösung eines Drittanbieters angeben. Sie müssen auch die Integrationsmethode angeben (z. B. über den Identitätsverbund oder die Verwendung der benutzerdefinierten Azure AD-Steuerung) und die folgenden Informationen in der technischen Ausnahmeanforderung als unterstützende Dokumente angeben:

  • Die Drittanbieter-MFA-Konfigurationen
  • Das Ergebnis des Tests der Partnersicherheitsanforderungen, der über das Drittanbieterkonto mit aktivierter MFA ausgeführt wird
  • Die Bestellung der MFA-Drittanbieterlösung, die Sie verwenden oder verwenden möchten

Übermitteln einer Anforderung für eine technische Ausnahme

Wichtig

Wie bereits erwähnt, wird eine MFA-Ausnahme für die Verwaltung des Kundenmandanten mit DAP oder GDAP nicht mehr unterstützt. Partner müssen die Azure MFA-Lösung zum Verwalten des Kundenmandanten verwenden.

Partner können eine technische Ausnahme beantragen, um die MFA-Überprüfung zu unterdrücken, wenn technische Probleme mit Microsoft Online Services auftreten und es keine praktikable Lösung oder Problemumgehung gibt. Bevor Sie dies tun, lesen Sie die allgemeinen Probleme im vorherigen Abschnitt.

So reichen Sie eine Anfrage für eine technische Ausnahme ein:

  1. Melden Sie sich bei Partner Center mit Anmeldeinformationen für den globalen Administrator oder Admin-Agent an.

  2. Erstellen Sie ein neues Supportticket:

    a. Suchen Sie unter Problemtyp nach MFA – Antrag auf Ausnahme.

    Sie können auch die Kategorie CSP auswählen und dann Konten, Onboarding, Zugriff>MFA – Antrag auf Ausnahme>Nächster Schritt auswählen.

    b. Geben Sie die zum Einreichen einer Serviceanfrage erforderlichen Details an, und wählen Sie dann Übermitteln aus.

Es kann bis zu drei Arbeitstage dauern, bis Microsoft eine Antwort auf eine Anfrage für eine technische Ausnahme bereitstellt.

Nächste Schritte