Rôles appropriés : Tous les utilisateurs de l’Espace partenaires
Cet article répond à certaines questions courantes sur les exigences de sécurité des partenaires dans l’espace de travail Paramètres du compte.
Que sont les exigences de sécurité des partenaires et pourquoi les partenaires doivent-ils les implémenter ?
Nous voyons un nombre croissant d’attaques de sécurité de plus en plus sophistiquées , principalement des attaques liées à la compromission d’identité.
Nous avons introduit des exigences de sécurité obligatoires, car les contrôles préventifs jouent un rôle clé dans une stratégie globale de défense. Tous les partenaires participant au programme fournisseur de solutions Cloud (CSP), aux fournisseurs Panneau de configuration et aux conseillers doivent implémenter ces exigences de sécurité pour rester conformes.
Quelles sont les chronologies et les jalons pour l’implémentation des exigences de sécurité ?
Les termes associés aux exigences de sécurité, y compris les chronologies et les jalons, sont inclus dans le Contrat Partenaire Microsoft. Vous devez implémenter ces exigences de sécurité dès que possible pour rester conforme afin de pouvoir participer au programme CSP.
Que se passe-t-il si je n’implémente pas les exigences de sécurité des partenaires ?
Le Contrat Partenaire Microsoft exige que vous appliquiez l’authentification multifacteur pour les comptes d’utilisateur et que vous adoptiez le modèle d’application sécurisé pour interagir avec l’API de l’Espace partenaires.
Les partenaires qui ne respectent pas ces pratiques de sécurité peuvent perdre la possibilité d’effectuer des transactions dans le programme CSP ou de gérer les locataires clients à l’aide de droits d’administrateur délégués.
Les exigences de sécurité s’appliquent-elles à toutes les zones géographiques ?
Oui. (Bien qu’Azure Government ne soit pas actuellement requis pour répondre aux exigences de sécurité, nous recommandons vivement à tous les partenaires d’adopter ces exigences de sécurité immédiatement.)
Est-il possible d’obtenir l’exclusion d’un compte ?
Non, il n’est pas possible d’exclure tout compte d’utilisateur de l’exigence d’application de l’authentification multifacteur (MFA). Étant donné la nature hautement privilégiée d’être un partenaire, l’Contrat Partenaire Microsoft exige que l’authentification multifacteur soit appliquée pour chaque compte d’utilisateur de votre locataire partenaire.
Comment faire savoir si je réponds aux exigences de sécurité des partenaires ?
Pour répondre aux exigences de sécurité des partenaires, procédez comme suit :
- Répondez à toutes les exigences décrites dans les exigences de sécurité pour l’utilisation de l’Espace partenaires ou des API de l’Espace partenaires.
- Vérifiez que tous les comptes d’utilisateur de votre locataire partenaire ont une authentification multifacteur appliquée.
Pour identifier les zones où vous pouvez effectuer des actions, nous fournissons le rapport d’état des exigences de sécurité dans l’Espace partenaires.
Actions requises
Quelles actions dois-je effectuer pour répondre aux exigences de sécurité ?
Tous les partenaires du programme CSP (facture directe, fournisseur indirect et revendeur indirect), les conseillers et les fournisseurs Panneau de configuration doivent répondre aux exigences.
Mettre en œuvre l’authentification MFA pour tous les utilisateurs
Tous les partenaires du programme Fournisseur de solutions Cloud, les conseillers et les fournisseurs de panneaux de contrôle sont tenus de mettre en œuvre l’authentification MFA pour tous les utilisateurs de leur locataire de partenaire.
Autres points à considérer :
- Les fournisseurs indirects doivent travailler avec des revendeurs indirects pour s’intégrer à l’Espace partenaires, s’ils ne l’ont pas déjà fait et encourager leurs revendeurs à répondre aux exigences.
- L’authentification multifacteur Microsoft Entra est disponible pour les utilisateurs du locataire partenaire sans frais via les paramètres de sécurité Microsoft Entra, avec la seule méthode de vérification d’une application d’authentificateur qui prend en charge les mots de passe à usage unique (TOTP) basés sur le temps.
- D’autres méthodes de vérification sont disponibles via les références SKU Microsoft Entra P1 ou P2 , si d’autres méthodes telles qu’un appel téléphonique ou un sms sont requises.
- Les partenaires peuvent également utiliser une solution d’authentification MFA tierce pour chaque compte qui accède aux services cloud commerciaux Microsoft.
Adopter le framework du modèle d’application sécurisé
Les partenaires qui ont développé une intégration personnalisée à l’aide de n’importe quelle API (par exemple, Azure Resource Manager, Microsoft Graph, API Espace partenaires, etc.) ou qui ont implémenté une automatisation personnalisée à l’aide d’outils tels que PowerShell, doivent adopter l’infrastructure De modèle d’application sécurisé pour s’intégrer aux services cloud Microsoft. L’échec de cette opération peut entraîner une interruption en raison du déploiement de l’authentification multifacteur.
Les ressources suivantes fournissent une vue d’ensemble et des conseils sur la façon d’adopter le modèle.
- Vue d’ensemble du modèle d’application sécurisé
- Espace partenaires : Guide du modèle d’application sécurisé
- Partenaires du programme Fournisseur de solutions Cloud : exemple de code .NET pour l’activation du modèle d’application sécurisé
- Authentification auprès de l’Espace partenaires
- Document MFA (Multifactor Authentication) de l’Espace partenaires PowerShell
Si vous utilisez un panneau de contrôle, contactez le fournisseur concernant l’adoption du framework du modèle d’application sécurisé.
Les fournisseurs du panneau de configuration doivent être intégrés à l’Espace partenaires en tant que fournisseurs de panneau de configuration et commencer à implémenter immédiatement cette exigence. Reportez-vous à l’Espace partenaires : Infrastructure de modèle d’application sécurisée.
Les fournisseurs de panneaux de contrôle doivent accepter et gérer le consentement des partenaires du programme Fournisseur de solutions Cloud au lieu d’informations d’identification. De plus, ils doivent vider toutes les informations d’identification existantes des partenaires du programme Fournisseur de solutions Cloud.
Authentification multifacteur
Qu’est-ce que l’authentification multifacteur (MFA) ?
L’authentification multifacteur est un mécanisme de sécurité permettant d’authentifier des personnes à l’aide de plusieurs procédures de sécurité et de validation requises. Ce mécanisme fonctionne en imposant deux ou plusieurs des méthodes d’authentification suivantes :
- Un élément que vous connaissez (généralement un mot de passe)
- Quelque chose que vous possédez (un appareil de confiance qu’il est difficile de dupliquer, comme un téléphone)
- Un élément vous concernant particulièrement (biométrie)
Existe-t-il un coût pour l’activation de l’authentification multifacteur ?
Microsoft fournit l’authentification multifacteur sans coût par le biais de l’implémentation des paramètres de sécurité Microsoft Entra par défaut. La seule option de vérification disponible avec cette version de l’authentification MFA est une application d’authentification.
- Si un appel téléphonique ou un sms est requis, une licence Microsoft Entra P1 ou P2 doit être achetée.
- Vous pouvez également utiliser une solution tierce pour fournir une authentification multifacteur pour chaque utilisateur de votre locataire partenaire. Dans ce cas, il vous incombe de vous assurer que votre solution MFA est appliquée et que vous êtes conforme.
Quelles mesures dois-je prendre si j’ai déjà une solution d’authentification MFA ?
Les utilisateurs d’un locataire partenaire doivent s’authentifier à l’aide de l’authentification multifacteur lors de l’accès aux services cloud commerciaux Microsoft. Les solutions tierces permettent de répondre à ces exigences. Microsoft ne propose plus de tests de validation aux fournisseurs d'identité indépendants pour vérifier la compatibilité avec Microsoft Entra ID. Pour tester l’interopérabilité de votre produit, consultez la documentation de compatibilité du fournisseur d’identité Microsoft Entra.
Important
Si vous utilisez une solution tierce, il est important de vérifier que la solution émet la revendication de référence de méthode d’authentification (AMR) qui inclut la valeur MFA. Pour plus d’informations sur la façon dont la validation de votre solution tierce émet la revendication attendue, consultez Test des exigences de sécurité du partenaire.
J’utilise plusieurs locataires de partenaire pour effectuer des transactions. Dois-je implémenter l’authentification multifacteur sur toutes ces applications ?
Oui. Vous devez appliquer l’authentification multifacteur pour chaque locataire Microsoft Entra associé au programme CSP ou au programme Advisor. Pour acheter une licence Microsoft Entra ID P1 ou P2, vous devez acheter une licence d’ID Microsoft Entra pour les utilisateurs de chaque locataire Microsoft Entra.
Est-ce que l’authentification MFA doit être appliquée à chaque compte d’utilisateur de mon locataire de partenaire ?
Oui. Chaque utilisateur doit avoir appliqué l’authentification multifacteur. Toutefois, si vous utilisez les paramètres de sécurité Microsoft Entra par défaut, aucune autre action n’est requise, car cette fonctionnalité applique l’authentification multifacteur pour tous les comptes d’utilisateur. L’activation des paramètres de sécurité par défaut est un moyen gratuit et facile de s’assurer que vos comptes d’utilisateur sont conformes à l’authentification multifacteur et qu’ils ne sont pas affectés lorsque l’authentification multifacteur est appliquée.
Je suis un partenaire de facturation directe Microsoft. Que dois-je faire ?
Les partenaires de facturation directe du programme Fournisseur de solutions Cloud doivent mettre en œuvre l’authentification MFA pour chaque utilisateur du locataire du partenaire.
Je suis un revendeur indirect et j’effectue des transactions uniquement via un distributeur. Est-ce que je dois quand même activer l’authentification multifacteur (MFA) ?
Oui. Tous les revendeurs indirects sont tenus d’appliquer l’authentification MFA pour chaque utilisateur du locataire du partenaire. Le revendeur indirect doit activer l’authentification MFA.
Je n’utilise pas l’API de l’Espace partenaires. Dois-je quand même mettre en œuvre l’authentification MFA ?
Oui. Cette exigence de sécurité concerne tous les utilisateurs, y compris les utilisateurs administrateurs partenaires et les utilisateurs finaux d’un locataire partenaire.
Quels fournisseurs tiers fournissent des solutions MFA compatibles avec l’ID Microsoft Entra ?
Lorsque vous passez en revue les fournisseurs et solutions MFA, vous devez vous assurer que la solution que vous choisissez est compatible avec l’ID Microsoft Entra.
Microsoft ne propose plus de tests de validation aux fournisseurs d'identité indépendants pour vérifier la compatibilité avec Microsoft Entra ID. Si vous souhaitez tester votre produit pour l’interopérabilité, reportez-vous à la documentation de compatibilité du fournisseur d’identité Microsoft Entra.
Pour plus d’informations, consultez la liste de compatibilité de fédération Microsoft Entra.
Comment puis-je tester l’authentification MFA dans notre bac à sable d’intégration ?
La fonctionnalité par défaut de sécurité Microsoft Entra doit être activée. Vous pouvez également utiliser une solution tierce qui utilise la fédération.
L’activation de l’authentification MFA a-t-elle un impact sur mon interaction avec le locataire de mon client ?
Non. Le respect de ces exigences de sécurité n’affecte pas la façon dont vous gérez vos clients. Votre capacité à effectuer des opérations d’administration déléguées n’est pas interrompue.
Mes clients sont-ils soumis aux exigences de sécurité du partenaire ?
Non. Vous n’êtes pas obligé d’appliquer l’authentification multifacteur pour chaque utilisateur dans les locataires Microsoft Entra de votre client. Toutefois, nous vous recommandons de travailler avec chaque client pour déterminer la meilleure façon de protéger ses utilisateurs.
Un utilisateur peut-il être exclu de l’exigence d’authentification MFA ?
Non. Chaque utilisateur de votre locataire partenaire, y compris les comptes de service, doit s’authentifier à l’aide de l’authentification multifacteur.
Les exigences de sécurité du partenaire s’appliquent-elles au bac à sable d’intégration ?
Oui. Cela signifie que vous devez implémenter la solution MFA appropriée pour les utilisateurs dans le locataire de bac à sable d’intégration. Nous vous recommandons d’implémenter les paramètres de sécurité Microsoft Entra par défaut pour fournir l’authentification multifacteur.
Comment faire configurer un compte d’accès d’urgence (« verre d’arrêt ») ?
Il est considéré comme une bonne pratique pour créer un ou deux comptes d’accès d’urgence afin d’éviter qu’ils ne soient verrouillés par inadvertance de votre locataire Microsoft Entra. En ce qui concerne les exigences de sécurité du partenaire, il est nécessaire que chaque utilisateur s’authentifie à l’aide de l’authentification MFA. Cette exigence signifie que vous devez modifier la définition d’un compte d’accès d’urgence. Il peut s’agir d’un compte qui utilise une solution tierce pour l’authentification multifacteur.
Les services de fédération Active Directory (ADFS) sont-ils nécessaires si j’utilise une solution tierce ?
Non. Il n’est pas nécessaire de disposer du service de fédération Active Directory (ADFS) si vous utilisez une solution tierce. Il est recommandé de travailler avec le fournisseur de la solution pour déterminer les exigences de leur solution.
Est-il nécessaire d’activer les paramètres de sécurité Microsoft Entra par défaut ?
Non.
L’accès conditionnel peut-il être utilisé pour répondre à l’exigence d’authentification MFA ?
Oui. Vous pouvez utiliser l’accès conditionnel pour appliquer l’authentification multifacteur pour chaque utilisateur, y compris les comptes de service, dans votre locataire partenaire. Toutefois, étant donné la nature hautement privilégiée d’être un partenaire, nous devons nous assurer que chaque utilisateur a un défi MFA pour chaque authentification unique. Cela signifie que vous ne pouvez pas utiliser la fonctionnalité d’accès conditionnel qui contourne l’exigence d’authentification multifacteur.
Le compte de service utilisé par Microsoft Entra Connect sera-t-il affecté par les exigences de sécurité du partenaire ?
Non. Le compte de service utilisé par Microsoft Entra Connect ne sera pas affecté par les exigences de sécurité des partenaires. Si vous rencontrez un problème avec Microsoft Entra Connect en raison de l’application de l’authentification multifacteur, ouvrez une demande de support technique avec le support Microsoft.
Modèle d’application sécurisé
Qui doit adopter le modèle d’application sécurisé pour répondre aux exigences ?
Microsoft a introduit une infrastructure sécurisée et évolutive pour l’authentification des partenaires fournisseur de solutions Cloud (CSP) et des fournisseurs de Panneau de configuration (CPV) qui utilisent l’authentification multifacteur. Pour plus d’informations, consultez le Guide du modèle d’application sécurisé. Tous les partenaires qui ont développé une intégration personnalisée à l’aide de n’importe quelle API (par exemple, Azure Resource Manager, Microsoft Graph, API Espace partenaires, etc.) ou qui ont implémenté une automatisation personnalisée à l’aide d’outils tels que PowerShell, devront adopter l’infrastructure de modèle d’application sécurisé pour s’intégrer aux services cloud Microsoft.
Qu’est-ce que le modèle d’application sécurisé ?
Microsoft introduit une infrastructure sécurisée et évolutive pour l’authentification des partenaires fournisseur de solutions Cloud (CSP) et des fournisseurs de Panneau de configuration (CPV) qui utilisent l’authentification multifacteur. Pour plus d’informations, consultez le Guide du modèle d’application sécurisé.
Comment implémenter le modèle d’application sécurisé ?
Tous les partenaires qui ont développé une intégration personnalisée à l’aide de n’importe quelle API (par exemple, Azure Resource Manager, Microsoft Graph, API Espace partenaires, etc.) ou implémenté une automatisation personnalisée à l’aide d’outils tels que PowerShell, doivent adopter l’infrastructure Secure Application Model pour s’intégrer aux services cloud Microsoft. L’échec de cette opération peut entraîner une interruption en raison du déploiement de l’authentification multifacteur.
Les ressources suivantes fournissent une vue d’ensemble et des conseils sur la façon d’adopter le modèle :
- Vue d’ensemble du modèle d’application sécurisé
- Espace partenaires : Guide du modèle d’application sécurisé
- Partenaires du programme Fournisseur de solutions Cloud : exemple de code .NET pour l’activation du modèle d’application sécurisé
- Authentification auprès de l’Espace partenaires
- Document MFA (Multifactor Authentication) de l’Espace partenaires PowerShell
Si vous utilisez un panneau de configuration, vous devez consulter le fournisseur en ce qui concerne l’adoption de l’infrastructure de modèle d’application sécurisée.
Les fournisseurs de panneau de configuration doivent être intégrés à l’Espace partenaires en tant que fournisseur de panneau de configuration et commencer à implémenter cette exigence immédiatement.
Reportez-vous à l’Espace partenaires : Infrastructure de modèle d’application sécurisée. Les fournisseurs de panneaux de contrôle doivent accepter et gérer le consentement des partenaires du programme Fournisseur de solutions Cloud au lieu d’informations d’identification. De plus, ils doivent vider toutes les informations d’identification existantes des partenaires du programme Fournisseur de solutions Cloud.
Le modèle d’application sécurisé doit-il uniquement être implémenté pour le kit SDK/l’API de l’Espace partenaires ?
En appliquant l’authentification multifacteur pour tous les comptes d’utilisateur, toute automatisation ou intégration destinée à s’exécuter de manière non interactive est affectée. Bien que les exigences de sécurité des partenaires vous obligent à activer le modèle d’application sécurisé pour l’API espace partenaires, il peut être utilisé pour répondre à la nécessité d’un deuxième facteur d’authentification avec l’automatisation et l’intégration.
Remarque
Les ressources accessibles doivent prendre en charge l’authentification basée sur les jetons d’accès.
J’utilise des outils d’automation tels que PowerShell. Comment implémenter le modèle d’application sécurisé ?
Vous devez implémenter le modèle d’application sécurisé si votre automatisation s’exécute de manière non interactive et s’appuie sur les informations d’identification de l’utilisateur pour l’authentification. Consultez Modèle d’application sécurisé | Module PowerShell pour l’Espace partenaires pour obtenir de l’aide sur l’implémentation de ce framework.
Remarque
Tous les outils d’automatisation ne peuvent pas s’authentifier à l’aide de jetons d’accès. Si vous avez besoin d’aide pour comprendre les changements à apporter, postez un message au groupe d’aide sur la sécurité de l’Espace partenaires.
Quelles sont les informations d’identification de l’utilisateur que l’administrateur d’application doit fournir durant l’exécution du processus de consentement ?
Il est recommandé d’utiliser un compte de service disposant des autorisations les moins privilégiées. En ce qui concerne l’API Espace partenaires, vous devez utiliser un compte qui a été attribué à l’agent commercial ou au rôle d’agent d’administration.
Pourquoi l’administrateur de l’application ne doit-il pas fournir les informations d’identification de l’utilisateur administrateur général lors de l’exécution du processus de consentement ?
Il est recommandé d’utiliser une identité à privilèges minimum, car cela réduit les risques. Il n’est pas recommandé d’utiliser un compte disposant de privilèges d’administrateur général, car il fournit plus d’autorisations que nécessaire.
Je suis un partenaire du programme Fournisseur de solutions Cloud. Comment savoir si mon fournisseur de panneau de contrôle travaille à l’implémentation de la solution ?
Pour les partenaires qui utilisent une solution fournisseur de Panneau de configuration (CPV) pour effectuer des transactions dans le programme fournisseur de solutions Cloud (CSP), il vous incombe de consulter votre CPV.
Qu’est-ce qu’un fournisseur de panneau de configuration (CPV) ?
Un fournisseur de panneau de configuration est un fournisseur de logiciels indépendant qui développe des applications à utiliser par les partenaires CSP pour s’intégrer aux API de l’Espace partenaires. Un fournisseur de panneau de configuration n’est pas un partenaire CSP disposant d’un accès direct à l’Espace partenaires ou aux API. Une description détaillée est disponible dans l’Espace partenaires : Guide du modèle d’applications sécurisées.
Je suis un CPV. Comment m’inscrire ?
Pour s’inscrire en tant que fournisseur de panneau de configuration (CPV), suivez les instructions de l’inscription en tant que fournisseur de Panneau de configuration pour aider à intégrer les systèmes partenaires CSP aux API de l’Espace partenaires.
Une fois que vous vous êtes inscrit dans l’Espace partenaires et inscrit vos applications, vous aurez accès aux API de l’Espace partenaires. Vous recevrez vos informations de bac à sable dans une notification de l’Espace partenaires si vous êtes un nouveau CPV. Une fois que vous avez terminé l’inscription en tant que CPV Microsoft et accepté le contrat CPV, vous pouvez :
Gérez les applications mutualisées (ajoutez des applications à Portail Azure, puis inscrivez et annulez l’inscription d’applications dans l’Espace partenaires).
Remarque
Les CPV doivent inscrire leurs applications dans l’Espace partenaires pour être autorisés à accéder aux API de l’Espace partenaires. L’ajout d’applications au seul portail Azure n’autorise pas les applications du CPV à accéder aux API de l’Espace partenaires.
Visualisez et gérez votre profil de CPV.
Visualisez et gérez les utilisateurs ayant besoin d’accéder aux fonctionnalités de CPV. Un CPV ne peut avoir que le rôle Administrateur général.
J’utilise le kit SDK de l’Espace partenaires. Le SDK adoptera-t-il automatiquement le modèle d’application sécurisée ?
Non. Vous devez suivre les instructions du guide du modèle d’application sécurisé.
Puis-je générer un jeton d’actualisation pour le modèle d’application sécurisé avec des comptes pour lesquels l’authentification MFA n’est pas activée ?
Oui. Un jeton d’actualisation peut être généré à l’aide d’un compte qui n’a pas d’authentification multifacteur appliquée. Toutefois, cela doit être évité. Un jeton généré à l’aide d’un compte pour lequel l’authentification MFA n’est pas activée n’a pas accès aux ressources en raison de l’exigence d’authentification MFA.
Comment mon application doit-elle obtenir un jeton d’accès si nous activons l’authentification MFA ?
Suivez le guide du modèle d’application sécurisé qui fournit des détails sur la façon de le faire tout en respectant les nouvelles exigences de sécurité. Vous trouverez des exemples de code .NET dans les exemples DotNet de l’Espace partenaires - Modèle d’application sécurisé et code Java dans les exemples Java de l’Espace partenaires.
En tant que CPV, puis-je créer une application Microsoft Entra dans notre locataire CPV ou le locataire du partenaire CSP ?
Le protocole CPV doit créer l’application Microsoft Entra dans le locataire associé à son inscription en tant que CPV.
Je suis un fournisseur de solutions Cloud qui utilise l’authentification par application uniquement. Dois-je apporter des changements ?
L’authentification par application uniquement n’est pas affectée, car les informations d’identification de l’utilisateur ne sont pas utilisées pour demander un jeton d’accès. Si les informations d’identification de l’utilisateur sont partagées, les CPV (fournisseurs de panneaux de contrôle) doivent adopter le framework du modèle d’application sécurisé et vider les informations d’identification de partenaire existantes.
En tant que CPV, puis-je utiliser le style d’authentification d’application uniquement pour obtenir des jetons d’accès ?
Non. Panneau de configuration partenaires fournisseurs ne peuvent pas utiliser le style d’authentification d’application uniquement pour demander des jetons d’accès au nom du partenaire. Ils doivent implémenter le modèle d’application sécurisé, qui utilise l’authentification d’application + l’authentification utilisateur.
Mise en œuvre technique
Qu’est-ce que l’activation des mesures de sécurité ?
Tous les partenaires qui participent au programme Fournisseur de solutions Microsoft Cloud (CSP), les fournisseurs de panneau de contrôle et les conseillers Advisor doivent implémenter les exigences de sécurité obligatoires pour rester conformes.
Pour fournir une plus grande protection, Microsoft a commencé à activer des protections de sécurité qui aident les partenaires à sécuriser leurs locataires et leurs clients en mandatant la vérification de l’authentification multifacteur (MFA) pour empêcher l’accès non autorisé.
Nous avons terminé l’activation pour les fonctionnalités « Administrateur pour le compte de » (AOBO) pour tous les locataires partenaires. Pour mieux protéger les partenaires et les clients, nous allons commencer l’activation des transactions de l’Espace partenaires dans CSP, ce qui aide les partenaires à protéger leurs entreprises et clients contre les incidents liés au vol d’identité.
Pour plus d’informations, consultez Mandating Multifactor Authentication (MFA) pour la page de votre locataire partenaire.
J’utilise une solution MFA tierce et je suis bloqué. Que dois-je faire ?
Pour vérifier que le compte accédant aux ressources a été contesté pour l’authentification multifacteur, nous vérifions la revendication de référence de méthode d’authentification pour voir si l’authentification multifacteur est répertoriée. Certaines solutions tierces n’émettent pas cette revendication ou n’incluent pas la valeur MFA. Si la revendication est manquante ou si la valeur MFA n’est pas répertoriée, il n’existe aucun moyen de déterminer si le compte authentifié a été contesté pour l’authentification multifacteur. Vous devez travailler avec le fournisseur de votre solution tierce pour déterminer les actions à entreprendre afin que la solution émet la revendication de référence de méthode d’authentification.
Si vous ne savez pas si votre solution tierce émet la revendication attendue ou non, consultez Test des exigences de sécurité du partenaire.
L’authentification multifacteur m’empêche de prendre en charge mon client à l’aide d’AOBO. Que dois-je faire ?
L’application technique des exigences de sécurité des partenaires est vérifiée si le compte authentifié a été contesté pour l’authentification multifacteur. Si le compte n’a pas été vérifié, vous êtes redirigé vers la page de connexion et invité à vous authentifier à nouveau.
Pour plus d’informations et pour obtenir des conseils, consultez Mandating Multifactor Authentication (MFA) pour votre locataire partenaire.
Dans un scénario dans lequel votre domaine n’est pas fédéré, après l’authentification réussie, vous êtes invité à configurer l’authentification multifacteur. Une fois cette opération terminée, vous serez en mesure de gérer vos clients à l’aide d’AOBO. Dans un scénario dans lequel votre domaine est fédéré, vous devez vous assurer que le compte est contesté pour l’authentification multifacteur.
Transition vers les paramètres de sécurité par défaut
Comment puis-je passer des stratégies de ligne de référence aux paramètres de sécurité par défaut ou d’autres solutions MFA ?
Les stratégies microsoft Entra ID « baseline » sont supprimées et remplacées par « valeurs par défaut de sécurité », un ensemble plus complet de stratégies de protection pour vous et vos clients. Les paramètres de sécurité par défaut peuvent aider à protéger votre organisation contre les attaques de sécurité liées au vol d’identité.
Votre implémentation d’authentification multifacteur (MFA) est supprimée en raison de la mise hors service des stratégies de base si vous n’avez pas passé des stratégies de base de référence à la stratégie de sécurité par défaut ou à d’autres options d’implémentation MFA. Tous les utilisateurs de vos locataires partenaires qui effectuent des opérations d’authentification MFA devront effectuer une vérification MFA. Pour obtenir des conseils plus détaillés, consultez Mandating multifactor authentication for your partner tenant.
Pour rester conforme et réduire les interruptions, procédez comme suit :
- Transition vers les valeurs par défaut de sécurité
- La stratégie de paramètres de sécurité par défaut est l’une des options que les partenaires peuvent choisir pour implémenter MFA. Elle offre un niveau de sécurité de base sans coût supplémentaire.
- Découvrez comment activer l’authentification multifacteur pour votre organisation avec l’ID Microsoft Entra et passer en revue les considérations clés relatives à la sécurité par défaut.
- Activez la stratégie de paramètres de sécurité par défaut si elle répond aux besoins de votre entreprise.
- Transition vers l’accès conditionnel
- Si la stratégie de paramètres de sécurité par défaut ne répond pas à vos besoins, activez l’accès conditionnel. Pour plus d’informations, consultez la documentation sur l’accès conditionnel Microsoft Entra.
Principales ressources
Comment faire pour démarrer ?
- Consultez les exigences de sécurité des partenaires : guide pas à pas.
- Dirigez vos questions et commentaires vers le groupe d’aide sur la sécurité de l’Espace partenaires.
- Participez aux prochains webinaires pour partenaires qui ont lieu pendant les heures ouvrées. Vérifiez la planification et les ressources détaillées sur la page Communauté des partenaires.
Quelles sont les ressources permettant d’adopter le modèle d’application sécurisé ?
- Vue d’ensemble du modèle d’application sécurisé
- Espace partenaires : Guide du modèle d’application sécurisé
- Partenaires du programme Fournisseur de solutions Cloud : exemple de code .NET pour l’activation du modèle d’application sécurisé
- Authentification auprès de l’Espace partenaires
- Document MFA (Multifactor Authentication) de l’Espace partenaires PowerShell
Support
Où puis-je obtenir un support ?
Pour que les ressources de support répondent aux exigences de sécurité :
- Si vous disposez d’un support avancé pour les partenaires (ASfP), contactez votre responsable de compte de service.
- Pour le contrat Premier Support for Partners (PSfP), contactez votre Responsable de compte de service et le Gestionnaire de compte technique.
Comment faire obtenir des informations techniques et un support technique pour m’aider à adopter l’infrastructure de modèle d’application sécurisée ?
Les options de support technique pour Microsoft Entra ID sont disponibles via vos avantages du programme Microsoft AI Cloud Partner. Les partenaires ayant accès à un abonnement ASfP ou PSfP actif peuvent travailler avec leur responsable de compte associé (SAM/TAM) pour comprendre les meilleures options disponibles.
Comment faire contacter le support technique si je perds l’accès à l’Espace partenaires ?
Si vous perdez l’accès en raison d’un problème d’authentification multifacteur, contactez l’administrateur de sécurité de votre locataire. Votre service informatique interne peut vous indiquer qui est votre administrateur de sécurité.
Si vous avez oublié votre mot de passe, consultez Impossible de vous connecter pour obtenir de l’aide.
Où est-ce que je peux trouver plus d’informations sur les problèmes techniques courants ?
Vous trouverez des informations sur les problèmes techniques courants dans Exigences de sécurité pour les partenaires qui utilisent l’Espace partenaires ou les API de l’Espace partenaires