Pozwolenie na uwierzytelnianie wieloskładnikowe (MFA) dla dzierżawy partnera
Odpowiednie role: Agent administracyjny | Agent sprzedaży | Agent pomocy technicznej | Administrator rozliczeń | Administrator zabezpieczeń
Wśród naszych najważniejszych priorytetów znajdują się lepsze zabezpieczenia bezpieczeństwa i ochrony prywatności, a partnerzy nadal pomagają partnerom chronić swoich klientów i dzierżawców.
Aby pomóc partnerom chronić swoje firmy i klientów przed kradzieżą tożsamości i nieautoryzowanym dostępem, aktywowaliśmy więcej zabezpieczeń dla dzierżaw partnerskich. Te zabezpieczenia nakazują i weryfikują uwierzytelnianie wieloskładnikowe. Mandat uwierzytelniania wieloskładnikowego pomaga partnerom zabezpieczyć dostęp do zasobów klientów przed naruszeniem poświadczeń.
Ten artykuł zawiera szczegółowe przykłady i wskazówki dotyczące mandatu uwierzytelniania wieloskładnikowego (MFA) w Centrum partnerskim.
Partnerzy uczestniczący w programie Dostawca rozwiązań w chmurze (CSP), dostawcy Panel sterowania (CPV) i doradcy muszą wdrożyć wymagania dotyczące zabezpieczeń partnera, aby zachować zgodność.
Partnerzy muszą wymusić uwierzytelnianie wieloskładnikowe dla wszystkich kont użytkowników w dzierżawie partnera, w tym użytkowników-gości. Użytkownicy muszą ukończyć weryfikację uwierzytelniania wieloskładnikowego dla następujących obszarów:
Centrum partnerskie
Niektóre strony w Centrum partnerskim są chronione za pomocą uwierzytelniania wieloskładnikowego, w tym:
- Wszystkie strony na karcie Klienci (czyli wszystkie strony z adresem URL rozpoczynającym się od
https://partner.microsoft.com/commerce/*) - Wszystkie strony na karcie Żądania klienta pomocy technicznej>(na przykład wszystkie strony dostępne przy użyciu adresu URL rozpoczynającego się od
https://partner.microsoft.com/dashboard/v2/support/customers/*) - Wszystkie strony na karcie Rozliczenia
Inne strony w Centrum partnerskim, takie jak strona Przegląd i strona sprawdzania stanu kondycji usługi, nie wymagają uwierzytelniania wieloskładnikowego.
W poniższej tabeli przedstawiono, które typy użytkowników są autoryzowane do uzyskiwania dostępu do tych stron chronionych za pomocą uwierzytelniania wieloskładnikowego (i mają to wpływ na tę funkcję).
| Strona chroniona za pomocą uwierzytelniania wieloskładnikowego | Agenci administracyjni | Agenci sprzedaży | Agenci pomocy technicznej | Administrator zabezpieczeń | Administrator rozliczeń |
|---|---|---|---|---|---|
| Wszystkie strony na karcie Klienci | x | x | x | ||
| Wszystkie strony na karcie Żądania klienta pomocy technicznej > | x | x | |||
| Strona rozliczeń | x | x | x | ||
| Obszar roboczy zabezpieczeń | x | x |
Aby uzyskać dostęp do tych stron, należy najpierw ukończyć weryfikację uwierzytelniania wieloskładnikowego.
Obsługiwane opcje uwierzytelniania wieloskładnikowego
- Partnerzy, którzy korzystają z uwierzytelniania wieloskładnikowego firmy Microsoft, są obsługiwani przez firmę Microsoft. Aby uzyskać więcej informacji, zobacz Wiele sposobów włączania uwierzytelniania wieloskładnikowego firmy Microsoft (obsługiwane uwierzytelnianie wieloskładnikowe)
- Partnerzy, którzy zaimplementowali zintegrowane uwierzytelnianie federacyjne usługi MFA. Ci użytkownicy partnerów mogą uzyskiwać dostęp do Centrum partnerskiego i zarządzać klientami przy użyciu programu GDAP. Zobacz zintegrowanych dostawców uwierzytelniania wieloskładnikowego z ofertami uwierzytelniania wieloskładnikowego dostępnymi w usługach AD FS: Konfigurowanie metod dla usług AD FS.
Ważne
Partnerzy są zobowiązani do korzystania z dostawcy uwierzytelniania zgodnego ze zintegrowanym oświadczeniem usługi MFA firmy Microsoft Entra ID. Zintegrowane oświadczenie wskazuje rzeczywisty typ poświadczeń podany podczas uwierzytelniania. Partnerzy są zobowiązani do korzystania ze zintegrowanej uwierzytelniania wieloskładnikowego w celu zarządzania dzierżawami klientów za pomocą usługi GDAP.
Centrum partnerskie i interfejsy API
W przypadku następujących interfejsów API Centrum partnerskiego wymagany jest dostęp do aplikacji i użytkownika oraz uwierzytelnianie wieloskładnikowe obsługi identyfikatorów firmy Microsoft:
- Odnajdywanie (cena/katalog/promocja)
- Transakcje i zarządzanie
- Rozliczenia i uzgadnianie
- Zarządzanie klientami przy użyciu dostępu delegowanego/AOBO
- Przypisanie użytkownika i licencji (tylko z językiem DAP)
- Przypisanie użytkownika i licencji (z GDAP)
- Szczegółowe relacje administratora — żądanie i przypisanie dostępu
Dostępne są następujące opcje dla partnerów:
- Użyj wbudowanych metod uwierzytelniania firmy Microsoft, aby spełnić wymagania uwierzytelniania wieloskładnikowego.
- Jeśli używasz dostawcy tożsamości federacyjnej, upewnij się, że federacja jest skonfigurowana do akceptowania federacyjnej uwierzytelniania wieloskładnikowego.
- Jeśli chcesz użyć usług ADFS do skonfigurowania zewnętrznego drugiego czynnika, zobacz dostawców innych firm z ofertami uwierzytelniania wieloskładnikowego dostępnymi w usługach AD FS: Konfigurowanie metod uwierzytelniania dla usług AD FS
- Zaimplementuj uwierzytelnianie wieloskładnikowe: natychmiast włącz uwierzytelnianie wieloskładnikowe za pośrednictwem domyślnych ustawień zabezpieczeń lub dostępu warunkowego, postępując zgodnie ze wskazówkami dotyczącymi domyślnych zabezpieczeń.
Przykłady weryfikacji
Aby zilustrować sposób działania weryfikacji w Centrum partnerskim, rozważ poniższe przykłady.
Przykład 1: Partner zaimplementował uwierzytelnianie wieloskładnikowe firmy Microsoft
Alejandra działa dla dostawcy CSP o nazwie Contoso. Firma Contoso zaimplementowała uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników w dzierżawie partnera firmy Contoso przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.
Alejandra uruchamia nową sesję przeglądarki i przechodzi do strony przeglądu Centrum partnerskiego (która nie jest chroniona za pomocą uwierzytelniania wieloskładnikowego). Centrum partnerskie przekierowuje Alejandra do identyfikatora Entra firmy Microsoft, aby się zalogować.
Ze względu na istniejącą konfigurację uwierzytelniania wieloskładnikowego firmy Microsoft firmy Contoso, alejandra jest wymagana do ukończenia weryfikacji uwierzytelniania wieloskładnikowego. Po pomyślnym zalogowaniu się i weryfikacji uwierzytelniania wieloskładnikowego usługa Alejandra zostanie przekierowana z powrotem do strony przeglądu Centrum partnerskiego.
Alejandra próbuje uzyskać dostęp do jednej ze stron chronionych przez uwierzytelnianie wieloskładnikowe w Centrum partnerskim. Ponieważ aplikacja Alejandra zakończyła weryfikację uwierzytelniania wieloskładnikowego podczas logowania wcześniej, alejandra może uzyskać dostęp do strony chronionej za pomocą uwierzytelniania wieloskładnikowego bez konieczności ponownego przeprowadzania weryfikacji uwierzytelniania wieloskładnikowego.
Przykład 2: Partner zaimplementował usługę MFA firmy innej niż Microsoft przy użyciu federacji tożsamości
Prashob działa dla dostawcy CSP o nazwie Wingtip. Usługa Wingtip zaimplementowała uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników w dzierżawie partnera Wingtip przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft zintegrowanego z usługą Microsoft Entra ID za pośrednictwem federacji tożsamości.
Prashob rozpoczyna nową sesję przeglądarki i przechodzi do strony przeglądu Centrum partnerskiego (która nie jest chroniona za pomocą uwierzytelniania wieloskładnikowego). Centrum partnerskie przekierowuje aplikację Prashob do identyfikatora Entra firmy Microsoft, aby się zalogować.
Ponieważ Wingtip ma federację tożsamości konfiguracji, identyfikator Entra firmy Microsoft przekierowuje prashob do dostawcy tożsamości federacyjnej w celu ukończenia weryfikacji logowania i uwierzytelniania wieloskładnikowego. Po pomyślnym zalogowaniu się i weryfikacji uwierzytelniania wieloskładnikowego usługa Prashob jest przekierowywana z powrotem do identyfikatora Entra firmy Microsoft, a następnie do strony przeglądu Centrum partnerskiego.
Prashob próbuje uzyskać dostęp do jednej ze stron chronionych za pomocą uwierzytelniania wieloskładnikowego w Centrum partnerskim. Ponieważ prashob zakończył już weryfikację uwierzytelniania wieloskładnikowego podczas logowania wcześniej, może uzyskać dostęp do strony chronionej uwierzytelnianiem wieloskładnikowym bez konieczności ponownego przeprowadzania weryfikacji uwierzytelniania wieloskładnikowego.
Prashob następnie przechodzi do strony zarządzania usługami, aby dodać użytkowników w identyfikatorze Firmy Microsoft Entra firmy Contoso. Ponieważ Firma Prashob używa dostawcy uwierzytelniania zgodnego z usługą Entra z silnym uwierzytelnianiem, może uzyskać dostęp do dzierżawy klienta bez żadnych problemów.
Zaleceniem dla prashob w tym przykładzie jest użycie rozwiązania uwierzytelniania wieloskładnikowego firmy Microsoft lub dostawcy uwierzytelniania zgodnego z rozwiązaniem Entra, aby umożliwić mu pomyślne zarządzanie dzierżawą klienta.
Przykład 3. Partner nie zaimplementował uwierzytelniania wieloskładnikowego
Partner CSP o nazwie Fabrikam nie zaimplementował jeszcze uwierzytelniania wieloskładnikowego. Firma Microsoft zaleca zaimplementowanie rozwiązania MFA obsługiwanego przez identyfikator firmy Microsoft.
Jan pracuje dla firmy Fabrikam. Firma Fabrikam nie zaimplementowała uwierzytelniania wieloskładnikowego dla żadnych użytkowników w ramach dzierżawy partnera firmy Fabrikam.
Jan rozpoczyna nową sesję przeglądarki i przechodzi do strony przeglądu Centrum partnerskiego (która nie jest chroniona za pomocą uwierzytelniania wieloskładnikowego). Centrum partnerskie przekierowuje Johna do identyfikatora Entra firmy Microsoft, aby się zalogować.
Po pomyślnym zalogowaniu Jan jest przekierowywany z powrotem do strony przeglądu Centrum partnerskiego, ponieważ nie ukończył weryfikacji uwierzytelniania wieloskładnikowego.
Jan próbuje uzyskać dostęp do jednej ze stron chronionych za pomocą uwierzytelniania wieloskładnikowego w Centrum partnerskim. Ponieważ Jan nie ukończył weryfikacji uwierzytelniania wieloskładnikowego, Centrum partnerskie przekierowuje Johna do identyfikatora Microsoft Entra ID w celu ukończenia weryfikacji uwierzytelniania wieloskładnikowego. Ponieważ jest to pierwszy raz Jan jest wymagany do ukończenia uwierzytelniania wieloskładnikowego, Jan jest również proszony o zarejestrowanie się w celu uwierzytelniania wieloskładnikowego. Po pomyślnym zarejestrowaniu usługi MFA i weryfikacji uwierzytelniania wieloskładnikowego Jan może uzyskać dostęp do strony chronionej uwierzytelnianiem wieloskładnikowym.
W innym dniu, zanim firma Fabrikam zaimplementuje uwierzytelnianie wieloskładnikowe dla dowolnego użytkownika, Jan rozpocznie nową sesję przeglądarki i przejdzie do strony przeglądu Centrum partnerskiego (która nie jest chroniona za pomocą uwierzytelniania wieloskładnikowego). Centrum partnerskie przekierowuje Johna do identyfikatora Entra firmy Microsoft, aby zalogować się bez monitu uwierzytelniania wieloskładnikowego.
Jan próbuje uzyskać dostęp do jednej ze stron chronionych za pomocą uwierzytelniania wieloskładnikowego w Centrum partnerskim. Ponieważ Jan nie ukończył weryfikacji uwierzytelniania wieloskładnikowego, Centrum partnerskie przekierowuje Johna do identyfikatora Microsoft Entra ID w celu ukończenia weryfikacji uwierzytelniania wieloskładnikowego. Ponieważ Jan zarejestrował uwierzytelnianie wieloskładnikowe, tym razem jest proszony tylko o ukończenie weryfikacji uwierzytelniania wieloskładnikowego.
Przykład 4: Partner zaimplementował usługę MFA firmy innej niż Microsoft, która nie jest zgodna z firmą Microsoft Entra
Rozwiązanie Trent działa dla dostawcy CSP o nazwie Wingtip. Wingtip zaimplementował uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników w dzierżawie partnera Wingtip przy użyciu usługi MFA firmy innej niż Microsoft w środowisku chmury z dostępem warunkowym.
Rozwiązanie Trent uruchamia nową sesję przeglądarki i przechodzi do strony przeglądu Centrum partnerskiego (która nie jest chroniona za pomocą uwierzytelniania wieloskładnikowego). Centrum partnerskie przekierowuje rozwiązanie Trent do identyfikatora Entra firmy Microsoft, aby się zalogować.
Ponieważ Wingtip używa integracji uwierzytelniania wieloskładnikowego firmy Microsoft, która nie jest zgodna z identyfikatorem Entra firmy Microsoft i nie ma silnego uwierzytelniania, rozwiązanie Trent będzie blokować dostęp do wszystkich chronionych stron i interfejsów API uwierzytelniania wieloskładnikowego w Centrum partnerskim.
Ponieważ usługa Trent uzyskuje dostęp do stron chronionych za pomocą uwierzytelniania wieloskładnikowego, musi przedstawić uwierzytelnianie wieloskładnikowe z silnym uwierzytelnianiem w celu uzyskania dostępu do stron chronionych za pomocą uwierzytelniania wieloskładnikowego.
Partnerzy są zobowiązani do korzystania z dostawcy uwierzytelniania zgodnego z identyfikatorem Firmy Microsoft Entra, który obsługuje oświadczenie metody poświadczeń ("oświadczenie amr" w dokumentacji oświadczeń tokenu dostępu — Platforma tożsamości Microsoft, odzwierciedlając rzeczywisty typ poświadczeń podany podczas uwierzytelniania.
Zdecydowanie zachęcamy partnerów CSP do wdrożenia uwierzytelniania wieloskładnikowego zgodnego z identyfikatorem Entra firmy Microsoft natychmiast w celu podniesienia punktu odniesienia zabezpieczeń dzierżawy.
Interfejs API Centrum partnerskiego
Interfejs API Centrum partnerskiego obsługuje zarówno uwierzytelnianie tylko dla aplikacji, jak i uwierzytelnianie aplikacji i użytkownika (App+User).
Gdy jest używane uwierzytelnianie aplikacji i użytkownika, Centrum partnerskie wymaga weryfikacji uwierzytelniania wieloskładnikowego. Mówiąc dokładniej, gdy aplikacja partnerska wysyła żądanie interfejsu API do Centrum partnerskiego, musi zawierać token dostępu w nagłówku autoryzacji żądania.
Uwaga
Struktura modelu bezpiecznych aplikacji to skalowalna struktura do uwierzytelniania partnerów CSP i cpV za pośrednictwem architektury usługi Microsoft Azure MFA podczas wywoływania interfejsów API Centrum partnerskiego. Należy zaimplementować tę platformę podczas korzystania z uwierzytelniania wieloskładnikowego w automatyzacji usług.
Gdy Centrum partnerskie odbiera żądanie interfejsu API z tokenem dostępu uzyskanym przy użyciu uwierzytelniania aplikacji i użytkownika, interfejs API Centrum partnerskiego sprawdza obecność wartości uwierzytelniania wieloskładnikowego w oświadczeniu odwołania do metody uwierzytelniania (AMR). Aby sprawdzić, czy token dostępu zawiera oczekiwaną wartość odwołania do metody uwierzytelniania (AMR), możesz użyć dekodera JWT:
{
"aud": "https://api.partnercenter.microsoft.com",
"iss": "https://sts.windows.net/df845f1a-7b35-40a2-ba78-6481de91f8ae/",
"iat": 1549088552,
"nbf": 1549088552,
"exp": 1549092452,
"acr": "1",
"amr": [
"pwd",
"mfa"
],
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "0",
"family_name": "Adminagent",
"given_name": "CSP",
"ipaddr": "127.0.0.1",
"name": "Adminagent CSP",
"oid": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"scp": "user_impersonation",
"tenant_region_scope": "NA",
"tid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"unique_name": "Adminagent.csp@testtestpartner.onmicrosoft.com",
"upn": "Adminagent.csp@testtestpartner.onmicrosoft.com",
"ver": "1.0"
}
Jeśli wartość jest obecna, Centrum partnerskie stwierdza, że weryfikacja uwierzytelniania wieloskładnikowego została ukończona i przetwarza żądanie interfejsu API.
Jeśli wartość nie jest obecna, interfejs API Centrum partnerskiego odrzuca żądanie z następującą odpowiedzią:
HTTP/1.1 401 Unauthorized - MFA required Transfer-Encoding: chunked Request-Context: appId=cid-v1:11112222-bbbb-3333-cccc-4444dddd5555 WWW-Authenticate: Bearer error="invalid_token" Date: Thu, 14 Feb 2019 21:54:58 GMT
Podczas wywoływania interfejsów API Centrum partnerskiego tokeny dostępu tylko dla aplikacji są obsługiwane tylko w przypadku operacji, które nie wymagają przypisań ról GDAP w dzierżawie klienta.
Aby dowiedzieć się więcej najlepszych rozwiązań, zobacz Uwierzytelnianie i autoryzacja interfejsu API — omówienie.
Administrowanie delegowane przez partnera
Dzierżawy partnerskie powinny używać szczegółowych delegowanych uprawnień administratora (GDAP) do zarządzania zasobami klientów za pośrednictwem portali usług online firmy Microsoft (portal.azure.com lub admin.microsoft.com), interfejsu wiersza polecenia i interfejsów API (przy użyciu uwierzytelniania aplikacji i użytkownika). Aby uzyskać więcej informacji, zobacz obsługiwane opcje uwierzytelniania wieloskładnikowego.
Korzystanie z portali usług
Partnerzy programu CSP mogą administrować swoimi klientami z portalu Centrum partnerskiego za pośrednictwem interfejsu zarządzania usługami. Partnerzy mogą przejść do klienta i wybrać pozycję Zarządzanie usługami, aby móc administrować określoną usługą dla klienta. Partnerzy muszą postępować zgodnie ze wskazówkami dotyczącymi roli GDAP, aby uzyskać odpowiednią rolę GDAP w zakresie zarządzania klientami.
W przypadku uzyskiwania dostępu do portali usług Online Services firmy Microsoft przy użyciu uprawnień administratora delegowanego partnera (Admin-On-Behalf-Of) do zarządzania zasobami klientów wiele z tych portali wymaga, aby konto partnera było uwierzytelniane interaktywnie, a dzierżawa firmy Microsoft Entra klienta została ustawiona jako kontekst uwierzytelniania. Konto partnera jest wymagane do zalogowania się do dzierżawy klienta.
Uwierzytelnianie identyfikatora entra firmy Microsoft wymaga od użytkownika ukończenia weryfikacji uwierzytelniania wieloskładnikowego, jeśli istnieją zasady wymagające uwierzytelniania wieloskładnikowego. Istnieją dwa możliwe środowiska użytkownika, w zależności od tego, czy konto partnera jest tożsamością zarządzaną, czy federacyjną:
Jeśli konto partnera jest tożsamością zarządzaną, identyfikator entra firmy Microsoft bezpośrednio monituje użytkownika o ukończenie weryfikacji uwierzytelniania wieloskładnikowego. Jeśli konto partnera nie zostało wcześniej zarejestrowane dla uwierzytelniania wieloskładnikowego przy użyciu identyfikatora Entra firmy Microsoft, użytkownik zostanie poproszony o wcześniejsze ukończenie rejestracji uwierzytelniania wieloskładnikowego.
Jeśli konto partnera jest tożsamością federacyjną , środowisko zależy od tego, jak administrator partnera skonfigurował federację w usłudze Microsoft Entra ID. Podczas konfigurowania federacji w usłudze Microsoft Entra ID administrator partnera może wskazać identyfikator entra firmy Microsoft, czy dostawca tożsamości federacyjnej obsługuje uwierzytelnianie wieloskładnikowe, czy nie.
- Jeśli tak, identyfikator Entra firmy Microsoft przekierowuje użytkownika do dostawcy tożsamości federacyjnej w celu ukończenia weryfikacji uwierzytelniania wieloskładnikowego.
- Jeśli nie, identyfikator Entra firmy Microsoft bezpośrednio monituje użytkownika o ukończenie weryfikacji uwierzytelniania wieloskładnikowego. Jeśli konto partnera nie zostało wcześniej zarejestrowane dla uwierzytelniania wieloskładnikowego przy użyciu identyfikatora Entra firmy Microsoft, użytkownik zostanie poproszony o wcześniejsze ukończenie rejestracji uwierzytelniania wieloskładnikowego.
Ogólne środowisko jest podobne do scenariusza, w którym dzierżawa klienta końcowego zaimplementowała uwierzytelnianie wieloskładnikowe dla administratorów. Na przykład dzierżawa klienta włączyła domyślne ustawienia zabezpieczeń firmy Microsoft Entra, co wymaga, aby wszystkie konta z uprawnieniami administracyjnymi mogły zalogować się do dzierżawy klienta przy użyciu weryfikacji uwierzytelniania wieloskładnikowego, w tym agentów administracyjnych i agentów pomocy technicznej.
W celach testowych partnerzy mogą włączyć domyślne ustawienia zabezpieczeń firmy Microsoft w dzierżawie klienta, a następnie spróbować użyć uprawnień administratora delegowanego partnera (GDAP) w celu uzyskania dostępu do dzierżawy klienta.
Uwaga
Nie wszystkie portale usługi online firmy Microsoft wymagają, aby konta partnerów logować się do dzierżawy klienta podczas uzyskiwania dostępu do zasobów klientów przy użyciu usługi GDAP. Zamiast tego niektóre wymagają tylko kont partnerów, aby zalogować się do dzierżawy partnera. Przykładem jest Centrum administracyjne programu Exchange. Z czasem oczekujemy, że te portale będą wymagać od kont partnerów zalogowania się do dzierżawy klienta podczas korzystania z aplikacji GDAP.
Środowisko rejestracji uwierzytelniania wieloskładnikowego
Podczas weryfikacji uwierzytelniania wieloskładnikowego, jeśli konto partnera nie zostało wcześniej zarejestrowane dla uwierzytelniania wieloskładnikowego, identyfikator Entra firmy Microsoft monituje użytkownika o wcześniejsze ukończenie rejestracji uwierzytelniania wieloskładnikowego.
Przejrzyj więcej informacji na temat metody Microsoft Authenticator:
Gdy użytkownik wybierze pozycję Dalej, zostanie poproszony o wybranie z listy metod weryfikacji.
Po pomyślnej rejestracji użytkownik musi ukończyć weryfikację uwierzytelniania wieloskładnikowego przy użyciu wybranej metody weryfikacji.
Typowe problemy
Aby dowiedzieć się, czy twoje żądanie jest prawidłowe, zapoznaj się z listą typowych problemów zgłaszanych przez innych partnerów.
Problem 1: Partner potrzebuje więcej czasu na zaimplementowanie uwierzytelniania wieloskładnikowego dla swoich agentów partnerskich
Partner nie rozpoczął pracy lub nadal jest w trakcie implementowania uwierzytelniania wieloskładnikowego dla swoich agentów partnerskich, którzy wymagają dostępu do portali usług online firmy Microsoft przy użyciu delegowanych uprawnień administracyjnych partnera do zarządzania zasobami klientów. Partner potrzebuje więcej czasu na ukończenie implementacji uwierzytelniania wieloskładnikowego. Czy jest to prawidłowa przyczyna wyjątku technicznego?
Odpowiedź: Nie. Partner musi zaplanować wdrożenie uwierzytelniania wieloskładnikowego dla swoich użytkowników, aby uniknąć zakłóceń.
Uwaga
Mimo że partner nie zaimplementował uwierzytelniania wieloskładnikowego dla swoich agentów partnerskich, agenci partnerów mogą nadal uzyskiwać dostęp do portali usług Online Firmy Microsoft przy użyciu uprawnień administracji delegowanej przez partnera, jeśli mogą ukończyć rejestrację usługi MFA i weryfikację uwierzytelniania wieloskładnikowego po wyświetleniu monitu podczas logowania do dzierżawy klienta. Ukończenie rejestracji uwierzytelniania wieloskładnikowego nie powoduje automatycznego włączenia użytkownika dla uwierzytelniania wieloskładnikowego.
Problem 2: Partner nie zaimplementował uwierzytelniania wieloskładnikowego, ponieważ nie potrzebuje dostępu do zarządzania klientami
Partner ma niektórych użytkowników w dzierżawach partnerów, którzy nie wymagają dostępu do portali usług Online Services firmy Microsoft w celu zarządzania zasobami klientów przy użyciu uprawnień administracji delegowanej partnera. Partner jest w trakcie implementowania uwierzytelniania wieloskładnikowego dla tych użytkowników i potrzebuje więcej czasu na ukończenie. Czy jest to prawidłowa przyczyna wyjątku technicznego?
Odpowiedź: Nie. Ponieważ te konta użytkowników nie używają uprawnień administracji delegowanej partnera do zarządzania zasobami klientów, nie będą one wymagane do zalogowania się do dzierżawy klienta. Nie będą one miały wpływu na identyfikator entra firmy Microsoft wymagający weryfikacji uwierzytelniania wieloskładnikowego podczas logowania do dzierżawy klienta. Wszyscy użytkownicy muszą mieć dostęp do usługi MFA w Centrum partnerskim lub obciążeniach klientów w celu zarządzania zasobami klienta.
Problem 3: Partner nie zaimplementował uwierzytelniania wieloskładnikowego dla kont usług użytkowników
Partner ma niektóre konta użytkowników w dzierżawach partnerów, które są używane przez urządzenia jako konta usług. Te konta z niskimi uprawnieniami nie wymagają dostępu do Centrum partnerskiego ani portali usług online firmy Microsoft do zarządzania zasobami klientów przy użyciu uprawnień administratora delegowanego partnera. Czy jest to prawidłowa przyczyna wyjątku technicznego?
Odpowiedź: Nie. Ponieważ te konta użytkowników nie używają uprawnień administracji delegowanej partnera do zarządzania zasobami klientów, nie są one wymagane do zalogowania się do dzierżawy klienta. Nie będą one miały wpływu na identyfikator entra firmy Microsoft wymagający weryfikacji uwierzytelniania wieloskładnikowego podczas logowania do dzierżawy klienta. Jeśli interfejs API lub portal wymaga uwierzytelniania aplikacji i użytkownika, każdy użytkownik musi używać uwierzytelniania wieloskładnikowego.
Problem 4. Partner nie może zaimplementować uwierzytelniania wieloskładnikowego przy użyciu aplikacji Microsoft Authenticator
Partner ma zasady "czystego biurka", które nie zezwalają pracownikom na wprowadzanie osobistych urządzeń przenośnych do obszaru roboczego. Bez dostępu do osobistych urządzeń przenośnych pracownicy nie mogą zainstalować aplikacji Microsoft Authenticator, która jest jedyną weryfikacją uwierzytelniania wieloskładnikowego obsługiwaną przez domyślne ustawienia zabezpieczeń firmy Microsoft Entra. Czy jest to prawidłowa przyczyna wyjątku technicznego?
Odpowiedź: Nie. Partner powinien rozważyć następującą alternatywę, aby pracownicy mogli nadal wykonywać weryfikację uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do Centrum partnerskiego:
- Partner może również zarejestrować się w usłudze Microsoft Entra ID P1 lub P2 albo użyć rozwiązań uwierzytelniania wieloskładnikowego firmy innej niż Microsoft, które są zgodne z identyfikatorem Entra firmy Microsoft, które mogą zapewnić więcej metod weryfikacji. Aby dowiedzieć się więcej, zobacz Obsługiwane metody uwierzytelniania.
Problem 5: Partner nie może zaimplementować uwierzytelniania wieloskładnikowego ze względu na użycie starszych protokołów uwierzytelniania
Partner ma niektórych agentów partnerskich, którzy nadal korzystają ze starszych protokołów uwierzytelniania, które nie są zgodne z usługą MFA. Na przykład użytkownicy nadal korzystają z programu Outlook 2010, który jest oparty na starszych protokołach uwierzytelniania. Włączenie uwierzytelniania wieloskładnikowego dla tych agentów partnerskich spowoduje zakłócenia korzystania ze starszych protokołów uwierzytelniania. Czy jest to prawidłowa przyczyna wyjątku technicznego?
Odpowiedź: Nie. Partnerzy są zachęcani do odejścia od używania starszych protokołów uwierzytelniania z powodu potencjalnych skutków bezpieczeństwa, ponieważ te protokoły nie mogą być chronione przy użyciu weryfikacji uwierzytelniania wieloskładnikowego i są znacznie bardziej podatne na naruszenie poświadczeń. Zalecamy, aby wycofać wszystkie starsze uwierzytelnianie i używać wartości domyślnych zabezpieczeń lub dostępu warunkowego. Aby przygotować się do odejścia od starszego uwierzytelniania, zapoznaj się ze skoroszytem logowania przy użyciu starszego uwierzytelniania i wskazówkami dotyczącymi blokowania starszego uwierzytelniania.
Aby zrozumieć najnowszy plan obsługi starszego uwierzytelniania dla programu Outlook, przeczytaj wpis dotyczący podstawowego uwierzytelniania i usługi Exchange Online i postępuj zgodnie z blogem zespołu programu Exchange, aby uzyskać nadchodzące wiadomości.
Problem 6: Partner zaimplementował usługę MFA firmy innej niż Microsoft, która nie jest rozpoznawana przez identyfikator entra firmy Microsoft
Partner zaimplementował uwierzytelnianie wieloskładnikowe dla swoich użytkowników przy użyciu rozwiązania MFA firmy innej niż Microsoft. Jednak partner nie może poprawnie skonfigurować rozwiązania uwierzytelniania wieloskładnikowego firmy innej niż Microsoft do przekazywania do identyfikatora Entra firmy Microsoft, który został ukończony podczas uwierzytelniania użytkownika. Czy jest to prawidłowa przyczyna wyjątku technicznego?
Odpowiedź: Nie, partnerzy są zobowiązani do korzystania z dostawcy uwierzytelniania zgodnego z identyfikatorem Firmy Microsoft Entra, który obsługuje oświadczenie metody poświadczeń ("AMR"), odwołanie do oświadczeń tokenu dostępu — Platforma tożsamości Microsoft, odzwierciedlając rzeczywisty typ poświadczeń podany podczas uwierzytelniania.
Zdecydowanie zachęcamy do zaimplementowania uwierzytelniania wieloskładnikowego zgodnego z identyfikatorem Entra firmy Microsoft natychmiast w celu podniesienia punktu odniesienia zabezpieczeń dzierżawy.