相应的角色:所有合作伙伴中心用户
本文解答了有关帐户设置工作区中合作伙伴安全要求的一些常见问题。
什么是合作伙伴安全要求?合作伙伴为什么应实施它们?
我们看到越来越多的日益复杂的安全攻击 - 主要是与标识泄露相关的攻击。
我们引入了 强制性安全要求 ,因为预防性控制在总体防御策略中起着关键作用。 参与云解决方案提供商(CSP)计划、控制面板供应商和顾问的所有合作伙伴都必须实施这些安全要求才能保持合规。
实施安全要求的时间线和里程碑是什么?
与安全要求(包括时间线和里程碑)关联的术语包含在Microsoft 合作伙伴协议中。 必须尽快实施这些安全要求才能保持合规,以便你可以参与 CSP 计划。
如果未实施合作伙伴安全要求,会发生什么情况?
Microsoft 合作伙伴协议要求对用户帐户强制实施多重身份验证,并采用安全应用程序模型来与合作伙伴中心 API 交互。
不遵循这些安全做法的合作伙伴可能会失去在 CSP 计划中交易或使用委托管理员权限管理客户租户的能力。
安全要求是否适用于所有地理区域?
是的。 (尽管目前不需要Azure 政府来满足安全要求,但我们强烈建议所有合作伙伴立即采用这些安全要求。
是否可以让某个帐户例外?
否,无法从强制实施多重身份验证(MFA)的要求中排除任何用户帐户。 鉴于作为合作伙伴的高特权性质,Microsoft 合作伙伴协议要求对合作伙伴租户中的每个用户帐户强制实施多重身份验证。
如何实现知道我是否满足合作伙伴安全要求?
若要满足合作伙伴安全要求,请使用以下步骤:
- 满足使用合作伙伴中心或合作伙伴中心 API 的安全要求中所述的所有要求。
- 确保合作伙伴租户中的所有用户帐户都强制实施多重身份验证。
为了帮助确定可以执行的操作区域,我们在合作伙伴中心提供 安全要求状态报告 。
必需的操作
我需要采取哪些操作来满足安全要求?
CSP 计划(直接计费、间接提供商和间接经销商)、顾问和控制面板供应商中的所有合作伙伴都必须满足要求。
对所有用户强制实施 MFA
云解决方案提供商计划中的所有合作伙伴、顾问和控制面板供应商必须针对其合作伙伴租户中的所有用户强制实施 MFA。
其他注意事项:
- 如果间接提供商尚未加入合作伙伴中心,则间接提供商需要与间接经销商合作,并鼓励其经销商满足要求。
- Microsoft Entra 多重身份验证可供合作伙伴租户中的用户通过 Microsoft Entra 安全默认值使用,其验证器应用程序的唯一验证方法支持基于时间的一次性密码(TOTP)。
- 如果需要其他方法(如电话呼叫或短信),则可通过 Microsoft Entra P1 或 P2 SKU 获取其他验证方法。
- 在访问 Microsoft 商业云服务时,合作伙伴也可以对每个帐户使用第三方 MFA 解决方案。
采用安全应用程序模型框架
使用任何 API(例如 Azure 资源管理器、Microsoft Graph、合作伙伴中心 API 等)或使用 PowerShell 等工具实现自定义自动化的合作伙伴必须采用安全应用程序模型框架来与Microsoft云服务集成。 未能执行此操作可能会导致 MFA 部署中断。
以下资源提供有关如何采用模型的概述和指南。
- 安全应用程序模型概述
- 合作伙伴中心:安全应用程序模型指南
- 云解决方案提供商计划中的合作伙伴:用于启用安全应用程序模型的 .NET 示例代码
- 合作伙伴中心身份验证文档
- 合作伙伴中心 PowerShell 多重身份验证(MFA)文档
如果你使用的是控制面板,请与供应商协商采用安全应用程序模型框架的事宜。
控制面板供应商需要 作为 控制面板供应商加入合作伙伴中心,并立即开始实施此要求。 请参阅合作伙伴中心:安全应用程序模型框架。
控制面板供应商必须接受并管理云解决方案提供商合作伙伴的许可而非凭据,并清除所有现有的云解决方案提供商合作伙伴的凭据。
多重身份验证
什么是多重身份验证 (MFA)?
MFA 是一种安全机制,用于使用多个必需的安全和验证过程对个人进行身份验证。 它需要以下身份验证方法中的两种或多种才能运作:
- 用户知道的某样东西(通常为密码)
- 你拥有的东西(不易复制的受信任设备,如手机)
- 自身的特征(生物辨识系统)
启用 MFA 是否有费用?
Microsoft通过实现 Microsoft Entra 安全默认值提供 MFA。 使用此版 MFA 提供的唯一验证选项是身份验证器应用程序。
- 如果需要电话呼叫或短信, 则必须购买Microsoft Entra P1 或 P2 许可证。
- 或者,可以利用第三方解决方案为合作伙伴租户中的每个用户提供 MFA。 在这种情况下,你有责任确保实施 MFA 解决方案,并确保符合要求。
如果已经有了 MFA 解决方案,我需要采取什么措施?
在访问Microsoft商业云服务时,合作伙伴租户中的用户必须使用 MFA 进行身份验证。 可以使用第三方解决方案来履行这些要求。 Microsoft 不再提供验证测试来验证独立标识提者与 Microsoft Entra ID 是否兼容。 若要测试产品的互操作性,请参阅 Microsoft Entra 标识提供者兼容性文档。
重要
如果使用第三方解决方案,请务必验证解决方案是否正在发出包含 MFA 值的身份验证方法引用(AMR)声明。 有关如何验证第三方解决方案发出预期声明的详细信息,请参阅 测试合作伙伴安全要求。
我使用多个合作伙伴租户进行交易。 是否需要对所有 MFA 实施 MFA?
是的。 必须为与 CSP 计划或顾问计划关联的每个 Microsoft Entra 租户强制实施 MFA。 若要购买Microsoft Entra ID P1 或 P2 许可证,必须为每个 Microsoft Entra 租户中的用户购买Microsoft Entra ID 许可证。
是否需要为合作伙伴租户中的每个用户帐户强制实施 MFA?
是的。 每个用户必须强制实施 MFA。 但是,如果使用Microsoft Entra 安全默认值,则无需执行任何其他操作,因为该功能对所有用户帐户强制实施 MFA。 启用安全默认值是一种自由且简单的方法,可确保用户帐户符合 MFA,并在强制实施 MFA 时不受影响。
我是 Microsoft 的直接计费合作伙伴。 我需要做些什么?
直接计费云解决方案提供商合作伙伴必须为其合作伙伴租户中的每个用户强制实施 MFA。
我是间接经销商,只通过分销商进行交易。 我是否仍然需要启用 MFA?
是的。 所有间接经销商都必须为其合作伙伴租户中的每个用户强制实施 MFA。 间接经销商必须启用 MFA。
我不使用合作伙伴中心 API。 我是否仍然需要进行 MFA?
是的。 此安全要求适用于所有用户,包括合作伙伴管理员用户和合作伙伴租户中的最终用户。
哪些第三方供应商提供与 Microsoft Entra ID 兼容的 MFA 解决方案?
查看 MFA 供应商和解决方案时,必须确保所选的解决方案与 Microsoft Entra ID 兼容。
Microsoft 不再提供验证测试来验证独立标识提者与 Microsoft Entra ID 是否兼容。 如果要测试产品的互操作性,请参阅 Microsoft Entra 标识提供者兼容性文档。
有关详细信息,请参阅 Microsoft Entra 联合兼容性列表。
如何在集成沙盒中测试 MFA?
应启用Microsoft Entra 安全默认值功能。 或者,可以使用使用联合的第三方解决方案。
启用 MFA 是否会影响我与客户的租户交互?
否。 履行这些安全要求不会影响你管理客户。 你执行委派管理操作的权限不会受影响。
我的客户是否需遵循合作伙伴安全要求?
否。 无需对客户的 Microsoft Entra 租户中的每个用户强制实施 MFA。 但是,我们建议你与每位客户合作,以确定如何最好地保护其用户。
是否有用户可以不遵守 MFA 要求?
否。 合作伙伴租户中的每个用户(包括服务帐户)都必须使用 MFA 进行身份验证。
合作伙伴安全要求是否适用于集成沙盒?
是的。 这意味着你必须为集成沙盒租户中的用户实现适当的 MFA 解决方案。 建议实现 Microsoft Entra 安全性默认值以提供 MFA。
如何实现配置紧急访问(“破玻璃”)帐户?
最佳做法是创建一两个紧急访问帐户,以防止无意中锁定Microsoft Entra 租户。 根据合作伙伴安全要求,每个用户都必须使用 MFA 进行身份验证。 此要求意味着需要修改紧急访问帐户的定义。 它可以是使用第三方解决方案进行 MFA 的帐户。
如果我使用第三方解决方案,是否必须使用 Active Directory 联合身份验证服务 (ADFS)?
否。 如果使用第三方解决方案,则不需要使用 Active Directory 联合身份验证服务(ADFS)。 建议与解决方案供应商合作,以确定解决方案的要求。
是否要求启用 Microsoft Entra 安全默认值?
否。
是否可以使用条件访问来满足 MFA 要求?
是的。 可以使用条件访问为合作伙伴租户中的每个用户(包括服务帐户)强制实施 MFA。 但是,鉴于作为合作伙伴的高特权性质,我们需要确保每个用户对每个身份验证都有 MFA 质询。 这意味着不能使用条件访问功能来规避 MFA 的要求。
Microsoft Entra Connect 使用的服务帐户是否会受到合作伙伴安全要求的影响?
否。 Microsoft Entra Connect 使用的服务帐户不受合作伙伴安全要求的影响。 如果因强制实施 MFA 而遇到Microsoft Entra Connect 问题,请通过Microsoft支持打开技术支持请求。
安全应用程序模型
谁应该采用安全应用程序模型来满足这些要求?
Microsoft引入了一个安全、可缩放的框架,用于对使用多重身份验证的云解决方案提供商(CSP)合作伙伴和控制面板供应商(CPV)进行身份验证。 有关详细信息,请参阅安全应用程序模型指南。 使用任何 API(例如 Azure 资源管理器、Microsoft Graph、合作伙伴中心 API 等)开发自定义集成或使用 PowerShell 等工具实现自定义自动化的所有合作伙伴都需要采用安全应用程序模型框架来与Microsoft云服务集成。
安全应用程序模型是什么?
Microsoft引入了一个安全、可缩放的框架,用于对使用多重身份验证的云解决方案提供商(CSP)合作伙伴和控制面板供应商(CPV)进行身份验证。 有关详细信息,请参阅安全应用程序模型指南。
如何实现安全应用程序模型?
使用任何 API(例如 Azure 资源管理器、Microsoft Graph、合作伙伴中心 API 等)开发自定义集成或使用 PowerShell 等工具实现自定义自动化的所有合作伙伴都必须采用安全应用程序模型框架来与Microsoft云服务集成。 未能执行此操作可能会导致 MFA 部署中断。
以下资源提供有关如何采用模型的概述和指南:
- 安全应用程序模型概述
- 合作伙伴中心:安全应用程序模型指南
- 云解决方案提供商计划中的合作伙伴:用于启用安全应用程序模型的 .NET 示例代码
- 合作伙伴中心身份验证文档
- 合作伙伴中心 PowerShell 多重身份验证(MFA)文档
如果使用控制面板,则需要咨询供应商,了解如何采用安全应用程序模型框架。
控制面板供应商需要 作为 控制面板供应商加入合作伙伴中心,并立即开始实施此要求。
请参阅合作伙伴中心:安全应用程序模型框架。 控制面板供应商必须接受并管理云解决方案提供商合作伙伴的许可而非凭据,并清除所有现有的云解决方案提供商合作伙伴的凭据。
是否只需为合作伙伴中心 API/SDK 实现安全应用程序模型?
通过对所有用户帐户强制实施多重身份验证,任何旨在以非交互方式运行的自动化或集成都会受到影响。 尽管合作伙伴安全要求要求你为合作伙伴中心 API 启用安全应用程序模型,但它可用于解决使用自动化和集成进行第二重身份验证的需求。
注意
访问的资源必须支持基于令牌的访问身份验证。
我使用 PowerShell 之类的自动化工具。 如何实现安全应用程序模型?
如果自动化以非交互方式运行,并且依赖于用户凭据进行身份验证,则必须实现安全应用程序模型。 请参阅安全应用程序模型 | 合作伙伴中心 PowerShell,获取有关如何实现此框架的指南。
注意
并非所有自动化工具都可以使用访问令牌进行身份验证。 如果不了解需要进行哪些更改,请在合作伙伴中心安全指南组中发布消息。
执行许可过程时,应用程序管理员应该提供哪些用户凭据?
建议使用一个所分配的特权最少的服务帐户。 对于合作伙伴中心 API,应使用已分配给销售代理或管理员代理角色的帐户。
执行许可过程时,应用程序管理员为何不应提供全局管理员用户凭据?
最佳做法是使用最低特权标识,因为这样做会降低风险。 建议不要使用具有全局管理员权限的帐户,因为该帐户提供的权限超过了所需的权限。
我是 CSP 合作伙伴。 我如何才能知道我的控制面板供应商 (CPV) 是否正在实现解决方案?
对于使用控制面板供应商(CPV)解决方案在云解决方案提供商(CSP)计划中交易的合作伙伴,你有责任咨询 CPV。
什么是控制面板供应商(CPV)?
控制面板供应商是一个独立的软件供应商,它开发供 CSP 合作伙伴使用的应用来与合作伙伴中心 API 集成。 控制面板供应商不是直接访问合作伙伴中心或 API 的 CSP 合作伙伴。 合作伙伴中心:安全应用程序模型指南中提供了详细说明。
我是 CPV。 如何注册?
若要注册为控制面板供应商 (CPV),请按照注册为控制面板供应商以帮助将 CSP 合作伙伴系统与合作伙伴中心 API 相集成中的指导操作。
注册合作伙伴中心并注册应用程序后,你将有权访问合作伙伴中心 API。 如果你是新的 CPV,你将在合作伙伴中心通知中收到你的沙盒信息。 完成Microsoft CPV 注册并接受 CPV 协议后,可以:
管理多租户应用程序(将应用程序添加到Azure 门户,并在合作伙伴中心注册和注销应用程序)。
注意
CPV 必须在合作伙伴中心注册其应用程序,然后才会获得使用合作伙伴中心 API 的授权。 只是将应用程序添加到 Azure 门户并不会为 CPV 应用程序授予使用合作伙伴中心 API 的权限。
查看和管理 CPV 配置文件。
查看和管理需访问 CPV 功能的用户。 CPV 只能具有全局管理员角色。
我使用合作伙伴中心 SDK。 SDK 是否会自动采用安全应用程序模型?
否。 必须遵循安全应用程序模型指南中的 准则。
对于有未启用 MFA 的帐户的安全应用程序模型,我是否可以生成一个刷新令牌?
是的。 可以使用未强制实施 MFA 的帐户生成刷新令牌。 但是,应避免此操作。 因为使用未启用 MFA 的帐户生成的任何令牌都无法访问资源,这是 MFA 的要求。
如果我们启用 MFA,我的应用程序应该如何获取访问令牌?
遵循安全应用程序模型指南,详细介绍如何在符合新的安全要求的同时执行此操作。 可以在合作伙伴中心 DotNet 示例 - 安全应用模型中找到 .NET 示例代码,在合作伙伴中心 Java 示例中找到 Java 示例代码。
作为 CPV,是否在我们的 CPV 租户或 CSP 合作伙伴的租户中创建Microsoft Entra 应用程序?
CPV 必须在与其注册关联的租户中创建 Microsoft Entra 应用程序作为 CPV。
我是使用仅限应用的身份验证的 CSP。 我是否需要进行任何更改?
仅应用身份验证不受影响,因为用户凭据不用于请求访问令牌。 如果用户凭据是共享的,则控制面板供应商 (CPV) 必须采用安全应用程序模型框架并清除他们现有的任何合作伙伴凭据。
作为 CPV,是否可以使用仅限应用的身份验证样式来获取访问令牌?
否。 控制面板供应商合作伙伴不能利用仅限应用的身份验证样式来代表合作伙伴请求访问令牌。 他们应该实现安全应用程序模型,以便利用“应用 + 用户”身份验证模式。
技术实施
什么是激活安全保护措施?
参与云解决方案提供商 (CSP) 计划的所有合作伙伴、控制面板供应商 (CPV) 和顾问应实施强制性安全要求以保持合规性。
为了提供更多的保护,Microsoft开始激活安全保护措施,帮助合作伙伴通过强制多重身份验证(MFA)验证来保护其租户及其客户,以防止未经授权的访问。
我们已成功完成了为所有合作伙伴租户的“代表管理员(AOBO)”功能激活保护措施。 为了进一步帮助保护合作伙伴和客户,我们将开始激活 CSP 中的合作伙伴中心交易,帮助合作伙伴保护其业务和客户免受身份盗窃相关事件的影响。
有关详细信息,请参阅 为合作伙伴租户 页分配多重身份验证(MFA)。
我使用的是第三方 MFA 解决方案,我被阻止了。 应采取何种操作?
若要验证访问资源的帐户是否受到多重身份验证的挑战,请检查 身份验证方法引用 声明,以查看是否列出了 MFA。 某些第三方解决方案不会发出此声明,或者不包含 MFA 值。 如果声明缺失,或者未列出 MFA 值,则无法确定经过身份验证的帐户是否受到多重身份验证的质询。 你需要与第三方解决方案的供应商合作,以确定要执行的操作,以便解决方案发出身份验证方法引用声明。
如果不确定第三方解决方案是否发出预期的声明,请参阅 “测试合作伙伴安全要求”。
MFA 阻止我使用 AOBO 支持我的客户。 应采取何种操作?
如果对经过身份验证的帐户进行了多重身份验证,则会检查合作伙伴安全要求的技术强制实施。 如果帐户尚未选中,系统会将你重定向到登录页,并提示你再次进行身份验证。
有关更多体验和指南,请参阅 为合作伙伴租户分配多重身份验证(MFA)。
在域未联合的情况下,成功进行身份验证后,系统会提示你设置多重身份验证。 完成后,你将能够使用 AOBO 管理客户。 在域联合的情况下,需要确保帐户受到多重身份验证的质询。
安全默认设置过渡
如何从基线策略过渡到安全默认设置或其他 MFA 解决方案?
Microsoft正在删除条目 ID “基线”策略,并将其替换为 “安全默认值”,这是一组更全面的保护策略,适合你和你的客户。 安全默认设置有助于保护组织免受与身份盗窃相关的安全攻击。
如果尚未从基线策略过渡到安全默认值策略或其他 MFA 实现选项,多重身份验证(MFA)实现将因基线策略停用而删除。 你合作伙伴租户中执行受 MFA 保护的操作的任何用户将被要求完成 MFA 验证。 有关更详细的指导,请参阅 为合作伙伴租户分配多重身份验证。
若要保持合规并最大程度地减少中断,请使用以下步骤:
- 过渡到安全默认值
- 安全默认设置策略是合作伙伴可选择用于实现 MFA 的选项之一。 它提供基本的安全级别,无需额外付费即可启用。
- 了解如何使用 Microsoft Entra ID 为组织启用 MFA,并查看 安全默认值的关键注意事项。
- 如果安全默认设置符合你的业务需求,则启用它。
- 转换到条件访问
- 如果安全默认设置策略不满足你的需求,则启用条件访问。 有关详细信息,请查看Microsoft Entra 条件访问文档。
重要资源
如何开始?
- 查看 合作伙伴安全要求:分步指南。
- 将问题和反馈定向到 合作伙伴中心安全指南组。
- 参加即将召开的 Partner Office Hours 和网络研讨会。 查看合作伙伴社区页上的详细计划和资源。
采用安全应用程序模型的资源是什么?
支持
我可以在哪里获得支持?
若要获得满足安全要求的支持资源,请执行以下操作:
- 如果你有合作伙伴的高级支持(ASfP),请联系你的服务客户经理。
- 有关合作伙伴的顶级支持协议(PSfP),请联系你的服务客户经理和技术客户经理。
如何实现获取技术信息和支持来帮助我采用安全的应用程序模型框架?
Microsoft Entra ID 的技术产品支持选项可通过Microsoft AI 云合作伙伴计划权益获得。 有权访问活动 ASfP 或 PSfP 订阅的合作伙伴可以与其关联的客户经理(SAM/TAM)合作,以了解他们可用的最佳选项。
如果无法访问合作伙伴中心,如何实现联系支持人员?
如果由于 MFA 问题而失去访问权限,请联系租户的安全管理员。 内部 IT 部门可以告诉你安全管理员是谁。
如果忘记了密码,请参阅 无法登录 以获取帮助。
在哪里可以找到常见技术问题的详细信息?
有关常见技术问题的信息,请参阅针对使用合作伙伴中心或合作伙伴中心 API 的合作伙伴安全要求