對您的合作夥伴租用戶強制使用多重要素驗證 (MFA)
適當的角色:系統管理員代理程式 |銷售專員 |技術服務人員代理程式 |計費管理員 |安全性系統管理員
更好的安全性,持續的安全性和隱私權保護是我們的首要任務之一,我們繼續協助合作夥伴保護其客戶和租使用者。
為了協助合作夥伴保護其企業和客戶免於身分識別竊取和未經授權的存取,我們為合作夥伴租用戶啟用更多安全性防護。 這些保護措施會授權並驗證 MFA。 管理 MFA 可協助合作夥伴保護其存取客戶資源,以防止認證遭入侵。
本文提供在合作夥伴中心管理多重要素驗證 (MFA) 的詳細範例和指引。
參與 雲端解決方案提供者 (CSP) 計劃、控制台 廠商 (CPV) 和 Advisors 的合作夥伴必須實作合作夥伴安全性需求,才能保持符合規範。
合作夥伴都必須為其合作夥伴租用戶中的所有使用者帳戶強制執行 MFA,包括來賓使用者。 使用者必須完成下列區域的 MFA 驗證:
合作夥伴中心
合作夥伴中心的某些頁面受到 MFA 保護,包括:
- [客戶] 索引標籤下的所有頁面(也就是所有具有開頭
https://partner.microsoft.com/commerce/*為 URL 的頁面) - [支持>客戶要求] 索引標籤下的所有頁面(例如,以 開頭
https://partner.microsoft.com/dashboard/v2/support/customers/*為 的 URL 存取的所有頁面) - [ 帳單] 索引標籤中的所有頁面
合作夥伴中心的其他頁面,例如 [ 概觀 ] 頁面和服務 健康狀態 檢查頁面,不需要 MFA。
下表顯示哪些使用者類型有權存取這些受 MFA 保護的頁面(且受此功能影響)。
| 受 MFA 保護的頁面 | 系統管理代理人 | 銷售代理人 | 技術服務代理人 | 安全性系統管理員 | 計費管理員 |
|---|---|---|---|---|---|
| [ 客戶] 索引標籤的所有頁面 | x | x | x | ||
| [支持>客戶要求] 索引標籤的所有頁面 | x | x | |||
| 帳單 頁面 | x | x | x | ||
| 安全性 工作區 | x | x |
若要存取這些頁面,您必須先完成 MFA 驗證。
支援的 MFA 選項
- 使用Microsoft支持的合作夥伴Microsoft Entra 多重要素驗證。 如需詳細資訊,請參閱 啟用Microsoft Entra 多重要素驗證 的多種方式(支援 MFA)
- 實作整合式 MFA 同盟驗證的合作夥伴。 這些合作夥伴使用者可存取合作夥伴中心,並使用 GDAP 管理客戶。 請參閱整合式 MFA 提供者與 AD FS 提供的 MFA 供應專案: 設定 AD FS 的方法。
重要
合作夥伴必須使用與 entra ID 整合式 MFA 宣告相容的驗證提供者Microsoft。 整合式宣告表示驗證期間提供的實際認證類型。 合作夥伴必須使用整合式 MFA 來管理客戶租使用者與 GDAP。
合作夥伴中心與 API
針對下列合作夥伴中心 API,需要 App+使用者存取和Microsoft Entra ID 支援 MFA:
- 探索 (價格/目錄/促銷)
- 交易和管理
- 帳單與對帳
- 使用委派存取/AOBO 管理客戶
- 使用者和授權指派(僅限 DAP)
- 使用者和授權指派(使用 GDAP)
- 細微管理員關聯性要求和存取權指派
下列選項適用於合作夥伴:
- 使用Microsoft 內建驗證方法來 滿足 MFA 需求。
- 如果您使用同盟識別提供者, 請確定同盟已設定為接受同盟 MFA。
- 如果您想要使用ADFS來設定外部第二個因素,請參閱第三方提供者與AD FS提供的MFA供應專案: 設定AD FS的驗證方法
- 實作 MFA:遵循 安全性預設值指引,立即透過安全性預設值或條件式存取啟用 MFA。
驗證範例
若要說明驗證在合作夥伴中心的運作方式,請考慮下列範例。
範例 1:合作夥伴已實作Microsoft Entra 多重要素驗證
Alejandra 適用於名為 Contoso 的 CSP。 Contoso 已使用 Microsoft Entra 多重要素驗證,為 Contoso 合作夥伴租使用者下的所有用戶實作 MFA。
Alejandra 會啟動新的瀏覽器會話,並移至合作夥伴中心概觀頁面(不受 MFA 保護)。 合作夥伴中心會將 Alejandra 重新導向至 Microsoft Entra ID 登入。
由於 Contoso 現有的Microsoft Entra 多重要素驗證設定,因此必須有 Alejandra 才能完成 MFA 驗證。 成功登入和 MFA 驗證後,Alejandra 會重新導向回合作夥伴中心概觀頁面。
Alejandra 會嘗試存取合作夥伴中心其中一個受 MFA 保護的頁面。 由於 Alejandra 在稍早登入期間已完成 MFA 驗證,因此 Alejandra 可以存取受 MFA 保護的頁面,而不需要再次通過 MFA 驗證。
範例 2:合作夥伴已使用身分識別同盟實作非Microsoft MFA
Prashob 適用於名為 Wingtip 的 CSP。 Wingtip 已使用非Microsoft MFA,為 Wingtip 合作夥伴租使用者下的所有用戶實作 MFA,該 MFA 會透過身分識別同盟與 Microsoft Entra ID 整合。
Prashob 會啟動新的瀏覽器會話,並移至合作夥伴中心概觀頁面(未受 MFA 保護)。 合作夥伴中心會將 Prashob 重新導向至 Microsoft Entra 識別碼以登入。
因為 Wingtip 有設定身分識別同盟,Microsoft Entra ID 會將 Prashob 重新導向至同盟識別提供者,以完成登入和 MFA 驗證。 成功登入和 MFA 驗證後,Prashob 會重新導向回 Microsoft Entra ID,然後重新導向至合作夥伴中心概觀頁面。
Prashob 會嘗試存取合作夥伴中心的其中一個受 MFA 保護的頁面。 由於 Prashob 已在稍早登入期間完成 MFA 驗證,因此他不需要再次通過 MFA 驗證即可存取受 MFA 保護的頁面。
Prashob 接著移至服務管理頁面,在 Contoso 的 Microsoft Entra 識別符中新增使用者。 由於 Prashob 已使用 Entra 相容驗證提供者與強身份驗證,因此他們可以存取客戶租使用者,而沒有任何問題。
此範例中 Prashob 的建議是使用 Microsoft Entra 多重要素驗證解決方案或 Entra 相容的驗證提供者,以便他們能夠成功管理客戶的租使用者。
範例 3:合作夥伴尚未實作 MFA
名為 Fabrikam 的 CSP 合作夥伴尚未實作 MFA。 Microsoft建議他們實作 Microsoft Entra ID 支援的 MFA 解決方案。
約翰為 Fabrikam 工作。 Fabrikam 尚未為 Fabrikam 合作夥伴租使用者下的任何用戶實作 MFA。
John 會啟動新的瀏覽器會話,並移至合作夥伴中心概觀頁面(不受 MFA 保護)。 合作夥伴中心會將John重新導向至 Microsoft Entra 識別碼以登入。
成功登入之後,John 會重新導向回合作夥伴中心概觀頁面,因為他尚未完成 MFA 驗證。
John 嘗試存取合作夥伴中心內受 MFA 保護的其中一個頁面。 由於 John 尚未完成 MFA 驗證,合作夥伴中心會將 John 重新導向至 Microsoft Entra 識別碼,以完成 MFA 驗證。 因為這是第一次需要 John 才能完成 MFA,因此也會要求 John 註冊 MFA。 成功註冊 MFA 和 MFA 驗證後,John 可以存取受 MFA 保護的頁面。
在另一天,在 Fabrikam 為任何用戶實作 MFA 之前,John 會啟動新的瀏覽器會話,並移至合作夥伴中心概觀頁面(不受 MFA 保護)。 合作夥伴中心會將John重新導向至 Microsoft Entra 識別碼,以在沒有 MFA 提示的情況下登入。
John 嘗試存取合作夥伴中心內受 MFA 保護的其中一個頁面。 由於 John 尚未完成 MFA 驗證,合作夥伴中心會將 John 重新導向至 Microsoft Entra 識別碼,以完成 MFA 驗證。 因為 John 已註冊 MFA,這次他只被要求完成 MFA 驗證。
範例 4:合作夥伴已實作與 Microsoft Entra 不相容的非Microsoft MFA
Trent 適用於名為 Wingtip 的 CSP。 Wingtip 已在具有條件式存取的雲端環境中,使用非Microsoft MFA 的 Wingtip 合作夥伴租使用者,為其所有用戶實作 MFA。
Trent 會啟動新的瀏覽器會話,並移至合作夥伴中心概觀頁面(不受 MFA 保護)。 合作夥伴中心會將 Trent 重新導向至 Microsoft Entra ID 以登入。
由於 Wingtip 使用與 Microsoft Entra ID 不相容且沒有強身份驗證的非Microsoft MFA 整合,因此 Trent 將會遭到封鎖,無法存取合作夥伴中心內所有受 MFA 保護的頁面和 API。
由於 Trent 正在存取受 MFA 保護的頁面,因此他必須向 MFA 顯示強身份驗證,才能存取受 MFA 保護的頁面。
合作夥伴必須使用與 Microsoft Entra 識別符相容的驗證提供者,以支援存取令牌宣告參考中的認證方法宣告 (“amr 宣告” - Microsoft 身分識別平台,以反映驗證期間提供的實際認證類型。
強烈建議 CSP 合作夥伴實作與 Microsoft Entra 識別符相容的 MFA,以立即提高租使用者的安全性基準。
合作夥伴中心 API
合作夥伴中心 API 同時支援僅限應用程式驗證和應用程式和使用者 (App+User) 驗證。
使用 App+使用者驗證時,合作夥伴中心需要 MFA 驗證。 更具體來說,當合作夥伴應用程式將 API 要求傳送至合作夥伴中心時,它必須在要求的授權標頭中包含存取令牌。
注意
安全應用程式模型架構是一種可擴縮的架構,可在呼叫合作夥伴中心 API 時,透過 Microsoft Azure MFA 架構來驗證 CSP 合作夥伴和 CPV。 在服務自動化中使用 MFA 時,您必須實作此架構。
當合作夥伴中心收到具有使用App+User驗證取得存取令牌的API要求時,合作夥伴中心 API 會檢查驗證方法參考 (AMR) 宣告中是否有 MFA 值。 您可以使用 JWT 解碼器來驗證存取權杖是否包含預期的驗證方法參考 (AMR) 值:
{
"aud": "https://api.partnercenter.microsoft.com",
"iss": "https://sts.windows.net/df845f1a-7b35-40a2-ba78-6481de91f8ae/",
"iat": 1549088552,
"nbf": 1549088552,
"exp": 1549092452,
"acr": "1",
"amr": [
"pwd",
"mfa"
],
"appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
"appidacr": "0",
"family_name": "Adminagent",
"given_name": "CSP",
"ipaddr": "127.0.0.1",
"name": "Adminagent CSP",
"oid": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"scp": "user_impersonation",
"tenant_region_scope": "NA",
"tid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"unique_name": "Adminagent.csp@testtestpartner.onmicrosoft.com",
"upn": "Adminagent.csp@testtestpartner.onmicrosoft.com",
"ver": "1.0"
}
如果該值存在,合作夥伴中心即會判定 MFA 驗證已完成,並處理 API 要求。
如果值不存在,合作夥伴中心 API 會以下列回應拒絕要求:
HTTP/1.1 401 Unauthorized - MFA required Transfer-Encoding: chunked Request-Context: appId=cid-v1:11112222-bbbb-3333-cccc-4444dddd5555 WWW-Authenticate: Bearer error="invalid_token" Date: Thu, 14 Feb 2019 21:54:58 GMT
呼叫合作夥伴中心 API 時,只有不需要客戶租使用者中 GDAP 角色指派的作業才支援僅限應用程式存取令牌。
若要深入瞭解最佳做法,請參閱 API 驗證和授權 – 概觀。
合作夥伴委派的管理
合作夥伴租使用者應使用細微的委派系統管理員許可權 (GDAP) 透過 Microsoft Online Services 入口網站 (portal.azure.com 或 admin.microsoft.com)、命令行介面 (CLI) 和 API 來管理客戶資源(使用 App+使用者驗證)。 如需詳細資訊,請參閱 支援的 MFA 選項。
使用服務入口網站
CSP 合作夥伴可以透過服務管理介面,從 合作夥伴中心入口網站 管理客戶。 合作夥伴可以流覽至客戶,然後選取 [服務管理] 以管理客戶的特定服務。 合作夥伴必須遵循 GDAP 角色指引 ,以取得正確的最低許可權 GDAP 角色來管理其客戶。
使用合作夥伴委派系統管理員許可權 (Admin-On-Behalf-Of) 存取 Microsoft Online Services 入口網站來管理客戶資源時,許多入口網站都需要合作夥伴帳戶以互動方式進行驗證,而客戶Microsoft Entra 租使用者設定為驗證內容。 需要合作夥伴帳戶才能登入客戶租使用者。
Microsoft如果原則需要 MFA,則 Entra ID 驗證會要求使用者完成 MFA 驗證。 可能的使用者體驗有兩種,這取決於合作夥伴帳戶是受控識別還是同盟身分識別:
如果合作夥伴帳戶是 受控 識別,Microsoft Entra ID 會直接提示使用者完成 MFA 驗證。 如果合作夥伴帳戶先前尚未向 Microsoft Entra ID 註冊 MFA,系統會要求 使用者先完成 MFA 註冊 。
如果合作夥伴帳戶是 同盟 身分識別,則體驗取決於合作夥伴系統管理員在 Microsoft Entra 標識符中設定同盟的方式。 在 Microsoft Entra 識別符中設定同盟時,合作夥伴系統管理員可以指示是否支援 MFA,Microsoft Entra 識別符。
- 如果是,Microsoft Entra ID 會將使用者重新導向至同盟識別提供者,以完成 MFA 驗證。
- 如果沒有,Microsoft Entra ID 會直接提示使用者完成 MFA 驗證。 如果合作夥伴帳戶先前尚未向 Microsoft Entra ID 註冊 MFA,系統會要求 使用者先完成 MFA 註冊 。
整體體驗就像客戶租使用者為其系統管理員實作 MFA 的案例一樣。 例如,客戶租使用者已啟用 Microsoft Entra 安全性預設值,這需要具有系統管理許可權的所有帳戶使用 MFA 驗證來登入客戶租使用者,包括系統管理員代理程式和技術服務人員。
基於測試目的,合作夥伴可以在客戶租用戶中啟用 Microsoft Entra 安全性預設值 ,然後嘗試使用合作夥伴細微委派的系統管理許可權 (GDAP) 來存取客戶租使用者。
注意
並非所有Microsoft在線服務入口網站都需要合作夥伴帳戶在使用 GDAP 存取客戶資源時登入客戶租使用者。 相反地,有些只需要合作夥伴帳戶登入合作夥伴租使用者。 Exchange 系統管理中心是其中一例。 經過一段時間,我們預期這些入口網站會要求合作夥伴帳戶在使用 GDAP 時登入客戶租使用者。
MFA 註冊體驗
在 MFA 驗證期間,如果合作夥伴帳戶之前尚未註冊 MFA,Microsoft Entra ID 會提示使用者先完成 MFA 註冊。
檢閱Microsoft Authenticator 方法的詳細資訊:
用戶選取 [下一步] 之後,系統會要求他們從驗證方法清單中選擇。
成功註冊之後,用戶必須使用所選的驗證方法完成 MFA 驗證。
常見問題
若要瞭解您的要求是否有效,請檢閱其他合作夥伴回報的常見問題清單。
問題 1:合作夥伴需要更多時間來為其合作夥伴代理程序實作 MFA
合作夥伴尚未開始為其需要使用「合作夥伴委派的管理」權限存取 Microsoft Online Services 入口網站以管理客戶資源的合作夥伴代理人實作 MFA,或是仍在進行中。 合作夥伴需要更多時間來完成 MFA 實作。 這是技術例外狀況的合理原因嗎?
回答:否。 合作夥伴必須規劃為其用戶實作 MFA,以避免中斷。
注意
即使合作夥伴尚未為其合作夥伴代理程序實作 MFA,合作夥伴代理程式仍然可以使用合作夥伴委派系統管理許可權存取Microsoft在線服務入口網站,如果他們可以在登入客戶租用戶期間提示時完成 MFA 註冊和 MFA 驗證。 完成 MFA 註冊並不會自動為使用者啟用 MFA。
問題 2:合作夥伴尚未實作 MFA,因為它們不需要存取來管理客戶
合作夥伴在其合作夥伴租使用者中有一些使用者不需要存取 Microsoft Online Services 入口網站,以使用合作夥伴委派的系統管理許可權來管理客戶資源。 合作夥伴正進行為這些使用者實作 MFA 的程序,而需要更多時間才能完成。 這是技術例外狀況的合理原因嗎?
回答:否。 由於這些用戶帳戶不會使用合作夥伴委派的系統管理許可權來管理客戶資源,因此不需要他們登入客戶租使用者。 它們不會受到登入客戶租用戶期間需要 MFA 驗證的Microsoft Entra 識別碼所影響。 所有使用者都必須有 MFA 存取合作夥伴中心或客戶工作負載,才能管理客戶資源。
問題 3:合作夥伴尚未針對使用者帳戶實作 MFA
合作夥伴在其合作夥伴租用戶中有一些使用者帳戶,裝置將其當做服務帳戶使用。 這些低許可權帳戶不需要存取合作夥伴中心,也不需要Microsoft Online Services 入口網站,就能使用合作夥伴委派的系統管理許可權來管理客戶資源。 這是技術例外狀況的有效原因嗎?
回答:否。 由於這些用戶帳戶不會使用合作夥伴委派的系統管理許可權來管理客戶資源,因此不需要登入客戶租使用者。 它們不會受到登入客戶租用戶期間需要 MFA 驗證的Microsoft Entra 識別碼所影響。 如果 API 或入口網站需要應用程式+使用者驗證,則每個使用者都必須使用 MFA 進行驗證。
問題 4:合作夥伴無法使用 Microsoft Authenticator 應用程式實作 MFA
合作夥伴有「乾淨的桌面」原則,不允許員工將個人行動裝置帶到其工作區。 若無法存取其個人行動裝置,員工就無法安裝 Microsoft Authenticator 應用程式,這是Microsoft Entra 安全性預設值唯一支援的 MFA 驗證。 這是技術例外狀況的合理原因嗎?
回答:否。 合作夥伴應該考慮下列替代方案,讓員工在存取合作夥伴中心時仍可完成 MFA 驗證:
- 合作夥伴也可以註冊 Microsoft Entra ID P1 或 P2,或使用與 Microsoft Entra ID 相容的非Microsoft MFA 解決方案,以提供更多驗證方法。 若要深入瞭解,請參閱 支援的驗證方法。
問題 5:合作夥伴因使用舊版驗證通訊協定而無法實作 MFA
合作夥伴有一些合作夥伴代理人仍在使用與 MFA 不相容的舊版驗證通訊協定。 例如,有些使用者仍在使用以舊版驗證通訊協定為基礎的 Outlook 2010。 為這些合作夥伴代理人啟用 MFA,將會中斷舊版驗證通訊協定的使用。 這是技術例外狀況的合理原因嗎?
回答:否。 由於潛在的安全性影響,因此鼓勵合作夥伴遠離使用舊版驗證通訊協定,因為這些通訊協定無法受到 MFA 驗證的保護,而且更容易受到認證入侵的影響。 建議您取代任何舊版驗證,並使用安全性預設值或條件式存取。 若要準備遠離舊版驗證,請檢閱使用舊版驗證活頁簿的登入,以及如何封鎖舊版驗證的指引。
若要瞭解支援 Outlook 舊版驗證的最新方案,請閱讀基本身份驗證和 Exchange Online 相關文章,並遵循 Exchange 小組部落格以取得即將推出的新聞。
問題 6:合作夥伴已實作Microsoft Entra 標識符無法辨識的非Microsoft MFA
合作夥伴已使用非Microsoft MFA 解決方案,為其用戶實作 MFA。 不過,合作夥伴無法正確設定非Microsoft MFA 解決方案,以轉送至在使用者驗證期間已完成 MFA 驗證的Microsoft Entra 識別碼。 這是技術例外狀況的合理原因嗎?
答:否,合作夥伴必須使用與支持認證方法宣告 (“AMR”) 的Microsoft Entra 標識符兼容的驗證提供者- Microsoft 身分識別平台,以反映驗證期間提供的實際認證類型。
強烈建議您實作與 Microsoft Entra ID 相容的 MFA,以立即提高租使用者的安全性基準。