Questions fréquentes sur les exigences de sécurité des partenairesCommon questions about partner security requirements

S’applique àApplies to

  • Espace partenairesPartner Center

Utilisateurs appropriésAppropriate users

  • Tous les utilisateurs activés, y compris les utilisateurs invitésAll enabled users including guest users

Cet article répond à certaines questions fréquentes sur les exigences de sécurité des partenaires.This article answers some common questions about the partner security requirements.

Que sont les exigences de sécurité des partenaires et pourquoi les partenaires doivent-ils les implémenter ?What are the partner security requirements and why should partners implement them?

La qualité et la continuité des mesures de sécurité et de confidentialité font partie de nos principales priorités, et nous continuons à aider les partenaires à protéger leurs clients et leurs locataires.Greater and ongoing security and privacy safeguards are among our top priorities and we continue to help partners protect their customers and tenants. Nous observons un nombre croissant d’attaques de sécurité toujours plus sophistiquées, principalement liées à des incidents de compromission d’identité.We continue to see more sophisticated, increasing number of security attacks, primarily related to identity compromise incidents. Dans la mesure où les contrôles préventifs jouent un rôle clé dans une stratégie de défense globale visant à contrer les attaques de sécurité, nous avons introduit des exigences de sécurité obligatoires en 2019.As preventive controls play a key role in an overall defense strategy to thwart security attacks, we introduced mandatory security requirements in 2019. Tous les partenaires qui participent au programme Fournisseur de solutions Microsoft Cloud (CSP), les fournisseurs de panneau de contrôle et les conseillers Advisor doivent implémenter les exigences pour rester conformes.All partners participating in the Cloud Solution Provider (CSP) program, Control Panel Vendors, and Advisors must implement the requirements to stay compliant.

Quelle est la chronologie clé et quelles en sont les étapes majeures ?What are the key timelines and milestones?

Les conditions associées à ces exigences de sécurité, notamment la chronologie et les étapes majeures, sont comprises dans le Contrat Partenaire Microsoft.The terms associated with these security requirements, including timelines and milestones, are included with the Microsoft Partner Agreement. Vous devez implémenter ces exigences de sécurité le plus tôt possible pour garantir la conformité de votre participation au programme Fournisseur de solutions Cloud.You will need to implement these security requirements as soon as possible to stay compliant with your participation in the CSP program.

Que se passe-t-il si je n’implémente pas ces exigences de sécurité Partenaires ?What will happen if I don't implement these partner security requirements?

Selon le Contrat Partenaire Microsoft, vous devez appliquer une authentification multifacteur aux comptes d’utilisateur, et vous devez adopter le modèle d’application sécurisé pour interagir avec l’API de l’Espace partenaires.The Microsoft Partner Agreement requires that you enforce multi-factor authentication for user accounts, and adopt the secure application model for interacting with the Partner Center API.

Les partenaires qui ne respectent pas ces pratiques de sécurité risquent de ne plus pouvoir effectuer de transactions dans le cadre du programme Fournisseur de solutions Cloud, ou de ne plus pouvoir gérer des locataires de clients à l’aide des droits d’administrateur délégué.Partners who don't abide by these security practices may lose their ability to transact in the CSP program or manage customer tenants using delegate admin rights.

Les exigences de sécurité s’appliquent-elles à toutes les zones géographiques ?Do the security requirements apply to all geographies?

Oui, les exigences de sécurité s’appliquent à toutes les zones géographiques.Yes, the security requirements apply to all geographies. Nous recommandons vivement à tous les partenaires qui effectuent des transactions par le biais d’un cloud souverain (US Government et Allemagne) d’agir et d’adopter immédiatement ces nouvelles exigences de sécurité.We strongly recommend that all partners transacting through a sovereign cloud (US Government and Germany) act and adopt these new security requirements immediately. Toutefois, ces partenaires ne sont pas actuellement tenus de répondre aux exigences de sécurité.However, these partners aren't currently required to meet the security requirements. Microsoft fournira des informations supplémentaires sur la mise en œuvre de ces exigences de sécurité pour les clouds souverains à l’avenir.Microsoft will provide additional details regarding the enforcement of these security requirements for sovereign clouds in the future.

Est-il possible d’obtenir l’exclusion d’un compte ?Is it possible to get an exclusion for an account?

Non, il n’est pas possible d’exclure un compte d’utilisateur de l’obligation d’implémentation de l’authentification multifacteur (MFA).No, it is not possible to exclude any user account from the requirement of having multi-factor authentication (MFA) enforced. Compte tenu de la nature hautement privilégiée du statut de partenaire, le Contrat Partenaire Microsoft impose l’application de l’authentification multifacteur à chaque compte d’utilisateur de votre locataire partenaire.Given the highly privileged nature of being a partner, the Microsoft Partner Agreement requires that multi-factor authentication is enforced for each user account in your partner tenant.

Comment savoir si j’ai répondu aux exigences de sécurité du partenaire ?How do I know if I have met the partner security requirements?

Vous devez effectuer les étapes suivantes :You need to complete the following steps:

  • Vous devez répondre à toutes les exigences décrites dans les exigences de sécurité du partenaire.You need to meet all requirements outlined in the partner security requirements.
  • Vous devez vous assurer que l’authentification multifacteur est appliquée à tous les comptes d’utilisateur de votre locataire partenaire.You need to ensure all user accounts in your partner tenant have multi-factor authentication enforced.

Pour vous aider à identifier les domaines clés dans lesquels vous pouvez prendre des mesures, nous fournissons un rapport sur l’état des exigences de sécurité qui est disponible dans l’Espace partenaires.To help identify the key areas where you can take actions, we are providing the security requirements status report that is available through Partner Center.

Pour plus d’informations sur le rapport sur le statut, consultez le statut des exigences de sécurité des partenaires.See partner security requirements status for more information on the status report.

Mesures à prendreRequired Actions

Quelles sont les principales mesures à prendre pour satisfaire aux exigences ?What are the key actions I need to take to meet the requirements?

Tous les partenaires du programme Fournisseur de solutions Cloud (facturation directe, fournisseur indirect et revendeur indirect), conseillers Advisor et fournisseurs de panneaux de contrôle doivent satisfaire aux exigences.All partners in the CSP program (direct bill, indirect provider, and indirect reseller), Advisors, and Control Panel Vendors must meet the requirements.

  1. Mettre en œuvre l’authentification MFA pour tous les utilisateursEnforce MFA for all users

    Tous les partenaires du programme Fournisseur de solutions Cloud, les conseillers et les fournisseurs de panneaux de contrôle sont tenus de mettre en œuvre l’authentification MFA pour tous les utilisateurs de leur locataire de partenaire.All partners in the CSP program, Advisors, and Control Panel Vendors are required to enforce MFA for all users in their partner tenant.

    Considérations supplémentaires :Additional considerations:

    • Les fournisseurs indirects doivent collaborer avec les revendeurs indirects pour intégrer l’Espace partenaires, s’ils ne l’ont pas déjà fait, et encourager leurs revendeurs à satisfaire aux exigences.Indirect providers need to work with indirect resellers to onboard to Partner Center if they have not done so already and encourage their resellers to meet the requirements.
    • Azure MFA est mis gratuitement à la disposition de tous les utilisateurs du locataire de partenaire via les paramètres de sécurité par défaut d’Azure AD avec pour seule méthode de vérification une application d’authentification qui prend en charge les TOTP (mots de passe à usage unique et durée définie).Azure MFA is being made available to all users in the partner tenant at no cost through Azure AD security defaults with the only verification method of an authenticator application that supports time-based one time passwords (TOTP).
    • Des méthodes de vérification supplémentaires sont disponibles via les références SKU d’Azure Active Directory Premium, si d’autres méthodes telles qu'un appel téléphonique ou SMS sont nécessaires.Additional verification methods are available through the Azure Active Directory Premium SKUs, if other methods such as a phone call or text message are required.
    • Les partenaires peuvent également tirer parti d’une solution d’authentification MFA tierce pour chaque compte qui accède aux services cloud commerciaux Microsoft.Partners can also leverage a third-party MFA solution for each account when accessing Microsoft commercial cloud services.
  2. Adopter le framework du modèle d’application sécuriséAdopt the Secure Application Model framework

    Tous les partenaires qui ont développé une intégration personnalisée à l’aide d’une API (par exemple Azure Resource Manager, Microsoft Graph, l’API de l’Espace partenaires, etc.) ou qui ont implémenté une automation personnalisée à l’aide d’outils tels que PowerShell doivent adopter le framework du modèle d’application sécurisé à intégrer aux services cloud Microsoft.All partners who have developed custom integration using any APIs (such as Azure Resource Manager, Microsoft Graph, Partner Center API, etc.) or implemented custom automation using tools such PowerShell, will need to adopt the Secure Application Model framework to integrate with Microsoft cloud services. Sinon, cela risque d’entraîner une interruption liée au déploiement de l’authentification MFA.Failure to do so may result in a disruption due to MFA deployment. Les ressources suivantes fournissent une vue d’ensemble et de l’aide sur l’adoption du modèle.The following resources provide an overview and guidance regarding how to adopt the model.

    Si vous utilisez un panneau de contrôle, contactez le fournisseur concernant l’adoption du framework du modèle d’application sécurisé.Consult with the vendor if you're using a control panel regarding the adoption of the Secure Application Model framework.

    Les fournisseurs de panneaux de contrôle doivent intégrer l’Espace partenaires en tant que fournisseurs de panneaux de contrôle et commencer à mettre en œuvre cette exigence immédiatement.Control panel vendors are required to onboard to Partner Center as control panel vendor and start implementing this requirement immediately. Consultez Espace partenaires : framework du modèle d’application sécurisé.Refer to the Partner Center: Secure Application Model framework. Les fournisseurs de panneaux de contrôle doivent accepter et gérer le consentement des partenaires du programme Fournisseur de solutions Cloud au lieu d’informations d’identification. De plus, ils doivent vider toutes les informations d’identification existantes des partenaires du programme Fournisseur de solutions Cloud.Control panel vendors must accept and manage CSP partners' consent instead of credentials and purge all existing CSP partners' credentials.

Authentification multifacteurMulti-factor authentication

Qu’est-ce que l’authentification multifacteur (MFA) ?What is multi-factor authentication (MFA)?

L’authentification MFA est un mécanisme de sécurité qui permet aux personnes de s’authentifier via plusieurs procédures de sécurité et de validation.MFA is a security mechanism though which individuals are authenticated through more than one required security and validation procedure. Ce mécanisme fonctionne en imposant deux ou plusieurs des méthodes d’authentification suivantes :It works by requiring two or more of the following authentication methods:

  • Quelque chose que vous connaissez (généralement un mot de passe)Something you know (typically a password)
  • Un élément que vous possédez (un appareil de confiance qui n'est pas facilement dupliqué, comme un téléphone)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Un élément vous concernant particulièrement (biométrie)Something you are (biometrics)

Quel est le coût de l’activation de l’authentification MFA ?What is the cost of enabling MFA?

Microsoft fournit gratuitement une authentification MFA via l’implémentation des paramètres de sécurité par défaut d’Azure AD.Microsoft provides MFA at no cost through the implementation of Azure AD security defaults. La seule option de vérification disponible dans cette version de l’authentification MFA est une application d’authentification.The only verification option available through this version of MFA is an authenticator application. Si un appel téléphonique ou un SMS est nécessaire, vous devez acheter une licence Azure Active Directory Premium.If a phone call or SMS message is required, then an Azure Active Directory Premium license will need to be purchased. Vous pouvez également utiliser une solution tierce pour fournir une authentification MFA à chaque utilisateur du locataire de partenaire. Dans ce cas, il vous incombe de vérifier que votre solution d’authentification MFA est appliquée et que vous êtes en situation de conformité.Alternatively, you can utilize a third-party solution to provide MFA for each user in your partner tenant - in this case, it is your responsibility to ensure your MFA solution is being enforced and that you're compliant.

Quelles mesures dois-je prendre si j’ai déjà une solution d’authentification MFA ?What actions do I need to take if I already have an MFA solution?

Grâce à ces exigences de sécurité, les utilisateurs d’un locataire du partenaire doivent s’authentifier à l’aide de l’authentification MFA quand ils accèdent aux services cloud commerciaux Microsoft.Through these security requirements users in a partner tenant will be required to authenticate using MFA when accessing Microsoft commercial cloud services. Les solutions tierces permettent de répondre à ces exigences.Third-party solutions can be used to fulfill these requirements. Microsoft ne fournit plus de tests de validation aux fournisseurs d’identité indépendants en ce qui concerne la compatibilité avec Azure Active Directory.Microsoft no longer provides validation testing to independent identity providers for compatibility with Azure Active Directory. Pour tester l’interopérabilité de votre produit, consultez ces recommandations.To test your product for interoperability, refer to these guidelines.

Important

Quand vous utilisez une solution tierce, il est important de vérifier que cette solution émet la revendication de référence de méthode d’authentification (AMR) qui inclut la valeur MFA.When you're using a third-party solution, it is important to verify that the solution is issuing the authentication method reference (AMR) claim that includes the MFA value. Consultez Test des exigences de sécurité du partenaire pour plus d’informations sur la façon dont la validation de votre solution tierce émet la revendication attendue.See Testing the Partner Security Requirements for details on how validating your third-party solution is issuing the expected claim.

J’utilise plusieurs locataires de partenaire pour effectuer des transactions.I use multiple partner tenants to transact. Dois-je mettre en œuvre l’authentification MFA sur chacun d’eux ?Do I need to implement MFA on them all?

Oui, vous devez appliquer l’authentification MFA pour chaque locataire Azure Active Directory associé au programme Fournisseur de solutions Cloud ou au programme Advisor.Yes, you'll need to enforce MFA for each Azure Active Directory tenant associated with the CSP program or the Advisor program. Pour acheter une licence Azure Active Directory Premium, vous devez acheter une licence Azure Active Directory pour les utilisateurs de chaque locataire Azure Active Directory.To purchase an Azure Active Directory Premium license, you must purchase an Azure Active Directory license for the users in each Azure Active Directory tenant.

Est-ce que l’authentification MFA doit être appliquée à chaque compte d’utilisateur de mon locataire de partenaire ?Does each user account in my partner tenant need to have MFA enforced?

Oui, l’authentification MFA doit être appliquée à chaque utilisateur.Yes, each user will need to have MFA enforced. Toutefois, si vous utilisez les paramètres de sécurité par défaut d’Azure AD, aucune action supplémentaire n’est nécessaire, car cette fonctionnalité permet d’appliquer l’authentification MFA à tous les comptes d’utilisateur.However, if you're using Azure AD security defaults, then there is no additional action required because that feature enforces MFA for all user accounts. L’activation des paramètres de sécurité par défaut est un moyen simple et gratuit de garantir la conformité de vos comptes d’utilisateur à l’authentification MFA, et de vérifier qu’ils ne sont pas impactés quand elle est appliquée.Enabling security defaults is a free and easy way to ensure your user accounts are MFA-compliant and not impacted when MFA is enforced.

Je suis un partenaire de facturation directe Microsoft.I am a direct bill partner with Microsoft. Que dois-je faire ?What do I need to do?

Les partenaires de facturation directe du programme Fournisseur de solutions Cloud doivent mettre en œuvre l’authentification MFA pour chaque utilisateur du locataire du partenaire.Direct bill Cloud Solution Provider partners must enforce MFA for each user in their partner tenant.

Je suis un revendeur indirect et j’effectue des transactions uniquement via un distributeur.I am an indirect reseller and only transact though a distributor. Est-ce que je dois quand même activer l’authentification multifacteur (MFA) ?Do I still have to do enable MFA?

Tous les revendeurs indirects sont tenus d’appliquer l’authentification MFA pour chaque utilisateur du locataire du partenaire.All indirect resellers are required to enforce MFA for each user in their partner tenant. Le revendeur indirect doit activer l’authentification MFA.The indirect reseller must enable MFA.

Je n’utilise pas l’API de l’Espace partenaires.I don't use the Partner Center API. Dois-je quand même mettre en œuvre l’authentification MFA ?Do I still need to implement MFA?

Oui, cette exigence de sécurité concerne tous les utilisateurs, notamment les utilisateurs administrateurs partenaires et les utilisateurs finaux d’un locataire du partenaire.Yes, this security requirement is for all users including partner admin users and end users in a partner tenant.

Quels sont les fournisseurs tiers qui proposent des solutions d’authentification MFA compatibles avec Azure Active Directory ?Which third-party vendors provide MFA solutions compatible with Azure Active Directory?

Durant l’évaluation des fournisseurs et des solutions d’authentification MFA, les partenaires doivent vérifier que la solution choisie est compatible avec Azure Active Directory.When reviewing MFA vendors and solutions, partners must ensure the solution they choose is compatible with Azure Active Directory.

Microsoft ne fournit plus de tests de validation aux fournisseurs d’identité indépendants en ce qui concerne la compatibilité avec Azure Active Directory.Microsoft no longer provides validation testing to independent identity providers for compatibility with Azure Active Directory. Si vous souhaitez tester l’interopérabilité de votre produit, consultez ces recommandations.If you would like to test your product for interoperability, refer to these guidelines.

Pour plus d’informations, consultez la liste de compatibilité de fédération Azure AD.For more information, see the Azure AD federation compatibility list.

Comment puis-je tester l’authentification MFA dans notre bac à sable d’intégration ?How can I test MFA in our integration sandbox?

La fonctionnalité des paramètres de sécurité par défaut d’Azure AD doit être activée. Sinon, vous pouvez tirer profit d’une solution tierce basée sur la fédération.The Azure AD security defaults feature should be enabled or alternatively you can leverage third-party solution that utilizes federation.

L’activation de l’authentification MFA a-t-elle un impact sur mon interaction avec le locataire de mon client ?Will enabling MFA affect how I interact with my customer's tenant?

Non.No. Le respect de ces exigences de sécurité n’impacte pas la façon dont vous gérez vos clients.The fulfillment of these security requirements will not impact how you manage your customers. Votre capacité à effectuer des opérations d’administration déléguées n’est pas interrompue.Your ability to perform delegated administrative operations will not be interrupted.

Mes clients sont-ils soumis aux exigences de sécurité du partenaire ?Are my customers subject to the partner security requirements?

Non, il n’est pas nécessaire de mettre en œuvre l’authentification MFA pour chaque utilisateur sur les locataires Azure AD de votre client.No, it is not required that you enforce MFA for each user in your customer's Azure AD tenants. Toutefois, il est recommandé de déterminer avec chaque client la meilleure façon de protéger ses utilisateurs.However, it is recommended that you work with each customer to determine how best to protect their users.

Un utilisateur peut-il être exclu de l’exigence d’authentification MFA ?Can any user be excluded from the MFA requirement?

Non, chaque utilisateur, notamment les comptes de service, du locataire du partenaire doit s’authentifier via l’authentification MFA.No, each user, including service accounts, in your partner tenant will be required to authenticate using MFA.

Les exigences de sécurité du partenaire s’appliquent-elles au bac à sable d’intégration ?Do the partner security requirements apply to the integration sandbox?

Oui, les exigences de sécurité du partenaire s’appliquent au bac à sable d’intégration.Yes, the partner security requirements apply to the integration sandbox. Cela signifie que vous devez implémenter la solution d’authentification MFA appropriée pour les utilisateurs du locataire du bac à sable d’intégration.This means you'll need to implement the appropriate MFA solution for users in the integration sandbox tenant. Il est recommandé d’implémenter les paramètres de sécurité par défaut d’Azure AD pour fournir une authentification MFA.It is recommended that you implement of Azure AD security defaults to provide MFA.

Comment configurer un compte d’accès d’urgence (compte de secours) ?How do I configure an emergency access (break glass) account?

Parmi les bonnes pratiques, il est recommandé de créer un ou deux comptes d’accès d’urgence pour éviter le verrouillage accidentel de l’accès à votre locataire Azure AD.It is considered a best practice to create one or two emergency access accounts to prevent being inadvertently locked out of your Azure AD tenant. En ce qui concerne les exigences de sécurité du partenaire, il est nécessaire que chaque utilisateur s’authentifie à l’aide de l’authentification MFA.With respect to the partner security requirements, it is required that each user authenticates using MFA. Cette exigence signifie que vous devez modifier la définition d’un compte d’accès d’urgence.This requirement means you'll need to modify the definition of an emergency access account. Il peut s’agir d’un compte qui tire parti d’une solution tierce pour l’authentification MFA.It could be an account that is leveraging a third-party solution for MFA.

Les services de fédération Active Directory (ADFS) sont-ils nécessaires si j’utilise une solution tierce ?Is Active Directory Federation Service (ADFS) required if I am using a third-party solution?

Non, les services de fédération Active Directory (ADFS) ne sont pas nécessaires si vous utilisez une solution tierce.No, it is not required to have Active Directory Federation Service (ADFS) if you're using a third-party solution. Il est recommandé de travailler conjointement avec le fournisseur de la solution pour déterminer les exigences de cette dernière.It is recommended that you work with the vendor of the solution determine what the requirements for their solution are.

Est-il obligatoire d’activer les paramètres de sécurité par défaut d’Azure AD ?Is it a requirement to enable Azure AD security defaults?

Non, il n’est pas obligatoire d’activer les paramètres de sécurité par défaut d’Azure AD.No, it is not required that you enable Azure AD security defaults.

L’accès conditionnel peut-il être utilisé pour répondre à l’exigence d’authentification MFA ?Can conditional access be used to meet the MFA requirement?

Oui, vous pouvez utiliser l’accès conditionnel afin de mettre en œuvre l’authentification MFA pour chaque utilisateur, notamment les comptes de service, sur le locataire du partenaire.Yes, you can use conditional access to enforce MFA for each user, including service accounts, in your partner tenant. Toutefois, compte tenu de la nature hautement privilégiée du statut de partenaire, nous devons vérifier que chaque utilisateur est soumis à l’authentification MFA quand cela s’impose.However, given the highly privileged nature of being a partner we need to ensure that each user has an MFA challenge for every single authentication. Cela signifie que vous ne pouvez pas tirer parti de la fonctionnalité d’accès conditionnel qui contourne l’exigence d’authentification MFA.This means you won't be able to leverage the feature of conditional access that circumvents the requirement for MFA.

Le compte de service utilisé par Azure AD Connect est-t-il impacté par les exigences de sécurité du partenaire ?Will the service account used by Azure AD Connect be impacted by the partner security requirements?

Non, le compte de service utilisé par Azure AD Connect n’est pas impacté par les exigences de sécurité du partenaire.No, the service account used by Azure AD Connect will not be impacted by the partner security requirements. Si vous rencontrez un problème avec Azure AD Connect en raison de la mise en œuvre de l’authentification MFA, ouvrez une demande de support technique auprès du Support Microsoft.If you experience an issue with Azure AD Connect as result of enforcing MFA, then open a technical support request with Microsoft support.

Modèle d’application sécuriséSecure Application Model

Qui doit adopter le modèle d’application sécurisé pour répondre aux exigences ?Who should adopt the secure application model to meet the requirements?

Microsoft propose un framework sécurisé et scalable pour l’authentification des partenaires du programme Fournisseur de solutions Cloud et des fournisseurs de panneaux de contrôle (CPV) qui tirent parti du service Multi-Factor Authentication.Microsoft is introducing a secure, scalable framework for authenticating Cloud Solution Provider (CSP) partners and Control Panel Vendors (CPV) that leverages Multi-Factor Authentication. Pour plus d’informations, consultez le Guide du modèle d’application sécurisé.See the Secure Application Model guide for more information. Tous les partenaires qui ont développé une intégration personnalisée à l’aide d’une API (par exemple Azure Resource Manager, Microsoft Graph, l’API de l’Espace partenaires, etc.) ou qui ont implémenté une automation personnalisée à l’aide d’outils tels que PowerShell doivent adopter le framework du modèle d’application sécurisé à intégrer aux services cloud Microsoft.All partners who have developed custom integration using any APIs (such as Azure Resource Manager, Microsoft Graph, Partner Center API, etc.) or implemented custom automation using tools such PowerShell, will need to adopt the Secure Application Model framework to integrate with Microsoft cloud services.

Qu’est-ce que le modèle d’application sécurisé ?What is the Secure Application Model?

Microsoft propose un framework sécurisé et scalable pour l’authentification des partenaires du programme Fournisseur de solutions Cloud et des fournisseurs de panneaux de contrôle (CPV) qui tirent parti du service Multi-Factor Authentication.Microsoft is introducing a secure, scalable framework for authenticating Cloud Solution Provider (CSP) partners and Control Panel Vendors (CPV) that leverages Multi-Factor Authentication. Pour plus d’informations, consultez le Guide du modèle d’application sécurisé.See the Secure Application Model guide for more information.

Comment implémenter le modèle d’application sécurisé ?How do I implement the Secure Application Model?

Tous les partenaires qui ont développé une intégration personnalisée à l’aide d’une API (par exemple Azure Resource Manager, Microsoft Graph, l’API de l’Espace partenaires, etc.) ou qui ont implémenté une automation personnalisée à l’aide d’outils tels que PowerShell doivent adopter le framework du modèle d’application sécurisé à intégrer aux services cloud Microsoft.All partners who have developed custom integration using any APIs (such as Azure Resource Manager, Microsoft Graph, Partner Center API, etc.) or implemented custom automation using tools such PowerShell, will need to adopt the Secure Application Model framework to integrate with Microsoft cloud services. Sinon, cela risque d’entraîner une interruption liée au déploiement de l’authentification MFA.Failure to do so may result in a disruption due to MFA deployment. Les ressources suivantes fournissent une vue d’ensemble et de l’aide sur l’adoption du modèle.The following resources provide an overview and guidance regarding how to adopt the model.

Si vous utilisez un panneau de contrôle, vous devez consulter le fournisseur au sujet de l’adoption du framework du modèle d’application sécurisé.If you're using a control panel, then you need to consult with the vendor regarding the adoption of the Secure Application Model framework.

Les fournisseurs de panneaux de contrôle doivent intégrer l’Espace partenaires en tant que fournisseurs de panneaux de contrôle et commencer à mettre en œuvre cette exigence immédiatement.Control panel vendors are required to onboard to Partner Center as control panel vendor and start implementing this requirement immediately. Consultez Espace partenaires : framework du modèle d’application sécurisé.Refer to the Partner Center: Secure Application Model framework. Les fournisseurs de panneaux de contrôle doivent accepter et gérer le consentement des partenaires du programme Fournisseur de solutions Cloud au lieu d’informations d’identification. De plus, ils doivent vider toutes les informations d’identification existantes des partenaires du programme Fournisseur de solutions Cloud.Control panel vendors must accept and manage CSP partners' consent instead of credentials and purge all existing CSP partners' credentials.

Le modèle d’application sécurisé doit-il uniquement être implémenté pour le kit SDK/l’API de l’Espace partenaires ?Does the Secure Application Model need to be implemented for the Partner Center API/SDK only?

En cas d’application de l’authentification multifacteur à tous les comptes d’utilisateur, toute automatisation ou intégration destinée à s’exécuter de manière non interactive est impactée.By enforcing multi-factor authentication for all user accounts, any automation or integration that is intended to run non-interactively will be impacted. Bien que les exigences de sécurité du partenaire nécessitent de votre part l’activation du modèle d’application sécurisé pour l’API de l’Espace partenaires, vous pouvez en tirer profit pour répondre au besoin d’un second facteur d’authentification avec l’automatisation et l’intégration.While the partner security requirements require you to enable the secure application model for the Partner Center API, it can be leveraged to address the need for a second factor of authentication with automation and integration.

Notes

Les ressources faisant l’objet d’un accès doivent prendre en charge l’authentification par jeton d’accès.Resources being accessed will need to support access token-based authentication.

J’utilise des outils d’automation tels que PowerShell.I am using automation tools such as PowerShell. Comment implémenter le modèle d’application sécurisé ?How do I implement the Secure Application Model?

Vous devez implémenter le modèle d’application sécurisé si votre automation doit être exécutée de manière non interactive et si elle repose sur les informations d’identification de l’utilisateur pour l’authentification.You will need to implement the Secure Application Model if your automation is intended to be run non-interactively and relies on user credentials for authentication. Consultez Modèle d’application sécurisé | Module PowerShell pour l’Espace partenaires pour obtenir de l’aide sur l’implémentation de ce framework.See Secure Application Model | Partner Center PowerShell for guidance on how to implement this framework.

Notes

Tous les outils d’automatisation ne permettent pas de s’authentifier avec des jetons d’accès.Not all automation tools provide the ability to authenticate using access tokens. Si vous avez besoin d’aide pour comprendre les changements à apporter, postez un message au groupe d’aide sur la sécurité de l’Espace partenaires.Post a message on the Partner Center Security Guidance group if you need help understanding what changes need to be made.

Il est recommandé d’utiliser un compte de service disposant des autorisations les moins privilégiées.It is recommended that you use a service account that has been assigned the least privileged permissions. En ce qui concerne l’API de l’Espace partenaires, vous devez utiliser un compte auquel le rôle Commercial ou Agent d’administration a été attribué.With respect to the Partner Center API, you should use an account that has either been assigned to the Sales Agent or Admin Agents role.

Une bonne pratique consiste à utiliser l’identité de moindre privilège.It is a best practice to use least-privileged identity. Cela permet de réduire les risques.This will reduce risk. Il n’est pas recommandé d’utiliser un compte disposant de privilèges d’administrateur général, car cela donne accès à plus d’autorisations que nécessaire.It is not recommended to use an account that has global admin privileges because that would be providing more permissions than what is required.

Je suis un partenaire du programme Fournisseur de solutions Cloud.I am a CSP partner. Comment savoir si mon fournisseur de panneau de contrôle travaille à l’implémentation de la solution ?How do I know if my Control Panel Vendor (CPV) is working on implementing the solution or not?

Pour les partenaires qui utilisent une solution basée sur un CPV (fournisseur de panneau de contrôle) afin d’effectuer des transactions dans le cadre du programme Fournisseur de solutions Cloud, il vous incombe de consulter votre CPV.For partners using a Control Panel Vendor (CPV) solution to transact in the Cloud Solution Provider (CSP) program, it is your responsibility to consult with your CPV.

Qu’est-ce qu’un fournisseur de panneau de contrôle (CPV) ?Who is a Control Panel Vendor (CPV)?

Un fournisseur de panneau de contrôle est un éditeur de logiciels indépendant qui développe des applications que les partenaires du programme Fournisseur de solutions Cloud intègrent aux API de l’Espace partenaires.A Control Panel vendor is an independent software vendor that develops apps for use by CSP Partners to integrate with Partner Center APIs. Un fournisseur de panneau de contrôle n’est pas un partenaire du programme Fournisseur de solutions Cloud ayant un accès direct au tableau de bord ou aux API de l’Espace partenaires.A Control Panel vendor is not a CSP Partner with direct access to the Partner Center dashboard or APIs. Une description détaillée est disponible dans Espace partenaires : guide du modèle d’application sécurisé.A detailed description is available within the Partner Center: Secure Applications Model guide.

Je suis un CPV.I am a CPV. Comment m’inscrire ?How do I enroll?

Pour vous inscrire en tant que CPV (fournisseur de panneau de contrôle), suivez les recommandations fournies ici.To enroll as a control panel vendor (CPV), follow the guidelines provided here.

Les CPV doivent contacter CPVHelp@microsoft.com pour recevoir le lien d’inscription, et indiquer le nom d’un employé Microsoft sponsor ayant une relation commerciale avec eux ou connaissant leur entreprise.CPVs must contact CPVHelp@microsoft.com to receive the enrollment link and provide a Microsoft employee sponsor who has a business relationship with the CPV or knows their business. Par exemple, un responsable de développement partenaire Microsoft.For example, a Partner Development Manager (PDM).

Une fois que vous vous êtes inscrit à l’Espace partenaires et que vous avez inscrit vos applications, vous avez accès aux API de l’Espace partenaires.Once you enroll in Partner Center and register your applications, you'll have access to Partner Center APIs. Si vous êtes un nouveau CPV, vous recevrez les informations relatives au bac à sable via une notification de l’Espace partenaires.You will receive your sandbox information via a Partner Center notification if you're a new CPV. Une fois que vous avez effectué votre inscription en tant que CPV Microsoft et que vous avez accepté le contrat CPV, vous pouvez :Once you have completed enrollment as a Microsoft CPV and accepted the CPV agreement, you can:

  1. Gérer les applications multilocataires (ajouter des applications au portail Azure, inscrire et désinscrire des applications dans l’Espace partenaires).Manage multi-tenant application (add applications to Azure portal, register and unregister applications in Partner Center).

    Notes

    Les CPV doivent inscrire leurs applications dans l’Espace partenaires pour être autorisés à accéder aux API de l’Espace partenaires.CPVs must register their applications in Partner Center to get authorized for Partner Center APIs. L’ajout d’applications au seul portail Azure n’autorise pas les applications du CPV à accéder aux API de l’Espace partenaires.Adding applications to the Azure portal alone does not authorize CPV applications for Partner Center APIs.

  2. Visualisez et gérez votre profil de CPV.View and manage your CPV profile.

  3. Visualisez et gérez les utilisateurs ayant besoin d’accéder aux fonctionnalités de CPV.View and manage your users who need access to CPV capabilities. Un CPV peut uniquement disposer du rôle Administrateur général.A CPV can only have the role Global Admin.

J’utilise le kit SDK de l’Espace partenaires.I am using the Partner Center SDK. Le kit SDK adopte-t-il automatiquement le modèle d’application sécurisé ?Will SDK automatically adopt the Secure Application Model?

Non, vous devez suivre les instructions fournies dans le guide du modèle d’application sécurisé.No, you'll need to follow the guidelines provided in the Secure Application Model guide.

Puis-je générer un jeton d’actualisation pour le modèle d’application sécurisé avec des comptes pour lesquels l’authentification MFA n’est pas activée ?Can I generate a refresh token for the secure application model with accounts that don't have MFA enabled?

Oui, vous pouvez générer un jeton d’actualisation à l’aide d’un compte pour lequel l’authentification MFA n’est pas mise en œuvre.Yes, a refresh token can be generated using an account that does not have MFA enforced. Toutefois, cela doit être évité.However, this should be avoided. Un jeton généré à l’aide d’un compte pour lequel l’authentification MFA n’est pas activée n’a pas accès aux ressources en raison de l’exigence d’authentification MFA.Any token generated using an account that does not have MFA enabled will not be able to access resources due to the requirement for MFA.

Comment mon application doit-elle obtenir un jeton d’accès si nous activons l’authentification MFA ?How should my application obtain an access token if we enable MFA?

Vous devez suivre le guide du modèle d’application sécurisé qui explique comment procéder, tout en respectant les nouvelles exigences de sécurité.You will need to follow the Secure Application Model guide that provides detail on how to do so whilst complying with the new security requirements. Vous trouverez un exemple de code .NET ici et un exemple de code Java ici.You can find .NET sample code here and Java sample code here.

En tant que CPV, est-ce que je crée une application Azure AD sur notre locataire de CPV ou sur le locataire du partenaire du programme Fournisseur de solutions Cloud ?As a CPV, do I create an Azure AD application in our CPV tenant or the tenant of the CSP partner?

Le CPV doit créer l’application Azure Active Directory sur le locataire associé à son inscription en tant que CPV.The CPV will need to create the Azure Active Directory application in the tenant associated with their enrollment as a CPV.

Je suis un fournisseur de solutions Cloud qui utilise l’authentification par application uniquement.I am a CSP that is using app only authentication. Dois-je apporter des changements ?Do I need to make any changes?

L’authentification par application uniquement n’est pas impactée, car les informations d’identification de l’utilisateur ne sont pas utilisées pour demander un jeton d’accès.App only authentication is not impacted as user credentials aren't being used to request an access token. Si les informations d’identification de l’utilisateur sont partagées, les CPV (fournisseurs de panneaux de contrôle) doivent adopter le framework du modèle d’application sécurisé et vider les informations d’identification de partenaire existantes.If user credentials are being shared, then control panel vendors (CPVs) must adopt the Secure Application Model framework and purge any existing partner credentials they have.

En tant que CPV, puis-je utiliser l’authentification par application uniquement pour obtenir des jetons d’accès ?As a CPV can I leverage the app only authentication style to get access tokens?

Non, les partenaires fournisseurs de panneaux de contrôle ne peuvent pas utiliser l’authentification par application uniquement pour demander des jetons d’accès au nom du partenaire.No, Control Panel Vendor partners cannot utilize the app only authentication style to request access tokens on the behalf of partner. Ils doivent implémenter le modèle d’application sécurisé, qui utilise l’authentification d’application + l’authentification utilisateur.They should implement the secure application model, which utilizes the app + user authentication style.

Mise en œuvre techniqueTechnical Enforcement

Qu’est-ce que l’activation des mesures de sécurité ?What is the activation of security safeguards?

Tous les partenaires qui participent au programme Fournisseur de solutions Microsoft Cloud (CSP), les fournisseurs de panneau de contrôle et les conseillers Advisor doivent implémenter les exigences de sécurité obligatoires pour rester conformes.All partners participating in the Cloud Solution Provider (CSP) program, Control Panel Vendors (CPVs), and Advisors should implement the mandatory security requirements to stay compliant.

Pour renforcer la protection, Microsoft a commencé l’activation de mesures de sécurité qui aident les partenaires à sécuriser leurs locataires et leurs clients en exigeant une vérification MFA afin d’empêcher tout accès non autorisé.To provide additional protection, Microsoft began the activation of security safeguards that helps partners secure their tenants and their customers by mandating multi-factor authentication (MFA) verification to prevent unauthorized access.

Nous avons terminé l’activation pour les fonctionnalités « Administrateur pour le compte de » (AOBO) pour tous les locataires partenaires.We successfully completed the activation for admin-on-behalf-of (AOBO) capabilities to all partner tenants. Afin de renforcer la protection des partenaires et des clients, avec comme objectif le deuxième trimestre 2020, nous allons commencer l’activation pour les transactions de l’Espace partenaires dans CSP, aidant ainsi les partenaires à protéger leurs activités et leurs clients contre les incidents liés au vol d’identité.To further help protect partners and customers, targeting Q2 CY2020, we will begin the activation for Partner Center transactions in CSP, helping partners protect their businesses and customers from identity-theft related incidents.

Pour plus d’informations, consultez la page Imposer l’authentification multifacteur (MFA) à votre locataire partenaire.For more information, visit Mandating Multi-factor Authentication (MFA) for your partner tenant page.

J’utilise une solution MFA tierce et je suis bloqué. Que dois-je faire ?I am using a third-party MFA solution and I am being blocked, what should I do?

Pour valider le fait que le compte accédant aux ressources a fait l’objet d’un test d’authentification multifacteur, nous allons vérifier la revendication de référence de méthode d’authentification pour déterminer si l’authentification multifacteur est listée.To validate that the account accessing resources was challenged for multi-factor authentication, we will be checking the authentication method reference claim to see if MFA is listed. Certaines solutions tierces n’émettent pas cette revendication ou n’incluent pas la valeur MFA.Some third-party solutions don't issue this claim or don't include the MFA value. Si la revendication est manquante, ou si la valeur MFA n’est pas listée, il n’existe aucun moyen de déterminer si le compte authentifié a fait l’objet d’un test d’authentification multifacteur.If the claim is missing, or the MFA value is not listed, then there is no way to determine if the authenticated account was challenged for multi-factor authentication. Vous devez collaborer avec le fournisseur de votre solution tierce pour déterminer les actions à entreprendre afin que la solution émette la revendication de référence de méthode d’authentification.You will need to work with the vendor for your third-party solution to determine what actions need to be taken so the solution will issue the authentication method reference claim.

Consultez Test des exigences de sécurité du partenaire si vous avez des doutes sur le fait que votre solution tierce émette la revendication attendue.See Testing the Partner Security Requirements if you're unsure if your third-party solution is issuing the expected claim or not.

L’authentification multifacteur m’empêche de prendre en charge mon client utilisant AOBO. Que dois-je faire ?MFA is blocking me from supporting my customer using AOBO, what should I do?

Les contraintes techniques relatives aux exigences de sécurité du partenaire sont vérifiées afin d’indiquer si le compte authentifié a fait l’objet d’un test d’authentification multifacteur.The technical enforcement for the partner security requirements will be checked if the authenticated account has been challenged for multi-factor authentication. Dans la négative, vous êtes redirigé vers la page de connexion et vous êtes invité à vous authentifier à nouveau.If the account has not been, then you'll be redirected to the sign in page and prompted to authenticate again. Découvrez une expérience et des conseils supplémentaires dans cette documentation Imposer l’authentification multifacteur (MFA) à votre locataire partenaire.Read additional experience and guidance in this Mandating Multi-factor Authentication (MFA) for your partner tenant documentation. Dans le scénario dans lequel votre domaine n’est pas fédéré, une fois l’authentification réussie, vous êtes invité à configurer l’authentification multifacteur.In the scenario where your domain is not federated, after successfully authenticating, you'll be prompted to set up multi-factor authentication. Une fois cette opération terminée, vous serez en mesure de gérer vos clients à l’aide des privilèges AOBO (Administrateur pour le compte de).Once that is completed, you'll be able to manage your customers using AOBO. Dans le scénario dans lequel votre domaine est fédéré, vous devez vous assurer que le compte fait l’objet d’un test d’authentification multifacteur.In the scenario where your domain is federated, then you'll need to ensure the account is being challenged for multi-factor authentication.

Transition vers les paramètres de sécurité par défautSecurity Defaults Transition

Comment puis-je passer des stratégies de ligne de référence aux paramètres de sécurité par défaut ou d’autres solutions MFA ?How can I transition from baseline policies to security defaults or other MFA solutions?

Les stratégies « ligne de base » Azure Active Directory (Azure AD) sont supprimées et remplacées par les « paramètres de sécurité par défaut », un ensemble plus complet de stratégies de protection pour vous et vos clients.Azure Active Directory (Azure AD) "baseline" policies are being removed and replaced with "security defaults", a more comprehensive set of protection policies for you and your customers. Les paramètres de sécurité par défaut peuvent aider à protéger votre organisation contre les attaques de sécurité liées au vol d’identité.Security defaults can help protect your organization from identity-theft related security attacks.

Votre implémentation MFA sera supprimée en raison du retrait des stratégies de ligne de base si vous n’avez pas effectué la transition des stratégies de ligne de base vers la stratégie de paramètres de sécurité par défaut ou d’autres options d’implémentation MFA.Your multi-factor authentication (MFA) implementation will be removed due to the baseline policies retirement if you haven't transitioned from baseline policies to the security defaults policy or other MFA implementation options. Tous les utilisateurs de vos locataires partenaires qui effectuent des opérations d’authentification MFA devront effectuer une vérification MFA.Any users in your partner tenants performing MFA protected operations will be requested to complete MFA verification. Pour obtenir des recommandations plus détaillées, consultez cette page.Review more detailed guidance here. Pour rester conforme et réduire les interruptions, effectuez l’une des actions suivantes :To stay compliant and minimize disruptions, take one of the following actions:

  • Transition vers les paramètres de sécurité par défautTransition to security defaults
    • La stratégie de paramètres de sécurité par défaut est l’une des options que les partenaires peuvent choisir pour implémenter MFA.Security defaults policy is one of the options that partners can choose to implement MFA. Elle offre un niveau de sécurité de base sans coût supplémentaire.It offers a basic level of security enabled at no extra cost.
    • Découvrez comment activer MFA pour votre organisation avec Azure AD et passez en revue les considérations essentielles relatives aux paramètres de sécurité par défaut.Learn how to enable MFA for your organization with Azure AD and review the security defaults key considerations.
    • Activez la stratégie de paramètres de sécurité par défaut si elle répond aux besoins de votre entreprise.Enable security defaults policy if it meets your business needs.
  • Transition vers l’accès conditionnelTransition to Conditional Access
    • Si la stratégie de paramètres de sécurité par défaut ne répond pas à vos besoins, activez l’accès conditionnel.If security defaults policy does not serve your needs, enable Conditional Access. Pour plus d’informations, consultez la documentation sur l’accès conditionnel Azure AD.For more information, review the Azure AD Conditional Access documentation.

Ressources clésKey Resources

Mise en routeHow to get started

Ressources pour l’adoption du modèle d’application sécuriséResources for adopting secure application model

AssistanceSupport

Où puis-je obtenir un support ?Where can I get support?

Pour obtenir des ressources de support répondant aux exigences de sécurité, si vous bénéficiez d’un contrat ASfP (support avancé pour les partenaires), contactez votre responsable de compte de service. Si vous bénéficiez d’un contrat PSfP (support Premier pour les partenaires), contactez votre responsable de compte de service et votre responsable de compte technique.For support resources to meet the security requirements, if you have Advanced Support for Partners (ASfP) contact your Service Account Manager; for Premier Support for Partners agreement (PSfP), contact your Service Account Manager and Technical Account Manager.

Comment puis-je obtenir des informations techniques et un support pour m’aider à adopter le framework de modèle d’application sécurisé ?How do I get technical information and support to help me adopt secure application model framework?

Les options de support technique pour Azure Active Directory sont disponibles via vos avantages MPN.Technical product support options for Azure Active Directory are available through your MPN benefits. Les partenaires ayant accès à un abonnement ASfP ou PSfP actif peuvent travailler conjointement avec leur responsable de compte associé (gestionnaire des actifs logiciels/responsable technique de compte) pour mieux comprendre les options disponibles.Partners with access to an active ASfP or PSfP subscription can work with their associated account manager (SAM/TAM) to best understand the options available to them.

Comment contacter le support si j’ai perdu l’accès à l’Espace partenaires ?How do I contact support if I've lost access to Partner Center?

Si vous perdez l’accès en raison d’un problème d’authentification multifacteur, contactez l’administrateur général de votre locataire.If you lose access due to an MFA issue, contact the global admin for your tenant. Votre service informatique interne sera en mesure de vous indiquer qui est votre administrateur général.Your internal IT department will be able to tell you who your global admin is.

Si vous avez oublié votre mot de passe, lisez Impossible de se connecter pour obtenir de l’aide.If you forgot your password, read Unable to sign in for help.

Où est-ce que je peux trouver plus d’informations sur les problèmes techniques courants ?Where can I find more information about common technical issues?

Vous trouverez des informations sur les problèmes techniques courants dans Exigences de sécurité pour les partenaires qui utilisent l’Espace partenaires ou les API de l’Espace partenairesInformation regarding the common technical issues can be found in Partner security requirements for partners using Partner Center or Partner Center APIs