A többtényezős hitelesítés (MFA) meghatalmazása a partner bérlője számáraMandating multi-factor authentication (MFA) for your partner tenant

A következőkre vonatkozikApplies to

  • A Cloud Solution Provider program összes partnereAll partners in the Cloud Solution Provider program
  • A Vezérlőpult összes szállítójaAll Control Panel Vendors
  • Minden tanácsadóAll Advisors

Érintett szerepkörökAffected roles

  • Felügyeleti ügynökAdmin agent
  • Értékesítési ügynökSales agent
  • Segélyszolgálat ügynökeHelpdesk agent
  • Számlázási adminisztrátorBilling administrator
  • Globális rendszergazdaGlobal administrator

Ez a cikk részletes példákat és útmutatást nyújt a többtényezős hitelesítés (MFA) a partner Centerben való megadásához.This article gives detailed examples and guidance for mandating multi-factor authentication (MFA) in Partner Center. Ennek a funkciónak a célja, hogy segítse a partnereknek az ügyfelek erőforrásaihoz való hozzáférésüket a hitelesítő adatok biztonsága miatt.The intent of this feature is to help partners secure their access to customer resources against credentials compromise. A partnerek kötelesek az MFA kikényszeríteni a partner bérlőben lévő összes felhasználói fiókot, beleértve a vendég felhasználókat.Partners are required to enforce MFA for all user accounts in their partner tenant, including guest users. A felhasználók a következő területekre vonatkozó MFA-ellenőrzés elvégzésére lesznek felhatalmazva:Users will be mandated to complete MFA verification for the following areas:

A legfontosabb prioritások közé tartozik a nagyobb és folyamatos biztonsági és adatvédelmi védelem, és továbbra is segítjük a partnereknek az ügyfelek és a bérlők védelmét.Greater and ongoing security and privacy safeguards are among our top priorities and we continue to help partners protect their customers and tenants. A Cloud Solution Provider (CSP) program, a Vezérlőpult-szállítók (CPVs) és az Advisors szolgáltatásban részt vevő összes partnernek meg kell valósítania a megfelelőnek minősülő partneri biztonsági követelményeket .All partners participating in the Cloud Solution Provider (CSP) program, Control Panel Vendors (CPVs), and Advisors should implement the Partner Security Requirements to stay compliant.

Annak érdekében, hogy a partnerek megvédik a vállalatokat és az ügyfeleket a személyazonosság-lopás és a jogosulatlan hozzáférés ellen, további biztonsági óvintézkedéseket aktiválunk a partner bérlők számára, amelyek az MFA-t bízzák meg és ellenőrzikTo help partners protect their businesses and customers from identity-theft and unauthorized access, we activated additional security safeguards for partner tenants which mandate and verify MFA.

A partneri központ irányítópultjaPartner Center dashboard

A partner Center irányítópultjának bizonyos oldalai MFA-védelemmel lesznek ellátva, beleértve a következőket:Certain pages in the Partner Center dashboard will be MFA-protected, including:

A következő táblázat bemutatja, hogy mely felhasználói típusok jogosultak az MFA-védelemmel ellátott lapok elérésére (és ezért ez a funkció érinti őket).The following table shows which user types are authorized to access these MFA-protected pages (and are therefore affected by this feature).

MFA által védett oldalMFA-protected page Rendszergazdai ügynökökAdmin agents Értékesítési ügynökökSales agents Segélyszolgálat-ügynökökHelpdesk agents Globális rendszergazdaGlobal administrator Számlázási adminisztrátorBilling administrator
Az ügyfelek lap összes lapjaAll pages under Customers tab xx xx xx
Az összes oldal a támogatási > az ügyfelek kérései laponAll pages under Support > Customer requests tab xx xx
Számlázási oldalBilling page xx xx xx

Ha megpróbál hozzáférni ezekhez a lapokhoz, és korábban még nem fejezte be az MFA-ellenőrzést, erre lesz szüksége.If you try to access any of these pages and you haven't completed MFA verification earlier, you will be required to do so. A partner Center egyéb oldalain, például az Áttekintés oldalon Service Health állapot-ellenőrzési oldalon nem szükséges az MFA.Other pages on Partner Center such as the Overview page, Service Health Status check page do not require MFA.

Ellenőrzési példákVerification examples

A következő példákkal szemlélteti, hogyan működik az ellenőrzés a partner Center irányítópultján.To illustrate how verification works in the Partner Center dashboard, consider the following examples.

1. példa: a partner implementálta az Azure AD MFA-tExample 1: Partner has implemented Azure AD MFA

  1. Jane a CSP contoso esetében működik.Jane works for CSP Contoso. A contoso az Azure Active Directory (Azure AD) MFA használatával implementálta az MFA-t a contoso partner bérlője alá tartozó összes felhasználó számára.Contoso has implemented MFA for all their users under Contoso partner tenant using Azure Active Directory (Azure AD) MFA.

  2. Jane új böngésző-munkamenetet indít el, és navigál a partner Center irányítópult áttekintés lapjára (amely nem MFA-védelemmel ellátott).Jane starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A partner Center átirányítja Jane-t az Azure AD-be a bejelentkezéshez.Partner Center redirects Jane to Azure AD to sign in.

  3. A contoso meglévő Azure AD MFA-beállítása miatt Jane szükséges az MFA-ellenőrzés elvégzéséhez.Due to the existing Azure AD MFA setup by Contoso, Jane is required to complete MFA verification. A sikeres bejelentkezés és az MFA-ellenőrzés után Jane átirányítja a partneri központ irányítópultjának áttekintés lapjára.Upon successful sign in and MFA verification, Jane is redirected back to Partner Center dashboard overview page.

  4. Jane megpróbál hozzáférni a partner Center egyik MFA-védelemmel ellátott lapjához.Jane tries to access one of the MFA-protected pages in Partner Center. Mivel Jane már végrehajtotta az MFA-ellenőrzést a korábbi bejelentkezések során, Jane elérheti az MFA által védett oldalt anélkül, hogy újra kellene mennie az MFA-ellenőrzésen.Since Jane has already completed MFA verification during sign-in earlier, Jane can access the MFA-protected page without being required to go through MFA verification again.

2. példa: a partner harmadik féltől származó MFA-t alkalmazott az identitás-összevonás használatávalExample 2: Partner has implemented third-party MFA using identity federation

  1. A Trent a CSP Wingtip működik.Trent works for CSP Wingtip. A Wingtip a harmadik féltől származó MFA-t használó Wingtip-partneri bérlőn belül minden felhasználó számára implementálta a többtényezős hitelesítést, amely az Azure AD-vel integrált identitás-összevonással.Wingtip has implemented MFA for all their users under Wingtip partner tenant using third-party MFA, which is integrated with Azure AD via identity federation.

  2. A Trent új böngésző-munkamenetet indít el, és megnyitja a partneri központ irányítópultjának áttekintés lapját (amely nem MFA-védelemmel ellátott).Trent starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A partner Center átirányítja a Trentot az Azure AD-be a bejelentkezéshez.Partner Center redirects Trent to Azure AD to sign in.

  3. Mivel a Wingtip rendelkezik a telepítő identitás-összevonásával, az Azure AD átirányítja a Trentot az összevont identitás-szolgáltatóhoz a bejelentkezés és az MFA-ellenőrzés befejezéséhez.Since Wingtip has setup identity federation, Azure AD redirects Trent to the federated identity provider to complete sign-in and MFA verification. A sikeres bejelentkezés és az MFA-ellenőrzés után a Trent át lesz irányítva az Azure AD-be, majd a partner központ irányítópultjának áttekintés lapjára.Upon successful sign in and MFA verification, Trent is redirected back to Azure AD and then to Partner Center dashboard overview page.

  4. A Trent megpróbál hozzáférni a partner Center egyik MFA-védelemmel ellátott lapjához.Trent tries to access one of the MFA-protected pages in Partner Center. Mivel a Trent már végrehajtotta az MFA-ellenőrzést a korábbi bejelentkezések során, a Trent el tudja érni az MFA által védett oldalt anélkül, hogy újra kellene mennie az MFA-ellenőrzésen.Since Trent has already completed MFA verification during sign-in earlier, Trent can access the MFA protected page without being required to go through MFA verification again.

3. példa: a partner nem implementálta az MFA-tExample 3: Partner hasn't implemented MFA

  1. John együttműködik a CSP Fabrikam-vel.John works for CSP Fabrikam. A fabrikam nem implementálta az MFA-t a fabrikam partner bérlője alatt álló bármely felhasználó számára.Fabrikam hasn't implemented MFA for any user under Fabrikam partner tenant.

  2. John új böngésző-munkamenetet indít el, és a partner Center irányítópult áttekintés lapjára navigál (amely nem MFA-védelemmel ellátott).John starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A partner Center átirányítja John-t az Azure AD-be a bejelentkezéshez.Partner Center redirects John to Azure AD to sign in.

  3. Mivel a fabrikam nem implementálta az MFA-t, John nem szükséges az MFA-ellenőrzés elvégzéséhez.Since Fabrikam hasn't implemented MFA, John isn't required to complete MFA verification. A sikeres bejelentkezés után John átirányítja a partneri központ irányítópultjának áttekintés lapjára.Upon successful sign in, John is redirected back to Partner Center dashboard overview page.

  4. John megpróbál hozzáférni a partner Center egyik MFA-védelemmel ellátott lapjához.John tries to access one of the MFA-protected pages in Partner Center. Mivel John nem fejezte be az MFA-ellenőrzést, a partner Center átirányítja John-t az Azure AD-ba az MFA-ellenőrzés elvégzéséhez.Since John hasn't completed MFA verification, Partner Center redirects John to Azure AD to complete MFA verification. Mivel az MFA betöltéséhez először János szükséges, John is regisztrálni kell az MFA-hoz.Since this is the first time John is required to complete MFA, John is also requested to register for MFA. A sikeres MFA-regisztráció és az MFA-ellenőrzés után John mostantól hozzáférhet az MFA által védett oldalhoz.Upon successful MFA registration and MFA verification, John can now access the MFA-protected page.

  5. Egy másik nappal azelőtt, hogy minden felhasználónál a fabrikam implementálja az MFA-t, John elindítja az új böngésző-munkamenetet, és a partner Center irányítópult áttekintés lapjára navigál (amely nem MFA-védelemmel ellátott).Another day before Fabrikam implementing MFA for any user, John starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A partner Center átirányítja John-t az Azure AD-be, hogy MFA-kérés nélkül jelentkezzen be.Partner Center redirects John to Azure AD to sign in without MFA prompt.

  6. John megpróbál hozzáférni a partner Center egyik MFA-védelemmel ellátott lapjához.John tries to access one of the MFA-protected pages in Partner Center. Mivel John nem fejezte be az MFA-ellenőrzést, a partner Center átirányítja John-t az Azure AD-ba az MFA-ellenőrzés elvégzéséhez.Since John hasn't completed MFA verification, Partner Center redirects John to Azure AD to complete MFA verification. Mivel John regisztrálta az MFA-t, ezért csak az MFA-ellenőrzés befejezését kéri.Since John has registered MFA, so this time he is only asked to complete the MFA verification.

Megjegyzés

Művelet: a vállalati rendszergazdák három lehetősége van az MFA megvalósítására.Action: Company administrators have three options for implementing MFA.

Partnerközpont APIPartner Center API

A partner Center API a csak az alkalmazáson belüli hitelesítést és az alkalmazás-és felhasználói hitelesítést is támogatja.The Partner Center API supports both App-only authentication and App+User authentication.

Az alkalmazás és a felhasználó hitelesítésének használatakor a partneri központban az MFA-hitelesítésre lesz szükség.When App+User authentication is used, Partner Center will require MFA verification. Pontosabban, amikor egy partner alkalmazás API-kérést szeretne küldeni a partneri központnak, a kérelem engedélyezési fejlécében szerepelnie kell egy hozzáférési jogkivonatnak.More specifically, when a partner application wants to send an API request to Partner Center, it must include an access token in the Authorization header of the request.

Megjegyzés

A Secure Application Model Framework egy méretezhető keretrendszer a CSP-partnerek hitelesítéséhez és a CPVs a Microsoft Azure MFA-architektúrán keresztül a partner Center API-k meghívásakor.The Secure Application Model framework is a scalable framework for authenticating CSP partners and CPVs through the Microsoft Azure MFA architecture when calling Partner Center APIs. Ezt a keretrendszert kell megvalósítani, mielőtt engedélyezi az MFA használatát a bérlőn.You need to implement this framework before enabling MFA on your tenant.

Ha a partneri központ az App + felhasználói hitelesítés használatával kapott hozzáférési jogkivonattal kap API-kérelmet, a partner Center API az MFA -érték jelenlétét fogja ellenőriznie a hitelesítési módszer hivatkozása (AMR) jogcímben.When Partner Center receives an API request with an access token obtained using App+User authentication, the Partner Center API will check for the presence of the MFA value in the Authentication Method Reference (AMR) claim. JWT-dekóder használatával ellenőrizheti, hogy egy hozzáférési jogkivonat tartalmazza-e a várt hitelesítési módszer hivatkozási (AMR) értékét, vagy sem:You can use a JWT decoder to validate whether an access token contains the expected authentication method reference (AMR) value or not:

{
  "aud": "https://api.partnercenter.microsoft.com",
  "iss": "https://sts.windows.net/df845f1a-7b35-40a2-ba78-6481de91f8ae/",
  "iat": 1549088552,
  "nbf": 1549088552,
  "exp": 1549092452,
  "acr": "1",
  "amr": [
    "pwd",
    "mfa"
  ],
  "appid": "23ec45a3-5127-4185-9eff-c8887839e6ab",
  "appidacr": "0",
  "family_name": "Adminagent",
  "given_name": "CSP",
  "ipaddr": "127.0.0.1",
  "name": "Adminagent CSP",
  "oid": "4988e250-5aee-482a-9136-6d269cb755c0",
  "scp": "user_impersonation",
  "tenant_region_scope": "NA",
  "tid": "df845f1a-7b35-40a2-ba78-6481de91f8ae",
  "unique_name": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "upn": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "ver": "1.0"
}

Ha az érték megtalálható, a partner Center megállapítja, hogy az MFA-ellenőrzés befejeződött, és feldolgozza az API-kérést.If the value is present, Partner Center concludes that MFA verification was completed and processes the API request. Ha az érték nincs jelen, a partner Center API a következő választal utasítja el a kérelmet:If the value isn't present, Partner Center API will reject the request with the following response:

HTTP/1.1 401 Unauthorized - MFA required
Transfer-Encoding: chunked
Request-Context: appId=cid-v1:03ce8ca8-8373-4021-8f25-d5dd45c7b12f
WWW-Authenticate: Bearer error="invalid_token"
Date: Thu, 14 Feb 2019 21:54:58 GMT

App-Only hitelesítés használatakor a App-Only hitelesítést támogató API-k folyamatosan működnek, és nem igényelnek MFA-t.When App-Only authentication is used, the APIs which support App-Only authentication will be continuously working without requiring MFA.

Partner által delegált felügyeletPartner Delegated Administration

A partneri fiókok, beleértve a felügyeleti ügynököket és a segélyszolgálat-ügynököket, a partner meghatalmazott rendszergazdai jogosultságokkal kezelhetik az ügyfelek erőforrásait a Microsoft Online Services portálon, a parancssori felületen (CLI) és az API-kon keresztül (az App + felhasználói hitelesítés használatával).Partner accounts, including Admin Agents and Helpdesk Agents, can use their Partner Delegated Admin Privileges to manage customer resources through Microsoft Online Services Portals, command-line interface (CLI), and APIs (using App+User authentication).

Szolgáltatás-portálok használataUsing service portals

Ha a Microsoft Online Services-portálokat a partner által delegált rendszergazdai jogosultságokkal (rendszergazdai nevén) használja az ügyfelek erőforrásainak kezeléséhez, akkor a portálok nagy része megköveteli, hogy a partner fiókja interaktívan hitelesítse az ügyfelet az Azure AD-Bérlővel a hitelesítési környezetnek megfelelően.When accessing Microsoft Online Services Portals using the Partner Delegated Admin Privileges(Admin-On-Behalf-Of) to manage customer resources, many of these portals require the partner account to authenticate interactively, with the customer Azure AD tenant set as the authentication context - the partner account is required to sign into the customer tenant.

Ha az Azure AD ilyen hitelesítési kéréseket kap, az MFA-ellenőrzés elvégzéséhez szüksége lesz a partner fiókra.When Azure AD receives such authentication requests, it will require the partner account to complete MFA verification. Két lehetséges felhasználói élmény van, attól függően, hogy a partner fiók felügyelt vagy összevont identitás-e:There are two possible user experiences, depending on whether the partner account is a managed or federated identity:

  • Ha a partner fiók felügyelt identitás, az Azure ad közvetlenül felszólítja a felhasználót az MFA-ellenőrzés elvégzésére.If the partner account is a managed identity, Azure AD will directly prompt the user to complete MFA verification. Ha a partner fiók még nincs regisztrálva az Azure AD-ben az Azure AD-ben, a rendszer kérni fogja a felhasználótól az MFA-regisztráció befejezését .If the partner account has not registered for MFA with Azure AD before, the user will be asked to complete MFA registration first.

  • Ha a partner fiók összevont identitás, a felhasználói élmény attól függ, hogy a partner rendszergazdája hogyan konfigurálta az összevonási szolgáltatást az Azure ad-ben.If the partner account is a federated identity, the experience is dependent on how the partner administrator has configured federation in Azure AD. Az Azure AD-beli összevonás beállításakor a partner rendszergazdája jelezheti az Azure AD-nek, hogy az összevont identitás szolgáltatója támogatja-e az MFA-t.When setting up federation in Azure AD, the partner administrator can indicate to Azure AD whether the federated identity provider supports MFA or not. Ha igen, az Azure AD átirányítja a felhasználót az összevont identitás-szolgáltatóra az MFA-ellenőrzés elvégzéséhez.If so, Azure AD will redirect the user to the federated identity provider to complete MFA verification. Ellenkező esetben az Azure AD közvetlenül felszólítja a felhasználót az MFA-ellenőrzés elvégzésére.Otherwise, Azure AD will directly prompt the user to complete MFA verification. Ha a partner fiók még nincs regisztrálva az Azure AD-ben az Azure AD-ben, a rendszer kérni fogja a felhasználótól az MFA-regisztráció befejezését .If the partner account has not registered for MFA with Azure AD before, the user will be asked to complete MFA registration first.

Az általános élmény hasonló ahhoz a forgatókönyvhöz, amelyben egy végfelhasználói bérlő implementálta az MFA-t a rendszergazdái számára.The overall experience is similar to the scenario where an end customer tenant has implemented MFA for its administrators. Például az ügyfél bérlője engedélyezte az Azure ad biztonsági alapértékeit, így minden rendszergazdai jogosultsággal rendelkező fióknak be kell jelentkeznie az ügyfél-bérlőbe az MFA-ellenőrzéssel, beleértve a felügyeleti ügynököket és a segélyszolgálat-ügynököket.For example, the customer tenant has enabled Azure AD security defaults, which requires all accounts with administrative rights to sign into the customer tenant with MFA verification, including Admin Agents and Helpdesk Agents. Tesztelési célból a partnerek engedélyezhetik az Azure ad biztonsági alapértelmezéseit az ügyfél bérlőben, majd megpróbálják használni a partner által delegált rendszergazdai jogosultságokat az ügyfél bérlőhöz való hozzáféréshez.For testing purposes, partners can enable the Azure AD security defaults in the customer tenant and then try using Partner Delegated Administration Privileges to access the customer tenant.

Megjegyzés

Nem minden Microsoft Online Services-portálon kell partneri fiókokat bejelentkeznie az ügyfél bérlője számára, amikor a partner meghatalmazott rendszergazdai jogosultságokkal férnek hozzá az ügyfelek erőforrásaihoz.Not all Microsoft Online Service Portals require partner accounts to sign into the customer tenant when accessing customer resources using Partner Delegated Admin Privileges. Ehelyett csak a partner bérlője számára kell bejelentkezniük.Instead, they only require the partner accounts to sign into the partner tenant. Ilyen például az Exchange felügyeleti központ.An example is the Exchange Admin Center. Az idő múlásával elvárjuk, hogy a portálon partneri fiókokat kelljen bejelentkezniük az ügyfél bérlője számára a meghatalmazott rendszergazdai jogosultságok használatakor.Over time, we expect these portals to require partner accounts to sign into the customer tenant when using Partner Delegated Admin Privileges.

A Service API-k használataUsing service APIs

Bizonyos Microsoft Online Services API-k (például Azure Resource Manager, Azure AD Graph, Microsoft Graph stb.) támogatják a partner meghatalmazott rendszergazdai jogosultságokat használó partnereket az ügyfelek erőforrásainak programozott kezeléséhez.Some Microsoft Online Services APIs (such as Azure Resource Manager, Azure AD Graph, Microsoft Graph, etc.) support partners using Partner Delegated Admin Privileges to programmatically manage customer resources. Ezen API-kkal delegált rendszergazdai jogosultságok kihasználása érdekében a partner alkalmazásnak tartalmaznia kell egy hozzáférési jogkivonatot az API-kérelem engedélyezési fejlécében, ahol a hozzáférési jogkivonatot a partner felhasználói fiókkal kell megszereznie az Azure AD-vel való hitelesítéshez, és az ügyfél Azure AD-készletét hitelesítési környezetként kell beállítani.To leverage Partner Delegated Admin Privileges with these APIs, the partner application must include an access token in the API request Authorization header, where the access token is obtained by having a partner user account to authenticate with Azure AD, with the customer Azure AD set as the authentication context. A partneri alkalmazásnak egy partner-felhasználói fiókkal kell bejelentkeznie az ügyfél bérlője számára.The partner application is required to have a partner user account sign in to the customer tenant.

Ha az Azure AD például hitelesítési kérést kap, az Azure AD-nek szüksége lesz a partner felhasználói fiókra az MFA-ellenőrzés elvégzéséhez.When Azure AD receives such as authentication request, Azure AD will require the partner user account to complete MFA verification. Ha a partner felhasználói fiók korábban nem regisztrált az MFA-ra, a rendszer először a felhasználói fiókot fogja kérni az MFA-regisztráció befejezéséhez.If the partner user account hasn't registered for MFA before, the user account will be prompted to complete MFA registration first.

A funkció hatással van minden olyan partneri alkalmazásra, amely ezen API-k használatával van integrálva a partner által delegált rendszergazdai jogosultságokkal.All partner applications that are integrated with these APIs using Partner Delegated Admin Privileges are affected by this feature. Annak biztosítása érdekében, hogy a partner alkalmazások továbbra is működjenek az API-k megszakítása nélkül:To ensure partner applications can continue to work with these APIs without interruption:

  • A partnernek kerülnie kell a nem interaktív felhasználói hitelesítési módszer használatát az Azure AD-vel a hozzáférési jogkivonat beszerzéséhez.Partner must avoid using non-interactive user authentication method with Azure AD to obtain the access token. Ha nem interaktív felhasználói hitelesítési módszert használ, például a jelszó áramlását, az Azure ad nem fogja tudni bekérni a felhasználót az MFA-ellenőrzés elvégzésére.When using non-interactive user authentication method such as Password Flow, Azure AD will not be able to prompt the user to complete MFA verification. A partnernek az interaktív felhasználói hitelesítési módszer (például az OpenID Connect flow ) használatára kell váltania.Partner must switch to using interactive user authentication method such as OpenID Connect flow instead.

  • Az interaktív felhasználói hitelesítési módszer során a partnernek olyan partner felhasználói fiókot kell használnia, amely már engedélyezve van az MFA-hoz.During interactive user authentication method, partner should use a partner user account that is already enabled for MFA. Azt is megteheti, hogy ha az Azure AD-t kéri, a partner az MFA-regisztráció és az MFA-ellenőrzés befejeződik a bejelentkezés során.Alternatively, when prompted by Azure AD, partner can complete MFA registration and MFA verification during sign-in.

  • Ez hasonló ahhoz a forgatókönyvhöz, amelyben egy végfelhasználói bérlő implementálta az MFA-t a rendszergazdái számára.This is similar to the scenario where an end customer tenant has implemented MFA for its administrators. Például az ügyfél bérlője engedélyezte az Azure ad biztonsági alapértékeit, így az összes rendszergazdai jogosultsággal rendelkező felhasználói fióknak az MFA-hitelesítéssel kell bejelentkeznie az ügyfél-bérlőbe, beleértve a felügyeleti ügynököket és az ügyfélszolgálati ügynököt.For example, the customer tenant has enabled Azure AD security defaults, which requires all user accounts with administrative rights to sign into the customer tenant with MFA verification, including Admin Agents and Helpdesk Agents. Tesztelési célból a partnerek engedélyezhetik az Azure ad biztonsági alapértelmezéseit az ügyfél-bérlőben, majd megpróbálják használni a partner által delegált rendszergazdai jogosultságokat az ügyfél-bérlő programozott eléréséhez.For testing purposes, partners can enable the Azure AD security defaults in the customer tenant and then try using Partner Delegated Administration Privileges to programmatically access the customer tenant.

MFA-regisztrációs élményMFA registration experience

Az MFA ellenőrzése során, ha a partner fiók még korábban nem regisztrált az MFA-ban, az Azure AD kéri a felhasználót, hogy először az MFA-regisztrációt végezze el:During MFA verification, if the partner account hasn't registered for MFA before, Azure AD will prompt the user to complete MFA registration first:

MFA-regisztráció 1. lépés

A tovább gombra kattintás után a rendszer megkéri a felhasználót, hogy válasszon az ellenőrzési módszerek listájáról.After clicking Next , the user will be asked to choose from a list of verification methods.

MFA-regisztráció 2. lépés

A sikeres regisztráció után a felhasználónak a felhasználó által választott ellenőrzés alapján be kell fejeznie az MFA-ellenőrzést.Upon successful registration, the user is then required to complete MFA verification based on the verification chosen by the user.

Gyakori problémák listájaList of common issues

Mielőtt technikai kivételt kellene alkalmaznia az MFA-követelménytől, tekintse át a többi partner által jelentett gyakori problémák listáját, és Ismerje meg, hogy érvényes-e a kérelme.Before applying for technical exception from the MFA requirement, review the list of common issues reported by other partners to understand whether your request is valid.

1. probléma: a partnernek több időre van szüksége az MFA megvalósításához a partnerek ügynökei számáraIssue 1: Partner needs more time to implement MFA for their partner agents

Egy partner nem indult el, vagy még mindig folyamatban van az MFA bevezetésének folyamata a partnerek ügynökei számára, akiknek szükségük van a Microsoft Online Services portálokhoz való hozzáférésre a partner által delegált rendszergazdai jogosultságokkal az ügyfelek erőforrásainak kezeléseA partner hasn't started or is still in the process of implementing MFA for their partner agents who require access to Microsoft Online Services Portals using Partner Delegated Administration Privileges to manage customer resources. A partnernek több időre van szüksége az MFA megvalósításának elvégzéséhez.The partner needs more time to complete MFA implementation. A probléma a technikai kivétel érvényes oka?Is this issue a valid reason for technical exception?

Válasz : nem.Answer : No. A partnernek tervbe kell vennie az MFA megvalósítását a felhasználók számára a fennakadás elkerülése érdekében.Partner needs to make plans to implement MFA for their users to avoid disruption.

Megjegyzés

Annak ellenére, hogy a partner nem implementálta az MFA-t a partnerek ügynökei számára, a partner ügynökök továbbra is hozzáférhetnek a Microsoft Online Services-portálokhoz a partner által delegált rendszergazdai jogosultságok használatával, ha az ügyfél bérlője számára történő bejelentkezéskor a rendszer felszólítja az MFA regisztrálásáraEven though the partner hasn't implemented MFA for their partner agents, the partner agents can still access Microsoft Online Services Portals using Partner Delegated Administration Privileges provided they can complete MFA registration and MFA verification when prompted during sign-in to customer tenant. Az MFA-regisztráció befejezése nem engedélyezi automatikusan a felhasználót az MFA-hoz.Completing MFA registration does not automatically enable the user for MFA.

2. probléma: a partner nem implementálta az MFA-t a delegált rendszergazdai jogosultságokat nem használó felhasználói fiókok esetébenIssue 2: Partner has not implemented MFA for user accounts not using Delegated Admin Privileges

A partnerek olyan felhasználókkal rendelkeznek, akik nem igénylik a Microsoft Online Services portálok hozzáférését a partneri erőforrások kezeléséhez a partner által delegált rendszergazdai jogosultságok használatával.A partner has some users in their partner tenants who do not require access to Microsoft Online Services Portals to manage customer resources using Partner Delegated Administration Privileges. A partner az MFA bevezetésének folyamata a felhasználók számára, és több időre van szüksége a befejezéshez.The partner is in the process of implementing MFA for these users and needs more time to complete. A probléma a technikai kivétel érvényes oka?Is this issue a valid reason for technical exception?

Válasz : nem.Answer : No. Mivel ezek a felhasználói fiókok nem használnak partneri delegált rendszergazdai jogosultságokat az ügyfelek erőforrásainak kezeléséhez, nem kell bejelentkezniük az ügyfél bérlője számára.Since these user accounts are not using Partner Delegated Administration Privileges to manage customer resources, they will not be required to sign in to customer tenant. Az Azure AD nem fogja érinteni az MFA-ellenőrzést igénylő bejelentkezést az ügyfél bérlője számára.They will not be affected by Azure AD requiring MFA verification during sign-in to customer tenant.

3. probléma: a partner nem implementálta az MFA-t a felhasználói szolgáltatásfiókok számáraIssue 3: Partner has not implemented MFA for user service accounts

Egy partnernek van néhány felhasználói fiókja a partner bérlőben, amelyet az eszközök a szolgáltatásfiókokként használnak.A partner has some user accounts in their partner tenants, which are being used by devices as service accounts. Ezek alacsony jogosultsági szintű fiókok, amelyek nem igénylik a hozzáférési partneri központ és a Microsoft Online Services portálok számára az ügyfelek erőforrásainak a meghatalmazott rendszergazdai jogosultságokkal történő kezelését.These are low privileged accounts which do not require access Partner Center nor Microsoft Online Services Portals to manage customer resources using Partner Delegated Administration Privileges. A probléma a technikai kivétel érvényes oka?Is this issue a valid reason for technical exception?

Válasz : nem.Answer : No. Mivel ezek a felhasználói fiókok nem használnak partneri delegált rendszergazdai jogosultságokat az ügyfelek erőforrásainak kezeléséhez, nem kell bejelentkezniük az ügyfél bérlője számára.Since these user accounts are not using Partner Delegated Administration Privileges to manage customer resources, they will not be required to sign in to customer tenant. Az Azure AD nem fogja érinteni az MFA-ellenőrzést igénylő bejelentkezést az ügyfél bérlője számára.They will not be affected by Azure AD requiring MFA verification during sign-in to customer tenant.

4. probléma: a partner nem tudja megvalósítani az MFA-t az MS hitelesítő alkalmazás használatávalIssue 4: Partner cannot implement MFA using MS Authenticator App

Egy partner "tiszta asztali" szabályzattal rendelkezik, amely nem teszi lehetővé, hogy az alkalmazottak a saját mobil eszközeiket a munkaterületre hozzanak.A partner has "clean desk" policy, which does not permit employees bringing their personal mobile devices to their work area. A személyes mobileszközök elérésének hiányában az alkalmazottak nem telepíthetik az MS hitelesítő alkalmazást, amely az Azure AD biztonsági Alapértelmezések által támogatott egyetlen MFA-ellenőrzés.Without access to their personal mobile devices, the employees cannot install the MS Authenticator App, which is the only MFA verification supported by Azure AD security defaults. A probléma a technikai kivétel érvényes oka?Is this issue a valid reason for technical exception?

Válasz : nem, ez a technikai kivétel nem érvényes oka.Answer : No, this isn't a valid reason for technical exception. A partnernek a következő alternatívákat kell figyelembe vennie, hogy alkalmazottaik továbbra is elvégezzenek MFA-ellenőrzést a partneri központ elérésekor:The partner should consider following alternatives, so that their employees can still complete MFA verification when accessing Partner Center:

  • A partner regisztrálhat prémium szintű Azure AD vagy harmadik féltől származó, az Azure AD-vel kompatibilis MFA-megoldásokra is, amelyek további ellenőrzési módszereket is biztosíthatnak.Partner can also sign up for Azure AD Premium or third-party MFA solutions (compatible with Azure AD) which can provide additional verification methods.
5. probléma: a partner nem tudja megvalósítani az MFA-t az örökölt hitelesítési protokollok használata miattIssue 5: Partner cannot implement MFA due to the use of legacy authentication protocols

A partner rendelkezik olyan partneri ügynökökkel, akik továbbra is örökölt hitelesítési protokollokat használnak, amelyek nem kompatibilisek az MFA-val.A partner has some partner agents who are still using legacy authentication protocols, which aren't MFA compatible. Például a felhasználók továbbra is az Outlook 2010-et használják, amely örökölt hitelesítési protokollokon alapul.For example, the users are still using Outlook 2010, which is based on legacy authentication protocols. Ha engedélyezi az MFA-t ezen partnerek ügynökei számára, az örökölt hitelesítési protokollok használatát megszakítja.Enabling MFA for these partner agents will disrupt the use of legacy authentication protocols.

Válasz : nem, ez a technikai kivétel nem érvényes oka.Answer : No, this isn't a valid reason for technical exception. A partnereknek határozottan javasoljuk, hogy az örökölt hitelesítési protokollok használatát a lehetséges biztonsági következmények miatt eltérjenek, mivel ezeket a protokollokat nem lehet az MFA-ellenőrzéssel védeni, és sokkal érzékenyebbek a hitelesítő adatok biztonságára.Partners are strongly encouraged to move away from the use of legacy authentication protocols because of potential security implications since these protocols cannot be protected with MFA verification and are much more susceptible to credential compromise. Ha az örökölt hitelesítési protokollok használatából való elmozdulás nem lehetséges, a partnereknek érdemes megfontolniuk a prémium szintű Azure AD regisztrálását, amely támogatja az alkalmazások jelszavainak használatát.If moving away from the use of legacy authentication protocols is not an option, partners should consider signing up for Azure AD Premium, which supports the use of Application Passwords. Az alkalmazás jelszavai egyszeri, rendszer által generált jelszavak, és általában erősebbek, mint az emberi által generált jelszavak.Application Passwords are one-time system-generated passwords, and are usually stronger than human-generated passwords. Az alkalmazás jelszavainak használatával a partnerek az MFA-t implementálják a felhasználók számára, miközben az alkalmazás jelszavait csak az örökölt hitelesítési protokollok esetében érik el.By using Application Passwords, partners can implement MFA for their users, while falling back to Application Passwords for legacy authentication protocols only.

Olvassa el az alapszintű hitelesítésről és az Exchange Online -ról szóló bejegyzést, amelyből megismerheti az Outlookhoz való örökölt hitelesítés támogatásának legújabb tervét, és kövesse az Exchange csapat blogját a közelgő Hírek beszerzéséhez.Read the post about the Basic Auth and Exchange Online to understand latest plan on supporting legacy authentication for Outlook, and follow the Exchange team blog to get the upcoming news.

Megjegyzés

Annak ellenére, hogy a partner nem implementálta az MFA-t a partnerek ügynökei számára, a partner ügynökök továbbra is hozzáférhetnek a Microsoft Online Services-portálokhoz a partner által delegált rendszergazdai jogosultságok használatával, ha az ügyfél bérlője számára történő bejelentkezéskor a rendszer felszólítja az MFA regisztrálásáraEven though the partner hasn't implemented MFA for their partner agents, the partner agents can still access Microsoft Online Services Portals using Partner Delegated Administration Privileges provided they can complete MFA registration and MFA verification when prompted during sign-in to customer tenant. Az MFA-regisztráció befejezése nem engedélyezi automatikusan a felhasználót az MFA-hoz.Completing MFA registration does not automatically enable the user for MFA.

6. probléma: a partner olyan harmadik féltől származó MFA-t implementált, amelyet az Azure AD nem ismer felIssue 6: Partner has implemented third-party MFA that isn't recognized by Azure AD

Egy harmadik féltől származó MFA-megoldást használó partner az MFA-t implementálta a felhasználók számára.A partner has implemented MFA for their users using a third-party MFA solution. A partner azonban nem tudja megfelelően konfigurálni a harmadik féltől származó MFA-megoldást az Azure AD-be való továbbításra, hogy a felhasználó hitelesítése során az MFA ellenőrzése befejeződött.However, the partner is unable to correctly configure the third-party MFA solution to relay to Azure AD that MFA verification has been completed during user authentication. Ez a technikai kivétel érvényes oka?Is this a valid reason for technical exception?

Válasz : igen, ezt a problémát a technikai kivétel érvényes okaként lehet figyelembe venni.Answer : Yes, this issue may be considered as a valid reason for technical exception. A technikai kivételre vonatkozó kérelem elküldése előtt erősítse meg a harmadik féltől származó MFA-megoldás szolgáltatóját, hogy az MFA-megoldás nem konfigurálható úgy, hogy az authenticationmethodsreferences -jogcímet ( multipleauthn értékkel) az Azure ad-be, hogy az MFA-ellenőrzés a felhasználó hitelesítése során is befejeződik.Before submitting a request for technical exception, confirm with the third-party MFA solution provider that the MFA solution cannot be configured to flow the authenticationmethodsreferences claim (with value multipleauthn ) to Azure AD to indicate that MFA verification has been completed during user authentication. A technikai kivételre vonatkozó kérelem elküldésekor meg kell adnia a használatban lévő harmadik féltől származó MFA-megoldás részleteit, és jeleznie kell az integrációs módszert (például az identitás-összevonás vagy az egyéni Azure AD-vezérlő használata), és a következő információkat kell megadnia a technikai kivételi kérelemben a támogató dokumentumként:While submitting a request for technical exception, you must provide details of the third-party MFA solution used, and indicate method of integration (such as through identity federation or use of Azure AD Custom Control), and provide the following information in the technical exception request as the supporting documents:

  • A harmadik féltől származó MFA-konfigurációk.The third-party MFA configurations.

  • A harmadik féltől származó MFA-kompatibilis fiók által futtatott partneri biztonsági követelmények tesztelésének eredménye.The result of Test the Partner Security Requirements running by the third-party MFA enabled account.

  • Az Ön által használt, harmadik féltől származó MFA-megoldás megvásárlási sorrendje.The purchase order of the third-party MFA solution you are using or you plan to use.

Technikai kivételre vonatkozó kérelem beküldéseHow to submit a request for technical exception

A partnerek technikai kivételt alkalmazhatnak az MFA-ellenőrzés letiltásához, ha technikai problémák léptek fel a Microsoft Online Services szolgáltatással, és nincs megvalósítható megoldás vagy megoldás.Partners can apply for technical exception to suppress MFA verification if they are encountering technical issues with Microsoft Online Services and there are no feasible solution or workaround. Mielőtt ezt megtenné, tekintse át az előző szakaszban ismertetett gyakori problémák listáját .Before doing so, review the list of common issues in the previous section.

Technikai kivételre vonatkozó kérelem küldése:To submit a request for technical exception:

  1. Jelentkezzen be a partner Center szolgáltatásba globális rendszergazdai vagy rendszergazdai ügynökként.Log in to Partner Center as Global Admin or Admin Agent.

  2. Hozzon létre egy új partneri szolgáltatási kérelmet a Support > partneri támogatási kérelmek támogatásához, majd az új kérelem lehetőségre kattintva.Create a new partner service request by navigating to Support > Partner support requests and clicking New request .

  3. MFA-kérelem keresése a keresőmezőbe; vagy válassza a CSP kategóriából lehetőséget, majd válassza a fiókok, előkészítés, hozzáférés a témához lehetőséget, majd válassza az MFA – kérelem az altémakörből, majd a következő lépés lehetőséget.Search for MFA - Request for exception in the search box; or select CSP from Category, then select Accounts, Onboarding, Access from Topic, then select MFA - Request for exception from the sub topic, then select next step .

  4. Adja meg a technikai kivételt kérő szolgáltatás beküldéséhez kért adatokat, majd kattintson a Submit (Küldés ) gombra.Provide details requested to submit a service request for technical exception and click Submit .

A Microsoft akár három munkanapot is igénybe vehet, hogy választ adjon a technikai kivételre vonatkozó kérelemre.Microsoft may take up to three working days to provide a response to a request for technical exception.

Következő lépésekNext steps