パートナー テナントに多要素認証 (MFA) を義務付けるMandating multi-factor authentication (MFA) for your partner tenant

適用対象Applies to

  • クラウド ソリューション プロバイダー プログラムのすべてのパートナーAll partners in the Cloud Solution Provider program
  • すべてのコントロール パネル ベンダーAll Control Panel Vendors
  • すべてのアドバイザーAll Advisors

対象ロールAffected roles

  • 管理エージェントAdmin agent
  • 販売代理店Sales agent
  • ヘルプデスク エージェントHelpdesk agent
  • 課金管理者Billing administrator
  • 全体管理者Global administrator

この記事では、パートナー センターで多要素認証 (MFA) を義務付けるための詳細な例とガイダンスを示します。This article gives detailed examples and guidance for mandating multi-factor authentication (MFA) in Partner Center. この機能の目的は、パートナーが顧客リソースへのアクセスをセキュリティ保護して資格情報の侵害を防止できるように支援することです。The intent of this feature is to help partners secure their access to customer resources against credentials compromise. パートナーは、パートナー テナント内のすべてのユーザー アカウント (ゲスト ユーザーを含む) に対して MFA を強制する必要があります。Partners are required to enforce MFA for all user accounts in their partner tenant, including guest users. ユーザーは次の領域に対して MFA 検証を完了することが義務付けられます。Users will be mandated to complete MFA verification for the following areas:

高いレベルのセキュリティおよびプライバシーの保護の継続的な実施は最優先事項の1つであり、パートナーが顧客とテナントを保護する上で Microsoft は引き続き支援を提供していきます。Greater and ongoing security and privacy safeguards are among our top priorities and we continue to help partners protect their customers and tenants. クラウド ソリューション プロバイダー (CSP) プログラムに参加するすべてのパートナー、コントロール パネル ベンダー (CPV)、アドバイザーは、準拠した状態を保つためにパートナーのセキュリティ要件を実装する必要があります。All partners participating in the Cloud Solution Provider (CSP) program, Control Panel Vendors (CPVs), and Advisors should implement the Partner Security Requirements to stay compliant.

パートナーが ID の盗難や未承認のアクセスからビジネスや顧客を保護できるようにするため、パートナーのテナントに対して追加のセキュリティ セーフガードがアクティブ化されました。それに伴い、MFA が義務付けられ、検証されるようになりました。To help partners protect their businesses and customers from identity-theft and unauthorized access, we activated additional security safeguards for partner tenants which mandate and verify MFA.

パートナー センター ダッシュボードPartner Center dashboard

次のようなパートナー センター ダッシュボードの特定のページが MFA で保護されます。Certain pages in the Partner Center dashboard will be MFA-protected, including:

次の表は、どのユーザーの種類がこれらの MFA で保護されたページへのアクセスを認可されるか (したがって、この機能による影響を受けるか) を示しています。The following table shows which user types are authorized to access these MFA-protected pages (and are therefore affected by this feature).

MFA 保護対象のページMFA-protected page 管理エージェントAdmin agents 販売エージェントSales agents ヘルプデスク エージェントHelpdesk agents 全体管理者Global administrator 課金管理者Billing administrator
[Customers] タブのすべてのページAll pages under Customers tab xx xx xx
[サポート] > [Customer requests (顧客の要求)] タブのすべてのページAll pages under Support > Customer requests tab xx xx
[請求] ページBilling page xx xx xx

これらのページのいずれかにアクセスしようとしたときに MFA 検証をまだ完了していない場合は、それを行うよう要求されます。If you try to access any of these pages and you haven't completed MFA verification earlier, you will be required to do so. パートナー センターのその他のページ ([概要] ページ、[サービスの正常性状態] 確認ページなど) には MFA は不要です。Other pages on Partner Center such as the Overview page, Service Health Status check page do not require MFA.

検証の例Verification examples

パートナー センター ダッシュボードで検証がどのように動作するかについて、次の例を使って説明します。To illustrate how verification works in the Partner Center dashboard, consider the following examples.

例 1:パートナーが Azure AD MFA を実装しているExample 1: Partner has implemented Azure AD MFA

  1. Jane は CSP Contoso に勤めています。Jane works for CSP Contoso. Contoso では、Azure Active Directory (Azure AD) MFA を使用して、Contoso のパートナー テナントのすべてのユーザーに対して MFA を実装しています。Contoso has implemented MFA for all their users under Contoso partner tenant using Azure Active Directory (Azure AD) MFA.

  2. Jane は新しいブラウザー セッションを開始し、パートナー センター ダッシュボードの (MFA で保護されていない) 概要ページに移動します。Jane starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). パートナー センターは、Jane を Azure AD にリダイレクトして、サインインを求めます。Partner Center redirects Jane to Azure AD to sign in.

  3. Contoso による既存の Azure AD MFA セットアップのために、Jane は MFA 検証を完了するよう要求されます。Due to the existing Azure AD MFA setup by Contoso, Jane is required to complete MFA verification. サインインと MFA 検証を正常に完了した後、Jane は、パートナー センター ダッシュボードの概要ページに再びリダイレクトされます。Upon successful sign in and MFA verification, Jane is redirected back to Partner Center dashboard overview page.

  4. Jane は、パートナー センターの MFA で保護されたページのいずれかにアクセスしようとします。Jane tries to access one of the MFA-protected pages in Partner Center. Jane は以前にサインイン中に既に MFA 検証を完了しているため、Jane は MFA 検証を再び実行するよう要求されることなく、MFA で保護されたページにアクセスできます。Since Jane has already completed MFA verification during sign-in earlier, Jane can access the MFA-protected page without being required to go through MFA verification again.

例 2:パートナーは、ID フェデレーションを使用するサードパーティの MFA を実装していますExample 2: Partner has implemented third-party MFA using identity federation

  1. Trent は CSP Wingtip に勤めています。Trent works for CSP Wingtip. Wingtip では、ID フェデレーション経由で Azure AD に統合されているサードパーティの MFA を使用して、Wingtip のパートナー テナントのすべてのユーザーに対して MFA を実装しています。Wingtip has implemented MFA for all their users under Wingtip partner tenant using third-party MFA, which is integrated with Azure AD via identity federation.

  2. Trent は新しいブラウザー セッションを開始し、パートナー センター ダッシュボードの (MFA で保護されていない) 概要ページに移動します。Trent starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). パートナー センターは、Trent を Azure AD にリダイレクトして、サインインを求めます。Partner Center redirects Trent to Azure AD to sign in.

  3. Wingtip は ID フェデレーションを設定しているため、Azure AD は、サインインと MFA 検証を完了するために Trent をフェデレーション ID プロバイダーにリダイレクトします。Since Wingtip has setup identity federation, Azure AD redirects Trent to the federated identity provider to complete sign-in and MFA verification. サインインと MFA 検証を正常に完了した後、Trent はまず Azure AD に、次にパートナー センター ダッシュボードの概要ページに再びリダイレクトされます。Upon successful sign in and MFA verification, Trent is redirected back to Azure AD and then to Partner Center dashboard overview page.

  4. Trent は、パートナー センターの MFA で保護されたページのいずれかにアクセスしようとします。Trent tries to access one of the MFA-protected pages in Partner Center. Trent は以前にサインイン中に既に MFA 検証を完了しているため、Trent は MFA 検証を再び実行するよう要求されることなく、MFA で保護されたページにアクセスできます。Since Trent has already completed MFA verification during sign-in earlier, Trent can access the MFA protected page without being required to go through MFA verification again.

例 3: パートナーが MFA を実装していないExample 3: Partner hasn't implemented MFA

  1. John は CSP Fabrikam に勤めています。John works for CSP Fabrikam. Fabrikam は、Fabrikam パートナー テナントのどのユーザーに対しても MFA を実装していません。Fabrikam hasn't implemented MFA for any user under Fabrikam partner tenant.

  2. John は新しいブラウザー セッションを開始し、パートナー センター ダッシュボードの (MFA で保護されていない) 概要ページに移動します。John starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). パートナー センターは、John を Azure AD にリダイレクトして、サインインを求めます。Partner Center redirects John to Azure AD to sign in.

  3. Fabrikam は MFA を実装していないため、John は MFA 検証を完了するよう要求されません。Since Fabrikam hasn't implemented MFA, John isn't required to complete MFA verification. サインインを正常に完了した後、John は、パートナー センター ダッシュボードの概要ページに再びリダイレクトされます。Upon successful sign in, John is redirected back to Partner Center dashboard overview page.

  4. John は、パートナー センターの MFA で保護されたページのいずれかにアクセスしようとします。John tries to access one of the MFA-protected pages in Partner Center. John は MFA 検証を完了していないため、パートナー センターは、MFA 検証を完了するために John を Azure AD にリダイレクトします。Since John hasn't completed MFA verification, Partner Center redirects John to Azure AD to complete MFA verification. John が MFA 検証の完了を求められるのはこれが初めてであるため、John は MFA への登録も要求されます。Since this is the first time John is required to complete MFA, John is also requested to register for MFA. MFA 登録と MFA 検証に成功すると、John は、MFA で保護されたページにアクセスできるようになります。Upon successful MFA registration and MFA verification, John can now access the MFA-protected page.

  5. Fabrikam がユーザーに対する MFA を実装する前のある日、John は新しいブラウザー セッションを開始し、パートナー センター ダッシュボードの (MFA で保護されていない) 概要ページに移動します。Another day before Fabrikam implementing MFA for any user, John starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). パートナー センターは John を Azure AD にリダイレクトして、MFA プロンプトは表示せず、サインインを求めます。Partner Center redirects John to Azure AD to sign in without MFA prompt.

  6. John は、パートナー センターの MFA で保護されたページのいずれかにアクセスしようとします。John tries to access one of the MFA-protected pages in Partner Center. John は MFA 検証を完了していないため、パートナー センターは、MFA 検証を完了するために John を Azure AD にリダイレクトします。Since John hasn't completed MFA verification, Partner Center redirects John to Azure AD to complete MFA verification. John は MFA 登録を完了しているため、今回は MFA の検証の完了のみが要求されます。Since John has registered MFA, so this time he is only asked to complete the MFA verification.

注意

アクション:会社の管理者には、MFA を実装するための選択肢が 3 つあります。Action: Company administrators have three options for implementing MFA.

パートナー センター APIPartner Center API

パートナー センター API では、アプリのみの認証とアプリ + ユーザー認証の両方がサポートされます。The Partner Center API supports both App-only authentication and App+User authentication.

アプリとユーザー認証が使用される場合は、パートナー センターに MFA 検証が必要です。When App+User authentication is used, Partner Center will require MFA verification. 具体的には、パートナー アプリケーションがパートナー センターに API 要求を送信しようとする場合、そのアプリケーションは要求の承認ヘッダーにアクセス トークンを含める必要があります。More specifically, when a partner application wants to send an API request to Partner Center, it must include an access token in the Authorization header of the request.

注意

セキュア アプリケーション モデル フレームワークは、パートナー センター API を呼び出す際に Microsoft Azure MFA アーキテクチャを介して CSP パートナーおよび CPV を認証するためのスケーラブルなフレームワークです。The Secure Application Model framework is a scalable framework for authenticating CSP partners and CPVs through the Microsoft Azure MFA architecture when calling Partner Center APIs. テナントで MFA を有効にする前に、このフレームワークを実装する必要があります。You need to implement this framework before enabling MFA on your tenant.

App+User (アプリ + ユーザー) 認証を使用して取得したアクセス トークンを含む API 要求をパートナー センターが受信すると、パートナー センター API が、 認証方法参照 (AMR) 要求に MFA 値が存在することを確認します。When Partner Center receives an API request with an access token obtained using App+User authentication, the Partner Center API will check for the presence of the MFA value in the Authentication Method Reference (AMR) claim. JWT デコーダーを使用すると、アクセス トークンに、予測される認証方法参照 (AMR) 値が含まれているかどうかを検証できます。You can use a JWT decoder to validate whether an access token contains the expected authentication method reference (AMR) value or not:

{
  "aud": "https://api.partnercenter.microsoft.com",
  "iss": "https://sts.windows.net/df845f1a-7b35-40a2-ba78-6481de91f8ae/",
  "iat": 1549088552,
  "nbf": 1549088552,
  "exp": 1549092452,
  "acr": "1",
  "amr": [
    "pwd",
    "mfa"
  ],
  "appid": "23ec45a3-5127-4185-9eff-c8887839e6ab",
  "appidacr": "0",
  "family_name": "Adminagent",
  "given_name": "CSP",
  "ipaddr": "127.0.0.1",
  "name": "Adminagent CSP",
  "oid": "4988e250-5aee-482a-9136-6d269cb755c0",
  "scp": "user_impersonation",
  "tenant_region_scope": "NA",
  "tid": "df845f1a-7b35-40a2-ba78-6481de91f8ae",
  "unique_name": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "upn": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "ver": "1.0"
}

この値が存在する場合、パートナー センターは MFA 検証が完了していると判断し、API 要求を処理します。If the value is present, Partner Center concludes that MFA verification was completed and processes the API request. この値が存在しない場合、パートナー センター API は次の応答で要求を拒否します。If the value isn't present, Partner Center API will reject the request with the following response:

HTTP/1.1 401 Unauthorized - MFA required
Transfer-Encoding: chunked
Request-Context: appId=cid-v1:03ce8ca8-8373-4021-8f25-d5dd45c7b12f
WWW-Authenticate: Bearer error="invalid_token"
Date: Thu, 14 Feb 2019 21:54:58 GMT

アプリのみの認証が使用されている場合、アプリのみの認証をサポートする API は、MFA を必要とせず、継続的に機能します。When App-Only authentication is used, the APIs which support App-Only authentication will be continuously working without requiring MFA.

パートナー代理管理Partner Delegated Administration

パートナー アカウント (管理エージェントとヘルプデスク エージェントを含む) は、パートナー代理管理特権を使用して、Microsoft Online Services ポータル、コマンドライン インターフェイス (CLI)、API (アプリ + ユーザー認証を使用) 経由で顧客リソースを管理できます。Partner accounts, including Admin Agents and Helpdesk Agents, can use their Partner Delegated Admin Privileges to manage customer resources through Microsoft Online Services Portals, command-line interface (CLI), and APIs (using App+User authentication).

サービス ポータルの使用Using service portals

パートナー代理管理特権 (Admin-On-Behalf-Of) を使用して Microsoft Online Services ポータルにアクセスし、顧客リソースを管理する場合、これらのポータルの多くでは、顧客の Azure AD テナントを認証コンテキストとして設定し、パートナー アカウントをインタラクティブに認証する必要があります。つまり、パートナー アカウントは顧客テナントにサインインする必要があります。When accessing Microsoft Online Services Portals using the Partner Delegated Admin Privileges(Admin-On-Behalf-Of) to manage customer resources, many of these portals require the partner account to authenticate interactively, with the customer Azure AD tenant set as the authentication context - the partner account is required to sign into the customer tenant.

Azure AD でこのような認証要求が受信されると、パートナー アカウントに対し、MFA 検証を完了するよう求められます。When Azure AD receives such authentication requests, it will require the partner account to complete MFA verification. パートナー アカウントがマネージド ID またはフェデレーション ID のどちらであるかに応じて、次の 2 つのユーザー エクスペリエンスが考えられます。There are two possible user experiences, depending on whether the partner account is a managed or federated identity:

  • パートナー アカウントが マネージド ID である場合、Azure AD からユーザーに対して直接 MFA 検証を完了するよう求めるプロンプトが表示されます。If the partner account is a managed identity, Azure AD will directly prompt the user to complete MFA verification. パートナー アカウントが以前に Azure AD を使用して MFA に登録していない場合、ユーザーは、まず MFA 登録を完了するよう求められます。If the partner account has not registered for MFA with Azure AD before, the user will be asked to complete MFA registration first.

  • パートナー アカウントが フェデレーション ID である場合のエクスペリエンスは、パートナー管理者が Azure AD でフェデレーションを構成した方法によって異なります。If the partner account is a federated identity, the experience is dependent on how the partner administrator has configured federation in Azure AD. Azure AD でフェデレーションを設定するとき、パートナー管理者は、フェデレーション ID プロバイダーで MFA がサポートされるかどうかを Azure AD に示すことができます。When setting up federation in Azure AD, the partner administrator can indicate to Azure AD whether the federated identity provider supports MFA or not. サポートされる場合、MFA 検証を完了するため、Azure AD によってユーザーはフェデレーション ID プロバイダーにリダイレクトされます。If so, Azure AD will redirect the user to the federated identity provider to complete MFA verification. そうでない場合、Azure AD からユーザーに対して直接 MFA 検証を完了するよう求めるプロンプトが表示されます。Otherwise, Azure AD will directly prompt the user to complete MFA verification. パートナー アカウントが以前に Azure AD を使用して MFA に登録していない場合、ユーザーは、まず MFA 登録を完了するよう求められます。If the partner account has not registered for MFA with Azure AD before, the user will be asked to complete MFA registration first.

全体的なエクスペリエンスは、エンド カスタマーのテナントがその管理者に対して MFA を実装しているシナリオと同様です。The overall experience is similar to the scenario where an end customer tenant has implemented MFA for its administrators. たとえば、顧客テナントで Azure AD のセキュリティの既定値が有効になっているとします。この場合は、管理者権限を持つすべてのアカウント (管理エージェントとヘルプデスク エージェントを含む) が MFA 検証を使用して顧客テナントにサインインするよう要求されます。For example, the customer tenant has enabled Azure AD security defaults, which requires all accounts with administrative rights to sign into the customer tenant with MFA verification, including Admin Agents and Helpdesk Agents. テストのために、パートナーは顧客テナントで Azure AD のセキュリティの既定値を有効にしてから、パートナー代理管理特権を使用して顧客テナントにアクセスしてみることができます。For testing purposes, partners can enable the Azure AD security defaults in the customer tenant and then try using Partner Delegated Administration Privileges to access the customer tenant.

注意

パートナー代理管理特権を使用して顧客リソースにアクセスするときに、すべての Microsoft Online Service ポータルで、パートナー アカウントが顧客テナントにサインインするよう要求されるわけではありません。Not all Microsoft Online Service Portals require partner accounts to sign into the customer tenant when accessing customer resources using Partner Delegated Admin Privileges. 代わりに、パートナー アカウントは、パートナー テナントにサインインするよう要求されるだけです。Instead, they only require the partner accounts to sign into the partner tenant. 1 つの例は Exchange 管理センターです。An example is the Exchange Admin Center. いずれは、パートナー代理管理特権を使用するとき、これらのポータルではパートナー アカウントが顧客テナントにサインインするよう要求されると予測しています。Over time, we expect these portals to require partner accounts to sign into the customer tenant when using Partner Delegated Admin Privileges.

サービス API の使用Using service APIs

一部の Microsoft Online Services API (Azure Resource Manager、Azure AD Graph、Microsoft Graph など) では、パートナーがパートナー代理管理特権を使用してプログラムで顧客リソースを管理することがサポートされています。Some Microsoft Online Services APIs (such as Azure Resource Manager, Azure AD Graph, Microsoft Graph, etc.) support partners using Partner Delegated Admin Privileges to programmatically manage customer resources. これらの API でパートナー代理管理特権を利用するには、パートナー アプリケーションが API 要求の承認ヘッダーにアクセス トークンを含める必要があります。ここで、このアクセス トークンは、パートナー ユーザー アカウントに Azure AD に対して、認証コンテキスとして設定された顧客の Azure AD に対して認証させることによって取得されます。To leverage Partner Delegated Admin Privileges with these APIs, the partner application must include an access token in the API request Authorization header, where the access token is obtained by having a partner user account to authenticate with Azure AD, with the customer Azure AD set as the authentication context. パートナーのユーザー アカウントが顧客テナントにサインインするには、パートナー アプリケーションが必要です。The partner application is required to have a partner user account sign in to the customer tenant.

Azure AD が認証要求などを受信すると、Azure AD は、パートナー ユーザー アカウントに MFA 検証を完了するよう要求します。When Azure AD receives such as authentication request, Azure AD will require the partner user account to complete MFA verification. パートナー ユーザー アカウントが以前に MFA に登録していない場合、ユーザー アカウントは、まず MFA 登録を完了するよう要求されます。If the partner user account hasn't registered for MFA before, the user account will be prompted to complete MFA registration first.

パートナー代理管理特権を使用してこれらの API に統合されているすべてのパートナー アプリケーションがこの機能によって影響を受けます。All partner applications that are integrated with these APIs using Partner Delegated Admin Privileges are affected by this feature. パートナー アプリケーションが引き続き、中断することなく確実にこれらの API を操作できるようにするには、次のようにします。To ensure partner applications can continue to work with these APIs without interruption:

  • パートナーは、アクセス トークンを取得するために Azure AD に対する非対話型のユーザー認証方法を使用することを避ける必要があります。Partner must avoid using non-interactive user authentication method with Azure AD to obtain the access token. パスワード フローなどの非対話型のユーザー認証方法を使用している場合、Azure AD は、ユーザーに MFA 検証を完了するよう求めることができなくなります。When using non-interactive user authentication method such as Password Flow, Azure AD will not be able to prompt the user to complete MFA verification. 代わりに、パートナーは、OpenID Connect フローなどの対話型のユーザー認証方法の使用に切り替える必要があります。Partner must switch to using interactive user authentication method such as OpenID Connect flow instead.

  • 対話型のユーザー認証方法中に、パートナーは、MFA に対して既に有効になっているパートナー ユーザー アカウントを使用する必要があります。During interactive user authentication method, partner should use a partner user account that is already enabled for MFA. あるいは、Azure AD からプロンプトが表示されたら、パートナーはサインイン中に MFA 登録と MFA 検証を完了できます。Alternatively, when prompted by Azure AD, partner can complete MFA registration and MFA verification during sign-in.

  • これは、エンド カスタマーのテナントがその管理者に対して MFA を実装しているシナリオと同様です。This is similar to the scenario where an end customer tenant has implemented MFA for its administrators. たとえば、顧客テナントで Azure AD のセキュリティの既定値が有効になっているとします。この場合は、管理者権限を持つすべてのユーザー アカウント (管理エージェントとヘルプデスク エージェントを含む) が MFA 検証を使用して顧客テナントにサインインするよう要求されます。For example, the customer tenant has enabled Azure AD security defaults, which requires all user accounts with administrative rights to sign into the customer tenant with MFA verification, including Admin Agents and Helpdesk Agents. テストのために、パートナーは顧客テナントで Azure AD のセキュリティの既定値を有効にしてから、パートナー代理管理特権を使用してプログラムで顧客テナントにアクセスしてみることができます。For testing purposes, partners can enable the Azure AD security defaults in the customer tenant and then try using Partner Delegated Administration Privileges to programmatically access the customer tenant.

MFA 登録エクスペリエンスMFA registration experience

MFA 検証中に、パートナー アカウントが以前に MFA に登録していない場合、Azure AD は、まずユーザーに MFA 登録を完了するよう求めます。During MFA verification, if the partner account hasn't registered for MFA before, Azure AD will prompt the user to complete MFA registration first:

MFA 登録手順 1

[次へ] をクリックすると、ユーザーは、検証方法の一覧から選択することを求められます。After clicking Next , the user will be asked to choose from a list of verification methods.

MFA 登録手順 2

登録に成功すると、ユーザーは次に、ユーザーが選択した検証方法に基づいて MFA 検証を完了するよう要求されます。Upon successful registration, the user is then required to complete MFA verification based on the verification chosen by the user.

一般的な問題の一覧List of common issues

MFA 要件に対する技術的な例外を申請する前に、その要求が有効かどうかを把握するために、他のパートナーによって報告された一般的な問題の一覧を確認してください。Before applying for technical exception from the MFA requirement, review the list of common issues reported by other partners to understand whether your request is valid.

問題 1: パートナーに、パートナー エージェントに対して MFA を実装するためのさらに多くの時間が必要であるIssue 1: Partner needs more time to implement MFA for their partner agents

あるパートナーが、顧客リソースを管理するためにパートナー代理管理特権を使用した Microsoft Online Services ポータルへのアクセスを必要としているパートナー エージェントに対する MFA の実装をまだ開始していないか、またはその最中です。A partner hasn't started or is still in the process of implementing MFA for their partner agents who require access to Microsoft Online Services Portals using Partner Delegated Administration Privileges to manage customer resources. このパートナーには、MFA 実装を完了するためのさらに多くの時間が必要です。The partner needs more time to complete MFA implementation. この問題は、技術的な例外の有効な理由ですか?Is this issue a valid reason for technical exception?

回答 : いいえ。Answer : No. パートナーは、中断を回避するために、ユーザーに対して MFA を実装するための計画を作成する必要があります。Partner needs to make plans to implement MFA for their users to avoid disruption.

注意

パートナーがパートナー エージェントに対して MFA を実装していないとしても、顧客テナントへのサインイン中にプロンプトが表示されたときに MFA 登録と MFA 検証を完了できる場合、パートナー エージェントは引き続き、パートナー代理管理特権を使用して Microsoft Online Services ポータルにアクセスできます。Even though the partner hasn't implemented MFA for their partner agents, the partner agents can still access Microsoft Online Services Portals using Partner Delegated Administration Privileges provided they can complete MFA registration and MFA verification when prompted during sign-in to customer tenant. MFA 登録を完了しても、そのユーザーに対して MFA が自動的に有効になるわけではありません。Completing MFA registration does not automatically enable the user for MFA.

問題 2: パートナーが、代理管理特権を使用していないユーザー アカウントに対して MFA を実装していないIssue 2: Partner has not implemented MFA for user accounts not using Delegated Admin Privileges

あるパートナーのパートナー テナントに、パートナー代理管理特権を使用して顧客リソースを管理するための Microsoft Online Services ポータルへのアクセスを必要としていない何人かのユーザーが存在します。A partner has some users in their partner tenants who do not require access to Microsoft Online Services Portals to manage customer resources using Partner Delegated Administration Privileges. このパートナーは、これらのユーザーに対して MFA を実装している最中であり、完了にはさらに時間が必要です。The partner is in the process of implementing MFA for these users and needs more time to complete. この問題は、技術的な例外の有効な理由ですか?Is this issue a valid reason for technical exception?

回答 : いいえ。Answer : No. これらのユーザー アカウントは、顧客リソース管理にパートナー代理管理特権を使用していないため、顧客テナントへのサインインは要求されません。Since these user accounts are not using Partner Delegated Administration Privileges to manage customer resources, they will not be required to sign in to customer tenant. これらは、顧客テナントへのサインイン中に MFA 検証が必要な Azure AD によって影響を受けません。They will not be affected by Azure AD requiring MFA verification during sign-in to customer tenant.

問題 3: パートナーがユーザー サービス アカウントに対して MFA を実装していないIssue 3: Partner has not implemented MFA for user service accounts

あるパートナーのパートナー テナントに、サービス アカウントとしてデバイスに使用されているいくつかのユーザー アカウントが存在します。A partner has some user accounts in their partner tenants, which are being used by devices as service accounts. これらは、パートナー代理管理特権を使用して顧客リソースを管理するためのパートナー センターや Microsoft Online Services ポータルへのアクセスを必要としていない低特権アカウントです。These are low privileged accounts which do not require access Partner Center nor Microsoft Online Services Portals to manage customer resources using Partner Delegated Administration Privileges. この問題は、技術的な例外の有効な理由ですか?Is this issue a valid reason for technical exception?

回答 : いいえ。Answer : No. これらのユーザー アカウントは、顧客リソース管理にパートナー代理管理特権を使用していないため、顧客テナントへのサインインは要求されません。Since these user accounts are not using Partner Delegated Administration Privileges to manage customer resources, they will not be required to sign in to customer tenant. これらは、顧客テナントへのサインイン中に MFA 検証が必要な Azure AD によって影響を受けません。They will not be affected by Azure AD requiring MFA verification during sign-in to customer tenant.

問題 4: パートナーが MS Authenticator アプリを使用して MFA を実装できないIssue 4: Partner cannot implement MFA using MS Authenticator App

あるパートナーが、従業員の個人用モバイル デバイスの作業領域への持ち込みを許可しない "クリーン デスク" ポリシーを設定しています。A partner has "clean desk" policy, which does not permit employees bringing their personal mobile devices to their work area. 個人用モバイル デバイスへのアクセスがない場合、従業員は、Azure AD セキュリティ既定値でサポートされる唯一の MFA 検証である MS Authenticator アプリをインストールできません。Without access to their personal mobile devices, the employees cannot install the MS Authenticator App, which is the only MFA verification supported by Azure AD security defaults. この問題は、技術的な例外の有効な理由ですか?Is this issue a valid reason for technical exception?

回答 : いいえ。これは、技術的な例外の有効な理由ではありません。Answer : No, this isn't a valid reason for technical exception. このパートナーは、従業員がパートナー センターにアクセスするときに引き続き MFA 検証を完了できるように、次の代替手段を検討する必要があります。The partner should consider following alternatives, so that their employees can still complete MFA verification when accessing Partner Center:

  • また、パートナーは追加の検証方法を提供できる Azure AD Premium または (Azure AD と互換性のある) サードパーティの MFA ソリューションにサインアップすることもできます。Partner can also sign up for Azure AD Premium or third-party MFA solutions (compatible with Azure AD) which can provide additional verification methods.
問題 5: パートナーが、レガシ認証プロトコルの使用のために MFA を実装できないIssue 5: Partner cannot implement MFA due to the use of legacy authentication protocols

あるパートナーの一部のパートナー エージェントが、MFA と互換性のないレガシ認証プロトコルを引き続き使用しています。A partner has some partner agents who are still using legacy authentication protocols, which aren't MFA compatible. たとえば、ユーザーが、レガシ認証プロトコルに基づく Outlook 2010 を引き続き使用しています。For example, the users are still using Outlook 2010, which is based on legacy authentication protocols. これらのパートナー エージェントに対して MFA を有効にすると、レガシ認証プロトコルの使用が中断されます。Enabling MFA for these partner agents will disrupt the use of legacy authentication protocols.

回答 : いいえ。これは、技術的な例外の有効な理由ではありません。Answer : No, this isn't a valid reason for technical exception. これらのレガシ認証プロトコルは MFA 検証では保護できず、資格情報の侵害を受ける可能性が非常に高いため、セキュリティへの潜在的な影響を考慮し、パートナーにはその使用を避けることを強くお勧めします。Partners are strongly encouraged to move away from the use of legacy authentication protocols because of potential security implications since these protocols cannot be protected with MFA verification and are much more susceptible to credential compromise. レガシ認証プロトコルの使用を避けることができない場合、パートナーは、アプリケーション パスワードの使用をサポートする Azure AD Premium へのサインアップを検討する必要があります。If moving away from the use of legacy authentication protocols is not an option, partners should consider signing up for Azure AD Premium, which supports the use of Application Passwords. アプリケーション パスワードはシステムで生成されたワンタイム パスワードであり、通常、人間が生成したパスワードより強力です。Application Passwords are one-time system-generated passwords, and are usually stronger than human-generated passwords. アプリケーション パスワードを使用すると、パートナーはレガシ認証プロトコルの場合にのみアプリケーション パスワードにフォールバックしながら、ユーザーに対して MFA を実装できます。By using Application Passwords, partners can implement MFA for their users, while falling back to Application Passwords for legacy authentication protocols only.

Outlook のレガシ認証のサポートに関する最新の計画については、基本認証と Exchange Online に関する投稿を参照してください。また、Exchange チームのブログ をフォローして、今後も最新のニュースを入手してください。Read the post about the Basic Auth and Exchange Online to understand latest plan on supporting legacy authentication for Outlook, and follow the Exchange team blog to get the upcoming news.

注意

パートナーがパートナー エージェントに対して MFA を実装していないとしても、顧客テナントへのサインイン中にプロンプトが表示されたときに MFA 登録と MFA 検証を完了できる場合、パートナー エージェントは引き続き、パートナー代理管理特権を使用して Microsoft Online Services ポータルにアクセスできます。Even though the partner hasn't implemented MFA for their partner agents, the partner agents can still access Microsoft Online Services Portals using Partner Delegated Administration Privileges provided they can complete MFA registration and MFA verification when prompted during sign-in to customer tenant. MFA 登録を完了しても、そのユーザーに対して MFA が自動的に有効になるわけではありません。Completing MFA registration does not automatically enable the user for MFA.

問題 6: パートナーが、Azure AD が認識しないサードパーティの MFA を実装しているIssue 6: Partner has implemented third-party MFA that isn't recognized by Azure AD

あるパートナーが、サードパーティの MFA ソリューションを使用して、ユーザーに対して MFA を実装しました。A partner has implemented MFA for their users using a third-party MFA solution. ただし、このパートナーは、サードパーティの MFA ソリューションを正しく構成できておらず、ユーザー認証中に MFA 検証が完了したことが Azure AD に伝達されません。However, the partner is unable to correctly configure the third-party MFA solution to relay to Azure AD that MFA verification has been completed during user authentication. これは、技術的な例外の有効な理由ですか?Is this a valid reason for technical exception?

回答 : はい。この問題は、技術的な例外の有効な理由と見なされる可能性があります。Answer : Yes, this issue may be considered as a valid reason for technical exception. 技術的な例外の要求を提出する前に、ユーザー認証中に MFA 検証が完了したことを示すために authenticationmethodsreferences 要求 (値は multipleauthn ) を Azure AD に渡すように MFA ソリューションを構成できないということを、サードパーティの MFA ソリューションのプロバイダーに確認してください。Before submitting a request for technical exception, confirm with the third-party MFA solution provider that the MFA solution cannot be configured to flow the authenticationmethodsreferences claim (with value multipleauthn ) to Azure AD to indicate that MFA verification has been completed during user authentication. 技術的な例外の要求を提出する際、使用するサードパーティの MFA ソリューションの詳細を提供し、統合の方法 (ID フェデレーション経由、Azure AD カスタム コントロールの使用など) を記載し、サポート ドキュメントとして技術的な例外の要求中に以下の情報を必ず提供してください。While submitting a request for technical exception, you must provide details of the third-party MFA solution used, and indicate method of integration (such as through identity federation or use of Azure AD Custom Control), and provide the following information in the technical exception request as the supporting documents:

  • サードパーティの MFA の構成。The third-party MFA configurations.

  • サードパーティの MFA が有効であるアカウントで実行されたパートナー セキュリティ要件テストの結果。The result of Test the Partner Security Requirements running by the third-party MFA enabled account.

  • 使用中または使用する予定のサードパーティの MFA ソリューションの注文書。The purchase order of the third-party MFA solution you are using or you plan to use.

技術的な例外の要求を提出する方法How to submit a request for technical exception

パートナーは、Microsoft Online Services で技術的な問題が発生しており、実現可能な解決策または回避策が存在しない場合、MFA 検証を抑制するための技術的な例外を申請できます。Partners can apply for technical exception to suppress MFA verification if they are encountering technical issues with Microsoft Online Services and there are no feasible solution or workaround. これを行う前に、前のセクションで説明した一般的な問題の一覧を確認してください。Before doing so, review the list of common issues in the previous section.

技術的な例外の要求を提出するには:To submit a request for technical exception:

  1. グローバル管理者または管理エージェントとしてパートナー センターにログインします。Log in to Partner Center as Global Admin or Admin Agent.

  2. [サポート] > [Partner support requests] (パートナー サポート要求) に移動し、 [新しい要求] をクリックすることによって、新しいパートナー サービス要求を作成します。Create a new partner service request by navigating to Support > Partner support requests and clicking New request.

  3. 検索] ボックスで、 [MFA - 例外の要求] を検索します。または、[カテゴリ から CSP を選択し、 [アカウント]、[オンボード]、[トピック] からの [アクセス] の順に選択し、サブトピックから MFA - 例外の要求 を選択し、 [次のステップ] を選択します。Search for MFA - Request for exception in the search box; or select CSP from Category, then select Accounts, Onboarding, Access from Topic, then select MFA - Request for exception from the sub topic, then select next step.

  4. 技術的な例外のサービス要求を提出するよう要求された詳細を指定し、 [提出] をクリックします。Provide details requested to submit a service request for technical exception and click Submit.

技術的な例外の要求への応答を Microsoft から提供するまでに最大 3 営業日かかることがあります。Microsoft may take up to three working days to provide a response to a request for technical exception.

次のステップNext steps