Obrigar a MFA (Autenticação Multifator) para seu locatário parceiroMandating Multi-factor Authentication (MFA) for your partner tenant

Aplica-se aApplies to

  • Todos os parceiros no programa Provedor de Soluções na NuvemAll partners in the Cloud Solution Provider program
    • Fatura diretaDirect bill
    • Provedor indiretoIndirect provider
    • Revendedor indiretoIndirect reseller
  • Todos os consultoresAll Advisors

Funções afetadasAffected roles

  • Agente administrativoAdmin agent
  • Agente de vendasSales agent
  • Agente de suporte técnicoHelpdesk agent
  • Administrador de cobrançaBilling administrator
  • Administrador globalGlobal administrator

A intenção desse recurso é ajudar os parceiros a proteger o acesso aos recursos do cliente contra o comprometimento das credenciais.The intent of this feature is to help partners secure their access to customer resources against credentials compromise. Os parceiros são obrigados a impor a MFA (Autenticação Multifator) a todas as contas de usuário nos respectivos locatários de parceiros, incluindo o usuário convidado. Com esse recurso, essas funções de parceiros serão obrigadas a concluir a verificação de MFA nas seguintes áreas:Partners are required to enforce Multi-factor Authentication(MFA) for all user accounts in their partner tenant including the guest user, with this feature these partner roles will be mandated to complete MFA verification for the following areas:

Garantias de segurança e privacidade maiores e contínuas estão entre as nossas principais prioridades, e continuamos ajudando os parceiros a proteger os clientes e os locatários.Greater and ongoing security and privacy safeguards are among our top priorities and we continue to help partners protect their customers and tenants. Todos os parceiros que participam do programa CSP (Provedor de Soluções na Nuvem), CPVs (fornecedores de painel de controle) e consultores devem implementar os Requisitos de segurança do parceiro para manter a conformidade.All partners participating in the Cloud Solution Provider (CSP) program, Control Panel Vendors (CPVs) and Advisors should implement the Partner Security Requirements to stay compliant.

A Microsoft deu início à ativação de garantias de segurança adicionais para locatários de parceiros.Microsoft began the activation of additional security safeguards for partner tenants. Essa ativação de garantias pode ajudar os parceiros a proteger os locatários e os clientes impondo a verificação de MFA (autenticação multifator) para impedir o acesso não autorizado.This activation of safeguards can help partners secure their tenants and their customers by mandating multi-factor authentication (MFA) verification to prevent unauthorized access.

Concluímos com êxito a ativação das funcionalidades de Administração Delegada do parceiro para todos os locatários de parceiros.We successfully completed the activation for partner Delegated Administration capabilities to all partner tenants. Para ajudar a proteger ainda mais os parceiros e os clientes, a partir de 1 de maio de 2020, iniciaremos a ativação das transações da Central de Parceiros no CSP, ajudando os parceiros a proteger os negócios e os clientes contra incidentes relacionados a roubo de identidade.To further help protect partners and customers, starting May 1, 2020, we will begin the activation for Partner Center transactions in CSP, helping partners protect their businesses and customers from identity-theft related incidents.

Esta documentação fornece aos parceiros experiência e diretrizes detalhadas sobre a ativação de garantias de segurança.This documentation provides partners with detailed experience and guidance regarding the activation of security safeguards.

Painel do Partner CenterPartner Center dashboard

Determinadas páginas no painel do Partner Center serão protegidas por MFA, incluindo:Certain pages in the Partner Center dashboard will be MFA-protected, including:

Se você tentar acessar qualquer uma dessas páginas e não tiver concluído a verificação de MFA anteriormente, você precisará fazer isso.If you try to access any of these pages and you haven't completed MFA verification earlier, you will be required to do so.

Observação

Outras páginas da Central de Parceiros, como Visão Geral e Verificação do Status de Integridade do Serviço, não serão protegidas por MFA.Other pages on Partner Center such as Overview page, Service Health Status check page will not be MFA-protected.

Os tipos de usuários a seguir estão autorizados a acessar estas páginas protegidas por MFA e, portanto, são afetados por esse recursoThe following user types are authorized to access these MFA-protected pages and are therefore affected by this feature

Páginas protegidas por MFAMFA protected pages Agentes administrativosAdmin agents Agente de vendasSales agents Agentes de assistência técnicaHelpdesk agents Administrador globalGlobal administrator Administrador de cobrançaBilling administrator
Todas as páginas na guia ClientesAll pages under Customers tab xx xx xx
Todas as páginas na guia Suporte > Solicitações do clienteAll pages under Support > Customer requests tab xx xx
Página de cobrançaBilling page xx xx xx

ExemplosExamples

Para ilustrar como a verificação funciona, considere os dois exemplos a seguir.To illustrate how verification works, consider the following two examples.

Exemplo 1: o parceiro implementou o Azure AD MFAExample 1: Partner has implemented Azure AD MFA

  1. Jane trabalha para o CSP Contoso.Jane works for CSP Contoso. A Contoso implementou a MFA para todos os usuários no locatário de parceiro da Contoso usando a MFA do Azure AD (Azure Active Directory).Contoso has implemented MFA for all their users under Contoso partner tenant using AAzure Active Directory (Azure AD) MFA.
  2. Jane inicia uma nova sessão do navegador e navega até a página de visão geral do painel do Partner Center (que não é protegida por MFA).Jane starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A Central de Parceiros redireciona Leila ao Azure AD para entrada.Partner Center redirects Jane to Azure AD to sign in.
  3. Devido à configuração existente do Azure AD MFA pela Contoso, Jane deve concluir a verificação da MFA.Due to the existing Azure AD MFA setup by Contoso, Jane is required to complete MFA verification. Após a entrada e a verificação de MFA bem-sucedidas, Leila é redirecionada novamente à página de visão geral do Painel da Central de Parceiros.Upon successful sign in and MFA verification, Jane is redirected back to Partner Center dashboard overview page.
  4. Jane tenta acessar uma das páginas protegidas por MFA no Partner Center.Jane tries to access one of the MFA-protected pages in Partner Center. Como Jane já concluiu a verificação de MFA durante a entrada anterior, ela pode acessar a página protegida por MFA sem precisar passar pela verificação de MFA novamente.Since Jane has already completed MFA verification during sign-in earlier, Jane can access the MFA-protected page without being required to go through MFA verification again.

Exemplo 2: o parceiro implementou a MFA de terceiros usando a federação de identidadesExample 2: Partner has implemented third-party MFA using identity federation

  1. Trent trabalha para o CSP Wingtip.Trent works for CSP Wingtip. A Wingtip implementou a MFA para todos os usuários no locatário de parceiro da Wingtip usando a MFA de terceiros, que está integrada ao Azure AD por meio da federação de identidades.Wingtip has implemented MFA for all their users under Wingtip partner tenant using third-party MFA, which is integrated with Azure AD via identity federation.
  2. Trent inicia uma nova sessão do navegador e navega até a página de visão geral do painel do Partner Center (que não é protegida por MFA).Trent starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A Central de Parceiros redireciona Matheus ao Azure AD para entrada.Partner Center redirects Trent to Azure AD to sign in.
  3. Como a Wingtip configurou a federação de identidades, o Azure AD redireciona Trent para o provedor de identidade federada para concluir a entrada e a verificação de MFA.Since Wingtip has setup identity federation, Azure AD redirects Trent to the federated identity provider to complete sign-in and MFA verification. Após a entrada e a verificação da MFA bem-sucedidas, Matheus é redirecionado novamente ao Azure AD e, em seguida, à página de visão geral do Painel da Central de Parceiros.Upon successful sign in and MFA verification, Trent is redirected back to Azure AD and then to Partner Center dashboard overview page.
  4. Trent tenta acessar uma das páginas protegidas por MFA no Partner Center.Trent tries to access one of the MFA-protected pages in Partner Center. Como Trent já concluiu a verificação de MFA durante a entrada anterior, ele pode acessar a página protegida por MFA sem precisar passar pela verificação de MFA novamente.Since Trent has already completed MFA verification during sign-in earlier, Trent can access the MFA protected page without being required to go through MFA verification again.

Exemplo 3: o parceiro não implementou a MFAExample 3: Partner hasn't implemented MFA

  1. John trabalha para o CSP Fabrikam.John works for CSP Fabrikam. A Fabrikam não implementou a MFA para nenhum usuário no locatário parceiro da Fabrikam.Fabrikam hasn't implemented MFA for any user under Fabrikam partner tenant.
  2. John inicia uma nova sessão do navegador e navega até a página de visão geral do painel do Partner Center (que não é protegida por MFA).John starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A Central de Parceiros redireciona Paulo ao Azure AD para entrada.Partner Center redirects John to Azure AD to sign in.
  3. Como a Fabrikam não implementou a MFA, John não precisa concluir a verificação de MFA.Since Fabrikam hasn't implemented MFA, John isn't required to complete MFA verification. Após a entrada bem-sucedida, Paulo é redirecionado novamente à página de visão geral do Painel da Central de Parceiros.Upon successful sign in, John is redirected back to Partner Center dashboard overview page.
  4. John tenta acessar uma das páginas protegidas por MFA no Partner Center.John tries to access one of the MFA-protected pages in Partner Center. Como John não concluiu a verificação de MFA, o Partner Center o redireciona ao Azure AD para concluí-la.Since John hasn't completed MFA verification, Partner Center redirects John to Azure AD to complete MFA verification. Como essa é a primeira vez que Paulo precisa concluir a MFA, também é solicitado que ele se registre na MFA.Since this is the first time John is required to complete MFA, John is also requested to register for MFA. Após o registro e a verificação de MFA bem-sucedidos, John agora pode acessar a página protegida por MFA.Upon successful MFA registration and MFA verification, John can now access the MFA-protected page.
  5. Outro dia, antes da Fabrikam implementar a MFA para qualquer usuário, Paulo iniciou uma nova sessão do navegador e navegou até a página de visão geral do Painel da Central de Parceiros (que não é protegida por MFA).Another day before Fabrikam implementing MFA for any user, John starts a new browser session and navigates to Partner Center dashboard overview page (which isn't MFA-protected). A Central de Parceiros redireciona Paulo ao Azure AD para entrada sem o aviso de MFA.Partner Center redirects John to Azure AD to sign in without MFA prompt.
  6. John tenta acessar uma das páginas protegidas por MFA no Partner Center.John tries to access one of the MFA-protected pages in Partner Center. Como John não concluiu a verificação de MFA, o Partner Center o redireciona ao Azure AD para concluí-la.Since John hasn't completed MFA verification, Partner Center redirects John to Azure AD to complete MFA verification. Como Paulo registrou a MFA, desta vez, ele só precisa concluir a verificação de MFA.Since John has registered MFA, so this time he is only asked to complete the MFA verification.

Observação

Ação: O Administrador da empresa deve implementar a MFA agora por meio de uma destas opções sugeridas pela Central de Parceiros.Action: Company administrator should implement MFA now via any of those options suggested by Partner Center.

API do Partner CenterPartner Center API

A API do Partner Center dá suporte à autenticação somente de aplicativo e à autenticação aplicativo+usuário.Partner Center API supports both App-only authentication and App+User authentication.

Quando a autenticação aplicativo+usuário for usada, o Partner Center exigirá a verificação de MFA.When App+User authentication is used, Partner Center will require MFA verification. Mais especificamente, quando um aplicativo parceiro deseja enviar uma solicitação de API ao Partner Center, ele deve incluir um token de acesso no cabeçalho de autorização da solicitação.More specifically, when a partner application wants to send an API request to Partner Center, it must include an access token in the Authorization header of the request.

Observação

O Modelo de Aplicativo Seguro é uma estrutura segura e escalonável para autenticar parceiros CSP e CPVs por meio da arquitetura da MFA do Microsoft Azure. Ao chamar a API da Central de Parceiros, você precisará implementá-la antes de habilitar a MFA no seu locatário.Secure Application Model is a secure, scalable framework for authenticating CSP partners and CPVs through the Microsoft Azure MFA architecture when you calling Partner Center API, you need to implement it before enabling MFA on your tenant.

Quando a Central de Parceiros receber uma solicitação de API com um token de acesso obtido usando a autenticação aplicativo + usuário, a API da Central de Parceiros verificará se o valor da MFA está presente na declaração de AMR (Referência do Método de Autenticação) .When Partner Center receives an API request with an access token obtained using App+User authentication, the Partner Center API will check for the presence of the MFA value in the Authentication Method Reference (AMR) claim. Você pode usar um decodificador JWT para validar se um token de acesso contém o valor de AMR (referência de método de autenticação) esperado ou não:You can use a JWT decoder to validate whether an access token contains the expected authentication method reference (AMR) value or not:

{
  "aud": "https://api.partnercenter.microsoft.com",
  "iss": "https://sts.windows.net/df845f1a-7b35-40a2-ba78-6481de91f8ae/",
  "iat": 1549088552,
  "nbf": 1549088552,
  "exp": 1549092452,
  "acr": "1",
  "amr": [
    "pwd",
    "mfa"
  ],
  "appid": "23ec45a3-5127-4185-9eff-c8887839e6ab",
  "appidacr": "0",
  "family_name": "Adminagent",
  "given_name": "CSP",
  "ipaddr": "127.0.0.1",
  "name": "Adminagent CSP",
  "oid": "4988e250-5aee-482a-9136-6d269cb755c0",
  "scp": "user_impersonation",
  "tenant_region_scope": "NA",
  "tid": "df845f1a-7b35-40a2-ba78-6481de91f8ae",
  "unique_name": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "upn": "Adminagent.csp@testtestpartner.onmicrosoft.com",
  "ver": "1.0"
}

Se o valor estiver presente, o Partner Center concluirá que a verificação de MFA foi concluída e processará a solicitação de API.If the value is present, Partner Center concludes that MFA verification was completed and processes the API request. Se o valor não estiver presente, a API do Partner Center rejeitará a solicitação com a seguinte resposta:If the value isn't present, Partner Center API will reject the request with the following response:

HTTP/1.1 401 Unauthorized - MFA required
Transfer-Encoding: chunked
Request-Context: appId=cid-v1:03ce8ca8-8373-4021-8f25-d5dd45c7b12f
WWW-Authenticate: Bearer error="invalid_token"
Date: Thu, 14 Feb 2019 21:54:58 GMT

Quando a autenticação somente por aplicativo for usada, as APIs que dão suporte à autenticação somente por aplicativo trabalharão continuamente sem exigir a MFA.When App-Only authentication is used, the APIs which support App-Only authentication will be continuously working without requiring MFA.

Administração Delegada por ParceiroPartner Delegated Administration

Usar portais de serviçoUsing service portals

As contas de parceiros, incluindo Agentes Administrativos e Agentes de Assistência Técnica, podem usar os Privilégios de Administrador Delegado do Parceiro para gerenciar recursos do cliente por meio dos Portais do Microsoft Online Services, da CLI (interface de linha de comando) e das APIs (usando a autenticação aplicativo + usuário).Partner accounts, including Admin Agents and Helpdesk Agents, can use their Partner Delegated Admin Privileges to manage customer resources through Microsoft Online Services Portals, command-line interface (CLI), and APIs (using App+User authentication).

Ao acessar os Portais do Microsoft Online Services usando os Privilégios de Administrador Delegado do Parceiro (Administrador em nome de) para gerenciar recursos do cliente, muitos desses portais exigem que a conta do parceiro seja autenticada de maneira interativa, com o locatário do Azure Active Directory do cliente definido como o contexto de autenticação: a conta do parceiro é necessária para entrar no locatário do cliente.When accessing Microsoft Online Services Portals using the Partner Delegated Admin Privileges(Admin-On-Behalf-Of) to manage customer resources, many of these portals require the partner account to authenticate interactively, with the customer Azure Active Directory tenant set as the authentication context - the partner account is required to sign into the customer tenant.

Quando o Azure Active Directory receber essas solicitações de autenticação, ele exigirá que a conta do parceiro conclua a verificação de MFA.When Azure Active Directory receives such authentication requests, it will require the partner account to complete MFA verification. Há duas experiências de usuário possíveis, dependendo se a conta do parceiro é uma identidade gerenciada ou federada:There are two possible user experiences, depending on whether the partner account is a managed or federated identity:

  • Se a conta do parceiro for uma identidade gerenciada, o Azure Active Directory solicitará diretamente que o usuário conclua a verificação de MFA.If the partner account is a managed identity, Azure Active Directory will directly prompt the user to complete MFA verification. Se a conta de parceiro não tiver sido registrada na MFA com o Azure Active Directory antes, o usuário deverá concluir o registro da MFA primeiro.If the partner account has not registered for MFA with Azure Active Directory before, the user will be asked to complete MFA registration first.

  • Se a conta do parceiro for uma identidade federada, a experiência dependerá de como o administrador de parceiro configurou a Federação no Azure Active Directory.If the partner account is a federated identity, the experience is dependent on how the partner administrator has configured federation in Azure Active Directory. Ao configurar a federação no Azure Active Directory, o administrador de parceiro pode indicar para o Azure Active Directory se o provedor de identidade federada dá suporte à MFA ou não.When setting up federation in Azure Active Directory, the partner administrator can indicate to Azure Active Directory whether the federated identity provider supports MFA or not. Em caso afirmativo, o Azure Active Directory redirecionará o usuário para o provedor de identidade federada para concluir a verificação de MFA.If so, Azure Active Directory will redirect the user to the federated identity provider to complete MFA verification. Caso contrário, o Azure Active Directory solicitará diretamente que o usuário conclua a verificação de MFA.Otherwise, Azure Active Directory will directly prompt the user to complete MFA verification. Se a conta de parceiro não tiver sido registrada na MFA com o Azure Active Directory antes, o usuário deverá concluir o registro da MFA primeiro.If the partner account has not registered for MFA with Azure Active Directory before, the user will be asked to complete MFA registration first.

A experiência geral é semelhante ao cenário em que um locatário do cliente final implementou a MFA para os administradores dele.The overall experience is similar to the scenario where an end customer tenant has implemented MFA for its administrators. Por exemplo, o locatário do cliente habilitou os padrões de segurança do Azure AD, o que exige que todas as contas com direitos administrativos entrem no locatário do cliente com verificação de MFA, incluindo Agentes Administrativos e Agentes de Suporte Técnico.For example, the customer tenant has enabled Azure AD security defaults, which requires all accounts with administrative rights to sign into the customer tenant with MFA verification, including Admin Agents and Helpdesk Agents. Para fins de teste, os parceiros podem habilitar os padrões de segurança do Azure AD no locatário do cliente e, em seguida, tentar usar Privilégios de Administração Delegada do Parceiro para acessar o locatário do cliente.For testing purposes, partners can enable the Azure AD security defaults in the customer tenant and then try using Partner Delegated Administration Privileges to access the customer tenant.

Observação

Nem todos os Portais do Microsoft Online Service exigem que as contas do parceiro entrem no locatário do cliente ao acessar os recursos do cliente usando Privilégios de Administração Delegada do Parceiro.Not all Microsoft Online Service Portals require partner accounts to sign into the customer tenant when accessing customer resources using Partner Delegated Admin Privileges. Em vez disso, eles exigem apenas que as contas do parceiro entrem no locatário parceiro.Instead, they only require the partner accounts to sign into the partner tenant. Um exemplo é o Centro de Administração do Exchange.An example is the Exchange Admin Center. Ao longo do tempo, esperamos que esses portais exijam que as contas do parceiro entrem no locatário do cliente ao usar Privilégios de Administração Delegada do Parceiro.Over time, we expect these portals to require partner accounts to sign into the customer tenant when using Partner Delegated Admin Privileges.

Usar APIs de serviçoUsing service APIs

Algumas APIs do Microsoft Online Services (como o Azure Resource Manager, o Azure AD Graph, o Microsoft Graph etc.) dão suporte a parceiros que usam Privilégios de Administração Delegada do Parceiro para gerenciar programaticamente os recursos do cliente.Some Microsoft Online Services APIs (such as Azure Resource Manager, Azure AD Graph, Microsoft Graph, etc.) support partners using Partner Delegated Admin Privileges to programmatically manage customer resources. Para aproveitar os Privilégios de Administração Delegada do Parceiro com essas APIs, o aplicativo do parceiro deve incluir um token de acesso no cabeçalho de Autorização de solicitação da API, em que o token de acesso é obtido tendo uma conta de usuário parceiro para autenticar com o Azure AD, com o cliente do Azure AD definido como o contexto de autenticação.To leverage Partner Delegated Admin Privileges with these APIs, the partner application must include an access token in the API request Authorization header, where the access token is obtained by having a partner user account to authenticate with Azure AD, with the customer Azure AD set as the authentication context. O aplicativo do parceiro precisa ter credenciais da conta do usuário parceiro no locatário do cliente.The partner application is required to have a partner user account sign in to the customer tenant.

Quando o Azure AD receber essa solicitação de autenticação, ele exigirá que a conta do usuário parceiro conclua a verificação da MFA.When Azure AD receives such as authentication request, Azure AD will require the partner user account to complete MFA verification. Se a conta do usuário parceiro ainda não tiver sido registrada na MFA, ela deverá concluir o registro de MFA primeiro.If the partner user account hasn't registered for MFA before, the user account will be prompted to complete MFA registration first.

Todos os aplicativos do parceiro integrados a essas APIs que usam os Privilégios de Administração Delegada do Parceiro são afetados por esse recurso.All partner applications that are integrated with these APIs using Partner Delegated Admin Privileges are affected by this feature. Para verificar se os aplicativos do parceiro podem continuar trabalhando com essas APIs sem interrupção:To ensure partner applications can continue to work with these APIs without interruption:

  • O parceiro deve evitar usar o método de autenticação do usuário não interativo com o Azure AD para obter o token de acesso.Partner must avoid using non-interactive user authentication method with Azure AD to obtain the access token. Ao usar o método de autenticação do usuário não interativo como o Fluxo de Senha, o Azure AD não poderá solicitar que o usuário conclua a verificação de MFA.When using non-interactive user authentication method such as Password Flow, Azure AD will not be able to prompt the user to complete MFA verification. Em vez disso, o parceiro deve alternar para usar o método de autenticação do usuário interativo como o fluxo do OpenID Connect.Partner must switch to using interactive user authentication method such as OpenID Connect flow instead.
  • Durante o método de autenticação do usuário interativo, o parceiro deve usar uma conta do usuário parceiro que já esteja habilitada para MFA.During interactive user authentication method, partner should use a partner user account that is already enabled for MFA. Ou, quando solicitado pelo Azure AD, o parceiro pode concluir o registro e a verificação de MFA durante a entrada.Alternatively, when prompted by Azure AD, partner can complete MFA registration and MFA verification during sign-in.
  • Isso é semelhante ao cenário em que um locatário do cliente final implementou a MFA para os administradores dele.This is similar to the scenario where an end customer tenant has implemented MFA for its administrators. Por exemplo, o locatário do cliente habilitou os padrões de segurança do Azure AD, que exige que todas as contas de usuário com direitos administrativos entrem no locatário do cliente com verificação de MFA, incluindo Agentes Administrativos e Agentes de Suporte Técnico.For example, the customer tenant has enabled Azure AD security defaults, which requires all user accounts with administrative rights to sign into the customer tenant with MFA verification, including Admin Agents and Helpdesk Agents. Para fins de teste, os parceiros podem habilitar os padrões de segurança do Azure AD no locatário do cliente e, em seguida, tentar usar Privilégios de Administração Delegada do Parceiro para acessar programaticamente o locatário do cliente.For testing purposes, partners can enable the Azure AD security defaults in the customer tenant and then try using Partner Delegated Administration Privileges to programmatically access the customer tenant.

Experiência de registro de MFAMFA registration experience

Durante a verificação de MFA, se a conta do usuário parceiro ainda não tiver sido registrada na MFA, o Azure AD solicitará que o usuário conclua o registro de MFA primeiro:During MFA verification, if the partner account hasn't registered for MFA before, Azure AD will prompt the user to complete MFA registration first:

Etapa 1 do registro de MFA

Depois de clicar em Avançar, o usuário precisará escolher uma opção em uma lista de métodos de verificação.After clicking Next, the user will be asked to choose from a list of verification methods.

Etapa 2 do registro de MFA

Após o registro bem-sucedido, o usuário precisará concluir a verificação de MFA com base na verificação escolhida pelo usuário.Upon successful registration, the user is then required to complete MFA verification based on the verification chosen by the user.

Solicitação de exceção técnicaRequest for technical exception

Os parceiros poderão se candidatar para uma exceção técnica a fim de suprimir a verificação de MFA se estiverem encontrando problemas técnicos com o Microsoft Online Services e não houver uma solução viável ou alternativa.Partners can apply for technical exception to suppress MFA verification if they are encountering technical issues with Microsoft Online Services and there are no feasible solution or workaround. Antes de fazer isso, examine as seguintes seções:Before doing so, review the following sections:

Lista de problemas comuns relatados por parceirosList of common issues reported by partners

Antes de se candidatar para uma exceção técnica, examine a lista de problemas comuns relatados por outros parceiros para entender se são motivos válidos para exceção técnica ou não.Before applying for technical exception, review the list of common issues reported by other partners to understand whether they are valid reasons for technical exception or not.

Problema 1: o parceiro precisa de mais tempo para implementar a MFA para os agentes do parceiro deleIssue 1: Partner needs more time to implement MFA for their partner agents

Um parceiro não iniciou ou ainda está no processo de implementação da MFA para os agentes do parceiro dele que precisam acessar os Portais do Microsoft Online Services usando Privilégios de Administração Delegada do Parceiro para gerenciar os recursos do cliente.A partner hasn't started or is still in the process of implementing MFA for their partner agents who require access to Microsoft Online Services Portals using Partner Delegated Administration Privileges to manage customer resources. O parceiro precisa de mais tempo para concluir a implementação da MFA.The partner needs more time to complete MFA implementation. Esse problema é um motivo válido para exceção técnica?Is this issue a valid reason for technical exception?

Resposta: Não.Answer: No. O parceiro precisa fazer planos para implementar a MFA para os usuários dele para evitar interrupções.Partner needs to make plans to implement MFA for their users to avoid disruption.

Observação

Embora o parceiro não tenha implementado a MFA para os agentes parceiros dele, os agentes do parceiro ainda poderão acessar os Portais de Serviço Online da Microsoft usando os Privilégios de Administração Delegada do Parceiro, desde que possam concluir o registro e a verificação da MFA quando solicitado durante a entrada no locatário do cliente.Even though the partner hasn't implemented MFA for their partner agents, the partner agents can still access Microsoft Online Services Portals using Partner Delegated Administration Privileges provided they can complete MFA registration and MFA verification when prompted during sign-in to customer tenant. Concluir o registro da MFA não habilita automaticamente o usuário para a MFA.Completing MFA registration does not automatically enable the user for MFA.

Problema 2: o parceiro não implementou a MFA para contas de usuário que não usam Privilégios de Administração DelegadaIssue 2: Partner has not implemented MFA for user accounts not using Delegated Admin Privileges

Um parceiro tem alguns usuários nos locatários dele que não precisam de acesso aos Portais do Microsoft Online Services para gerenciar os recursos do cliente usando os Privilégios de Administração Delegada do Parceiro.A partner has some users in their partner tenants who do not require access to Microsoft Online Services Portals to manage customer resources using Partner Delegated Administration Privileges. O parceiro está no processo de implementação da MFA para esses usuários e precisa de mais tempo para concluí-lo.The partner is in the process of implementing MFA for these users and needs more time to complete. Esse problema é um motivo válido para exceção técnica?Is this issue a valid reason for technical exception?

Resposta: Não.Answer: No. Como essas contas de usuário não estão usando Privilégios de Administrador Delegado do Parceiro para gerenciar recursos do cliente, elas não precisarão entrar no locatário do cliente.Since these user accounts are not using Partner Delegated Administration Privileges to manage customer resources, they will not be required to sign in to customer tenant. Elas não serão afetadas pelo Azure AD que exige verificação de MFA durante a entrada no locatário do cliente.They will not be affected by Azure AD requiring MFA verification during sign-in to customer tenant.

Problema 3: o parceiro não implementou a MFA para contas de serviço de usuárioIssue 3: Partner has not implemented MFA for user service accounts

Um parceiro tem algumas contas de usuário nos locatários parceiros dele, que estão sendo usadas por dispositivos como contas de serviço.A partner has some user accounts in their partner tenants, which are being used by devices as service accounts. Essas são contas com poucos privilégios que não exigem acesso ao Partner Center nem aos Portais do Microsoft Online Services para gerenciar recursos do cliente usando Privilégios de Administração Delegada do Parceiro.These are low privileged accounts which do not require access Partner Center nor Microsoft Online Services Portals to manage customer resources using Partner Delegated Administration Privileges. Esse problema é um motivo válido para exceção técnica?Is this issue a valid reason for technical exception?

Resposta: Não.Answer: No. Como essas contas de usuário não estão usando Privilégios de Administrador Delegado do Parceiro para gerenciar recursos do cliente, elas não precisarão entrar no locatário do cliente.Since these user accounts are not using Partner Delegated Administration Privileges to manage customer resources, they will not be required to sign in to customer tenant. Elas não serão afetadas pelo Azure AD que exige verificação de MFA durante a entrada no locatário do cliente.They will not be affected by Azure AD requiring MFA verification during sign-in to customer tenant.

Problema 4: o parceiro não consegue implementar a MFA usando o aplicativo MS AuthenticatorIssue 4: Partner cannot implement MFA using MS Authenticator App

Um parceiro tem uma política de “clean desk”, que não permite que funcionários levem dispositivos móveis pessoais para a área de trabalho deles.A partner has "clean desk" policy, which does not permit employees bringing their personal mobile devices to their work area. Sem acesso aos respectivos dispositivos móveis pessoais, os funcionários não podem instalar o aplicativo MS Authenticator, que é a única verificação de MFA compatível com os padrões de segurança do Azure AD.Without access to their personal mobile devices, the employees cannot install the MS Authenticator App, which is the only MFA verification supported by Azure AD security defaults. Esse problema é um motivo válido para exceção técnica?Is this issue a valid reason for technical exception?

Resposta: Não, esse não é um motivo válido para exceção técnica.Answer: No, this isn't a valid reason for technical exception. O parceiro deve considerar as seguintes alternativas para que os funcionários dele ainda possam concluir a verificação de MFA ao acessar o Partner Center:The partner should consider following alternatives, so that their employees can still complete MFA verification when accessing Partner Center:

  • O parceiro também pode se inscrever no Azure AD Premium ou em soluções de MFA de terceiros (compatíveis com o Azure AD) que possam fornecer métodos de verificação adicional.Partner can also sign up for Azure AD Premium or third-party MFA solutions (compatible with Azure AD) which can provide additional verification methods.

Problema 5: o parceiro não pode implementar a MFA devido ao uso de protocolos de autenticação herdadosIssue 5: Partner cannot implement MFA due to the use of legacy authentication protocols

Um parceiro tem alguns agentes do parceiro que ainda estão usando protocolos de autenticação herdados, que não são compatíveis com MFA.A partner has some partner agents who are still using legacy authentication protocols, which aren't MFA compatible. Por exemplo, os usuários ainda estão usando o Outlook 2010, que é baseado em protocolos de autenticação herdados.For example, the users are still using Outlook 2010, which is based on legacy authentication protocols. Habilitar a MFA para esses agentes do parceiro interromperá o uso de protocolos de autenticação herdados.Enabling MFA for these partner agents will disrupt the use of legacy authentication protocols.

Resposta: Não, esse não é um motivo válido para exceção técnica.Answer: No, this isn't a valid reason for technical exception. Os parceiros são incentivados a não usar protocolos de autenticação herdados devido a eventuais implicações de segurança, pois esses protocolos não podem ser protegidos com verificação de MFA e são muito mais suscetíveis ao comprometimento de credenciais.Partners are strongly encouraged to move away from the use of legacy authentication protocols because of potential security implications since these protocols cannot be protected with MFA verification and are much more susceptible to credential compromise. Se o não uso de protocolos de autenticação herdados não for uma opção, os parceiros deverão considerar inscrever-se no Azure AD Premium, que dá suporte ao uso de Senhas de Aplicativo.If moving away from the use of legacy authentication protocols is not an option, partners should consider signing up for Azure AD Premium, which supports the use of Application Passwords. As Senhas de Aplicativo são senhas avulsas geradas pelo sistema e geralmente são mais fortes do que as senhas geradas por humanos.Application Passwords are one-time system-generated passwords, and are usually stronger than human-generated passwords. Usando Senhas de Aplicativo, os parceiros podem implementar a MFA para os usuários deles enquanto retornam para Senhas de Aplicativo apenas para protocolos de autenticação herdados.By using Application Passwords, partners can implement MFA for their users, while falling back to Application Passwords for legacy authentication protocols only.

Leia a postagem sobre Autenticação básica e Exchange Online para conhecer o plano mais recente de suporte à autenticação herdada para o Outlook e siga o blog da equipe do Exchange para receber as próximas notícias.Read the post about the Basic Auth and Exchange Online to understand latest plan on supporting legacy authentication for Outlook, and follow the Exchange team blog to get the upcoming news.

Observação

Embora o parceiro não tenha implementado a MFA para os agentes parceiros dele, os agentes do parceiro ainda poderão acessar os Portais de Serviço Online da Microsoft usando os Privilégios de Administração Delegada do Parceiro desde que possam concluir o registro e a verificação da MFA quando solicitado durante a entrada no locatário do cliente.Even though the partner hasn't implemented MFA for their partner agents, the partner agents can still access Microsoft Online Services Portals using Partner Delegated Administration Privileges provided they can complete MFA registration and MFA verification when prompted during sign-in to customer tenant. Concluir o registro da MFA não habilita automaticamente o usuário para a MFA.Completing MFA registration does not automatically enable the user for MFA.

Problema 6: o parceiro implementou uma MFA de terceiros que não é reconhecida pelo Azure ADIssue 6: Partner has implemented third-party MFA that isn't recognized by Azure AD

Um parceiro implementou a MFA para os usuários dele usando uma solução de MFA de terceiros.A partner has implemented MFA for their users using a third-party MFA solution. No entanto, o parceiro não consegue configurar corretamente a solução de MFA de terceiros para retransmitir ao Azure AD que a verificação de MFA foi concluída durante a autenticação do usuário.However, the partner is unable to correctly configure the third-party MFA solution to relay to Azure AD that MFA verification has been completed during user authentication. Esse é um motivo válido para exceção técnica?Is this a valid reason for technical exception?

Resposta: Sim, esse problema pode ser considerado um motivo válido para exceção técnica.Answer: Yes, this issue may be considered as a valid reason for technical exception. Antes de enviar uma solicitação de exceção técnica, confirme com o provedor de soluções de MFA de terceiros que a solução de MFA não pode ser configurada para fluir a declaração authenticationmethodsreferences (com o valor multipleauthn) para o Azure AD, a fim de indicar que a verificação de MFA foi concluída durante a autenticação do usuário.Before submitting a request for technical exception, confirm with the third-party MFA solution provider that the MFA solution cannot be configured to flow the authenticationmethodsreferences claim (with value multipleauthn) to Azure AD to indicate that MFA verification has been completed during user authentication. Ao enviar uma solicitação de exceção técnica, você precisará fornecer detalhes da solução de MFA de terceiros usada e indicar o método de integração (por exemplo, por meio da federação de identidades ou do uso do controle personalizado do Azure AD) e fornecer as seguintes informações na solicitação de exceção técnica como os documentos de suporte:While submitting a request for technical exception, you must provide details of the third-party MFA solution used, and indicate method of integration (such as through identity federation or use of Azure AD Custom Control), and provide the following information in the technical exception request as the supporting documents:

  • As configurações de MFA de terceiros.The third-party MFA configurations.
  • O resultado de Testar os Requisitos de Segurança do Parceiro em execução pela conta habilitada para MFA de terceiros.The result of Test the Partner Security Requirements running by the third-party MFA enabled account.
  • A ordem de compra da solução de MFA de terceiros que você está usando ou pretende usar.The purchase order of the third-party MFA solution you are using or you plan to use.

Como enviar uma solicitação de exceção técnicaHow to submit a request for technical exception

Para enviar uma solicitação de exceção técnica:To submit a request for technical exception:

  1. Faça logon no Partner Center como Administrador Global ou Agente Administrativo.Log in to Partner Center as Global Admin or Admin Agent.
  2. Crie uma solicitação de serviço de parceiro navegando até Suporte > Solicitações de suporte do parceiro e clicando em Nova solicitação.Create a new partner service request by navigating to Support > Partner support requests and clicking New request.
  3. Procure MFA – Solicitação de exceção na caixa de pesquisa ou selecione CSP em Categoria, Contas, Integração, Acesso em Tópico, MFA – Solicitação de exceção em Subtópico e, em seguida, escolha Próxima etapa.Search for MFA - Request for exception in the search box; or select CSP from Category, then select Accounts, Onboarding, Access from Topic, then select MFA - Request for exception from the sub topic, then select next step.
  4. Forneça os detalhes solicitados para enviar uma solicitação de serviço de exceção técnica e clique em Enviar.Provide details requested to submit a service request for technical exception and click Submit.

A Microsoft pode levar até três dias úteis para fornecer uma resposta à solicitação de exceção técnica.Microsoft may take up to three working days to provide a response to request for technical exception.