合作伙伴安全要求的常见问题

CSP 计划（直接计费、间接提供商和间接经销商）、顾问和控制面板供应商中的所有合作伙伴都必须满足要求。

1. 对所有用户强制实施 MFA

   云解决方案提供商计划中的所有合作伙伴、顾问和控制面板供应商必须针对其合作伙伴租户中的所有用户强制实施 MFA。

   其他注意事项：

   • 如果间接提供商尚未加入合作伙伴中心，则间接提供商需要与间接经销商合作，并鼓励其经销商满足要求。
   • Microsoft Entra 多重身份验证通过 Microsoft Entra 安全默认值向合作伙伴租户中的用户提供，其验证器应用程序的唯一验证方法支持基于时间的一次性密码（TOTP）。
   • 如果需要其他方法（如电话呼叫或短信），可通过 Microsoft Entra P1 或 P2 SKU 获取其他验证方法。
   • 在访问 Microsoft 商业云服务时，合作伙伴也可以对每个帐户使用第三方 MFA 解决方案。

2. 采用安全应用程序模型框架

   使用任何 API（例如 Azure 资源管理器、Microsoft Graph、合作伙伴中心 API 等）开发自定义集成或使用 PowerShell 等工具实现自定义自动化的合作伙伴必须采用安全应用程序模型框架来与 Microsoft 云服务集成。 未能执行此操作可能会导致 MFA 部署中断。

   以下资源提供有关如何采用模型的概述和指南。

   • 安全应用程序模型概述
   • 合作伙伴中心：安全应用程序模型指南
   • 云解决方案提供商计划中的合作伙伴：用于启用安全应用程序模型的 .NET 示例代码
   • CSP 计划中的合作伙伴：用于启用安全应用程序模型的 Java 示例代码
   • 合作伙伴中心身份验证文档
   • 合作伙伴中心 PowerShell 多重身份验证（MFA）文档

   如果你使用的是控制面板，请与供应商协商采用安全应用程序模型框架的事宜。

   控制面板供应商需要 作为 控制面板供应商加入合作伙伴中心，并立即开始实施此要求。 请参阅合作伙伴中心：安全应用程序模型框架。

   控制面板供应商必须接受并管理云解决方案提供商合作伙伴的许可而非凭据，并清除所有现有的云解决方案提供商合作伙伴的凭据。

MFA 是一种安全机制，用于使用多个必需的安全和验证过程对个人进行身份验证。 它需要以下身份验证方法中的两种或多种才能运作：

• 用户知道的某样东西（通常为密码）
• 你拥有的东西（不易复制的受信任设备，如手机）
• 自身的特征（生物辨识系统）

Microsoft 通过实施 Microsoft Entra 安全默认值，不花费任何费用提供 MFA。 使用此版 MFA 提供的唯一验证选项是身份验证器应用程序。

• 如果需要电话呼叫或短信， 则必须购买 Microsoft Entra P1 或 P2 许可证。
• 或者，可以利用第三方解决方案为合作伙伴租户中的每个用户提供 MFA。 在这种情况下，你有责任确保实施 MFA 解决方案，并确保符合要求。

访问 Microsoft 商业云服务时，合作伙伴租户中的用户必须使用 MFA 进行身份验证。 可以使用第三方解决方案来履行这些要求。 Microsoft 不再提供验证测试来验证独立标识提者与 Microsoft Entra ID 是否兼容。 若要测试产品的互操作性，请参阅 Microsoft Entra 标识提供者兼容性文档。

是的。 必须为与 CSP 计划或顾问计划关联的每个 Microsoft Entra 租户强制实施 MFA。 若要购买 Microsoft Entra ID P1 或 P2 许可证，必须为每个 Microsoft Entra 租户中的用户购买 Microsoft Entra ID 许可证。

是的。 每个用户必须强制实施 MFA。 但是，如果使用 Microsoft Entra 安全默认值，则无需执行任何其他操作，因为该功能对所有用户帐户强制实施 MFA。 启用安全默认值是一种自由且简单的方法，可确保用户帐户符合 MFA，并在强制实施 MFA 时不受影响。

直接计费云解决方案提供商合作伙伴必须为其合作伙伴租户中的每个用户强制实施 MFA。

是的。 所有间接经销商都必须为其合作伙伴租户中的每个用户强制实施 MFA。 间接经销商必须启用 MFA。

是的。 此安全要求适用于所有用户，包括合作伙伴管理员用户和合作伙伴租户中的最终用户。

查看 MFA 供应商和解决方案时，必须确保所选的解决方案与 Microsoft Entra ID 兼容。

Microsoft 不再提供验证测试来验证独立标识提者与 Microsoft Entra ID 是否兼容。 如果要测试产品的互操作性，请参阅 Microsoft Entra 标识提供者兼容性文档。

有关详细信息，请参阅 Microsoft Entra 联合身份验证兼容性列表。

应启用 Microsoft Entra 安全默认值功能。 或者，可以使用使用联合的第三方解决方案。

否。 履行这些安全要求不会影响你管理客户。 你执行委派管理操作的权限不会受影响。

否。 无需对客户的 Microsoft Entra 租户中的每个用户强制实施 MFA。 但是，我们建议你与每位客户合作，以确定如何最好地保护其用户。

否。 合作伙伴租户中的每个用户（包括服务帐户）都必须使用 MFA 进行身份验证。

是的。 这意味着你必须为集成沙盒租户中的用户实现适当的 MFA 解决方案。 建议实现 Microsoft Entra 安全性默认值以提供 MFA。

最佳做法是创建一两个紧急访问帐户，以防止无意中被锁定到 Microsoft Entra 租户中。 根据合作伙伴安全要求，每个用户都必须使用 MFA 进行身份验证。 此要求意味着需要修改紧急访问帐户的定义。 它可以是使用第三方解决方案进行 MFA 的帐户。

否。 如果使用第三方解决方案，则不需要使用 Active Directory 联合身份验证服务（ADFS）。 建议与解决方案供应商合作，以确定解决方案的要求。

否。

是的。 可以使用条件访问为合作伙伴租户中的每个用户（包括服务帐户）强制实施 MFA。 但是，鉴于作为合作伙伴的高特权性质，我们需要确保每个用户对每个身份验证都有 MFA 质询。 这意味着不能使用条件访问功能来规避 MFA 的要求。

否。 Microsoft Entra 连接使用的服务帐户不会受到合作伙伴安全要求的影响。 如果因强制执行 MFA 而遇到 Microsoft Entra 连接问题，请向 Microsoft 支持部门提出技术支持请求。

Microsoft 引入了一个安全且可缩放的框架，用于对使用多重身份验证的云解决方案提供商（CSP）合作伙伴和控制面板供应商（CPV）进行身份验证。 有关详细信息，请参阅安全应用程序模型指南。 使用任何 API（例如 Azure 资源管理器、Microsoft Graph、合作伙伴中心 API 等）开发自定义集成或使用 PowerShell 等工具实现自定义自动化的所有合作伙伴都需要采用安全应用程序模型框架来与 Microsoft 云服务集成。

Microsoft 引入了一个安全且可缩放的框架，用于对使用多重身份验证的云解决方案提供商（CSP）合作伙伴和控制面板供应商（CPV）进行身份验证。 有关详细信息，请参阅安全应用程序模型指南。

使用任何 API（例如 Azure 资源管理器、Microsoft Graph、合作伙伴中心 API 等）开发自定义集成或使用 PowerShell 等工具实现自定义自动化的所有合作伙伴都必须采用安全应用程序模型框架来与 Microsoft 云服务集成。 未能执行此操作可能会导致 MFA 部署中断。

以下资源提供有关如何采用模型的概述和指南：

• 安全应用程序模型概述
• 合作伙伴中心：安全应用程序模型指南
• 云解决方案提供商计划中的合作伙伴：用于启用安全应用程序模型的 .NET 示例代码
• CSP 计划中的合作伙伴：用于启用安全应用程序模型的 Java 示例代码
• 合作伙伴中心身份验证文档
• 合作伙伴中心 PowerShell 多重身份验证（MFA）文档

如果使用控制面板，则需要咨询供应商，了解如何采用安全应用程序模型框架。

控制面板供应商需要 作为 控制面板供应商加入合作伙伴中心，并立即开始实施此要求。

请参阅合作伙伴中心：安全应用程序模型框架。 控制面板供应商必须接受并管理云解决方案提供商合作伙伴的许可而非凭据，并清除所有现有的云解决方案提供商合作伙伴的凭据。

通过对所有用户帐户强制实施多重身份验证，任何旨在以非交互方式运行的自动化或集成都会受到影响。 尽管合作伙伴安全要求要求你为合作伙伴中心 API 启用安全应用程序模型，但它可用于解决使用自动化和集成进行第二重身份验证的需求。

如果自动化以非交互方式运行，并且依赖于用户凭据进行身份验证，则必须实现安全应用程序模型。 请参阅安全应用程序模型 | 合作伙伴中心 PowerShell，获取有关如何实现此框架的指南。

建议使用一个所分配的特权最少的服务帐户。 对于合作伙伴中心 API，应使用已分配给销售代理或管理员代理角色的帐户。

最佳做法是使用最低特权标识，因为这样做会降低风险。 建议不要使用具有全局管理员权限的帐户，因为该帐户提供的权限超过了所需的权限。

对于使用控制面板供应商（CPV）解决方案在云解决方案提供商（CSP）计划中交易的合作伙伴，你有责任咨询 CPV。

控制面板供应商是一个独立的软件供应商，它开发供 CSP 合作伙伴使用的应用来与合作伙伴中心 API 集成。 控制面板供应商不是直接访问合作伙伴中心或 API 的 CSP 合作伙伴。 合作伙伴中心：安全应用程序模型指南中提供了详细说明。

若要注册为控制面板供应商 (CPV)，请按照注册为控制面板供应商以帮助将 CSP 合作伙伴系统与合作伙伴中心 API 相集成中的指导操作。

注册合作伙伴中心并注册应用程序后，你将有权访问合作伙伴中心 API。 如果你是新的 CPV，你将在合作伙伴中心通知中收到你的沙盒信息。 完成 Microsoft CPV 注册并接受 CPV 协议后，可以：

• 管理多租户应用程序（将应用程序添加到Azure 门户，并在合作伙伴中心注册和注销应用程序）。

  注意

  CPV 必须在合作伙伴中心注册其应用程序，然后才会获得使用合作伙伴中心 API 的授权。 只是将应用程序添加到 Azure 门户并不会为 CPV 应用程序授予使用合作伙伴中心 API 的权限。

• 查看和管理 CPV 配置文件。

• 查看和管理需访问 CPV 功能的用户。 CPV 只能具有全局管理员角色。

否。 必须遵循安全应用程序模型指南中的 准则。

是的。 可以使用未强制实施 MFA 的帐户生成刷新令牌。 但是，应避免此操作。 因为使用未启用 MFA 的帐户生成的任何令牌都无法访问资源，这是 MFA 的要求。

遵循安全应用程序模型指南，详细介绍如何在符合新的安全要求的同时执行此操作。 可以在合作伙伴中心 DotNet 示例 - 安全应用模型中找到 .NET 示例代码，在合作伙伴中心 Java 示例中找到 Java 示例代码。

CPV 必须在与其注册关联的租户中创建 Microsoft Entra 应用程序作为 CPV。

仅应用身份验证不受影响，因为用户凭据不用于请求访问令牌。 如果用户凭据是共享的，则控制面板供应商 (CPV) 必须采用安全应用程序模型框架并清除他们现有的任何合作伙伴凭据。

否。 控制面板供应商合作伙伴不能利用仅限应用的身份验证样式来代表合作伙伴请求访问令牌。 他们应该实现安全应用程序模型，以便利用“应用 + 用户”身份验证模式。

参与云解决方案提供商 (CSP) 计划的所有合作伙伴、控制面板供应商 (CPV) 和顾问应实施强制性安全要求以保持合规性。

为了提供更多的保护，Microsoft 开始激活安全保护措施，帮助合作伙伴通过授权多重身份验证（MFA）验证来保护其租户及其客户，以防止未经授权的访问。

我们已成功完成了为所有合作伙伴租户的“代表管理员(AOBO)”功能激活保护措施。 为了进一步帮助保护合作伙伴和客户，我们将开始激活 CSP 中的合作伙伴中心交易，帮助合作伙伴保护其业务和客户免受身份盗窃相关事件的影响。

有关详细信息，请参阅 为合作伙伴租户 页分配多重身份验证（MFA）。

为了验证访问资源的帐户是否受到多重身份验证的挑战，我们检查身份验证方法引用声明，以查看是否列出了 MFA。 某些第三方解决方案不会发出此声明，或者不包含 MFA 值。 如果声明缺失，或者未列出 MFA 值，则无法确定经过身份验证的帐户是否受到多重身份验证的质询。 你需要与第三方解决方案的供应商合作，以确定要执行的操作，以便解决方案发出身份验证方法引用声明。

如果不确定第三方解决方案是否发出预期的声明，请参阅 “测试合作伙伴安全要求”。

如果经过身份验证的帐户遭到多重身份验证的质询，则会检查合作伙伴安全要求的技术强制实施。 如果帐户尚未检查，系统会重定向到登录页，并提示你再次进行身份验证。

有关更多体验和指南，请参阅 为合作伙伴租户分配多重身份验证（MFA）。

在域未联合的情况下，成功进行身份验证后，系统会提示你设置多重身份验证。 完成后，你将能够使用 AOBO 管理客户。 在域联合的情况下，需要确保帐户受到多重身份验证的质询。

Microsoft Entra ID “基线”策略正在被删除，并替换为 “安全默认值”，这是一组更全面的保护策略，适合你和你的客户。 安全默认设置有助于保护组织免受与身份盗窃相关的安全攻击。

如果尚未从基线策略过渡到安全默认值策略或其他 MFA 实现选项，多重身份验证（MFA）实现将因基线策略停用而删除。 你合作伙伴租户中执行受 MFA 保护的操作的任何用户将被要求完成 MFA 验证。 有关更详细的指导，请参阅 为合作伙伴租户分配多重身份验证。

若要保持合规并最大程度地减少中断，请使用以下步骤：

• 过渡到安全默认值
  • 安全默认设置策略是合作伙伴可选择用于实现 MFA 的选项之一。 它提供基本的安全级别，无需额外付费即可启用。
  • 了解如何使用 Microsoft Entra ID 为组织启用 MFA，并查看 安全默认值的关键注意事项。
  • 如果安全默认设置符合你的业务需求，则启用它。
• 转换到条件访问
  • 如果安全默认设置策略不满足你的需求，则启用条件访问。 有关详细信息，请查看 Microsoft Entra 条件访问文档。

• 查看 合作伙伴安全要求：分步指南。
• 将问题和反馈定向到 合作伙伴中心安全指南组。
• 参加即将召开的 Partner Office Hours 和网络研讨会。 查看合作伙伴社区页上的详细计划和资源。

• 安全应用程序模型概述
• 合作伙伴中心：安全应用程序模型指南
• 云解决方案提供商计划中的合作伙伴：用于启用安全应用程序模型的 .NET 示例代码
• CSP 计划中的合作伙伴：用于启用安全应用程序模型的 Java 示例代码
• 合作伙伴中心身份验证文档
• 合作伙伴中心 PowerShell 多重身份验证（MFA）文档

若要获得满足安全要求的支持资源，请执行以下操作：

• 如果你有合作伙伴的高级支持（ASfP），请联系你的服务客户经理。
• 有关合作伙伴的顶级支持协议（PSfP），请联系你的服务客户经理和技术客户经理。

Microsoft Entra ID 的技术产品支持选项可通过 Microsoft AI 云合作伙伴计划权益获得。 有权访问活动 ASfP 或 PSfP 订阅的合作伙伴可以与其关联的客户经理（SAM/TAM）合作，以了解他们可用的最佳选项。

如果由于 MFA 问题而失去访问权限，请联系租户的全局管理员。 内部 IT 部门可以告诉你全局管理员是谁。

如果忘记了密码，请参阅 无法登录 以获取帮助。

有关常见技术问题的信息，请参阅针对使用合作伙伴中心或合作伙伴中心 API 的合作伙伴安全要求