MFA-Durchsetzung für Partner Center APIs: Was jeder Microsoft-Partner beachten muss

Microsoft setzt ab dem 1. September 2026 Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf alle Partner Center API durch. Dies ist keine Empfehlung oder ein Best-Practice-Vorschlag. Es handelt sich um eine verbindliche technische Anforderung, die den API-Zugriff für jede Integration — Abrechnungssysteme, Bereitstellungsskripte, Reporting-Dashboards oder benutzerdefinierte Partnerportale — blockiert, die sich nicht mit MFA authentifiziert. Für die über 900 CSP-Partner von Cloud Factory schließt sich das Vorbereitungsfenster. Hier ist, was sich geändert hat, was kaputt geht und was genau vor dem 1. September zu tun ist.

Was sich geändert hat

Microsoft hat am 8. Juni 2026 angekündigt, dass alle Partner Center API-Endpunkte — einschließlich der CSP-Kunden- und Abonnement-APIs, der Preis-API, der Analyse-API und der modernen Handels-APIs — ab dem 1. September 2026 MFA-authentifizierte Anmeldeinformationen erfordern.

Dies gilt für:
- Alle Partner Center REST API-Aufrufe
- PowerShell-Skripte, die das Partner Center-Modul verwenden
- Automatisierte Abrechnungs- und Bereitstellungsintegrationen
- Drittanbieter-Tools und ISV-Integrationen, die Partner Center APIs aufrufen
- Alle benutzerdefinierten Dashboards oder Reporting-Tools

Keine Ausnahmen. Keine Übergangsfristen für Altsysteme. Kein Großvaterrecht für bestehende Integrationen.

Warum Microsoft diese Änderung vorgenommen hat

Partner Center APIs bieten Zugriff auf:
- Kundendaten und Abonnementdetails
- Preis- und Angebotsinformationen
- Abrechnungs- und Rechnungsdaten
- Lizenz- und Benutzerverwaltung

Dies ist eine hochgradig wertvolle Angriffsfläche. Ein kompromittiertes API-Anmeldekennwort gewährt Angreifern Zugriff auf die gesamte Vertrauensschicht zwischen Partner und Kunde. Die Durchsetzung von MFA ist Microsofts Reaktion auf die zunehmende Zielgerichtetheit von Bedrohungsakteuren auf Partner-Ökosysteme — die gleichen Vektoren, die in den Vorfällen mit SolarWinds und Solarigate verwendet wurden.

Die Partner Center API ist das Rückgrat der Vertriebs- und Wiederverkäuferoperationen. Sie mit MFA zu schützen, ist eine nicht verhandelbare Sicherheitsgrundlage.

Was am 1. September kaputt geht

Jede Integration, die client_credentials oder die Basis-Authentifizierung ohne MFA verwendet, wird ab dem 1. September 2026 HTTP 401 / 403-Fehler erhalten. Dies umfasst:

IntegrationstypRisikostufeWarum es kaputt geht
Legacy-Abrechnungsskripte, die nur client_id + client_secret verwendenKritischKein MFA-Token im Authentifizierungsfluss
Automatisierte BereitstellungstoolsHochDienstprinzipale ohne bedingten Zugriff
Reporting-Dashboards, die Daten aus dem Partner Center abrufenHochStatische API-Schlüssel ohne MFA-Herausforderung
Drittanbieter-PSA/RMM-IntegrationenMittelVariiert je nach Anbieter — einige sind bereit, einige nicht
Interne Prüfungs- und Compliance-SkripteMittelOft ohne MFA-Flows erstellt
Hinweis: Der Zugriff auf das Partner Center über das Webportal (die Browser-Oberfläche) unterstützt bereits MFA und erfordert in vielen Fällen MFA. Diese Änderung zielt speziell auf programmgesteuerten API-Zugriff ab.

Die technische Lösung: So bereiten Sie sich vor

Option 1: Native Anwendung mit MFA-Flow (Empfohlen)

Bauen oder aktualisieren Sie Ihre API-Integrationen, um OAuth 2.0 mit Gerätecodefluss oder interaktiver Authentifizierung zu verwenden, die bei Bedarf nach MFA fragt.

Anforderungen:
- Registrieren Sie eine Azure AD-Anwendung mit Berechtigungen für die Partner Center API
- Konfigurieren Sie bedingte Zugriffsrichtlinien, die MFA für den App-Zugriff erfordern
- Aktualisieren Sie Skripte, um Get-PartnerAccessToken mit -UseDeviceAuthentication oder Äquivalent zu verwenden
- Token-Aktualisierung und erneute Authentifizierung elegant handhaben

Für PowerShell-Nutzer: 

powershell

Partner Center PowerShell-Modul — MFA-aktivierte Authentifizierung

$token = Connect-PartnerCenter -UseDeviceAuthentication

Option 2: Dienstprinzipal mit bedingtem Zugriff

Wenn Ihre Integration vollständig automatisiert ist (kein Mensch im Loop), müssen Sie Azure AD Conditional Access-Richtlinien explizit konfigurieren, die MFA-abhängige Anforderungen für den Dienstprinzipal durchsetzen.

Warnung: Dies ist komplex und fehleranfällig. Microsoft empfiehlt, wo möglich, vollständig automatisierte Dienstprinzipale für den Zugriff auf die Partner Center API zu vermeiden. Wenn Sie sie verwenden müssen, arbeiten Sie mit Ihrem Identity-Team zusammen, um Folgendes zu konfigurieren:
- Vertrauenswürdige Standortrichtlinien
- Zertifikatbasierte Authentifizierung
- Bedingter Zugriff, der MFA von bekannten IP-Bereichen erfordert

Option 3: Managed Service Provider / Distributor APIs

Cloud Factory-Partner, die die Cloud Factory-Portal-API (portal.api.cloudfactory.dk) für den indirekten API-Zugriff verwenden, sollten mit Cloud Factory überprüfen, ob die zugrunde liegende Partner Center API-Integration bereits MFA-konform ist. Nehmen Sie nichts an. Überprüfen Sie.

Kontaktieren Sie das Partner-Support-Team von Cloud Factory für:
- API-Audit Ihrer aktuellen Integrationen
- MFA-Migrationsfahrplan
- Aktualisierte API-Dokumentation
- Zugang zu Testumgebungen vor dem 1. September

Partner-spezifische Aktionscheckliste

Sofort (Juni–Juli 2026)

- [ ] Inventarisieren Sie alle Partner Center API-Integrationen — Skripte, Tools, Dashboards, Drittanbieterplattformen
- [ ] Identifizieren Sie, welche Integrationen client_credentials ohne MFA verwenden — diese werden kaputt gehen
- [ ] Überprüfen Sie mit Ihrem PSA/RMM-Anbieter — bestätigen Sie, dass sie einen Plan zur Einhaltung der Partner Center MFA haben
- [ ] Testen Sie MFA-authentifizierte Flows in einer Nicht-Produktionsumgebung
- [ ] Dokumentieren Sie die aktuellen Standorte der API-Anmeldeinformationen — gemeinsame Laufwerke, Key Vaults, hartkodiert in Skripten

Kurzfristig (Juli–August 2026)

- [ ] Aktualisieren Sie Skripte zur Verwendung von Gerätecode- oder interaktiven Authentifizierungsflüssen
- [ ] Konfigurieren Sie Azure AD Conditional Access-Richtlinien für den Zugriff auf die Partner Center API
- [ ] Schulen Sie technisches Personal zur MFA-sicheren Authentifizierung der Partner Center API
- [ ] Aktualisieren Sie Runbooks und Dokumentationen, um die neuen Authentifizierungsanforderungen zu reflektieren
- [ ] Planen Sie Brownout-Tests — simulieren Sie einen Cutoff am 1. September, um die Bereitschaft zu validieren

Vor dem Start (August 2026)

- [ ] Abschlusstests der Integration mit MFA-Durchsetzung in der Partner Center-Sandbox
- [ ] Rollback-Plan — wenn eine kritische Integration fehlschlägt, wissen, wie man schnell wiederherstellt
- [ ] Überwachen Sie die Ankündigungen des Partner Centers auf etwaige Terminänderungen oder zusätzliche Anforderungen
- [ ] Benachrichtigen Sie Kunden, wenn Ihre Dienstangebote vom Zugriff auf die Partner Center API abhängen

Kommerzielle Auswirkungen

Die Durchsetzung von MFA ist eine Compliance-Kosten, keine Umsatzchance — aber Partner, die sich frühzeitig vorbereiten, können dies in einen Wettbewerbsvorteil umwandeln:

- Sichere Differenzierung: Partner mit konformen API-Integrationen können "MFA-gesicherte Partner Center-Automatisierung" an sicherheitsbewusste Kunden bewerben
- Notfallgebühren vermeiden: Eilige Fixes im September kosten typischerweise 3-5x mehr als geplante Migrationen im Juni-August
- Risiko von Ausfallzeiten reduzieren: Kaputte Integrationen bedeuten kaputte Abrechnung, Bereitstellung und Berichterstattung. Ausfallzeiten, die Kunden betreffen, schädigen das Vertrauen
- Anbieterqualifizierung: Partner, die neue PSA/RMM-Tools evaluieren, sollten "Partner Center MFA-Konformität" zu den Anforderungen der RFP hinzufügen

Wichtige Erkenntnisse

- 1. September 2026 — Partner Center APIs erfordern MFA. Keine Ausnahmen
- Alle programmgesteuerten Zugriffe — REST APIs, PowerShell, benutzerdefinierte Skripte, Drittanbieter-Integrationen
- client_credentials ohne MFA werden fehlschlagen — aktualisieren Sie auf interaktive oder bedingte Zugriffsflüsse
- Drei Vorbereitungspfade — native App mit MFA, bedingter Zugriff für Dienstprinzipale oder Verifizierung der Distributor-APIs
- Handeln Sie bis August — Notfallfixes kosten mehr und bergen ein höheres Risiko von Ausfallzeiten
- Partnerchance — positionieren Sie die MFA-Konformität als Sicherheitsdifferenzierer

Die Partner Center API ist das Kreislaufsystem der Partneroperationen. Den unbefugten Zugriff zu unterbinden, ist die richtige Sicherheitsentscheidung. Partner, die dies als Wartungsaufgabe und nicht als strategische Priorität betrachten, werden am 1. September auf die harte Tour lernen. Diejenigen, die sich jetzt vorbereiten, werden konforme, sichere Integrationen haben und eine Geschichte für sicherheitsbewusste Kunden erzählen können.

Quelle: Microsoft Partner Center Ankündigungen — Juni 2026

Brauchen Sie Hilfe bei der Prüfung Ihrer Partner Center API-Integrationen auf MFA-Konformität? Kontaktieren Sie das Partner-Support-Team von Cloud Factory →