MFA Håndhævelse Kommer til Partner Center API'er: Hvad Hver Microsoft Partner Skal Forberede Sig På
Microsoft håndhæver Multi-Factor Authentication (MFA) for al Partner Center API-adgang fra 1. september 2026. Dette er ikke en anbefaling eller et forslag til bedste praksis. Det er et obligatorisk teknisk krav, der vil blokere API-adgang for enhver integration — faktureringssystemer, provisioning-scripts, rapporteringsdashboards eller brugerdefinerede partnerportaler — der ikke autentificerer med MFA. For Cloud Factory's 900+ CSP-partnere er forberedelsesvinduet ved at lukke. Her er, hvad der er ændret, hvad det bryder, og præcist hvad du skal gøre inden 1. september.
Hvad Er Ændret
Microsoft annoncerede den 8. juni 2026, at alle Partner Center API-endepunkter — inklusive CSP-kunde- og abonnements-API'er, pris-API'et, analyse-API'et og de moderne handels-API'er — vil kræve MFA-autentificerede legitimationsoplysninger fra 1. september 2026.
Dette gælder for:
- Alle Partner Center REST API-opkald
- PowerShell-scripts, der bruger Partner Center-modulet
- Automatiserede fakturerings- og provisioning-integrationer
- Tredjeparts værktøjer og ISV-integrationer, der kalder Partner Center API'er
- Enhver brugerdefineret dashboard eller rapporteringsværktøj
Ingen undtagelser. Ingen legacy grace-perioder. Ingen grandfathering for eksisterende integrationer.
Hvorfor Microsoft Lavede Denne Ændring
Partner Center API'er giver adgang til:
- Kunde-tenantdata og abonnementsdetaljer
- Priser og tilbudsinformation
- Fakturerings- og faktureringsdata
- Licensering og brugerstyring
Dette er en højværdi angrebsflade. En kompromitteret API-legitimationsoplysning giver angribere adgang til hele partner-kunde tillidslaget. MFA-håndhævelse er Microsofts svar på den stigende målretning af trusselaktører mod partnerøkosystemer — de samme vektorer, der blev brugt i SolarWinds og Solarigate hændelserne.
Partner Center API'en er rygraden i distributør- og forhandleroperationer. At beskytte den med MFA er en uforhandlingsbar sikkerhedsbaseline.
Hvad Bryder Den 1. September
Enhver integration, der bruger client_credentials eller grundlæggende autentificering uden MFA, vil modtage HTTP 401 / 403 fejl fra 1. september 2026. Dette inkluderer:
| Integrationstype | Risikoniveau | Hvorfor Det Vil Bryde |
|---|---|---|
| Legacy faktureringsscripts, der kun bruger client_id + client_secret | Kritisk | Ingen MFA-token i autentificeringsflowet |
| Automatiserede provisioning-værktøjer | Høj | Serviceprincipper uden betinget adgang |
| Rapportering dashboards, der henter Partner Center-data | Høj | Statisk API-nøgler uden MFA-udfordring |
| Tredjeparts PSA/RMM-integrationer | Medium | Varierer efter leverandør — nogle er klar, nogle er ikke |
| Interne revisions- og compliance-scripts | Medium | Ofte bygget uden MFA-flow |
Den Tekniske Løsning: Hvordan Man Forbereder Sig
Mulighed 1: Native Applikation med MFA Flow (Anbefalet)
Byg eller opdater dine API-integrationer til at bruge OAuth 2.0 med enhedskodeflow eller interaktiv autentificering, der beder om MFA, når det er nødvendigt.
Krav:
- Registrer en Azure AD-applikation med Partner Center API-rettigheder
- Konfigurer betingede adgangspolitikker for at kræve MFA for app-adgang
- Opdater scripts til at bruge Get-PartnerAccessToken med -UseDeviceAuthentication eller ækvivalent
- Håndter tokenopfriskning og re-autentificering smidigt
For PowerShell-brugere:
powershell
Partner Center PowerShell modul — MFA-aktiveret autentificering
$token = Connect-PartnerCenter -UseDeviceAuthentication
Mulighed 2: Service Principal med Betinget Adgang
Hvis din integration er fuldautomatiseret (ingen menneskelig involvering), skal du eksplicit konfigurere Azure AD Conditional Access-politikker, der håndhæver MFA-betingede krav for serviceprincippet.
Advarsel: Dette er komplekst og fejlbehæftet. Microsoft anbefaler at undgå fuldautomatiserede serviceprincipper for Partner Center API-adgang, hvor det er muligt. Hvis du skal bruge dem, skal du arbejde sammen med dit identitetsteam for at konfigurere:
- Betroede placeringspolitikker
- Certifikatbaseret autentificering
- Betinget adgang, der kræver MFA fra kendte IP-områder
Mulighed 3: Managed Service Provider / Distributør API'er
Cloud Factory-partnere, der bruger Cloud Factory's portal API (portal.api.cloudfactory.dk) til indirekte API-adgang, bør bekræfte med Cloud Factory, om den underliggende Partner Center API-integration allerede er MFA-kompatibel. Antag ikke. Bekræft.
Kontakt Cloud Factory's partner supportteam for:
- API-revision af dine nuværende integrationer
- MFA migrationsvejkort
- Opdateret API-dokumentation
- Adgang til testmiljøer før 1. september
Partner-Specifik Handlingsliste
Umiddelbart (Juni–Juli 2026)
- [ ] Optegn alle Partner Center API-integrationer — scripts, værktøjer, dashboards, tredjepartsplatforme
- [ ] Identificer hvilke integrationer der bruger client_credentials uden MFA — disse vil bryde
- [ ] Tjek med din PSA/RMM-leverandør — bekræft, at de har en Partner Center MFA-overholdelsesplan
- [ ] Test MFA-autentificerede flows i et ikke-produktionsmiljø
- [ ] Dokumenter nuværende API-legitimationsoplysningers placeringer — delte drev, Key Vaults, hardkodet i scripts
Kortsigtet (Juli–August 2026)
- [ ] Opdater scripts til at bruge enhedskode eller interaktive autentificeringsflows
- [ ] Konfigurer Azure AD Conditional Access-politikker for Partner Center API-adgang
- [ ] Træn teknisk personale i MFA-sikre Partner Center API-autentificering
- [ ] Opdater runbooks og dokumentation for at afspejle nye autentificeringskrav
- [ ] Planlæg brownout-test — simulere en 1. september cutoff for at validere klarhed
For-Lancering (August 2026)
- [ ] Endelig integrationstest med MFA håndhævet i Partner Center sandbox
- [ ] Rollback-plan — hvis en kritisk integration fejler, ved hvordan man hurtigt gendanner
- [ ] Overvåg Partner Center meddelelser for eventuelle datoændringer eller yderligere krav
- [ ] Underret kunder hvis dine serviceydelser afhænger af Partner Center API-adgang
Kommerciel Indvirkning
MFA-håndhævelse er en overholdelsesomkostning, ikke en indtægtsmulighed — men partnere, der forbereder sig tidligt, kan vende det til en konkurrencefordel:
- Differentier på sikkerhed: Partnere med overholdende API-integrationer kan annoncere "MFA-sikret Partner Center automatisering" til sikkerhedsbevidste kunder
- Undgå nødafgifter: Hastede reparationer i september koster typisk 3-5 gange mere end planlagte migrationer i juni-august
- Reducer nedetidens risiko: Brudte integrationer betyder brudt fakturering, provisioning og rapportering. Nedetid, der påvirker kunder, skader tilliden
- Leverandørkvalifikation: Partnere, der evaluerer nye PSA/RMM-værktøjer, bør tilføje "Partner Center MFA-overholdelse" til RFP-krav
Nøglepunkter
- 1. september 2026 — Partner Center API'er kræver MFA. Ingen undtagelser
- Al programmatisk adgang — REST API'er, PowerShell, brugerdefinerede scripts, tredjepartsintegrationer
- client_credentials uden MFA vil fejle — opdater til interaktive eller betingede adgangsflows
- Tre forberedelsesveje — native app med MFA, betinget adgang for serviceprincipper, eller distributør API-verifikation
- Handl inden august — nødreparationer koster mere og medfører højere nedetid
- Partnermulighed — positioner MFA-overholdelse som en sikkerhedsdifferentier
Partner Center API'en er kredsløbssystemet for partneroperationer. At skære uautentificeret adgang er den rigtige sikkerhedsbeslutning. Partnere, der behandler dette som en vedligeholdelsesopgave og ikke en strategisk prioritet, vil lære den hårde måde den 1. september. De, der forbereder sig nu, vil have overholdende, sikre integrationer og en historie at fortælle til sikkerhedsbevidste kunder.
Kilde: Microsoft Partner Center Meddelelser — Juni 2026
Har du brug for hjælp til at revidere dine Partner Center API-integrationer for MFA-overholdelse? Kontakt Cloud Factory's partner supportteam →