MFA-håndheving kommer til Partner Center API-er: Hva hver Microsoft-partner må forberede seg på
Microsoft håndhever Multi-Factor Authentication (MFA) for all Partner Center API-tilgang fra 1. september 2026. Dette er ikke en anbefaling eller et forslag til beste praksis. Det er et obligatorisk teknisk krav som vil blokkere API-tilgang for enhver integrasjon — faktureringssystemer, provisioning-skript, rapporteringsdashbord eller tilpassede partnerportaler — som ikke autentiserer med MFA. For Cloud Factorys 900+ CSP-partnere er forberedelsesvinduet i ferd med å lukke. Her er hva som har endret seg, hva som vil bryte, og nøyaktig hva du må gjøre før 1. september.
Hva har endret seg
Microsoft kunngjorde den 8. juni 2026 at alle Partner Center API-endepunkter — inkludert CSP-kunde- og abonnement-API-er, pris-API, analyse-API og moderne handels-API-er — vil kreve MFA-autentiserte legitimasjoner fra 1. september 2026.
Dette gjelder:
- Alle Partner Center REST API-anrop
- PowerShell-skript som bruker Partner Center-modulen
- Automatiserte fakturerings- og provisioning-integrasjoner
- Tredjepartsverktøy og ISV-integrasjoner som kaller Partner Center API-er
- Eventuelle tilpassede dashbord eller rapporteringsverktøy
Ingen unntak. Ingen overgangsperioder for eldre systemer. Ingen bestefarsrett for eksisterende integrasjoner.
Hvorfor Microsoft gjorde denne endringen
Partner Center API-er gir tilgang til:
- Kunde-tenantdata og abonnementsdetaljer
- Prisinformasjon og tilbud
- Fakturerings- og fakturadata
- Lisensiering og brukerstyring
Dette er et høyt verdsatt angrepspunkt. En kompromittert API-legitimasjon gir angripere tilgang til hele partner-kunde tillitslaget. MFA-håndheving er Microsofts svar på økende målretting fra trusselaktører mot partnerøkosystemer — de samme vektorene som ble brukt i SolarWinds- og Solarigate-hendelsene.
Partner Center API er ryggraden i distributør- og forhandleroperasjoner. Å beskytte det med MFA er en ikke-forhandlingsbar sikkerhetsstandard.
Hva bryter 1. september
Enhver integrasjon som bruker client_credentials eller grunnleggende autentisering uten MFA vil motta HTTP 401 / 403-feil fra 1. september 2026. Dette inkluderer:
| Integrasjonstype | Risikonivå | Hvorfor det vil bryte |
|---|---|---|
| Eldre faktureringsskript som kun bruker client_id + client_secret | Kritisk | Ingen MFA-token i autentiseringsflyten |
| Automatiserte provisioning-verktøy | Høy | Tjenesteprinsipper uten betinget tilgang |
| Rapporteringsdashbord som henter Partner Center-data | Høy | Statisk API-nøkler uten MFA-utfordring |
| Tredjeparts PSA/RMM-integrasjoner | Moderat | Varierer etter leverandør — noen er klare, noen er ikke |
| Interne revisjons- og samsvars-skript | Moderat | Ofte bygget uten MFA-flyter |
Den tekniske løsningen: Hvordan forberede seg
Alternativ 1: Nativ applikasjon med MFA-flyt (Anbefalt)
Bygg eller oppdater API-integrasjonene dine til å bruke OAuth 2.0 med enhetskodeflyt eller interaktiv autentisering som ber om MFA når det er nødvendig.
Krav:
- Registrer en Azure AD-applikasjon med Partner Center API-rettigheter
- Konfigurer betingede tilgangspolicyer for å kreve MFA for app-tilgang
- Oppdater skriptene til å bruke Get-PartnerAccessToken med -UseDeviceAuthentication eller tilsvarende
- Håndter tokenoppdatering og re-autentisering på en smidig måte
For PowerShell-brukere:
powershell
Partner Center PowerShell-modul — MFA-aktivert autentisering
$token = Connect-PartnerCenter -UseDeviceAuthentication
Alternativ 2: Tjenesteprinsipp med betinget tilgang
Hvis integrasjonen din er fullt automatisert (ingen menneskelig involvering), må du eksplisitt konfigurere Azure AD Conditional Access-policies som håndhever MFA-betingede krav for tjenesteprinsippet.
Advarsel: Dette er komplekst og feilutsatt. Microsoft anbefaler å unngå fullt automatiserte tjenesteprinsipper for Partner Center API-tilgang der det er mulig. Hvis du må bruke dem, samarbeid med identitetsteamet ditt for å konfigurere:
- Betrodde plasseringpolicyer
- Sertifikatbasert autentisering
- Betinget tilgang som krever MFA fra kjente IP-adresser
Alternativ 3: Administrerte tjenesteleverandør / Distributør API-er
Cloud Factory-partnere som bruker Cloud Factorys portal-API (portal.api.cloudfactory.dk) for indirekte API-tilgang bør verifisere med Cloud Factory om den underliggende Partner Center API-integrasjonen allerede er MFA-kompatibel. Ikke anta. Verifiser.
Kontakt Cloud Factorys partnerstøtteteam for:
- API-revisjon av dine nåværende integrasjoner
- MFA-migrasjonsplan
- Oppdatert API-dokumentasjon
- Tilgang til testmiljøer før 1. september
Partner-spesifikk handlingssjekkliste
Umiddelbart (juni–juli 2026)
- [ ] Lag en oversikt over alle Partner Center API-integrasjoner — skript, verktøy, dashbord, tredjepartsplattformer
- [ ] Identifiser hvilke integrasjoner som bruker client_credentials uten MFA — disse vil bryte
- [ ] Sjekk med PSA/RMM-leverandøren din — bekreft at de har en plan for Partner Center MFA-samsvar
- [ ] Test MFA-autentiserte flyter i et ikke-produksjonsmiljø
- [ ] Dokumenter nåværende API-legitimasjonssteder — delte stasjoner, Key Vaults, hardkodet i skript
Kortsiktig (juli–august 2026)
- [ ] Oppdater skriptene til å bruke enhetskode eller interaktive autentiseringsflyter
- [ ] Konfigurer Azure AD Conditional Access-policies for Partner Center API-tilgang
- [ ] Tren teknisk personale i MFA-sikker Partner Center API-autentisering
- [ ] Oppdater kjøreplaner og dokumentasjon for å gjenspeile nye autentiseringskrav
- [ ] Planlegg brownout-testing — simuler en cutoff 1. september for å validere beredskap
Før lansering (august 2026)
- [ ] Endelig integrasjonstesting med MFA håndhevet i Partner Center sandkasse
- [ ] Tilbakeføringsplan — hvis en kritisk integrasjon feiler, vit hvordan du raskt kan gjenopprette
- [ ] Overvåk Partner Center-kunngjøringer for eventuelle datoendringer eller ytterligere krav
- [ ] Informer kunder hvis tjenestetilbudene dine avhenger av Partner Center API-tilgang
Kommersiell påvirkning
MFA-håndheving er en samsvars kostnad, ikke en inntektsmulighet — men partnere som forbereder seg tidlig kan gjøre det til en konkurransefordel:
- Skille seg ut på sikkerhet: Partnere med samsvarende API-integrasjoner kan reklamere for "MFA-sikret Partner Center-automatisering" til sikkerhetsbevisste kunder
- Unngå nødavgifter: Hastede løsninger i september koster vanligvis 3-5 ganger mer enn planlagte migrasjoner i juni–august
- Redusere nedetid: Ødelagte integrasjoner betyr ødelagt fakturering, provisioning og rapportering. Nedetid som påvirker kunder skader tilliten
- Leverandørkvalifisering: Partnere som vurderer nye PSA/RMM-verktøy bør legge til "Partner Center MFA-samsvar" i kravene til RFP
Viktige punkter
- 1. september 2026 — Partner Center API-er krever MFA. Ingen unntak
- All programmatisk tilgang — REST API-er, PowerShell, tilpassede skript, tredjepartsintegrasjoner
- client_credentials uten MFA vil feile — oppdater til interaktive eller betingede tilgangs-flyter
- Tre forberedelsesveier — nativ app med MFA, betinget tilgang for tjenesteprinsipper, eller verifisering av distributør-API
- Handle innen august — nødrettelser koster mer og har høyere risiko for nedetid
- Partnermulighet — posisjonere MFA-samsvar som en sikkerhetsdifferensierer
Partner Center API er sirkulasjonssystemet i partneroperasjoner. Å kutte av uautentisert tilgang er den riktige sikkerhetsbeslutningen. Partnere som behandler dette som en vedlikeholdsoppgave og ikke en strategisk prioritet, vil lære den harde måten 1. september. De som forbereder seg nå, vil ha samsvarende, sikre integrasjoner og en historie å fortelle til sikkerhetsbevisste kunder.
Kilde: Microsoft Partner Center-kunngjøringer — juni 2026
Trenger du hjelp til å revidere dine Partner Center API-integrasjoner for MFA-samsvar? Kontakt Cloud Factorys partnerstøtteteam →