MFA-pakko tulossa Partner Center API:hin: Mitä jokaisen Microsoft-kumppanin tulee valmistella

Microsoft ottaa käyttöön Monivaiheisen todennuksen (MFA) kaikessa Partner Center API -käytössä alkaen 1. syyskuuta 2026. Tämä ei ole suositus tai paras käytäntö -ehdotus. Se on pakollinen tekninen vaatimus, joka estää API-käytön kaikilta integraatioilta — laskutusjärjestelmiltä, provisionointiskripteiltä, raportointipaneeleilta tai mukautetuilta kumppaniportaaleilta — jotka eivät todenneta MFA:lla. Cloud Factoryn yli 900 CSP-kumppanille valmistautumisaika on päättymässä. Tässä on, mitä on muuttunut, mitä se rikkoo ja tarkalleen mitä tehdä ennen 1. syyskuuta.

Mitä on muuttunut

Microsoft ilmoitti 8. kesäkuuta 2026, että kaikki Partner Center API -päätepisteet — mukaan lukien CSP-asiakas- ja tilaus-API:t, hinnoittelu-API, analytiikka-API ja modernin kaupankäynnin API:t — vaativat MFA-todennettavat käyttöoikeudet 1. syyskuuta 2026 alkaen.

Tämä koskee:
- Kaikkia Partner Center REST API -kutsuja
- PowerShell-skriptejä, jotka käyttävät Partner Center -moduulia
- Automaattisia laskutus- ja provisionointiintegratioita
- Kolmannen osapuolen työkaluja ja ISV-integroitumisia, jotka kutsuvat Partner Center API:ta
- Kaikkia mukautettuja koontinäyttöjä tai raportointityökaluja

Ei poikkeuksia. Ei perinteisiä siirtymäaikoja. Ei vanhojen integraatioiden suojaamista.

Miksi Microsoft teki tämän muutoksen

Partner Center API:t tarjoavat pääsyn:
- Asiakasvuokraajan tietoihin ja tilausyksityiskohtiin
- Hinnoittelu- ja tarjousinformaatioon
- Laskutus- ja invoicing-tietoihin
- Lisensointi- ja käyttäjähallintaan

Tämä on korkean arvon hyökkäyspinta. Kompromettoitu API-käyttöoikeus antaa hyökkääjille pääsyn koko kumppani-asiakasluottamustasoon. MFA:n käyttöönotto on Microsoftin vastaus kumppaniekosysteemien kasvavaan uhkaamiseen — samoja vektoreita käytettiin SolarWinds- ja Solarigate-tapahtumissa.

Partner Center API on jakelijan ja jälleenmyyjän toimintojen selkäranka. Sen suojaaminen MFA:lla on neuvotteleva turvallisuusperusta.

Mitä rikkoutuu 1. syyskuuta

Mikä tahansa integraatio, joka käyttää client_credentials tai perusautentikointia ilman MFA:ta, saa HTTP 401 / 403 -virheitä 1. syyskuuta 2026 alkaen. Tämä sisältää:

Tekninen ratkaisu: Kuinka valmistautua

Vaihtoehto 1: Natiivisovellus MFA-prosessilla (Suositeltava)

Rakenna tai päivitä API-integraatiosi käyttämään OAuth 2.0 -laitetodennusta tai vuorovaikutteista todennusta, joka pyytää MFA:ta tarvittaessa.

Vaatimukset:
- Rekisteröi Azure AD -sovellus Partner Center API -oikeuksilla
- Määritä ehdolliset pääsykäytännöt, jotka vaativat MFA:ta sovelluksen käytölle
- Päivitä skriptit käyttämään Get-PartnerAccessToken -komentoa -UseDeviceAuthentication tai vastaavaa
- Käsittele tokenin uusiminen ja uudelleenautentikointi sujuvasti

PowerShell-käyttäjille:

powershell
Partner Center PowerShell -moduuli — MFA-aktivointi
$token = Connect-PartnerCenter -UseDeviceAuthentication

Vaihtoehto 2: Palveluperiaate ehdollisella pääsyllä

Jos integraatiosi on täysin automatisoitu (ei ihmistä prosessissa), sinun on nimenomaisesti määritettävä Azure AD:n ehdolliset pääsykäytännöt, jotka pakottavat MFA-ehdot palveluperiaatteelle.

Varoitus: Tämä on monimutkaista ja altista virheille. Microsoft suosittelee välttämään täysin automatisoituja palveluperiaatteita Partner Center API -käytössä, jos mahdollista. Jos sinun on käytettävä niitä, työskentele identiteettitiimisi kanssa määrittääksesi:
- Luotettavat sijaintikäytännöt
- Sertifikaalipohjainen todennus
- Ehdollinen pääsy, joka vaatii MFA:ta tunnetuista IP-alueista

Vaihtoehto 3: Hallinnoidut palveluntarjoajat / Jakelijan API:t

Cloud Factoryn kumppanit, jotka käyttävät Cloud Factoryn portaali-API:a (portal.api.cloudfactory.dk) epäsuoraan API-käyttöön, tulisi varmistaa Cloud Factorylta, onko taustalla oleva Partner Center API -integraatio jo MFA-yhteensopiva. Älä oletakaan. Varmista.

Ota yhteyttä Cloud Factoryn kumppanitukeen saadaksesi:
- API-auditointi nykyisistä integraatioistasi
- MFA-migraatiopolku
- Päivitetty API-dokumentaatio
- Pääsy testausympäristöihin ennen 1. syyskuuta

Kumppanikohtainen toimenpidelista

Välitön (kesä–heinäkuu 2026)

- [ ] Inventoi kaikki Partner Center API -integraatiot — skriptit, työkalut, paneelit, kolmannen osapuolen alustat
- [ ] Tunnista, mitkä integraatiot käyttävät client_credentials ilman MFA:ta — nämä rikkoutuvat
- [ ] Tarkista PSA/RMM-toimittajaltasi — varmista, että heillä on Partner Centerin MFA-yhteensopivuussuunnitelma
- [ ] Testaa MFA-todennusprosessit ei-tuotantoympäristössä
- [ ] Dokumentoi nykyisten API-käyttöoikeuksien sijainnit — jaetut levyt, Key Vaultit, kovakoodatut skripteissä

Lyhyen aikavälin (heinä–elokuu 2026)

- [ ] Päivitä skriptit käyttämään laitetodennusta tai vuorovaikutteisia todennusprosesseja
- [ ] Määritä Azure AD:n ehdolliset pääsykäytännöt Partner Center API -käytölle
- [ ] Kouluta tekninen henkilökunta MFA-turvallisesta Partner Center API -todennuksesta
- [ ] Päivitä käyttöohjeet ja dokumentaatio uusien todennusvaatimusten mukaisiksi
- [ ] Aikatauluta brownout-testit — simuloida syyskuun 1. päivän katkaisua valmiuden todentamiseksi

Ennen lanseerausta (elokuu 2026)

- [ ] Viimeinen integraatiotestaus MFA:n pakottamisella Partner Centerin hiekkalaatikossa
- [ ] Palautussuunnitelma — jos kriittinen integraatio epäonnistuu, tiedä, miten palauttaa nopeasti
- [ ] Seuraa Partner Centerin ilmoituksia mahdollisista päivämäärämuutoksista tai lisävaatimuksista
- [ ] Ilmoita asiakkaille, jos palvelutarjontasi riippuu Partner Center API -käytöstä

Kaupallinen vaikutus

MFA:n käyttöönotto on vaatimustenmukaisuuskustannus, ei tulomahdollisuus — mutta kumppanit, jotka valmistautuvat aikaisin, voivat muuttaa sen kilpailueduksi:

- Erottaudu turvallisuudessa: Kumppanit, joilla on yhteensopivia API-integraatioita, voivat mainostaa "MFA-suojattua Partner Center -automaatioita" turvallisuudesta huolehtiville asiakkaille
- Vältä hätätilamaksuja: Kiireelliset syyskuun korjaukset maksavat tyypillisesti 3-5 kertaa enemmän kuin suunnitellut kesä-elokuun migraatiot
- Vähennä seisokkiriskin: Rikkoutuneet integraatiot tarkoittavat rikkoutunutta laskutusta, provisionointia ja raportointia. Asiakkaalle näkyvä seisokki vahingoittaa luottamusta
- Toimittajan pätevyys: Kumppanit, jotka arvioivat uusia PSA/RMM-työkaluja, tulisi lisätä "Partner Center MFA -yhteensopivuus" tarjouspyynnön vaatimuksiin

Keskeiset huomiot

- 1. syyskuuta 2026 — Partner Center API:t vaativat MFA:ta. Ei poikkeuksia
- Kaikki ohjelmallinen pääsy — REST API:t, PowerShell, mukautetut skriptit, kolmannen osapuolen integraatiot
- client_credentials ilman MFA epäonnistuu — päivitä vuorovaikutteisiin tai ehdollisen pääsyn prosesseihin
- Kolme valmistautumispolkua — natiivisovellus MFA:lla, ehdollinen pääsy palveluperiaatteille tai jakelijan API-tarkistus
- Toimi elokuuhun mennessä — hätäkorjaukset maksavat enemmän ja niihin liittyy suurempi seisokkiriski
- Kumppanien mahdollisuus — asemoida MFA-yhteensopivuus turvallisuuserottelijana

Partner Center API on kumppaniohjelmien verenkiertoelimistö. Todentamattoman pääsyn katkaiseminen on oikea turvallisuusratkaisu. Kumppanit, jotka pitävät tätä ylläpitotehtävänä eikä strategisena prioriteettina, oppivat vaikean kautta 1. syyskuuta. Ne, jotka valmistautuvat nyt, saavat yhteensopivia, turvallisia integraatioita ja tarinan kerrottavaksi turvallisuudesta huolehtiville asiakkaille.

Lähde: Microsoft Partner Center -ilmoitukset — kesäkuu 2026

Tarvitsetko apua Partner Center API -integraatioidesi auditoinnissa MFA-yhteensopivuuden osalta? Ota yhteyttä Cloud Factoryn kumppanitukitiimiin →