MFA-tillämpning kommer till Partner Center API:er: Vad varje Microsoft-partner måste förbereda sig för
Microsoft kommer att införa Multi-Factor Authentication (MFA) för all Partner Center API-åtkomst från och med 1 september 2026. Detta är inte en rekommendation eller ett förslag på bästa praxis. Det är ett obligatoriskt tekniskt krav som kommer att blockera API-åtkomst för alla integrationer — faktureringssystem, provisioneringsskript, rapporteringsinstrumentpaneler eller anpassade partnerportaler — som inte autentiserar med MFA. För Cloud Factorys 900+ CSP-partner stängs förberedelsefönstret. Här är vad som har förändrats, vad som bryts och exakt vad du ska göra innan den 1 september.
Vad har förändrats
Microsoft meddelade den 8 juni 2026 att alla Partner Center API-slutpunkter — inklusive CSP-kund- och prenumerations-API:er, prissättnings-API, analys-API och moderna handels-API:er — kommer att kräva MFA-autentiserade referenser från och med 1 september 2026.
Detta gäller:
- Alla Partner Center REST API-anrop
- PowerShell-skript som använder Partner Center-modulen
- Automatiserade fakturerings- och provisioneringsintegrationer
- Tredjepartsverktyg och ISV-integrationer som anropar Partner Center API:er
- Eventuella anpassade instrumentpaneler eller rapporteringsverktyg
Inga undantag. Inga övergångsperioder för äldre system. Ingen "grandfathering" för befintliga integrationer.
Varför Microsoft gjorde denna förändring
Partner Center API:er ger åtkomst till:
- Kundens hyresgästdata och prenumerationsdetaljer
- Prissättnings- och erbjudandeinformation
- Fakturerings- och faktureringsdata
- Licensiering och användarhantering
Detta är en högvärdig attackyta. En komprometterad API-referens ger angripare åtkomst till hela partner-kundens förtroendeskikt. MFA-tillämpning är Microsofts svar på den ökande målinriktningen av hotaktörer mot partnerekosystem — samma vektorer som användes i SolarWinds- och Solarigate-incidenterna.
Partner Center API är ryggraden i distributörs- och återförsäljarverksamhet. Att skydda det med MFA är en icke-förhandlingsbar säkerhetsgrund.
Vad bryts den 1 september
Alla integrationer som använder client_credentials eller grundläggande autentisering utan MFA kommer att få HTTP 401 / 403-fel från och med den 1 september 2026. Detta inkluderar:
| Integrationstyp | Risknivå | Varför det kommer att brytas |
|---|---|---|
| Äldre faktureringsskript som använder endast client_id + client_secret | Kritisk | Ingen MFA-token i autentiseringsflödet |
| Automatiserade provisioneringsverktyg | Hög | Tjänsteprinciper utan villkorlig åtkomst |
| Rapporteringsinstrumentpaneler som hämtar Partner Center-data | Hög | Statiska API-nycklar utan MFA-utmaning |
| Tredjeparts PSA/RMM-integrationer | Medium | Varierar beroende på leverantör — vissa är redo, vissa är inte |
| Interna revisions- och efterlevnadsskript | Medium | Ofta byggda utan MFA-flöden |
Den tekniska lösningen: Hur man förbereder sig
Alternativ 1: Native applikation med MFA-flöde (Rekommenderas)
Bygg eller uppdatera dina API-integrationer för att använda OAuth 2.0 med enhetskodflöde eller interaktiv autentisering som uppmanar till MFA när det behövs.
Krav:
- Registrera en Azure AD-applikation med Partner Center API-behörigheter
- Konfigurera villkorliga åtkomstpolicyer för att kräva MFA för appåtkomst
- Uppdatera skript för att använda Get-PartnerAccessToken med -UseDeviceAuthentication eller motsvarande
- Hantera tokenuppdatering och re-autentisering smidigt
För PowerShell-användare:
powershell
Partner Center PowerShell-modul — MFA-aktiverad autentisering
$token = Connect-PartnerCenter -UseDeviceAuthentication
Alternativ 2: Tjänsteprincip med villkorlig åtkomst
Om din integration är helt automatiserad (ingen människa i loopen) måste du uttryckligen konfigurera Azure AD Conditional Access-policyer som genomdriver MFA-villkor för tjänsteprincipen.
Varning: Detta är komplext och felbenäget. Microsoft rekommenderar att undvika helt automatiserade tjänsteprinciper för Partner Center API-åtkomst där det är möjligt. Om du måste använda dem, samarbeta med ditt identitetsteam för att konfigurera:
- Betrodda platspolicyer
- Certifikatbaserad autentisering
- Villkorlig åtkomst som kräver MFA från kända IP-områden
Alternativ 3: Hanterade tjänsteleverantörers / distributörers API:er
Cloud Factory-partner som använder Cloud Factorys portal-API (portal.api.cloudfactory.dk) för indirekt API-åtkomst bör verifiera med Cloud Factory om den underliggande Partner Center API-integrationen redan är MFA-kompatibel. Anta inte. Verifiera.
Kontakta Cloud Factorys partner-supportteam för:
- API-revision av dina nuvarande integrationer
- MFA-migrationsplan
- Uppdaterad API-dokumentation
- Åtkomst till testmiljöer före den 1 september
Partner-specifik åtgärdschecklista
Omedelbart (juni–juli 2026)
- [ ] Inventera alla Partner Center API-integrationer — skript, verktyg, instrumentpaneler, tredjepartsplattformar
- [ ] Identifiera vilka integrationer som använder client_credentials utan MFA — dessa kommer att brytas
- [ ] Kontrollera med din PSA/RMM-leverantör — bekräfta att de har en plan för Partner Center MFA-efterlevnad
- [ ] Testa MFA-autentiserade flöden i en icke-produktionsmiljö
- [ ] Dokumentera nuvarande API-referensplatser — delade enheter, Key Vaults, hårdkodade i skript
Kort sikt (juli–augusti 2026)
- [ ] Uppdatera skript för att använda enhetskod eller interaktiva autentiseringsflöden
- [ ] Konfigurera Azure AD Conditional Access-policyer för Partner Center API-åtkomst
- [ ] Utbilda teknisk personal om MFA-säker Partner Center API-autentisering
- [ ] Uppdatera runbooks och dokumentation för att återspegla nya autentiseringskrav
- [ ] Schemalägg brunout-testning — simulera ett avbrott den 1 september för att validera beredskap
Före lansering (augusti 2026)
- [ ] Slutlig integrationstestning med MFA tillämpad i Partner Center sandbox
- [ ] Rollback-plan — om en kritisk integration misslyckas, vet hur man snabbt återställer
- [ ] Övervaka Partner Center-meddelanden för eventuella datumändringar eller ytterligare krav
- [ ] Informera kunder om dina tjänsteerbjudanden beror på Partner Center API-åtkomst
Kommersiell påverkan
MFA-tillämpning är en efterlevnadskostnad, inte en intäktsmöjlighet — men partners som förbereder sig tidigt kan omvandla det till en konkurrensfördel:
- Differentiera på säkerhet: Partners med efterlevande API-integrationer kan marknadsföra "MFA-säkrad Partner Center-automatisering" till säkerhetsmedvetna kunder
- Undvik akutfakturor: Stressade lösningar i september kostar vanligtvis 3-5 gånger mer än planerade migrationer i juni-augusti
- Minska risken för driftstopp: Brytna integrationer innebär brytna faktureringar, provisionering och rapportering. Driftstopp som påverkar kunder skadar förtroendet
- Leverantörskvalifikation: Partners som utvärderar nya PSA/RMM-verktyg bör lägga till "Partner Center MFA-efterlevnad" till RFP-kraven
Viktiga punkter
- 1 september 2026 — Partner Center API:er kräver MFA. Inga undantag
- All programmatisk åtkomst — REST API:er, PowerShell, anpassade skript, tredjepartsintegrationer
- client_credentials utan MFA kommer att misslyckas — uppdatera till interaktiva eller villkorliga åtkomstflöden
- Tre förberedelsevägar — native app med MFA, villkorlig åtkomst för tjänsteprinciper, eller verifiering av distributörs-API:er
- Agera före augusti — akutfix kostar mer och medför högre risk för driftstopp
- Partnermöjlighet — positionera MFA-efterlevnad som en säkerhetsdifferentierare
Partner Center API är cirkulationssystemet för partnerverksamhet. Att stänga av oautentiserad åtkomst är rätt säkerhetsbeslut. Partners som behandlar detta som en underhållsuppgift och inte som en strategisk prioritet kommer att lära sig den hårda vägen den 1 september. De som förbereder sig nu kommer att ha efterlevande, säkra integrationer och en berättelse att berätta för säkerhetsmedvetna kunder.
Källa: Microsoft Partner Center-meddelanden — juni 2026
Behöver du hjälp med att revidera dina Partner Center API-integrationer för MFA-efterlevnad? Kontakta Cloud Factorys partner-supportteam →