Microsoft wysłał ostatnie przypomnienie: od 1 kwietnia 2026 uwierzytelnianie wieloskładnikowe (MFA) będzie wymagane dla wszystkich interfejsów API aplikacja+użytkownik w Partner Center. Wszystkie wywołania API bez MFA po tej dacie zostaną zablokowane.
To nie jest łagodne ostrzeżenie. Jeśli Twoje systemy nie są zaktualizowane, spodziewaj się przerw w działaniu usług.
Co się zmienia?
Wszystkie wywołania API aplikacja+użytkownik do Partner Center muszą zawierać prawidłowe roszczenie MFA. Żądania bez niego otrzymają:
- Kod odpowiedzi HTTP 401 - Kod błędu 900421
Microsoft egzekwuje to już dla dzierżawców sandbox, a wszystkie interfejsy API są włączone dla MFA i dostępne do testowania.
Dlaczego to ważne
To egzekwowanie następuje po wymaganiach MFA, które Microsoft wdrożył we wrześniu 2025 dla portalu Partner Center. Rozszerza tę samą ochronę na dostęp przez API — zamykając istotną lukę w łańcuchu bezpieczeństwa.
Według Microsoftu MFA chroni przed 99% ataków opartych na tożsamości. Dla partnerów obsługujących dane klientów i zarządzających subskrypcjami przez API jest to krytyczna warstwa ochrony.
Co musisz zrobić przed 1 kwietnia
- Przejrzyj wymagania MFA — Zapoznaj się z obsługiwanymi opcjami MFA dla Partner Center.
- Zaktualizuj integracje — Upewnij się, że wszystkie wywołania API aplikacja+użytkownik wysyłają prawidłowy token MFA.
- Zweryfikuj konfigurację — Skorzystaj z przewodnika Microsoftu, aby potwierdzić, że wywołania API zawierają MFA.
- Testuj teraz — Wszystkie API są już włączone dla MFA. Nie czekaj do dnia egzekwowania, żeby dowiedzieć się, że coś nie działa.
Podsumowanie
Jeśli jesteś partnerem CSP, dystrybutorem lub kimkolwiek, kto integruje się z interfejsami API Partner Center — to jest Twój termin. 1 kwietnia to nie ćwiczenie. Uporządkuj MFA teraz, albo przygotuj się na zablokowane wywołania i niezadowolonych klientów.
Pełne szczegóły znajdziesz w oficjalnym ogłoszeniu Microsoftu.