다음을 통해 공유


파트너 센터 또는 파트너 센터 API를 사용하기 위한 보안 요구 사항

적절한 역할: 모든 파트너 센터 사용자

관리자, 제어판 공급업체 또는 CSP(클라우드 솔루션 공급자) 파트너로서 인증 옵션 및 기타 보안 고려 사항에 대한 결정을 내릴 수 있습니다.

귀하와 귀하의 고객을 위한 개인 정보 보호 및 보안은 우리의 최우선 과제 중 하나입니다. 우리는 최선의 방어가 예방이며 가장 약한 고리만큼 강하다는 것을 알고 있습니다. 적절한 보안 보호가 적용되도록 하려면 에코시스템의 모든 사람이 필요합니다.

필수 보안 요구 사항

CSP 프로그램은 고객이 파트너를 통해 Microsoft 제품 및 서비스를 구매하는 데 도움이 됩니다. Microsoft와의 계약에 따라 파트너는 판매 대상 고객에 대한 환경을 관리하고 지원을 제공해야 합니다.

이 채널을 통해 구매하는 고객은 고객 테넌트에 대한 높은 권한의 관리자 액세스 권한이 있으므로 파트너로 신뢰합니다.

필수 보안 요구 사항을 구현하지 않는 파트너는 CSP 프로그램에서 거래할 수 없습니다. 위임된 관리자 권한을 사용하는 고객 테넌트도 관리할 수 없습니다. 또한 보안 요구 사항을 구현하지 않는 파트너는 프로그램에 참여하는 것을 위험에 빠뜨릴 수 있습니다.

파트너 보안 요구 사항과 관련된 조건은 Microsoft 파트너 계약에 추가됩니다. MPA(Microsoft 파트너 계약)는 주기적으로 업데이트되며, Microsoft는 모든 파트너가 정기적으로 다시 확인하는 것이 좋습니다. Advisor와 관련되어 있으므로 동일한 계약 요구 사항이 적용됩니다.

모든 파트너는 파트너 및 고객 환경을 보호할 수 있도록 보안 모범 사례를 준수해야 합니다. 이러한 모범 사례는 보안 문제를 완화하고, 보안 에스컬레이션을 수정하며, 고객의 신뢰가 손상되지 않도록 하는 데 도움이 됩니다.

사용자와 고객을 보호하려면 다음 작업을 즉시 수행해야 합니다.

파트너 테넌트에서 모든 사용자 계정에 대해 MFA 사용

파트너 테넌트에서 모든 사용자 계정에 MFA(다단계 인증)를 적용해야 합니다. MFA는 다음과 같은 경우 사용자에게 도전합니다.

  • Microsoft 상용 클라우드 서비스에 로그인합니다.
  • 파트너 센터를 통해 클라우드 솔루션 공급자 프로그램에서 거래합니다.
  • API를 통해 거래합니다.

MFA 적용은 다음 지침을 따릅니다.

  • Microsoft에서 지원하는 Microsoft Entra 다단계 인증을 사용하는 파트너입니다. 자세한 내용은 Microsoft Entra 다단계 인증사용하도록 설정하는 여러 가지 방법을 참조하세요.
  • Microsoft MFA가 아닌 모든 MFA를 구현하고 예외 목록에 포함된 파트너입니다. 예외를 제외하고 파트너 센터 및 API에 계속 액세스할 수 있지만 DAP/GDAP를 사용하여 고객을 관리할 수는 없습니다. 예외는 없습니다.
  • 이전에 MFA에 대한 예외가 부여된 파트너의 조직입니다. 파트너 조직에 MFA에 대한 예외가 부여된 경우 클라우드 솔루션 공급자 프로그램의 일부로 고객 테넌트를 관리하는 사용자가 2022년 3월 1일 이전에 사용하도록 설정한 경우에만 예외가 적용됩니다. MFA 요구 사항을 준수하지 않으면 고객 테넌트 액세스가 손실될 수 있습니다.

자세한 내용은 파트너 테넌트 대한위임 다단계 인증을 참조하세요.

보안 애플리케이션 모델 프레임워크 채택

파트너 센터 API와 통합하는 모든 파트너는 모든 앱 및 사용자 인증 모델 애플리케이션에 보안 애플리케이션 모델 프레임워크 채택해야 합니다.

중요하다

파트너는 보안 애플리케이션 모델을 구현하여 Azure Resource Manager 또는 Microsoft Graph와 같은 Microsoft API와 통합하는 것이 좋습니다. 또한 파트너는 MFA를 적용할 때 중단을 방지하기 위해 고객 자격 증명을 사용하여 PowerShell과 같은 자동화를 활용할 때 보안 애플리케이션 모델을 구현해야 합니다.

이러한 보안 요구 사항은 인프라를 보호하고 도난 또는 기타 사기 사건 식별과 같은 잠재적인 보안 위험으로부터 고객의 데이터를 보호하는 데 도움이 됩니다.

기타 보안 요구 사항

고객은 부가 가치 서비스를 제공하기 위해 파트너로서 귀하를 신뢰합니다. 고객의 신뢰와 파트너로서의 평판을 보호하기 위해 모든 보안 조치를 취해야 합니다.

Microsoft는 파트너가 고객의 보안을 준수하고 우선 순위를 지정해야 하도록 적용 조치를 계속 추가합니다. 이러한 보안 요구 사항은 인프라를 보호하고 도난 또는 기타 사기 사건 식별과 같은 잠재적인 보안 위험으로부터 고객의 데이터를 보호하는 데 도움이 됩니다.

파트너는 다음 섹션에 설명된 대로 제로 트러스트의 원칙을 채택해야 합니다.

위임된 관리자 권한

DAP(위임된 관리자 권한)는 고객을 대신하여 고객의 서비스 또는 구독을 관리하는 기능을 제공합니다. 고객은 해당 서비스에 대한 파트너 관리 권한을 부여해야 합니다. 고객을 관리하기 위해 파트너에게 제공되는 권한은 매우 높으므로 Microsoft는 파트너가 비활성 DAP 제거할 것을 권장합니다. 위임된 관리자 권한을 사용하여 고객 테넌트를 관리하는 파트너는 고객 테넌트와 해당 자산에 미치는 영향을 방지하기 위해 파트너 센터 비활성 DAP를 제거해야 합니다.

자세한 내용은 Monitor 관리 관계 및 셀프 서비스 DAP 제거 가이드, 위임된 관리 권한 FAQ, 그리고 NOBELIUM이 위임된 관리 권한을 대상으로 하는 가이드를 참조하세요.

또한 DAP는 곧 더 이상 사용되지 않습니다. DAP를 적극적으로 사용하여 고객 테넌트를 관리하는 모든 파트너가 고객의 테넌트를 안전하게 관리하기 위해 세부적인 위임된 관리자 권한 모델을 최소 권한으로 이동하는 것이 좋습니다.

최소 권한 역할로 전환하여 고객 테넌트 관리

DAP는 곧 더 이상 사용되지 않으므로 현재 DAP 모델에서 이동하는 것이 좋습니다. 이 모델에서는 관리자 에이전트가 상주하거나 영구 전역 관리자 액세스 권한을 부여합니다. 이를 세분화된 위임된 액세스 모델로 바꿉다. 세분화된 위임 액세스 모델은 고객의 보안 위험과 이러한 위험의 영향을 줄입니다. 또한 고객의 서비스 및 환경을 관리하는 직원의 워크로드 수준에서 고객당 액세스를 제한할 수 있는 제어 및 유연성을 제공합니다.

자세한 내용은 GDAP(위임된 관리자 권한) 개요, 최소 권한 역할에 대한 정보 및 GDAP FAQ 참조하세요.

Azure 사기 행위 알림 감시

CSP 프로그램의 파트너는 고객의 Azure 사용을 담당하므로 고객의 Azure 구독에서 잠재적인 암호화 마이닝 활동을 인식하는 것이 중요합니다. 이러한 인식을 통해 즉각적인 조치를 취하여 해당 동작이 합법적인지 사기성인지 여부를 확인할 수 있습니다. 필요한 경우 영향을 받는 Azure 리소스 또는 Azure 구독을 일시 중단하여 문제를 완화할 수 있습니다.

자세한 내용은 Azure 사기 감지 및 알림참조하세요.

Microsoft Entra ID P2에 등록

CSP 테넌트에 있는 모든 관리 에이전트는 Microsoft Entra ID P2구현하여 사이버 보안을 강화하고 다양한 기능을 활용하여 CSP 테넌트 강화를 수행해야 합니다. Microsoft Entra ID P2는 로그인 로그 및 MICROSOFT Entra PIM(Privileged Identity Management) 및 위험 기반 조건부 액세스 기능과 같은 프리미엄 기능에 대한 확장된 액세스를 제공하여 보안 제어를 강화합니다.

CSP 보안 모범 사례 준수

보안에 대한 모든 CSP 모범 사례를 따르는 것이 중요합니다. 클라우드 솔루션 공급자 보안 모범 사례자세히 알아보세요.

다단계 인증 구현

파트너 보안 요구 사항을 준수하려면 파트너 테넌트에서 각 사용자 계정에 대해 MFA를 구현하고 적용해야 합니다. 다음 방법 중 하나로 이 작업을 수행할 수 있습니다.

보안 기본값

파트너가 MFA 요구 사항을 구현하는 데 사용할 수 있는 옵션 중 하나는 Microsoft Entra ID에서 보안 기본값을 사용하도록 설정하는 것입니다. 보안 기본값은 추가 비용 없이 기본 수준의 보안을 제공합니다. Microsoft Entra ID를 사용하여 조직에 MFA를 사용하도록 설정하는 방법을 검토합니다. 다음은 보안 기본값을 사용하도록 설정하기 전에 몇 가지 주요 고려 사항입니다.

  • 이미 기준 정책을 채택한 파트너는 보안 기본값으로 전환하기 위한 조치를 취해야 합니다.
  • 보안 기본값은 미리보기 기준 정책을 대체하는 일반 제공 옵션입니다. 파트너가 보안 기본값을 사용하도록 설정한 후에는 기준 정책을 사용하도록 설정할 수 없습니다.
  • 보안 기본값 정책은 한 번에 사용하도록 설정됩니다.
  • 조건부 액세스 사용하는 파트너는 보안 기본값사용할 수 없습니다.
  • 레거시 인증 프로토콜이 차단됩니다.
  • Microsoft Entra Connect 동기화 계정은 보안 기본값에서 제외되며 다단계 인증을 등록하거나 수행하라는 메시지가 표시되지 않습니다. 조직에서는 다른 용도로 이 계정을 사용하면 안 됩니다.

다음 내용을 참조하세요: 조직을 위한 Microsoft Entra 다단계 인증의 개요 및 보안 기본값이란 무엇인가? .

메모

Microsoft Entra 보안 기본값은 기준 보호 정책의 진화된 형태로, 간소화된 것입니다. 기준 보호 정책을 이미 사용하도록 설정한 경우 보안 기본값인 사용하도록 설정하는 것이 좋습니다.

FAQ(질문과 대답) 구현

이러한 요구 사항은 파트너 테넌트에 있는 모든 사용자 계정에 적용되므로 원활한 배포를 위해 몇 가지 사항을 고려해야 합니다. 예를 들어 MFA를 수행할 수 없는 Microsoft Entra ID의 사용자 계정과 최신 인증을 지원하지 않는 조직의 애플리케이션 및 디바이스를 식별합니다.

작업을 수행하기 전에 다음 유효성 검사를 완료하는 것이 좋습니다.

최신 인증 사용을 지원하지 않는 애플리케이션 또는 디바이스가 있나요?

MFA를 적용하면 IMAP, POP3, SMTP, 프로토콜을 사용하는 레거시 인증이 차단됩니다. 이러한 프로토콜은 MFA를 지원하지 않기 때문입니다. 이 제한을 해결하려면 앱 암호 기능을 사용하여 애플리케이션 또는 디바이스가 여전히 인증되는지 확인합니다. 앱 암호 사용 대한 고려 사항을 검토하여 사용자 환경에서 사용할 수 있는지 확인합니다.

파트너 테넌트에 연결된 라이선스가 있는 Office 365 사용자가 있나요?

솔루션을 구현하기 전에 파트너 테넌트에서 사용자가 사용 중인 Microsoft Office 버전을 확인하는 것이 좋습니다. 사용자가 Outlook과 같은 애플리케이션에 연결 문제가 발생할 수 있습니다. MFA를 적용하기 전에 Outlook 2013 SP1 이상을 사용하고 조직에 최신 인증을 사용하도록 설정하는 것이 중요합니다. 자세한 내용은 Exchange Online최신 인증을 사용하도록 설정하세요.

Windows를 실행하고 Microsoft Office 2013을 설치한 디바이스에 최신 인증을 사용하도록 설정하려면 두 개의 레지스트리 키를 만들어야 합니다. Office 2013에 대한 최신 인증 사용을 Windows 디바이스에서 참조하세요.

사용자가 작업하는 동안 모바일 디바이스를 사용할 수 없도록 하는 정책이 있나요?

구현하는 MFA 솔루션에 영향을 주므로 직원이 작업하는 동안 모바일 디바이스를 사용하지 못하게 하는 회사 정책을 식별하는 것이 중요합니다. Microsoft Entra 보안 기본값인 구현을 통해 제공되는 솔루션과 같이 인증자 앱의 사용만 허용하는 솔루션이 있습니다. 조직에 모바일 디바이스 사용을 방지하는 정책이 있는 경우 다음 옵션 중 하나를 고려합니다.

  • 보안 시스템에서 실행할 수 있는 시간 기반 TOTP(일회성 기본 암호) 애플리케이션을 배포합니다.

사용자 자격 증명을 인증하려면 어떤 자동화 또는 통합이 있어야 합니까?

파트너 디렉터리의 서비스 계정을 포함한 사용자에 대한 MFA 적용은 인증에 사용자 자격 증명을 사용하는 모든 자동화 또는 통합에 영향을 줄 수 있습니다. 따라서 이러한 상황에서 사용되는 계정을 식별하는 것이 중요합니다. 고려해야 할 샘플 애플리케이션 또는 서비스의 다음 목록을 참조하세요.

  • 제어판을 사용하여 고객을 대신하여 리소스를 준비합니다.
  • CSP 프로그램과 관련하여 송장을 작성하고 고객을 지원하는 모든 플랫폼과 통합합니다.
  • Az cmdlet, AzureRM, Microsoft Graph PowerShell및 기타 모듈을 사용하는 PowerShell 스크립트를 사용합니다.

이 목록은 포괄적이지 않으므로 사용자 자격 증명을 인증에 사용하는 환경의 모든 애플리케이션 또는 서비스에 대한 전체 평가를 수행하는 것이 중요합니다. MFA에 대한 요구 사항을 충족하려면 가능한 경우 보안 애플리케이션 모델 프레임워크 지침을 사용합니다.

당신의 환경에 액세스

MFA 챌린지 없이 인증하는 항목 또는 사용자를 더 잘 이해하려면 로그인 활동을 검토하는 것이 좋습니다. Microsoft Entra ID P1 또는 P2를 통해 로그인 보고서를 사용할 수 있습니다. 자세한 내용은 Microsoft Entra 관리 센터 로그인 활동 보고서를 참조하세요. Microsoft Entra ID P1 또는 P2가 없거나 PowerShell을 통해 로그인 작업을 가져오는 방법이 필요한 경우 파트너 센터 PowerShell 모듈에서 Get-PartnerUserSignActivity cmdlet을 사용합니다.

요구 사항 적용 방법

파트너 조직에 MFA에 대한 예외가 부여된 경우 클라우드 솔루션 공급자 프로그램의 일부로 고객 테넌트를 관리하는 사용자가 2022년 3월 1일 이전에 사용하도록 설정한 경우에만 예외가 적용됩니다. MFA 요구 사항을 준수하지 않으면 고객 테넌트 액세스가 손실될 수 있습니다.

Microsoft Entra ID 및 파트너 센터는 MFA 확인이 수행되는 것을 식별하기 위해 MFA 클레임이 있는지 확인하여 파트너 보안 요구 사항을 적용합니다. 2019년 11월 18일부터 Microsoft는 이전에 파트너 테넌트에 "기술 적용"으로 알려진 더 많은 보안 보호 장치를 활성화했습니다.

활성화 시 파트너 테넌트 사용자는 AOBO(관리자를 대신하여) 작업을 수행할 때 MFA 확인을 완료하도록 요청됩니다. 또한 사용자는 파트너 센터에 액세스하거나 파트너 센터 API를 호출할 때 MFA 확인을 완료해야 합니다. 자세한 내용은 파트너 테넌트 대한위임 다단계 인증을 참조하세요.

요구 사항을 충족하지 않는 파트너는 비즈니스 중단을 방지하기 위해 가능한 한 빨리 이러한 조치를 구현해야 합니다. Microsoft Entra 다단계 인증 또는 Microsoft Entra 보안 기본값을 사용하는 경우 다른 작업을 수행할 필요가 없습니다.

Microsoft MFA가 아닌 솔루션을 사용하는 경우 MFA 클레임이 발급되지 않을 수 있습니다. 클레임이 누락된 경우 Microsoft Entra ID는 MFA가 인증 요청에 이의를 제기하는지 확인할 수 없습니다. 솔루션이 예상 클레임을 발급하는지 확인하는 방법에 대한 자세한 내용은 테스트 파트너 보안 요구 사항을 참조하세요.

중요하다

타사 솔루션이 예상 클레임을 발급하지 않는 경우 솔루션을 개발한 공급업체와 협력하여 수행할 작업을 결정합니다.

리소스 및 샘플

지원 및 샘플 코드는 다음 리소스를 참조하세요.