파트너 센터 또는 파트너 센터 API 사용 시 보안 요구 사항

  • 아티클

적절한 역할: 모든 파트너 센터 사용자

Advisor, 제어판 공급업체 또는 CSP(클라우드 솔루션 공급자) 파트너는 인증 옵션 및 기타 보안 고려 사항에 대해 결정해야 합니다.

귀하와 귀하의 고객을 위한 개인 정보 보호 및 보안은 우리의 최우선 과제 중 하나입니다. 우리는 최선의 방어가 예방이며 가장 약한 고리만큼 강하다는 것을 알고 있습니다. 따라서 적절한 보안 보호가 적용되도록 에코시스템의 모든 사람이 필요합니다.

필수 보안 요구 사항

CSP 프로그램을 사용하면 고객이 파트너를 통해 Microsoft 제품 및 서비스를 구매할 수 있습니다. Microsoft와의 계약에 따라 파트너는 판매 대상 고객에 대한 환경을 관리하고 지원을 제공해야 합니다.

이 채널을 통해 구매하는 고객은 고객 테넌트에 대한 높은 권한의 관리자 액세스 권한이 있으므로 파트너로 신뢰합니다.

필수 보안 요구 사항을 구현하지 않는 파트너는 CSP 프로그램에서 거래하거나 위임된 관리자 권한을 사용하여 고객 테넌트 관리를 할 수 없습니다. 또한 보안 요구 사항을 구현하지 않는 파트너는 프로그램에 참여하는 것을 위험에 빠뜨릴 수 있습니다.

파트너 보안 요구 사항과 관련된 사용 약관은 Microsoft 파트너 계약에 추가되었습니다. MPA(Microsoft 파트너 계약)는 주기적으로 업데이트되며 Microsoft는 모든 파트너가 정기적으로 다시 검사 것을 권장합니다. 관리자와 관련이 있으므로 동일한 계약 요구 사항이 적용됩니다.

모든 파트너는 파트너 및 고객 환경을 보호할 수 있도록 보안 모범 사례를 준수해야 합니다. 이러한 모범 사례를 준수하면 보안 문제를 완화하고 보안 에스컬레이션을 수정하여 고객의 신뢰가 손상되지 않도록 합니다.

사용자와 고객을 보호하기 위해 파트너는 즉시 다음 작업을 수행해야 합니다.

파트너 테넌트에서 모든 사용자 계정에 대해 MFA 사용

파트너 테넌트에 있는 모든 사용자 계정에 MFA를 적용해야 합니다. 사용자는 Microsoft 상용 클라우드 서비스에 로그인하거나 파트너 센터 또는 API를 통해 클라우드 솔루션 공급자 프로그램에서 거래할 때 MFA를 거쳐야 합니다.

MFA 적용은 다음 지침을 따릅니다.

  • Microsoft에서 지원하는 Microsoft Entra 다단계 인증을 사용하는 파트너입니다. 자세한 내용은 Microsoft Entra 다단계 인증을 사용하도록 설정하는 여러 가지 방법(MFA 지원)을 참조하세요.
  • 타사 MFA 및 예외 목록의 일부를 구현한 파트너는 예외를 제외하고 파트너 센터 및 API에 계속 액세스할 수 있지만 DAP/GDAP를 사용하여 고객을 관리할 수 없습니다(예외 없음).
  • 파트너의 조직에 이전에 MFA에 대한 예외가 부여된 경우 CSP 프로그램의 일부로 고객 테넌트를 관리하는 사용자는 2022년 3월 1일 이전에 Microsoft MFA 요구 사항을 사용하도록 설정해야 합니다. MFA 요구 사항을 준수하지 않으면 고객 테넌트 액세스가 손실될 수 있습니다.
  • 파트너 테넌트에 대한 MFA(다단계 인증)를 의무화하는 방법에 대해 자세히 알아봅니다.

보안 애플리케이션 모델 프레임워크 채택

파트너 센터 API와 통합된 모든 파트너는 모든 앱 및 사용자 인증 모델 애플리케이션에 대해 보안 애플리케이션 모델 프레임워크를 채택해야 합니다.

Important

파트너는 MFA 사용 시 중단되지 않도록 Azure Resource Manager, Microsoft Graph와 같은 Microsoft API와 통합하거나 사용자 자격 증명을 사용하여 PowerShell과 같은 자동화를 활용하는 경우 보안 애플리케이션 모델을 구현하는 것이 좋습니다.

이러한 보안 요구 사항은 인프라를 보호하고 도난 또는 기타 사기 사건 식별과 같은 잠재적인 보안 위험으로부터 고객의 데이터를 보호하는 데 도움이 됩니다.

기타 보안 요구 사항

고객은 부가 가치 서비스를 제공하기 위해 파트너로서 귀하를 신뢰합니다. 고객의 신뢰와 파트너로서의 평판을 보호하기 위해 모든 보안 조치를 취해야 합니다.

Microsoft는 모든 파트너가 고객의 보안을 준수하고 우선 순위를 지정해야 하도록 적용 조치를 계속 추가합니다. 이러한 보안 요구 사항은 인프라를 보호하고 도난 또는 기타 사기 사건 식별과 같은 잠재적인 보안 위험으로부터 고객의 데이터를 보호하는 데 도움이 됩니다.

파트너는 제로 트러스트 원칙, 특히 다음 원칙을 채택하도록 보장할 책임이 있습니다.

위임된 관리 권한(DAP)

DAP(위임된 관리자 권한)는 고객을 대신하여 고객의 서비스 또는 구독을 관리하는 기능을 제공합니다. 고객은 해당 서비스에 대한 파트너 관리 권한을 부여해야 합니다. 고객을 관리하기 위해 파트너에게 제공된 권한은 매우 높기 때문에 모든 파트너가 비활성 DAP를 제거하는 것이 좋습니다. 위임된 관리 권한을 사용하여 고객 테넌트를 관리하는 모든 파트너는 고객 테넌트와 해당 자산에 미치는 영향을 방지하기 위해 파트너 센터에서 비활성 DAP를 제거해야 합니다.

자세한 내용은 관리 관계 및 셀프 서비스 DAP 제거 가이드, 위임된 관리 권한 FAQ위임된 관리 권한 가이드를 대상으로 하는 NOBELIUM을 참조하세요.

또한 DAP는 곧 더 이상 사용되지 않습니다. DAP를 적극적으로 사용하여 고객 테넌트를 관리하고 최소 권한 세분화된 위임 관리 권한 모델로 전환하여 고객의 테넌트를 안전하게 관리하는 모든 파트너를 강력히 권장합니다.

최소 권한 역할로 전환하여 고객 테넌트 관리

DAP는 곧 더 이상 사용되지 않으므로 현재 DAP 모델(관리 에이전트가 상주하거나 영구 전역 관리자 액세스 권한을 부여)에서 벗어나 세분화된 위임된 액세스 모델로 교체하는 것이 좋습니다. 세분화된 위임 액세스 모델은 고객의 보안 위험과 이러한 위험이 고객에게 미치는 영향을 줄입니다. 또한 고객의 서비스 및 환경을 관리하는 직원의 워크로드 수준에서 고객별 액세스를 제한할 수 있는 제어 및 유연성을 제공합니다.

자세한 내용은 GDAP(세분화된 위임 관리자 권한) 개요, 최소 권한 역할에 대한 정보 및 GDAP FAQ를 참조하세요.

Azure 사기 행위 알림 감시

CSP 프로그램의 파트너는 고객의 Azure 사용을 담당하므로 고객의 Azure 구독에서 잠재적인 암호화 마이닝 활동을 인식하는 것이 중요합니다. 이러한 인식을 통해 즉각적인 조치를 취하여 동작이 합법적인지 사기성인지 확인하고 필요한 경우 영향을 받는 Azure 리소스 또는 Azure 구독을 일시 중단하여 문제를 완화할 수 있습니다.

자세한 내용은 Azure 사기 감지 및 알림을 참조 하세요.

Microsoft Entra ID P2에 등록

CSP 테넌트에 있는 모든 관리 에이전트는 Microsoft Entra ID P2를 구현하여 사이버 보안을 강화하고 다양한 기능을 활용하여 CSP 테넌트 강화를 수행해야 합니다. Microsoft Entra ID P2는 로그인 로그 및 MICROSOFT Entra PIM(Privileged Identity Management) 및 위험 기반 조건부 액세스 기능과 같은 프리미엄 기능에 대한 확장된 액세스를 제공하여 보안 제어를 강화합니다.

CSP 보안 모범 사례 준수

보안에 대한 모든 CSP 모범 사례를 따르는 것이 중요합니다. 클라우드 솔루션 공급자 보안 모범 사례대해 자세히 알아보세요.

다단계 인증 구현

파트너 보안 요구 사항을 준수하려면 파트너 테넌트의 각 사용자 계정에 대해 MFA를 구현 및 적용해야 합니다. 다음 방법 중 하나로 이 작업을 수행할 수 있습니다.

보안 기본값

파트너가 MFA 요구 사항을 구현하도록 선택할 수 있는 옵션 중 하나는 Microsoft Entra ID에서 보안 기본값을 사용하도록 설정하는 것입니다. 보안 기본값은 추가 비용 없이 기본 보안 수준을 제공합니다. 보안 기본값을 사용하도록 설정하기 전에 Microsoft Entra ID 및 아래 주요 고려 사항을 사용하여 조직에 MFA를 사용하도록 설정하는 방법을 검토합니다.

  • 기준 정책을 이미 채택한 파트너는 보안 기본값으로 전환하기 위한 조치를 취해야 합니다.

  • 보안 기본값은 미리 보기 기준 정책의 일반 공급 대체 기능입니다. 파트너가 보안 기본값을 사용하도록 설정한 후에는 기준 정책을 사용하도록 설정할 수 없습니다.

  • 보안 기본값을 사용하면 모든 정책이 한 번에 사용하도록 설정됩니다.

  • 조건부 액세스를 사용하는 파트너의 경우 보안 기본값을 사용할 수 없습니다.

  • 레거시 인증 프로토콜이 차단됩니다.

  • Microsoft Entra 커넥트 동기화 계정은 보안 기본값에서 제외되며 다단계 인증을 등록하거나 수행하라는 메시지가 표시되지 않습니다. 조직에서는 다른 용도로 이 계정을 사용하면 안 됩니다.

자세한 내용은 조직의 Microsoft Entra 다단계 인증 개요 및 보안 기본값을 참조하세요.

참고 항목

Microsoft Entra 보안 기본값은 기준 보호 정책이 간소화된 것입니다. 이미 기준 보호 정책을 사용하도록 설정한 경우 보안 기본값을 사용하도록 설정하는 것이 좋습니다.

FAQ(질문과 대답) 구현

이러한 요구 사항은 파트너 테넌트의 모든 사용자 계정에 적용되므로 원활한 배포를 위한 몇 가지 사항을 고려해야 합니다. 예를 들어 MFA를 수행할 수 없는 Microsoft Entra ID의 사용자 계정과 최신 인증을 지원하지 않는 조직의 애플리케이션 및 디바이스를 식별합니다.

작업을 수행하기 전에 다음 유효성 검사를 완료하는 것이 좋습니다.

최신 인증 사용을 지원하지 않는 애플리케이션 또는 디바이스가 있나요?

MFA를 적용하는 경우 레거시 인증은 MFA를 지원하지 않으므로 IMAP, POP3, SMTP 등의 프로토콜을 사용합니다. 이 제한을 해결하려면 앱 암호 기능을 사용하여 애플리케이션 또는 디바이스가 여전히 인증되도록 합니다. 앱 암호를 사용자의 환경에서 사용할 수 있는지 확인하려면 앱 암호 사용에 대한 고려 사항을 검토합니다.

파트너 테넌트와 연결된 라이선스가 있는 Office 365 사용자가 있나요?

솔루션을 구현하기 전에 파트너 테넌트에서 사용 중인 Microsoft Office 사용자의 버전을 확인하는 것이 좋습니다. 사용자가 Outlook과 같은 애플리케이션에 연결 문제가 발생할 가능성이 있습니다. MFA를 적용하기 전에 Outlook 2013 SP1 이상을 사용하고 조직에서 최신 인증을 사용하도록 설정하는 것이 중요합니다. 자세한 내용은 Exchange Online에서 최신 인증 사용을 참조하세요.

Microsoft Office 2013이 설치된 Windows를 실행하는 디바이스에 최신 인증을 사용하도록 설정하려면 두 개의 레지스트리 키를 만들어야 합니다. Windows 디바이스에서 Office 2013에 최신 인증 사용을 참조하세요.

사용자가 업무 시간에 모바일 디바이스를 사용하지 못하게 하는 정책이 있나요?

직원이 작업하는 동안 모바일 디바이스를 사용하지 못하게 하는 회사 정책을 식별하는 것이 중요합니다. 이는 구현하는 MFA 솔루션에 영향을 미치기 때문입니다. Microsoft Entra 보안 기본값구현을 통해 제공되는 솔루션과 같이 인증자 앱의 사용만을 허용하는 솔루션이 있습니다. 조직에 모바일 디바이스 사용을 금지하는 정책이 있는 경우 다음 옵션 중 하나를 고려합니다.

  • 보안 시스템에서 실행할 수 있는 시간 기반 TOTP(시간 제약이 있는 일회성 암호) 애플리케이션을 배포합니다.

인증에 사용자 자격 증명을 사용해야 하는 자동화 또는 통합은 무엇인가요?

파트너 디렉터리에서 서비스 계정을 포함하여 각 사용자에 대해 MFA를 적용하면 인증에 사용자 자격 증명을 사용하는 모든 자동화 또는 통합에 영향을 줄 수 있습니다. 따라서 이러한 상황에서 사용되는 계정을 식별하는 것이 중요합니다. 고려할 다음 샘플 애플리케이션 또는 서비스 목록을 참조하세요.

앞의 목록은 포괄적이지 않으므로 사용자 자격 증명을 인증에 사용하는 환경의 모든 애플리케이션 또는 서비스에 대한 전체 평가를 수행하는 것이 중요합니다. MFA에 대한 요구 사항에 대처하려면 보안 애플리케이션 모델 프레임워크의 지침을 구현해야 합니다(가능한 경우).

환경 액세스

MFA에 대한 도전 없이 인증하는 대상 또는 사용자를 더 잘 이해하려면 로그인 활동을 검토하는 것이 좋습니다. Microsoft Entra ID P1 또는 P2를 통해 로그인 보고서를 사용할 수 있습니다. 이 주제에 대한 자세한 내용은 Microsoft Entra 관리 센터의 로그인 활동 보고서를 참조 하세요. Microsoft Entra ID P1 또는 P2가 없거나 PowerShell을 통해 이 로그인 활동을 가져오는 방법을 찾고 있는 경우 파트너 센터 PowerShell 모듈에서 Get-PartnerUserSignActivity cmdlet을 사용해야 합니다.

요구 사항이 적용되는 방식

파트너의 조직에 이전에 MFA에 대한 예외가 부여된 경우 CSP 프로그램의 일부로 고객 테넌트를 관리하는 사용자는 2022년 3월 1일 이전에 Microsoft MFA 요구 사항을 사용하도록 설정해야 합니다. MFA 요구 사항을 준수하지 않으면 고객 테넌트 액세스가 손실될 수 있습니다.

파트너 보안 요구 사항은 Microsoft Entra ID에 의해 적용되며, MFA 확인이 수행되었음을 식별하기 위해 MFA 클레임이 있는지 검사 파트너 센터에 적용됩니다. 2019년 11월 18일부터 Microsoft는 파트너 테넌트에 더 많은 보안 보호(이전에는 "기술 적용"라고 함)를 활성화했습니다.

활성화 시 파트너 테넌트 사용자는 AOBO(관리자를 대신하여) 작업을 수행하거나 파트너 센터에 액세스하거나 파트너 센터 API를 호출할 때 MFA 확인을 완료하도록 요청됩니다. 자세한 내용은 파트너 테넌트에 대한 MFA(다단계 인증) 관리를 참조하세요.

요구 사항을 충족하지 않은 파트너는 비즈니스 중단을 방지하기 위해 가능한 한 빨리 이러한 조치를 구현해야 합니다. Microsoft Entra 다단계 인증 또는 Microsoft Entra 보안 기본값을 사용하는 경우 다른 작업을 수행할 필요가 없습니다.

타사 MFA 솔루션을 사용하는 경우 MFA 클레임이 발급되지 않을 수 있습니다. 이 클레임이 누락된 경우 Microsoft Entra ID는 MFA에서 인증 요청에 대해 이의를 제기했는지 여부를 확인할 수 없습니다. 솔루션이 예상 클레임을 발급하는지 확인하는 방법에 대한 자세한 내용은 파트너 보안 요구 사항 테스트를 참조 하세요.

Important

타사 솔루션이 예상 클레임을 발급하지 않는 경우 솔루션을 개발한 공급업체와 협력하여 수행해야 하는 작업을 결정해야 합니다.

리소스 및 샘플

지원 및 샘플 코드에 대해 다음 리소스를 참조하세요.

다음 단계