파트너 보안 요구 사항에 대한 일반적인 질문

CSP 프로그램의 모든 파트너(직접 청구, 간접 공급자 및 간접 재판매인), Advisor 및 제어판 공급업체는 요구 사항을 충족해야 합니다.

1. 모든 사용자에 대해 MFA 적용

   CSP 프로그램의 모든 파트너, Advisor 및 제어판 공급업체는 파트너 테넌트의 모든 사용자에 대해 MFA를 적용해야 합니다.

   기타 고려 사항:

   • 간접 공급자는 아직 등록하지 않은 경우 간접 재판매인과 협력하여 파트너 센터에 등록하고 재판매인이 요구 사항을 충족하도록 장려해야 합니다.
   • Microsoft Entra 다단계 인증은 Microsoft Entra 보안 기본값을 통해 파트너 테넌트의 사용자가 비용 없이 사용할 수 있으며, TOTP(시간 기반 일회성 암호)를 지원하는 인증자 애플리케이션의 유일한 확인 방법이 있습니다.
   • 전화 통화 또는 문자 메시지와 같은 다른 방법이 필요한 경우 Microsoft Entra P1 또는 P2 SKU를 통해 다른 확인 방법을 사용할 수 있습니다.
   • 또한 파트너는 Microsoft 상용 클라우드 서비스에 액세스할 때 계정마다 타사 MFA 솔루션을 사용할 수 있습니다.

2. 보안 애플리케이션 모델 프레임워크 채택

   API(예: Azure Resource Manager, Microsoft Graph, 파트너 센터 API 등)를 사용하여 사용자 지정 통합을 개발하거나 PowerShell과 같은 도구를 사용하여 사용자 지정 자동화를 구현한 파트너는 Microsoft 클라우드 서비스와 통합할 보안 애플리케이션 모델 프레임워크를 채택해야 합니다. 이렇게 하지 않으면 MFA 배포로 인해 중단이 발생할 수 있습니다.

   다음 리소스는 모델을 채택하는 방법에 대한 개요 및 지침을 제공합니다.

   • 보안 애플리케이션 모델 개요
   • 파트너 센터: 보안 애플리케이션 모델 가이드
   • CSP 프로그램의 파트너: 보안 애플리케이션 모델을 활성화하는 .NET 샘플 코드
   • CSP 프로그램의 파트너: 보안 애플리케이션 모델을 사용하도록 설정하기 위한 Java 샘플 코드
   • 파트너 센터 인증 문서
   • 파트너 센터 PowerShell MFA(다단계 인증) 문서

   보안 애플리케이션 모델 프레임워크의 채택과 관련하여 제어판을 사용하는 경우 공급업체에 문의하세요.

   제어판 공급업체는 파트너 센터에 제어판 공급업체로 온보딩 하고 이 요구 사항을 즉시 구현하기 시작해야 합니다. 파트너 센터: 보안 애플리케이션 모델 프레임워크를 참조하세요.

   제어판 공급업체는 자격 증명 대신 CSP 파트너의 동의를 수락하고 관리해야 하며 기존 CSP 파트너의 자격 증명을 모두 제거해야 합니다.

MFA는 둘 이상의 필수 보안 및 유효성 검사 절차를 사용하여 개인을 인증하는 보안 메커니즘입니다. 이는 다음 인증 방법을 둘 이상 요청하는 방식으로 작동합니다.

• 사용자가 알고 있는 사항(일반적으로 암호)
• 사용자가 가지고 있는 항목(휴대폰처럼 쉽게 복제할 수 없는 신뢰할 수 있는 디바이스)
• 사용자의 신원 정보(생체 인식)

Microsoft는 Microsoft Entra 보안 기본값 구현을 통해 MFA를 비용 없이 제공합니다. 이 버전의 MFA를 사용하여 이용 가능한 유일한 확인 옵션은 인증 애플리케이션입니다.

• 전화 통화 또는 SMS 메시지가 필요한 경우 Microsoft Entra P1 또는 P2 라이선스를 구매해야 합니다.
• 또는 타사 솔루션을 활용하여 파트너 테넌트에서 각 사용자에 대해 MFA를 제공할 수 있습니다. 이 경우 MFA 솔루션이 적용되고 규정을 준수하는지 확인하는 것은 사용자의 책임입니다.

파트너 테넌트 사용자는 Microsoft 상용 클라우드 서비스에 액세스할 때 MFA를 사용하여 인증해야 합니다. 이러한 요구 사항은 타사 솔루션을 사용하여 충족할 수 있습니다. Microsoft는 Microsoft Entra ID와의 호환성에 대해 독립적인 ID 공급자를 테스트하는 유효성 검사를 더 이상 제공하지 않습니다. 상호 운용성을 위해 제품을 테스트하려면 Microsoft Entra ID 공급자 호환성 문서를 참조하세요.

예. CSP 프로그램 또는 Advisor 프로그램과 연결된 각 Microsoft Entra 테넌트에 대해 MFA를 적용해야 합니다. Microsoft Entra ID P1 또는 P2 라이선스를 구매하려면 각 Microsoft Entra 테넌트에서 사용자에 대한 Microsoft Entra ID 라이선스를 구매해야 합니다.

예. 각 사용자에게는 MFA가 적용되어 있어야 합니다. 그러나 Microsoft Entra 보안 기본값을 사용하는 경우 해당 기능이 모든 사용자 계정에 MFA를 적용하기 때문에 다른 작업이 필요하지 않습니다. 보안 기본값을 사용하도록 설정하는 것은 사용자 계정이 MFA를 준수하고 MFA가 적용될 때 영향을 받지 않도록 하는 무료이며 쉬운 방법입니다.

직접 청구 클라우드 솔루션 공급자 파트너는 파트너 테넌트에 있는 각 사용자에 대해 MFA를 적용해야 합니다.

예. 모든 간접 재판매인은 파트너 테넌트의 각 사용자에 대해 MFA를 적용해야 합니다. 간접 재판매인은 MFA를 사용하도록 설정해야 합니다.

예. 이 보안 요구 사항은 파트너 관리자 사용자 및 파트너 테넌트에 있는 최종 사용자를 포함한 모든 사용자를 위한 것입니다.

MFA 공급업체 및 솔루션을 검토할 때 선택한 솔루션이 Microsoft Entra ID와 호환되는지 확인해야 합니다.

Microsoft는 Microsoft Entra ID와의 호환성에 대해 독립적인 ID 공급자를 테스트하는 유효성 검사를 더 이상 제공하지 않습니다. 제품의 상호 운용성을 테스트하려면 Microsoft Entra ID 공급자 호환성 문서를 참조 하세요.

자세한 내용은 Microsoft Entra 페더레이션 호환성 목록을 참조하세요.

Microsoft Entra 보안 기본 기능을 사용하도록 설정해야 합니다. 또는 페더레이션을 사용하는 타사 솔루션을 사용할 수 있습니다.

아니요. 이러한 보안 요구 사항의 이행은 고객을 관리하는 방법에 영향을 주지 않습니다. 위임된 관리 작업을 수행하는 기능은 중단되지 않습니다.

아니요. 고객의 Microsoft Entra 테넌트의 각 사용자에 대해 MFA를 적용할 필요가 없습니다. 그러나 각 고객과 협력하여 사용자를 보호하는 최선의 방법을 결정하는 것이 좋습니다.

아니요. 서비스 계정을 포함하여 파트너 테넌트에 있는 모든 사용자는 MFA를 사용하여 인증해야 합니다.

예. 즉, 통합 샌드박스 테넌트에서 사용자를 위한 적절한 MFA 솔루션을 구현해야 합니다. MFA를 제공하려면 Microsoft Entra 보안 기본값을 구현하는 것이 좋습니다.

Microsoft Entra 테넌트에서 실수로 잠기지 않도록 하나 또는 두 개의 응급 액세스 계정을 만드는 것이 가장 좋습니다. 파트너 보안 요구 사항과 관련하여 각 사용자가 MFA를 사용하여 인증해야 합니다. 이 요구 사항은 응급 액세스 계정의 정의를 수정해야 한다는 것을 의미합니다. MFA에 타사 솔루션을 사용하는 계정일 수 있습니다.

아니요. 타사 솔루션을 사용하는 경우 ADFS(Active Directory Federation Service)가 필요하지 않습니다. 솔루션 공급업체와 협력하여 솔루션에 대한 요구 사항이 무엇인지 확인하는 것이 좋습니다.

아니요.

예. 조건부 액세스를 사용하여 파트너 테넌트에서 서비스 계정을 포함한 각 사용자에 대해 MFA를 적용할 수 있습니다. 그러나 파트너가 되는 높은 권한의 특성을 감안할 때 각 사용자에게 모든 단일 인증에 대한 MFA 챌린지가 있는지 확인해야 합니다. 즉, MFA에 대한 요구 사항을 우회하는 조건부 액세스 기능을 사용할 수 없습니다.

아니요. Microsoft Entra 커넥트 사용하는 서비스 계정은 파트너 보안 요구 사항의 영향을 받지 않습니다. MFA 적용으로 인해 Microsoft Entra 커넥트 문제가 발생하는 경우 Microsoft 지원으로 기술 지원 요청을 엽니다.

Microsoft는 다단계 인증을 사용하는 CSP(클라우드 솔루션 공급자) 파트너 및 CPV(제어판 Vendors)를 인증하기 위한 안전하고 확장 가능한 프레임워크를 도입했습니다. 자세한 내용은 보안 애플리케이션 모델 가이드를 참조하세요. API(예: Azure Resource Manager, Microsoft Graph, 파트너 센터 API 등)를 사용하여 사용자 지정 통합을 개발하거나 PowerShell과 같은 도구를 사용하여 사용자 지정 자동화를 구현한 모든 파트너는 Microsoft 클라우드 서비스와 통합하기 위해 보안 애플리케이션 모델 프레임워크를 채택해야 합니다.

Microsoft는 다단계 인증을 사용하는 CSP(클라우드 솔루션 공급자) 파트너 및 CPV(제어판 공급업체)를 인증하기 위한 안전하고 확장 가능한 프레임워크를 도입하고 있습니다. 자세한 내용은 보안 애플리케이션 모델 가이드를 참조하세요.

API(예: Azure Resource Manager, Microsoft Graph, 파트너 센터 API 등)를 사용하여 사용자 지정 통합을 개발하거나 PowerShell과 같은 도구를 사용하여 사용자 지정 자동화를 구현한 모든 파트너는 Microsoft 클라우드 서비스와 통합할 보안 애플리케이션 모델 프레임워크를 채택해야 합니다. 이렇게 하지 않으면 MFA 배포로 인해 중단이 발생할 수 있습니다.

다음 리소스는 모델을 채택하는 방법에 대한 개요 및 지침을 제공합니다.

• 보안 애플리케이션 모델 개요
• 파트너 센터: 보안 애플리케이션 모델 가이드
• CSP 프로그램의 파트너: 보안 애플리케이션 모델을 활성화하는 .NET 샘플 코드
• CSP 프로그램의 파트너: 보안 애플리케이션 모델을 사용하도록 설정하기 위한 Java 샘플 코드
• 파트너 센터 인증 문서
• 파트너 센터 PowerShell MFA(다단계 인증) 문서

제어판을 사용하는 경우 보안 애플리케이션 모델 프레임워크 채택과 관련하여 공급업체와 상의해야 합니다.

제어판 공급업체는 제어판 공급업체로서 파트너 센터에 온보딩하고 이 요구 사항을 즉시 구현하기 시작해야 합니다.

파트너 센터: 보안 애플리케이션 모델 프레임워크를 참조하세요. 제어판 공급업체는 자격 증명 대신 CSP 파트너의 동의를 수락하고 관리해야 하며 기존 CSP 파트너의 자격 증명을 모두 제거해야 합니다.

모든 사용자 계정에 다단계 인증을 적용하면 비대화형으로 실행하려는 모든 자동화 또는 통합이 영향을 받습니다. 파트너 보안 요구 사항에 따라 파트너 센터 API에 보안 애플리케이션 모델을 사용하도록 설정해야 하지만 자동화 및 통합을 사용하여 두 번째 인증 요소의 필요성을 해결하는 데 사용할 수 있습니다.

자동화가 비대화형으로 실행되고 인증을 위해 사용자 자격 증명을 사용하는 경우 보안 애플리케이션 모델을 구현해야 합니다. 이 프레임워크 구현 방법에 대한 지침은 Secure Application Model | Partner Center PowerShell(보안 애플리케이션 모델 | 파트너 센터 PowerShell)을 참조하세요.

최소 권한 권한이 할당된 서비스 계정을 사용하는 것이 좋습니다. 파트너 센터 API와 관련하여 영업 에이전트 또는 관리 에이전트 역할에 할당된 계정을 사용해야 합니다.

이렇게 하면 위험이 줄어들기 때문에 최소 권한 ID를 사용하는 것이 가장 좋습니다. 필요한 것보다 더 많은 권한을 제공하기 때문에 전역 관리자 권한이 있는 계정을 사용하지 않는 것이 좋습니다.

CPV(제어판 공급업체) 솔루션을 사용하여 CSP(클라우드 솔루션 공급자) 프로그램에서 거래하는 파트너의 경우 CPV와 상의해야 합니다.

제어판 공급업체는 CSP 파트너가 파트너 센터 API와 통합하는 데 사용할 앱을 개발하는 독립 소프트웨어 공급업체입니다. 제어판 공급업체는 파트너 센터 또는 API에 직접 액세스할 수 있는 CSP 파트너가 아닙니다. 자세한 설명은 파트너 센터: 보안 애플리케이션 모델 가이드 내에서 사용할 수 있습니다.

CPV(제어판 공급업체)로 등록하려면 제어판 공급업체로 등록의 지침에 따라 CSP 파트너 시스템을 파트너 센터 API와 통합하는 데 도움이 됩니다.

파트너 센터에 등록하고 애플리케이션을 등록하면 파트너 센터 API에 액세스할 수 있습니다. 새 CPV인 경우 파트너 센터 알림에서 샌드박스 정보를 받게 됩니다. Microsoft CPV로 등록을 완료하고 CPV 계약을 수락한 후에는 다음을 수행할 수 있습니다.

• 다중 테넌트 애플리케이션을 관리합니다(Azure Portal에 애플리케이션 추가 및 파트너 센터에서 애플리케이션 등록 및 등록 취소).

  참고 항목

  CPV는 파트너 센터 API에 대한 권한을 얻으려면 파트너 센터에 애플리케이션을 등록해야 합니다. Azure Portal에 애플리케이션을 추가하는 것만으로는 파트너 센터 API에 대한 CPV 애플리케이션에 권한을 부여하지 않습니다.

• CPV 프로필을 보고 관리합니다.

• CPV 기능에 액세스해야 하는 사용자를 보고 관리합니다. CPV는 전역 관리자 역할만 가질 수 있습니다.

아니요. 보안 애플리케이션 모델 가이드의 지침을 따라야 합니다.

예. 새로 고침 토큰은 MFA가 적용되지 않은 계정을 사용하여 생성할 수 있습니다. 그러나 이 작업은 피해야 합니다. MFA를 사용하도록 설정하지 않은 계정을 사용하여 생성된 토큰은 MFA 요구 사항으로 인해 리소스에 액세스할 수 없습니다.

새 보안 요구 사항을 준수하면서 이를 수행하는 방법에 대한 세부 정보를 제공하는 보안 애플리케이션 모델 가이드를 따릅니다. 파트너 센터 DotNet 샘플 - 보안 앱 모델 및 Java 샘플 코드는 파트너 센터 Java 샘플에서 .NET 샘플 코드를 찾을 수 있습니다.

CPV는 CPV로 등록과 연결된 테넌트에 Microsoft Entra 애플리케이션을 만들어야 합니다.

사용자 자격 증명은 액세스 토큰을 요청하는 데 사용되지 않으므로 앱 전용 인증은 영향을 받지 않습니다. 사용자 자격 증명이 공유되고 있는 경우 CPV(제어판 공급업체)는 Secure Application Model framework(보안 애플리케이션 모델 프레임워크)를 채택하고 보유하고 있는 기존 파트너 자격 증명을 모두 제거해야 합니다.

아니요. 제어판 공급업체 파트너는 앱 전용 인증 스타일을 활용하여 파트너를 대신하여 액세스 토큰을 요청할 수 없습니다. 보안 애플리케이션 모델을 구현하여 앱 + 사용자 인증 스타일을 활용해야 합니다.

CSP(클라우드 솔루션 공급자) 프로그램, CPV(제어판 공급업체) 및 관리자에 참여하는 모든 파트너는 규정을 준수하기 위한 필수 보안 요구 사항을 구현해야 합니다.

더 많은 보호를 제공하기 위해 Microsoft는 무단 액세스를 방지하기 위해 MFA(다단계 인증) 확인을 의무화하여 파트너가 테넌트와 고객을 보호하는 데 도움이 되는 보안 보호 조치를 활성화하기 시작했습니다.

모든 파트너 테넌트에 대한 AOBO(관리자 위임) 기능의 활성화를 성공적으로 완료했습니다. 파트너 및 고객을 더욱 보호하기 위해 CSP에서 파트너 센터 트랜잭션에 대한 활성화를 시작하여 파트너가 ID 도용 관련 인시던트로부터 비즈니스와 고객을 보호할 수 있도록 지원합니다.

자세한 내용은 파트너 테넌트 페이지에 대한 MFA(다단계 인증) 관리를 참조하세요.

다단계 인증을 위해 리소스에 액세스하는 계정에 문제가 있는지 확인하기 위해 인증 방법 참조 클레임을 검사 MFA가 나열되는지 확인합니다. 일부 타사 솔루션은 이 클레임을 발급하거나 MFA 값을 포함하고 있지 않습니다. 클레임이 누락되었거나 MFA 값이 나열되지 않은 경우 인증된 계정이 다단계 인증에 대해 챌린지되었는지 여부를 확인할 수 있는 방법이 없습니다. 타사 솔루션의 공급업체와 협력하여 솔루션이 인증 방법 참조 클레임을 발급하도록 수행할 작업을 결정해야 합니다.

타사 솔루션이 예상 클레임을 발급하는지 확실하지 않은 경우 파트너 보안 요구 사항 테스트를 참조 하세요.

다단계 인증을 위해 인증된 계정에 문제가 있는 경우 파트너 보안 요구 사항에 대한 기술 적용이 검사. 계정이 검사 않은 경우 로그인 페이지로 리디렉션되고 다시 인증하라는 메시지가 표시됩니다.

자세한 환경 및 지침은 파트너 테넌트에 대한 MFA(다단계 인증) 관리를 참조하세요.

do기본 페더레이션되지 않는 시나리오에서는 성공적으로 인증한 후 다단계 인증을 설정하라는 메시지가 표시됩니다. 이 작업이 완료되면 AOBO를 사용하여 고객을 관리할 수 있습니다. 할 일기본 페더레이션되는 시나리오에서는 다단계 인증을 위해 계정에 문제가 있는지 확인해야 합니다.

Microsoft Entra ID "기준" 정책이 제거되고 사용자와 고객을 위한 보다 포괄적인 보호 정책 집합인 "보안 기본값"으로 대체 되고 있습니다. 보안 기본값은 조직을 ID 도용 관련 보안 공격으로부터 보호하는 데 도움이 됩니다.

기준 정책에서 보안 기본 정책 또는 기타 MFA 구현 옵션으로 전환하지 않은 경우 기준 정책 사용 중지로 인해 MFA(다단계 인증) 구현이 제거됩니다. MFA로 보호되는 작업을 수행하는 파트너 테넌트의 모든 사용자는 MFA 확인을 완료하도록 요청받습니다. 자세한 지침은 파트너 테넌트에 대한 다단계 인증 의무 지정을 참조하세요.

규정을 준수하고 중단을 최소화하려면 다음 단계를 사용합니다.

• 보안 기본값으로 전환
  • 보안 기본값 정책은 파트너가 MFA를 구현하는 데 선택할 수 있는 옵션 중 하나입니다. 이는 추가 비용 없이 사용 가능한 기본 보안 수준을 제공합니다.
  • Microsoft Entra ID를 사용하여 조직에 MFA를 사용하도록 설정하고 보안 기본값 주요 고려 사항을 검토 하는 방법을 알아봅니다.
  • 비즈니스 요구 사항을 충족하는 경우 보안 기본값 정책을 사용하도록 설정합니다.
• 조건부 액세스로 전환
  • 보안 기본 정책이 요구 사항을 충족하지 않는 경우 조건부 액세스를 사용하도록 설정합니다. 자세한 내용은 Microsoft Entra 조건부 액세스 설명서를 참조하세요.

• 파트너 보안 요구 사항 보기 : 단계별 가이드.
• 질문과 피드백을 파트너 센터 보안 지침 그룹에 전달합니다.
• 예정된 파트너 업무 시간 및 웨비나에 참여합니다. 파트너 커뮤니티 페이지에서 자세한 일정 및 리소스를 확인합니다.

• 보안 애플리케이션 모델 개요
• 파트너 센터: 보안 애플리케이션 모델 가이드
• CSP 프로그램의 파트너: 보안 애플리케이션 모델을 활성화하는 .NET 샘플 코드
• CSP 프로그램의 파트너: 보안 애플리케이션 모델을 사용하도록 설정하기 위한 Java 샘플 코드
• 파트너 센터 인증 문서
• 파트너 센터 PowerShell MFA(다단계 인증) 문서

보안 요구 사항을 충족하는 지원 리소스의 경우:

• ASfP(파트너에 대한 고급 지원)가 있는 경우 서비스 계정 관리자에게 문의하세요.
• 파트너 계약(PSfP)에 대한 프리미어 지원은 서비스 계정 관리자 및 기술 계정 관리자에게 문의하세요.

Microsoft Entra ID에 대한 기술 제품 지원 옵션은 Microsoft AI Cloud 파트너 프로그램 혜택을 통해 사용할 수 있습니다. 활성 ASfP 또는 PSfP 구독에 액세스할 수 있는 파트너는 SAM/TAM(연결된 계정 관리자)과 협력하여 사용 가능한 최상의 옵션을 이해할 수 있습니다.

MFA 문제로 인해 액세스 권한이 끊어지면 테넌트에 대한 전역 관리자에게 문의하세요. 내부 IT 부서에서 전역 관리자가 누구인지 알려줄 수 있습니다.

암호를 잊어버린 경우 도움말을 보려면 로그인할 수 없음을 참조하세요.

일반적인 기술 문제에 대한 정보는 파트너 센터 또는 파트너 센터 API를 사용하는 파트너에 대한 파트너 보안 요구 사항에서 확인할 수 있습니다.