パートナー センターまたはパートナー センター API を使用するためのパートナーのセキュリティ要件

対象ロール: すべてのパートナー センター ユーザー

アドバイザー、コントロール パネル ベンダー、クラウド ソリューション プロバイダー (CSP) パートナーは、認証オプションおよびその他のセキュリティ上の考慮事項に関して決定を行う必要があります。 パートナーとその顧客のプライバシー保護とセキュリティは、Microsoft の最優先事項の 1 つです。 最善の防御は予防することであり、自分たちの強さが、最も弱いリンクと同程度でしかないことはわかっています。 そのため、エコシステムの全員が、適切なセキュリティ保護を確保する必要があります。

必須のセキュリティ要件

CSP プログラムを使用すると、顧客はパートナーを通じて Microsoft の製品やサービスを購入できます。 Microsoft との契約に従って、パートナーは、販売先の顧客の環境を管理し、サポートを提供する必要があります。 パートナーは顧客テナントへの高い特権の管理者アクセス権を持っているため、このチャネルを通じて購入する顧客はパートナーを信頼します。

必須のセキュリティ要件を実装していないパートナーは、CSP プログラムで取引したり、代理管理者権限を使用して顧客テナントを管理したりすることはできません。 また、セキュリティ要件を実装していないパートナーは、プログラムへの参加を危険にさらす可能性があります。 パートナーのセキュリティ要件に関連する条件は、Microsoft Partner Agreement に追加されています。 Microsoft Partner Agreement (MPA) は定期的に更新されるため、Microsoft は、すべてのパートナーに対して、定期的に確認することをお勧めします。 アドバイザーについても、同じ契約条件が適用されます。

すべてのパートナーは、パートナーと顧客の環境をセキュリティで保護できるように、セキュリティのベスト プラクティスに従う必要があります。 これらのベスト プラクティスに従うことで、セキュリティの問題を軽減し、セキュリティ エスカレーションを修復し、顧客の信頼が侵害されないようにすることができます。

パートナーとその顧客を保護するために、パートナーは、すべてのユーザー アカウントに対する MFA の有効化と、セキュア アプリケーション モデル フレームワークの導入をただちに行う必要があります。

パートナー テナント内のすべてのユーザー アカウントに対して MFA を有効にする

パートナー テナント内のすべてのユーザー アカウントに対して MFA を適用する必要があります。 ユーザーは、パートナー センターまたは API を使用して Microsoft の商用クラウド サービスにサインインするとき、またはクラウド ソリューション プロバイダー プログラムで取引を行うときに、多要素認証 (MFA) によるチャレンジを受ける必要があります。 MFA を適用するにあたっては、次のガイドラインに従います。

  • Microsoft でサポートする Azure AD Multi-Factor Authentication を使用するパートナーは、 詳細について、Azure AD MFA を有効にする複数の方法 (サポートされている MFA) を参照してください
  • サードパーティの MFA と例外リストの一部を実装したパートナーもパートナー センター ポータルおよび API にアクセスできますが、DAP や GAP を使用して顧客を管理することはできません (例外は認められません)
  • パートナーの組織が以前に MFA の例外を許可されていた場合、CSP プログラムの一部として顧客テナントを管理するユーザーは、2022 年 3 月 1 日までに Microsoft MFA 要件を有効にしておく必要があります。 MFA 要件に準拠しない場合、顧客テナントにアクセスできなくなる可能性があります。
  • 詳細については、「パートナー テナントに多要素認証 (MFA) を義務付ける」を参照してください。

注意

パートナーには、CSP テナントごとに 24 か月間無料の Azure AD Premium P2 ライセンスが付与され、各テナントで最大 25 シートを利用できます。 Azure AD 条件付きアクセスとリスクベースの条件付きアクセスを確認して、プロモーションにすばやくアクセスし、強力な認証のために MFA をサポートするように Azure AD を設定します。 詳細については、Azure AD MFA を使用してユーザーのサインイン イベントのセキュリティを確保する方法に関するページを参照してください。

セキュア アプリケーション モデル フレームワークを導入する

パートナー センター API と統合しているすべてのパートナーは、すべてのアプリとユーザー認証モデルのアプリケーションに対してセキュア アプリケーション モデル フレームワークを採用する必要があります。

重要

パートナーには、MFA を強制するときの中断を避ける目的で、Azure Resource Manager や Microsoft Graph などの Microsoft API と統合するために、またはユーザー資格情報を使用する PowerShell などの自動化を利用する際に、セキュア アプリケーション モデルを実装することを強くお勧めします。

これらのセキュリティ要件は、お客様のインフラストラクチャを保護し、ID の盗難やその他の不正行為インシデントなどの潜在的なセキュリティ リスクから顧客のデータを保護するのに役立ちます。

追加のセキュリティ要件

顧客は、パートナーが付加価値サービスを提供してくれると信じています。 顧客の信頼を確保し、その後、パートナーとしての評判を守るには、あらゆるセキュリティ対策を講じることが不可欠です。 Microsoft では引き続き、強制措置を追加し、すべてのパートナーが顧客のセキュリティを順守し、それを優先させることを求めていきます。 これらのセキュリティ要件は、パートナーのインフラストラクチャを保護し、その顧客のデータを、ID の盗難やその他の不正インシデントなどの潜在的なセキュリティ リスクから保護するのに役立ちます。

パートナーは、ゼロ トラストの原則を確実に導入する責任があります。具体的には、次のものがあります。

代理管理者特権 (DAP)

代理管理者特権 (DAP) により、顧客のサービスまたはサブスクリプションを代理で管理することができます。 顧客は、そのサービスに対する管理アクセス許可をパートナーに付与する必要があります。 顧客を管理するためにパートナーに付与されるこの特権は高度に昇格されるため、Microsoft では、すべてのパートナーに対して、非アクティブになっている DAP を削除することをお勧めします。 代理管理者特権を使用して顧客テナントを管理するすべてのパートナーは、顧客テナントとその資産への影響を防ぐために、非アクティブな DAP をパートナー センター ポータルから削除する必要があります。

詳細については、「管理関係の監視とセルフサービス DAP の削除ガイド」、「代理管理特権 (DAP) に関する FAQ」、「代理管理者特権を対象とする NOBELIUM ガイド」を参照してください。

さらに、DAP はまもなく非推奨になります。このため、現在 DAP を使用して顧客テナントを管理しているすべてのパートナーは、顧客テナントを安全に管理するために、最小特権の詳細な代理管理者特権モデルに移行することを強くお勧めします。

顧客テナントを管理するための最小特権ロールへの移行

DAP はまもなく非推奨になるため、Microsoft では、管理エージェントに継続的または永続的なグローバル管理者アクセス権を付与する現在の DAP モデルを移行し、きめ細かな代理アクセス モデルに置き換えることを強くお勧めします。 きめ細かな代理アクセス モデルにより、顧客に対するセキュリティ リスクと影響が軽減されます。 また、顧客のサービスと環境を管理している従業員のワークロード レベルで顧客ごとのアクセスを制限する制御と柔軟性も提供されます。

詳細については、「詳細な委任された管理者特権 (GDAP) の概要」の最小特権ロールに関する情報、および「GDAP に関してよく寄せられる質問」を参照してください

Azure での不正行為の通知を監視する

CSP プログラムのパートナーは、顧客の Azure の使用に対して責任があるため、顧客の Azure サブスクリプションで暗号通貨マイニング アクティビティが発生する可能性を認識することが重要です。 この認識により、即座にアクションを実行して、動作が適正か不正であるかを確認し、必要に応じて影響を受ける Azure リソースまたは Azure サブスクリプションを中断することで、問題を軽減できます。

詳細については、「Azure での不正行為の検出と通知」を参照してください。

Azure AD Premium プラン 2 にサインアップする

CSP テナント内のすべての管理エージェントは、Azure AD Premium プラン 2 の無料サブスクリプションでサイバーセキュリティを強化し、さまざまな機能を利用して CSP テナントを強化する必要があります。 Azure AD Premium プラン 2 では、サインイン ログへの拡張アクセスと、Azure AD Privileged Identity Management (PIM) などの Premium 機能と、セキュリティ制御を強化するリスクベースの条件付きアクセス機能が提供されます。

登録済みのパートナーはパートナー センターにサインインして、このプランを利用することができます。

CSP セキュリティのベスト プラクティスに準拠する

CSP セキュリティに関するすべてのベスト プラクティスに従うことが重要です。 詳細については、「CSP セキュリティのベスト プラクティス」を参照してください。

多要素認証の実装

パートナー セキュリティ要件に準拠するには、パートナー テナント内の各ユーザー アカウントに MFA を実装して強制する必要があります。 この操作は次のいずれかの方法で行うことができます。

セキュリティの既定値

MFA 要件を実装するためにパートナーが選択可能なオプションの 1 つは、Azure AD でセキュリティの既定値群を有効にすることです。 セキュリティの既定値群では、基本レベルのセキュリティが追加料金なしで提供されます。 セキュリティの既定値群を有効にする前に、Azure AD で組織の MFA を有効にする方法と、以下の重要な考慮事項を確認してください。

  • 既にベースライン ポリシーを採用しているパートナーは、セキュリティの既定に移行するための措置を講じる必要があります。

  • セキュリティの既定値は、プレビュー版のベースライン ポリシーに置き換わって一般提供されます。 セキュリティの既定値を有効にしたパートナーは、ベースライン ポリシーを有効にすることはできなくなります。

  • セキュリティの既定値を使用すると、すべてのポリシーが一度に有効になります。

  • 条件付きアクセスを使用しているパートナーの場合、セキュリティの既定値を使用することができません

  • レガシ認証プロトコルはブロックされます。

  • Azure AD Connect の同期アカウントはセキュリティの既定値群から除外されるため、多要素認証の登録または実行を求められることはありません。 組織は、このアカウントを他の目的で使用しないでください。

詳細については、「組織での Azure AD Multi-Factor Authentication の概要」およびセキュリティの既定値群の説明をご覧ください。

Note

Azure AD のセキュリティの既定値は、簡略化されたベースライン保護ポリシーの発展です。 ベースライン保護ポリシーを既に有効にしている場合は、セキュリティの既定値群を有効にすることを強くお勧めします。

実装に関してよくあるご質問 (FAQ)

これらの要件はパートナー テナント内のすべてのユーザー アカウントに適用されるため、円滑なデプロイを実現するにはいくつかの点を考慮する必要があります。 たとえば、Azure AD 内で MFA を実行できないユーザー アカウントの特定や、組織内で先進認証に対応していないアプリケーションとデバイスの特定などがあります。

アクションを実行する前に、以下の検証を行うことをお勧めします。

先進認証の使用をサポートしていないアプリケーションまたはデバイスはありますか。

IMAP、POP3、SMTP、その他のプロトコルでは MFA がサポートされていないため、MFA 認証を強制すると、これらを使用するレガシ認証がブロックされます。 この制限に対処するために、アプリ パスワード機能を使用すれば、アプリケーションまたはデバイスを引き続き認証することができます。 アプリ パスワード使用時の考慮事項を確認し、お使いの環境でそれを使用できるかどうかを確かめる必要があります。

パートナー テナントに関連付けられたライセンスを持つ Office 365 ユーザーがいますか。

ソリューションを実装する前に、パートナー テナントの Microsoft Office ユーザーがどのバージョンを使用しているか確認することをお勧めします。 Outlook などのアプリケーションで接続の問題が発生する可能性があります。 MFA を適用する前に、Outlook 2013 SP1 以降が使用されており、組織で先進認証が有効になっていることを確認することが重要です。 詳細については、Exchange Online での先進認証の有効化に関するページをご覧ください。

Windows が実行され、Microsoft Office 2013 がインストールされているデバイスで先進認証を有効にするには、2 つのレジストリ キーを作成する必要があります。 「Windows デバイスで Office 2013 の先進認証を有効にする」を参照してください。

作業中にユーザーによるモバイル デバイスの使用を禁止するポリシーがありますか。

実装する MFA ソリューションは、作業中に従業員がモバイル デバイスを使用できないようにする会社のポリシーの影響を受けるため、そのポリシーを特定することが重要です。 Azure AD のセキュリティの既定値の実装を通じて提供されるソリューションなど、確認の目的でのみ認証アプリの使用を許可するソリューションがあります。 モバイル デバイスの使用を禁止するポリシーが組織で採用されている場合は、次のいずれかのオプションを検討してください。

  • セキュリティで保護されたシステムで実行できる、時間ベースのワンタイム ベース パスワード (TOTP) アプリケーションをデプロイする。

  • パートナー テナントの各ユーザー アカウントに MFA を強制するサード パーティのソリューションを実装し、最適な検証オプションを提供する。

  • 影響を受けるユーザーの 24 か月間無料の Azure Active Directory Premium ライセンスを購入するか、サインアップする。

どの自動化または統合で、認証にユーザー資格情報を使用する必要がありますか。

MFA は、サービス アカウントを含め、パートナー ディレクトリ内の各ユーザーに適用されるため、認証にユーザー資格情報が使用されているすべての自動化または統合が影響を受けます。 このため、これらの状況でどのアカウントが使用されているかを特定することが重要です。 検討すべきアプリケーションやサービスの例についての次の一覧を確認してください。

  • 顧客に代わってリソースをプロビジョニングするときに使用されるコントロール パネル

  • 顧客への請求 (CSP プログラムに関連する場合) および顧客サポートに使用される任意のプラットフォームとの統合

  • Az、AzureRM、Azure AD、MSOnline、その他のモジュールが使用される PowerShell スクリプト

上記のリストはすべてではありません。そのため、認証にユーザー資格情報が使用されるご自身の環境で、アプリケーションまたはサービスの完全な評価を実行することが重要です。 MFA の要件に対応するには、可能な限り、セキュリティで保護されたアプリケーション モデル フレームワークでガイダンスを実装する必要があります。

環境を評価する

MFA のチャレンジを受けないで何が、または誰が認証を行っているかを詳しく理解するには、サインイン アクティビティを確認することをお勧めします。 Azure Active Directory Premium では、サインイン レポートを使用できます。 この件に関する詳細は、「Azure Active Directory ポータルのサインイン アクティビティ レポート」をご覧ください。 Azure Active Directory Premium がない場合、または PowerShell を使用してこのサインイン アクティビティを実現する方法を探している場合は、パートナー センターの PowerShell モジュールから Get-PartnerUserSignActivity コマンドレットを使用する必要があります。

要件はどのように適用されるか

パートナーの組織が以前に MFA の例外を許可されていた場合、CSP プログラムの一部として顧客テナントを管理するユーザーは、2022 年 3 月 1 日までに Microsoft MFA 要件を有効にしておく必要があります。 MFA 要件に準拠しない場合、顧客テナントにアクセスできなくなる可能性があります。

パートナーのセキュリティ要件は、Azure AD により (その後、パートナー センターにより) MFA クレームがあるかどうかが確認され、MFA 検証が実行済みであることが特定されることで、強制されます。 2019 年 11 月 18 日以降、パートナーのテナントに対する追加のセキュリティ セーフガード (以前の "技術の義務付け") がアクティブ化されています。

このアクティブ化に伴い、パートナー テナントのユーザーは、代理管理者 (AOBO) 操作を実行するとき、パートナー センター ポータルにアクセスするとき、またはパートナー センター API を呼び出すときに、MFA 検証を完了するように要求されます。 詳細については、「パートナー テナントに多要素認証 (MFA) を義務付ける」をご覧ください。

要件を満たしていないパートナーは、ビジネスの中断を回避するために、可能な限り早急にこれらの手段を実装する必要があります。 Azure Active Directory Multi-Factor Authentication または Azure AD のセキュリティの既定値群を使用している場合は、追加のアクションを実行する必要はありません。

サード パーティの MFA ソリューションを使用している場合は、MFA クレームが発行されない可能性があります。 このクレームがないと、Azure AD では、認証要求に対して MFA チャレンジが適用されたかどうかを判断できません。 想定されている要求がソリューションで発行されていることを検証する方法の詳細については、「パートナーのセキュリティ要件のテスト」を参照してください。

重要

想定されている要求がサードパーティ ソリューションによって発行されない場合は、ソリューションを開発したベンダーと協力して、どのようなアクションを実行する必要があるかを判断する必要があります。

リソースとサンプル

サポートやサンプル コードについては、次のリソースを参照してください。

次のステップ