パートナー センターまたはパートナー センター API を使用するためのパートナーのセキュリティ要件Security requirements for using Partner Center or Partner Center APIs

適用対象Applies to

  • クラウド ソリューション プロバイダー プログラムのすべてのパートナーAll partners in the Cloud Solution Provider program
  • すべてのコントロール パネル ベンダーAll Control Panel Vendors
  • すべてのアドバイザーAll Advisors

該当するユーザーAppropriate users

  • ゲスト ユーザーを含むすべての有効なユーザーAll enabled users including guest users

この記事では、クラウド ソリューション プロバイダー プログラムに参加しているアドバイザー、コントロール パネル ベンダー、パートナーに必須のセキュリティ要件に加え、認証オプションやその他のセキュリティに関する考慮事項について説明します。This article explains the mandatory security requirements for Advisors, Control Panel Vendors, and partners participating in the Cloud Solution Provider program, as well as authentication options and other security considerations. プライバシーの保護とセキュリティは、Microsoft の最優先事項の 1 つです。Privacy safeguards and security are among our top priorities. 最善の防御とは予防することで、私たちの強さが、最も弱いリンクと同程度でしかないことはわかっています。We know that the best defense is prevention and that we are only as strong as our weakest link. そのために、エコシステムの全員が行動し、適切なセキュリティ保護を確保する必要があるのです。That is why we need everyone in our ecosystem to act and ensure appropriate security protections are in place.

必須のセキュリティ要件Mandatory security requirements

必須のセキュリティ要件を実装していないパートナーは、クラウド ソリューション プロバイダー プログラムで取引したり、代理管理者権限を利用して顧客テナントを管理したりできなくなります。Partners who do not implement the mandatory security requirements will not be able to transact in the Cloud Solution Provider program or manage customer tenants leveraging delegated admin rights. また、セキュリティ要件を実装していないパートナーは、プログラムへの参加を危険にさらす可能性があります。In addition, partners who do not implement the security requirements may put their participation in programs at risk. パートナーのセキュリティ要件に関連する条件は、Microsoft Partner Agreement に追加されています。The terms associated with the partner security requirements have been added to the Microsoft Partner Agreement. アドバイザーについても、同じ契約条件が適用されます。As it relates to Advisors, the same contractual requirements will be in place.

パートナーとその顧客を保護するため、パートナーには次のアクションをすぐに実行するようお願いします。To protect you and your customers, we are requiring partners to take the following actions immediately:

  1. パートナー テナント内のすべてのユーザー アカウントに対して多要素認証 (MFA) を有効にしますEnable multi-factor authentication (MFA) for all user accounts in your partner tenant. パートナー テナント内のすべてのユーザー アカウントに対して MFA を強制する必要があります。You must enforce MFA on all user accounts in your partner tenant(s). ユーザーは、パートナー センターまたは API を使用して Microsoft の商用クラウド サービスにサインインするとき、またはクラウド ソリューション プロバイダー プログラムで取引を行うときに、多要素認証 (MFA) によるチャレンジを受ける必要があります。Users must be challenged by MFA when they sign in to Microsoft commercial cloud services or when they transact in the Cloud Solution Provider program through Partner Center or via APIs.

  2. セキュリティで保護されたアプリケーション モデル フレームワークを採用しますAdopt the Secure Application Model framework. パートナー センター API と統合しているすべてのパートナーは、すべてのアプリとユーザー認証モデルのアプリケーションに対してセキュア アプリケーション モデル フレームワークを採用する必要があります。All partners integrating with Partner Center APIs must adopt the Secure Application Model framework for any app and user auth model applications.

    重要

    パートナーには、MFA を強制するときの中断を避ける目的で、Azure Resource Manager や Microsoft Graph などの Microsoft API と統合するために、またはユーザー資格情報を使用する PowerShell などの自動化を利用する際に、セキュア アプリケーション モデルを実装することを強くお勧めします。We strongly recommend that partners implement the Secure Application Model for integrating with a Microsoft API, such as Azure Resource Manager or Microsoft Graph, or when leveraging automation such as PowerShell using user credentials, to avoid any disruption when MFA is enforced.

これらのセキュリティ要件は、お客様のインフラストラクチャを保護し、ID の盗難やその他の不正行為インシデントなどの潜在的なセキュリティ リスクから顧客のデータを保護するのに役立ちます。These security requirements will help protect your infrastructure and safeguard your customers' data from potential security risks such as identify theft or other fraud incidents.

多要素認証の実装Implementing multi-factor authentication

パートナー セキュリティ要件に準拠するには、パートナー テナント内の各ユーザー アカウントに MFA を実装して強制する必要があります。To comply with the partner security requirements, you must implement and enforce MFA for each user account in your partner tenant. この操作は次のいずれかの方法で行うことができます。You can do this one of the way following ways:

注意

ソブリン クラウド (米国政府およびドイツ) の場合、多要素認証は契約上必須ではありませんが、これらのセキュリティ要件を採用することを強くお勧めします。Although multi-factor authentication is not contractually required for a sovereign cloud (US Government and Germany) it is highly recommended you adopt these security requirements.

セキュリティの既定値Security defaults

MFA 要件を実装するためにパートナーが選択可能なオプションの 1 つは、Azure AD でセキュリティの既定値群を有効にすることです。One of the options that partners can choose to implement MFA requirements is to enable security defaults in Azure AD. セキュリティの既定値群では、基本レベルのセキュリティが追加料金なしで提供されます。Security defaults offer a basic level of security at no extra cost. セキュリティの既定値群を有効にする前に、Azure AD で組織の MFA を有効にする方法と、以下の重要な考慮事項を確認してください。Review how to enable MFA for your organization with Azure AD and the key considerations below before enabling security defaults.

  • 既にベースライン ポリシーを採用しているパートナーは、セキュリティの既定に移行するための措置を講じる必要があります。Partners who already adopted baseline policies need to take action to transition to security defaults.

  • セキュリティの既定値は、プレビュー版のベースライン ポリシーに置き換わって一般提供されます。Security defaults are the general availability replacement of the preview baseline policies. セキュリティの既定値を有効にしたパートナーは、ベースライン ポリシーを有効にすることはできなくなります。Once a partner enables the security defaults, they will no longer be able to enable baseline policies.

  • セキュリティの既定値を使用すると、すべてのポリシーが一度に有効になります。With security defaults, all policies will be enabled at once.

  • 条件付きアクセスを使用しているパートナーの場合、セキュリティの既定値は使用できませんFor partners who use conditional access, security defaults will not be available.

  • 現時点では、レガシ認証はブロックされません。We do not block legacy authentication at this time. ただし、侵害された ID に関連するほとんどのイベントは、従来の認証を使用したサインインの試行が原因であるため、パートナーにはこれらの古いプロトコルの利用を停止することをお勧めします。However, as most events related to compromised identities come from sign-in attempts using legacy authentication, partners are encouraged to move away from these older protocols.

  • Azure AD Connect の同期アカウントは、セキュリティの既定値から除外されます。Azure AD Connect synchronization account is excluded from security defaults.

詳細については、「組織での Azure Multi-Factor Authentication の概要」および「セキュリティの既定値群とは」をご覧ください。For detailed information, read Overview of Azure Multi-Factor Authentication for your organization and What are security defaults?.

注意

Azure AD のセキュリティの既定値は、簡略化されたベースライン保護ポリシーの発展です。Azure AD security defaults is the evolution of the baseline protection policies simplified. ベースライン保護ポリシーを既に有効にしている場合は、セキュリティの既定値群を有効にすることを強くお勧めします。If you have already enabled the baseline protection policies, then it is highly recommended that you enable security defaults.

実装時の注意事項Implementation considerations

これらの要件はパートナー テナント内のすべてのユーザー アカウントに適用されるため、円滑なデプロイを実現するにはいくつかの点を考慮する必要があります。Because these requirements apply to all user accounts in your partner tenant, you need to consider several things to ensure a smooth deployment. たとえば、Azure AD 内で MFA を実行できないユーザー アカウントを特定したり、組織内で先進認証に対応していないアプリケーションとデバイスを特定したりします。For example, identify user accounts in Azure AD that cannot perform MFA, as well as applications and devices in your organization that do not support modern authentication.

アクションを実行する前に、以下の検証を行うことをお勧めします。Prior to performing any action, we recommend you complete the following validations.

先進認証の使用をサポートしていないアプリケーションまたはデバイスはありますか。Do you have an application or device that does not support the use of modern authentication?

IMAP、POP3、SMTP などでは MFA がサポートされていないため、MFA 認証を強制すると、これらのプロトコルを使用するレガシ認証はブロックされます。When you enforce MFA, legacy authentication use protocols such as IMAP, POP3, SMTP, etc. will be blocked because they don't support MFA. この制限に対処するために、アプリ パスワード機能を使用すれば、アプリケーションまたはデバイスを引き続き認証することができます。To address this limitation, use the app passwords feature to ensure the application or device will still authenticate. アプリ パスワード使用時の考慮事項を確認し、お使いの環境でそれを使用できるかどうかを確かめる必要があります。Review the considerations for using app passwords to determine if they can be used in your environment.

パートナー テナントに関連付けられたライセンスを持つ Office 365 ユーザーがいますか。Do you have Office 365 users with licenses associated with your partner tenant?

ソリューションを実装する前に、パートナー テナントの Microsoft Office ユーザーがどのバージョンを使用しているか確認することをお勧めします。Prior to implementing any solution, we recommend that you determine what version of Microsoft Office users in your partner tenant are using. Outlook などのアプリケーションで接続の問題が発生する可能性があります。There is a chance your users will experience connectivity issues with applications like Outlook. MFA を適用する前に、Outlook 2013 SP1 以降が使用されており、組織で先進認証が有効になっていることを確認することが重要です。Before enforcing MFA, it is important to ensure that you are using Outlook 2013 SP1, or later, and that your organization has modern authentication enabled. 詳細については、Exchange Online での先進認証の有効化に関するページをご覧ください。For more information, see Enable modern authentication in Exchange Online.

Windows が実行され、Microsoft Office 2013 がインストールされているデバイスで先進認証を有効にするには、2 つのレジストリ キーを作成する必要があります。To enable modern authentication for devices running Windows that have Microsoft Office 2013 installed, you will need to create two registry keys. Windows デバイスで Office 2013 の先進認証を有効にする」を参照してください。See Enable Modern Authentication for Office 2013 on Windows devices.

作業中にユーザーによるモバイル デバイスの使用を禁止するポリシーがありますか。Is there a policy preventing any of your users from using their mobile devices while working?

実装する MFA ソリューションは、作業中に従業員がモバイル デバイスを使用できないようにする会社のポリシーの影響を受けるため、そのポリシーを特定することが重要です。It is important to identify any corporate policy that prevents employees from using mobile devices while working because it will influence what MFA solution you implement. Azure AD のセキュリティの既定値の実装を通じて提供されるソリューションなど、確認の目的でのみ認証アプリの使用を許可するソリューションがあります。There are solutions, such as the one provided through the implementation of Azure AD security defaults, that only allow the use of an authenticator app for verification. モバイル デバイスの使用を禁止するポリシーが組織で採用されている場合は、次のいずれかのオプションを検討してください。If your organization has a policy preventing the use of mobile devices, then consider one of the following options:

  • セキュリティで保護されたシステムで実行できる、時間ベースのワンタイム ベース パスワード (TOTP) アプリケーションをデプロイする。Deploy a time-based one-time base password (TOTP) application that can run on secure system.

  • パートナー テナントの各ユーザー アカウントに MFA を強制するサード パーティのソリューションを実装し、最適な検証オプションを提供する。Implement a third-party solution that enforces MFA for each user account in the partner tenant that provides the most appropriate verification option.

  • 影響を受けるユーザーに対して Azure Active Directory Premium ライセンスを購入する。Purchase Azure Active Directory Premium licenses for the impacted users.

どの自動化または統合で、認証にユーザー資格情報が使用されていますか。What automation or integration do you have to leverage user credentials for authentication?

MFA の強制は、サービス アカウントを含め、パートナー ディレクトリ内の各ユーザーに及ぶため、認証にユーザー資格情報が使用されているすべての自動化または統合が影響を受けます。Because we enforce MFA for each user, including service accounts, in your partner directory, this will impact any automation or integration that leverages user credentials for authentication. このため、これらの状況でどのアカウントが使用されているかを特定することが重要です。So, it is important that you identify which accounts are being used in these situations. 検討すべきアプリケーションやサービスの例についての次の一覧を確認してください。See the following list of sample applications or services to consider:

  • 顧客に代わってリソースをプロビジョニングするときに使用されるコントロール パネルControl panel used to provision resources on behalf of your customers

  • 顧客への請求 (CSP プログラムに関連する場合) および顧客サポートに使用される任意のプラットフォームとの統合Integration with any platform that is used for invoicing (as it relates to the CSP program) and supporting your customers

  • Az、AzureRM、Azure AD、MS Online などのモジュールが利用される PowerShell スクリプトPowerShell scripts that utilize the Az, AzureRM, Azure AD, MS Online, etc. modules

上記のリストはすべてを網羅しているわけではありません。The above list is not comprehensive. そのため、認証にユーザー資格情報が利用されるご自身の環境で、アプリケーションまたはサービスの完全な評価を実行することが重要です。So, it is important that you perform a complete assessment of any application or service in your environment that leverages user credentials for authentication. MFA の要件に対応するには、可能な限り、セキュリティで保護されたアプリケーション モデル フレームワークでガイダンスを実装する必要があります。To contend with the requirement for MFA, you should implement the guidance in the Secure Application Model framework where possible.

環境を評価するAccessing your environment

MFA のチャレンジを受けないで何が、または誰が認証を行っているかを詳しく理解するには、サインイン アクティビティを確認することをお勧めします。To better understand what or who is authenticating without being challenged for MFA, we recommend you review the sign-in activity. Azure Active Directory Premium では、サインイン レポートを利用できます。Through Azure Active Directory Premium, you can leverage the sign-in report. このトピックの詳細については、「Azure Active Directory ポータルのサインイン アクティビティ レポート」をご覧ください。For more information about this topic, see Sign-in activity reports in the Azure Active Directory portal. Azure Active Directory Premium がない場合、または PowerShell を使用してこのサインイン アクティビティを取得する方法を探している場合は、パートナー センターの PowerShell モジュールから、Get-PartnerUserSignActivity コマンドレットを利用する必要があります。If you do not have Azure Active Directory Premium, or you are looking for a way obtain this sign-in activity through PowerShell, then you will need to leverage the Get-PartnerUserSignActivity cmdlet from the Partner Center PowerShell module.

要件はどのように適用されるかHow the requirements are enforced

パートナーのセキュリティ要件は、Azure AD により (その後、パートナー センターにより) MFA クレームがあるかどうかが確認され、MFA 検証が実行済みであることが特定されることで、強制されます。Partner security requirements are enforced by Azure AD, and in turn Partner Center, by checking for the presence of the MFA claim to identify that MFA verification has taken place. 2019 年 11 月 18 日以降、パートナーのテナントに対する追加のセキュリティ セーフガード (以前の "技術的適用") がアクティブ化されています。Starting November 18, 2019, Microsoft activated additional security safeguards (previously known as “technical enforcement”) to partner tenants.

このアクティブ化に伴い、パートナー テナントのユーザーは、代理管理者 (AOBO) 操作を実行するとき、パートナー センター ポータルにアクセスするとき、またはパートナー センター API を呼び出すときに、MFA 検証を完了するように要求されます。Upon activation, users in the partner tenant are requested to complete MFA verification when performing any admin on behalf of (AOBO) operations, accessing the Partner Center portal, or calling Partner Center APIs. 詳細については、「パートナー テナントに多要素認証 (MFA) を義務付ける」をご覧ください。For more information, see Mandating Multi-factor Authentication (MFA) for your partner tenant.

要件を満たしていないパートナーは、ビジネスの中断を回避するため、できるだけ早くこれらの手段を実装する必要があります。Partners who have not met the requirements should implement these measures as soon as possible to avoid any business disruptions. Azure Multi-Factor Authentication または Azure AD のセキュリティの既定値を使用している場合は、追加のアクションを実行する必要はありません。If you are using Azure Multi-Factor Authentication or Azure AD security defaults, there are no additional actions you need to take.

サード パーティの MFA ソリューションを使用している場合は、MFA クレームが発行されない可能性があります。If you are using a third-party MFA solution, there is a chance the MFA claim may not be issued. このクレームがないと、Azure AD は、認証要求が MFA によってチャレンジされたかどうかを判断できません。If this claim is missing, Azure AD will not be able determine if the authentication request was challenged by MFA. 想定されている要求がソリューションで発行されていることを検証する方法の詳細については、「パートナーのセキュリティ要件のテスト」を参照してください。For information on how to verify your solution is issuing the expected claim, read Testing the Partner Security Requirements.

重要

想定されている要求がサードパーティ ソリューションによって発行されない場合は、ソリューションを開発したベンダーと協力して、どのようなアクションを実行する必要があるかを判断する必要があります。If your third-party solution does not issue the expected claim, then you will need to work with the vendor who developed the solution to determine what actions should be taken.

リソースとサンプルResources and samples

サポートやサンプル コードについては、次のリソースを参照してください。See the following resources for support and sample code:

次のステップNext steps