자습서: 사용자 로그인에 대한 위험 탐지를 사용하여 Microsoft Entra 다단계 인증 또는 암호 변경 트리거

사용자를 보호하기 위해 위험 동작에 자동으로 대응하는 위험 기반 Microsoft Entra 조건부 액세스 정책을 구성할 수 있습니다. 이러한 정책은 로그인 시도를 자동으로 차단하거나 보안 암호 변경 필요 또는 Microsoft Entra 다단계 인증 요청과 같은 추가 작업이 필요할 수 있습니다. 이러한 정책은 기존 Microsoft Entra 조건부 액세스 정책에서 조직의 추가 보호 계층으로 작동합니다. 사용자는 이러한 정책 중 하나에서 위험한 동작을 트리거하지 않을 수 있지만 보안을 손상시키려는 시도가 있을 경우 조직은 보호됩니다.

Important

이 자습서에서는 관리자에게 MFA(위험 기반 다단계 인증)를 사용하도록 설정하는 방법을 보여 줍니다.

IT 팀이 Microsoft Entra 다단계 인증을 사용하는 기능을 사용하도록 설정하지 않았거나 로그인하는 동안 문제가 발생한 경우 추가 지원을 받으려면 기술 지원팀에 문의하세요.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 사용 가능한 정책 이해
• Microsoft Entra 다단계 인증 등록 사용
• 위험 기반 암호 변경 사용
• 위험 기반 다단계 인증 활성화
• 사용자 로그인 시도에 대한 위험 기반 정책 테스트

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

• Microsoft Entra ID P2 또는 평가판 라이선스가 사용하도록 설정된 작동하는 Microsoft Entra 테넌트입니다.
  • 필요한 경우, 체험 계정을 만드세요.
• 보안 관리이용자 권한이 있는 계정입니다.
• 셀프 서비스 암호 재설정 및 Microsoft Entra 다단계 인증을 위해 구성된 Microsoft Entra ID
  • 필요한 경우 자습서를 완료하여 Microsoft Entra SSPR을 사용하도록 설정합니다.
  • 필요한 경우 자습서를 완료하여 Microsoft Entra 다단계 인증을 사용하도록 설정합니다.

Microsoft Entra ID 보호 개요

Microsoft는 매일 사용자 로그인 시도의 일환으로 익명화된 수조 개의 신호를 수집하고 분석합니다. 이러한 신호는 양호한 사용자 로그인 동작 패턴을 구축하고 잠재적으로 위험한 로그인 시도를 식별하는 데 도움이 됩니다. Microsoft Entra ID Protection은 사용자 로그인 시도를 검토하고 의심스러운 동작이 있는 경우 추가 작업을 수행할 수 있습니다.

다음 작업 중 일부는 Microsoft Entra ID 보호 위험 검색을 트리거할 수 있습니다.

• 자격 증명이 유출된 사용자
• 익명 IP 주소에서의 로그인
• 비정상적 위치 간 이동 불가능
• 감염된 디바이스에서의 로그인
• 의심스러운 활동을 포함하는 IP 주소의 로그인
• 일반적이지 않은 위치에서의 로그인

이 문서에서는 사용자를 보호하고 의심스러운 활동에 대한 응답을 자동화하는 세 가지 정책을 사용하도록 설정하는 방법을 안내합니다.

• 다단계 인증 등록 정책
  • 사용자가 Microsoft Entra 다단계 인증에 등록되어 있는지 확인하세요. 로그인 위험 정책에서 MFA를 요구하는 메시지가 표시되는 경우 사용자는 Microsoft Entra 다단계 인증에 이미 등록되어 있어야 합니다.
• 사용자 위험 정책
  • 자격 증명이 손상되었을 수 있는 사용자 계정에 대한 응답을 식별하고 자동화합니다. 사용자에게 새 암호를 만들도록 요구하는 메시지를 표시할 수 있습니다.
• 로그인 위험 정책
  • 의심스러운 로그인 시도에 대한 응답을 식별하고 자동화합니다. Microsoft Entra 다단계 인증을 사용하여 사용자에게 추가 형태의 확인을 제공하라는 메시지를 표시할 수 있습니다.

위험 기반 정책을 사용하도록 설정하면 위험 수준에 대한 임계값(낮음, 중간 또는 높음)을 선택할 수도 있습니다. 이러한 유연성을 통해 의심스러운 로그인 이벤트에 적극적으로 적용하려는 제어 수준을 결정할 수 있습니다. Microsoft는 다음 정책 구성을 권장합니다.

Microsoft Entra ID Protection 대한 자세한 내용은 Microsoft Entra ID Protection란? 참조

다단계 인증 등록 정책 사용

Microsoft Entra ID Protection 사용자가 Microsoft Entra 다단계 인증에 등록되도록 하는 데 도움이 되는 기본 정책이 포함되어 있습니다. 다른 정책을 사용하여 로그인 이벤트를 보호하는 경우 사용자가 MFA에 이미 등록되어 있어야 합니다. 이 정책을 사용하도록 설정하면 사용자가 각 로그인 이벤트에서 MFA를 수행할 필요가 없습니다. 정책은 사용자에 대한 등록 상태 검사 필요한 경우 사전 등록하도록 요청합니다.

다단계 인증을 사용하는 사용자에 대해 이 등록 정책을 사용하도록 설정하는 것이 좋습니다. 이 정책을 사용하도록 설정하려면 다음 단계를 수행합니다.

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>ID 보호>다단계 인증 등록 정책으로 이동합니다.
3. 정책은 기본적으로 모든 사용자에게 적용됩니다. 원하는 경우 할당을 선택한 다음, 정책을 적용할 사용자 또는 그룹을 선택합니다.
4. 컨트롤 아래에서 액세스를 선택합니다. Microsoft Entra 다단계 인증 등록 필요 옵션이 선택되어 있는지 확인한 다음 선택을 선택합니다.
5. 정책 적용을 켜기로 설정한 다음, 저장을 선택합니다.

암호 변경에 대한 사용자 위험 정책 사용

Microsoft는 연구원, 법 집행 기관, Microsoft의 다양한 보안 팀, 신뢰할 수 있는 기타 소스와 협력하여 사용자 이름 및 암호 쌍을 찾습니다. 이러한 쌍 중 하나가 사용자 환경의 계정과 일치하면 위험 기반 암호 변경을 요청할 수 있습니다. 이 정책과 작업을 수행하려면 이전에 노출된 자격 증명이 더 이상 작동하지 않도록 로그인하기 전에 암호를 업데이트해야 합니다.

이 정책을 사용하도록 설정하려면 다음 단계를 수행합니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>조건부 액세스로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
   1. 포함에서 모든 사용자를 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
   3. 완료를 선택합니다.
6. 클라우드 앱 또는 작업>포함에서 모든 클라우드 앱을 선택합니다.
7. 조건>사용자 위험에서 구성을 예로 설정합니다.
   1. 정책을 적용하는 데 필요한 사용자 위험 수준 구성에서 높음을 선택합니다.
   2. 완료를 선택합니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 액세스 권한 부여, 다단계 인증 필요 및 암호 변경 필요를 선택합니다.
   2. 선택을 선택합니다.
9. 세션에서.
   1. 로그인 빈도를 선택합니다.
   2. 매번이 선택되어 있는지 확인합니다.
   3. 선택을 선택합니다.
10. 설정을 확인하고 정책 사용을 켜기로 설정합니다.
11. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

MFA에 대한 로그인 위험 정책 사용

대부분의 사용자에게는 추적할 수 있는 정상적인 동작이 있습니다. 이 정상적인 동작에서 벗어나는 사용자인 경우 성공적인 로그인을 허용하는 것은 위험할 수 있습니다. 대신 해당 사용자를 차단하거나 다단계 인증을 수행하도록 요청할 수 있습니다. 사용자가 MFA 챌린지를 성공적으로 완료하면 유효한 로그인 시도로 간주하고 애플리케이션 또는 서비스에 대한 액세스 권한을 부여할 수 있습니다.

이 정책을 사용하도록 설정하려면 다음 단계를 수행합니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>조건부 액세스로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
   1. 포함에서 모든 사용자를 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
   3. 완료를 선택합니다.
6. 클라우드 앱 또는 작업>포함에서 모든 클라우드 앱을 선택합니다.
7. 조건>로그인 위험에서 구성을 예로 설정합니다. 이 정책을 적용할 로그인 위험 수준 선택에서
   1. 높음 및 중간을 선택합니다.
   2. 완료를 선택합니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 액세스 권한 부여, 다단계 인증 필요를 선택합니다.
   2. 선택을 선택합니다.
9. 세션에서.
   1. 로그인 빈도를 선택합니다.
   2. 매번이 선택되어 있는지 확인합니다.
   3. 선택을 선택합니다.
10. 설정을 확인하고 정책 사용을 켜기로 설정합니다.
11. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

위험한 서명 이벤트 테스트

대부분의 사용자 로그인 이벤트는 이전 단계에서 구성된 위험 기반 정책을 트리거하지 않습니다. 사용자에게 MFA에 대한 프롬프트 또는 암호를 재설정하라는 메시지가 표시되지 않을 수 있습니다. 자격 증명이 안전하게 유지되고 동작이 일관되면 로그인 이벤트가 성공적으로 수행됩니다.

이전 단계에서 만든 Microsoft Entra ID 보호 정책을 테스트하려면 위험한 동작 또는 잠재적인 공격을 시뮬레이션할 수 있는 방법이 필요합니다. 이러한 테스트를 수행하는 단계는 유효성을 검사하려는 Microsoft Entra ID 보호 정책에 따라 달라집니다. 시나리오 및 단계에 대한 자세한 내용은 Microsoft Entra ID 보호에서 위험 탐지 시뮬레이션을 참조하세요.

리소스 정리

테스트를 완료하고 위험 기반 정책을 더 이상 사용하도록 설정하지 않으려면 사용하지 않도록 설정 하려는 각 정책으로 돌아가서 정책사용 설정을 해제 하거나 삭제합니다.

다음 단계

이 자습서에서는 Microsoft Entra ID 보호에 대한 위험 기반 사용자 정책을 사용하도록 설정했습니다. 구체적으로 다음 작업 방법을 알아보았습니다.

• Microsoft Entra ID 보호에 사용할 수 있는 정책 이해
• Microsoft Entra 다단계 인증 등록 사용
• 위험 기반 암호 변경 사용
• 위험 기반 다단계 인증 활성화
• 사용자 로그인 시도에 대한 위험 기반 정책 테스트

Microsoft Entra ID Protection에 대해 자세히 알아보기