잘못된 구성에서 복구
Microsoft Entra ID의 구성 설정은 대상 또는 테넌트 전체 관리 작업을 통해 Microsoft Entra 테넌트의 모든 리소스에 영향을 줄 수 있습니다.
구성이란 무엇인가요?
구성은 Microsoft Entra 서비스 또는 기능의 동작 또는 기능을 변경하는 Microsoft Entra ID의 변경 내용입니다. 예를 들어 조건부 액세스 정책을 구성할 때 대상 애플리케이션에 액세스할 수 있는 사람과 상황을 변경합니다.
조직에 중요한 구성 항목을 이해해야 합니다. 다음 구성은 보안 태세에 큰 영향을 미칩니다.
테넌트 전체 구성
외부 ID: 테넌트의 전역 관리자는 테넌트에서 프로비저닝할 수 있는 외부 ID를 식별하고 제어합니다. 다음을 결정합니다.
- 테넌트에서 외부 ID를 허용할지 여부를 나타냅니다.
- 외부 ID를 추가할 수 있는 도메인입니다.
- 사용자가 다른 테넌트의 사용자를 초대할 수 있는지 여부입니다.
명명된 위치: 전역 관리자는 이름이 지정된 위치를 만들 수 있습니다. 그러면 다음을 수행하는 데 사용할 수 있습니다.
- 특정 위치에서 로그인을 차단합니다.
- 다단계 인증과 같은 조건부 액세스 정책을 트리거합니다.
허용된 인증 방법: 전역 관리자가 테넌트에 허용되는 인증 방법을 설정합니다.
셀프 서비스 옵션: 전역 관리자는 셀프 서비스 암호 재설정과 같은 셀프 서비스 옵션을 설정하고 테넌트 수준에서 Office 365 그룹을 만듭니다.
일부 테넌트 전체 구성의 구현은 전역 관리 정책에 의해 재정의되지 않는 경우 범위를 지정할 수 있습니다. 예시:
- 테넌트가 외부 ID를 허용하도록 구성된 경우 리소스 관리자는 리소스 액세스에서 해당 ID를 계속 제외할 수 있습니다.
- 테넌트가 개인 디바이스 등록을 허용하도록 구성된 경우 리소스 관리자는 해당 디바이스가 특정 리소스에 액세스하지 못하도록 제외할 수 있습니다.
- 명명된 위치가 구성된 경우 리소스 관리자는 해당 위치에서 액세스를 허용하거나 제외하는 정책을 구성할 수 있습니다.
조건부 액세스 구성
조건부 액세스 정책은 의사 결정을 내리고 조직 정책을 적용하기 위해 신호를 결합하는 액세스 제어 구성입니다.
조건부 액세스 정책에 대해 자세히 알아보려면 Microsoft Entra ID의 조건부 액세스란?을 참조하세요.
참고 항목
구성이 개체 또는 정책의 동작이나 기능을 변경하지만 개체에 대한 모든 변경 내용이 구성인 것은 아닙니다. 해당 사용자 개체의 기능에 영향을 주지 않고 사용자 주소 변경과 같이 항목과 연결된 데이터 또는 특성을 변경할 수 있습니다.
잘못된 구성이란 무엇인가요?
잘못된 구성은 조직의 정책이나 플랜에서 벗어나 의도하지 않거나 원치 않는 결과를 초래하는 리소스 또는 정책의 구성입니다.
테넌트 전체 설정 또는 조건부 액세스 정책을 잘못 구성하면 다음과 같은 방법으로 보안과 조직의 공용 이미지에 심각한 영향을 줄 수 있습니다.
관리자, 테넌트 사용자 및 외부 사용자가 테넌트의 리소스와 상호 작용하는 방식을 변경합니다.
- 리소스에 대한 액세스를 불필요하게 제한합니다.
- 중요한 리소스에 대한 액세스 제어를 느슨하게 합니다.
사용자가 다른 테넌트와 상호 작용하고 외부 사용자가 테넌트와 상호 작용할 수 있는 기능을 변경합니다.
예를 들어 고객이 자신의 계정에 액세스할 수 없도록 하여 서비스 거부를 유발합니다.
데이터, 시스템 및 애플리케이션 간의 종속성이 손상되어 업무 프로세스 오류가 발생합니다.
잘못된 구성은 언제 발생하나요?
구성 오류는 다음과 같은 경우에 가장 많이 발생합니다.
- 임시 변경 중에 실수가 발생합니다.
- 문제 해결 연습의 결과로 실수가 발생합니다.
- 악의적인 행위자가 악의적인 의도로 작업을 수행했습니다.
잘못된 구성 방지
Microsoft Entra 테넌트의 의도된 구성에 대한 변경은 다음을 포함한 강력한 변경 관리 프로세스의 적용을 받는 것이 중요합니다.
- 이전 상태 및 의도된 변경 후 상태를 포함하여 변경을 문서화합니다.
- PIM(Privileged Identity Management)을 사용하여 변경할 의도가 있는 관리자가 의도적으로 권한을 상승시켜야 합니다. PIM에 대해 자세히 알아보려면 Privileged Identity Management란 무엇인가요?를 참조하세요.
- 예를 들어 PIM 권한 에스컬레이션 승인이 필요한 변경 내용에 대해 강력한 승인 워크플로를 사용합니다.
구성 변경 모니터링
잘못된 구성을 방지하고 싶지만 관리자가 작업을 효율적으로 수행할 수 있는 능력에 영향을 미칠 정도로 변경에 대한 기준을 높게 설정할 수는 없습니다.
Microsoft Entra 감사 로그에서 다음 작업을 관찰하여 구성 변경 내용을 자세히 모니터링합니다.
- 추가
- 생성
- 업데이트
- Set
- 삭제
다음 표에는 찾을 수 있는 감사 로그의 정보 항목이 포함되어 있습니다.
조건부 액세스 및 인증 방법 구성 변경
조건부 액세스 정책은 Azure Portal의 조건부 액세스 페이지에서 만들어집니다. 정책 변경은 정책에 대한 조건부 액세스 정책 세부 정보 페이지에서 수행됩니다.
| 서비스 필터 | 활동 | 잠재적인 영향 |
|---|---|---|
| 조건부 액세스 | 조건부 액세스 정책 추가, 업데이트 또는 삭제 | 사용자 액세스가 허용되거나 허용되어서는 안 되는 경우 차단됩니다. |
| 조건부 액세스 | 명명된 위치 추가, 업데이트 또는 삭제 | 조건부 액세스 정책에서 사용하는 네트워크 위치가 의도한 대로 구성되지 않아 조건부 액세스 정책 조건에서 차이가 발생합니다. |
| 인증 방법 | 인증 방법 정책 업데이트 | 사용자는 약한 인증 방법을 사용하거나 사용해야 하는 방법에서 차단될 수 있습니다. |
사용자 및 암호 재설정 구성 변경
사용자 설정 변경은 Azure Portal 사용자 설정 페이지에서 수행됩니다. 암호 재설정 변경은 암호 재설정 페이지에서 수행됩니다. 이 페이지에서 수행된 변경 내용은 다음 표에 자세히 설명된 대로 감사 로그에 캡처됩니다.
| 서비스 필터 | 활동 | 잠재적인 영향 |
|---|---|---|
| 핵심 디렉터리 | 회사 설정 업데이트 | 사용자는 의도와 달리 애플리케이션을 등록하거나 등록하지 못할 수 있습니다. |
| 핵심 디렉터리 | 회사 정보 설정 | 사용자는 의도와 달리 Microsoft Entra 관리 포털에 액세스할 수도 있고 액세스하지 못할 수도 있습니다. 로그인 페이지는 평판에 손상을 줄 수 있는 회사 브랜드를 나타내지 않습니다. |
| 핵심 디렉터리 | 작업: 업데이트된 서비스 주체 대상: 0365 LinkedIn 연결 |
사용자는 의도와 달리 Microsoft Entra 계정을 LinkedIn에 연결할 수도 있고 연결하지 못할 수도 있습니다. |
| 셀프 서비스 그룹 관리 | MyApps 기능 값 업데이트 | 사용자는 의도와 달리 사용자 기능을 사용하거나 사용하지 못할 수 있습니다. |
| 셀프 서비스 그룹 관리 | ConvergedUXV2 기능 값 업데이트 | 사용자는 의도와 달리 사용자 기능을 사용하거나 사용하지 못할 수 있습니다. |
| 셀프 서비스 그룹 관리 | MyStaff 기능 값 업데이트 | 사용자는 의도와 달리 사용자 기능을 사용하거나 사용하지 못할 수 있습니다. |
| 핵심 디렉터리 | 작업: 서비스 주체 업데이트 대상: Microsoft 암호 재설정 서비스 |
사용자는 의도와 달리 암호를 다시 설정하거나 다시 설정할 수 없습니다. 사용자는 의도와 달리 셀프 서비스 암호 재설정에 등록이 필요하거나 필요하지 않습니다. 사용자는 승인되지 않은 방법(예: 보안 질문 사용)을 사용하여 암호를 다시 설정할 수 있습니다. |
외부 ID 구성 변경
Azure Portal의 외부 ID 또는 외부 협업 설정 페이지에서 이러한 설정을 변경할 수 있습니다.
| 서비스 필터 | 활동 | 잠재적인 영향 |
|---|---|---|
| 핵심 디렉터리 | 테넌트 간 액세스 설정에 파트너 추가, 업데이트 또는 삭제 | 사용자는 차단되어야 하는 테넌트에 대한 아웃바운드 액세스 권한이 있습니다. 차단되어야 하는 외부 테넌트의 사용자는 인바운드 액세스 권한이 있습니다. |
| B2C | ID 공급자 만들기 또는 삭제 | 협업할 수 있어야 하는 사용자의 ID 공급자가 누락되어 해당 사용자의 액세스를 차단합니다. |
| 핵심 디렉터리 | 테넌트에 디렉터리 기능 설정 | 외부 사용자는 의도한 것보다 디렉터리 개체에 대한 표시 유형이 높거나 낮습니다. 외부 사용자는 의도와 달리 다른 외부 사용자를 테넌트에 초대할 수 있거나 초대하지 않을 수 있습니다. |
| 핵심 디렉터리 | 도메인에 페더레이션 설정 지정 | 외부 사용자 초대는 의도와 달리 다른 테넌트의 사용자에게 전송되거나 전송되지 않을 수 있습니다. |
| 권한 부여정책 | 권한 부여 정책 업데이트 | 외부 사용자 초대는 의도와 달리 다른 테넌트의 사용자에게 전송되거나 전송되지 않을 수 있습니다. |
| 핵심 디렉터리 | 정책 업데이트 | 외부 사용자 초대는 의도와 달리 다른 테넌트의 사용자에게 전송되거나 전송되지 않을 수 있습니다. |
사용자 지정 역할 및 이동성 정의 구성 변경
| 서비스 필터 | 작업/포털 | 잠재적인 영향 |
|---|---|---|
| 핵심 디렉터리 | 역할 정의 추가 | 사용자 지정 역할 범위가 의도한 것보다 좁거나 넓습니다. |
| PIM | 역할 설정 업데이트 | 사용자 지정 역할 범위가 의도한 것보다 좁거나 넓습니다. |
| 핵심 디렉터리 | 역할 정의 업데이트 | 사용자 지정 역할 범위가 의도한 것보다 좁거나 넓습니다. |
| 핵심 디렉터리 | 역할 정의 삭제 | 사용자 지정 역할이 누락되었습니다. |
| 핵심 디렉터리 | 위임된 권한 부여 추가 | 모바일 장치 관리 또는 모바일 애플리케이션 관리 구성이 누락되었거나 잘못 구성되어 디바이스 또는 애플리케이션 관리에 실패합니다. |
감사 로그 세부 정보 보기
감사 로그에서 일부 감사 항목을 선택하면 이전 구성 값과 새 구성 값에 대한 세부 정보가 제공됩니다. 예를 들어 조건부 액세스 정책 구성 변경의 경우 다음 스크린샷에서 정보를 볼 수 있습니다.
통합 문서를 사용하여 변경 내용 추적
Azure Monitor 통합 문서는 구성 변경을 모니터링하는 데 도움이 될 수 있습니다.
중요한 작업 보고서 통합 문서는 다음을 포함하여 손상을 나타낼 수 있는 의심스러운 애플리케이션 및 서비스 주체 작업을 식별하는 데 도움이 될 수 있습니다.
- 수정된 애플리케이션 또는 서비스 주체 자격 증명 또는 인증 방법
- 서비스 주체에 부여된 새 권한
- 서비스 주체에 대한 디렉터리 역할 및 그룹 멤버 자격 업데이트
- 수정된 페더레이션 설정.
테넌트 간 액세스 작업 통합 문서는 사용자가 액세스하는 외부 테넌트의 애플리케이션과 테넌트 외부 사용자가 액세스하는 애플리케이션을 모니터링하는 데 도움이 될 수 있습니다. 이 통합 문서를 사용하여 테넌트 간의 인바운드 또는 아웃바운드 애플리케이션 액세스에서 비정상적인 변경 내용을 찾습니다.
다음 단계
- 복구 가능성에 대한 기본 정보는 복구 가능성 모범 사례를 참조하세요.
- 삭제 복구에 대한 자세한 내용은 삭제 복구를 참조하세요.