복구 가능성 모범 사례
테넌트에서 의도하지 않은 삭제 및 구성 오류가 발생합니다. 이러한 의도하지 않은 이벤트의 영향을 최소화하려면 해당 이벤트에 대비해야 합니다.
복구 가능성은 의도하지 않은 변경 후 서비스를 이전의 정상 작동 상태로 되돌릴 수 있는 대비 프로세스이자 기능입니다. 의도치 않은 변경에는 Microsoft Entra 테넌트에 있는 애플리케이션, 그룹, 사용자, 정책 및 기타 개체의 일시/영구 삭제 또는 잘못된 구성이 포함됩니다.
복구 가능성은 조직의 복원력을 높이는 데 도움이 됩니다. 복원력은 관련되지만 다릅니다. 복원력은 시스템 구성 요소의 중단을 견디고 비즈니스, 사용자, 고객 및 운영에 미치는 영향을 최소화하면서 복구할 수 있는 기능입니다. 시스템의 복원력을 높이는 방법에 대한 자세한 내용은 Microsoft Entra ID를 사용하여 ID 및 액세스 관리에 복원력 빌드를 참조하세요.
이 문서에서는 조직의 비즈니스에 대한 의도치 않은 결과를 최소화할 수 있도록 삭제 및 잘못된 구성에 대비하는 모범 사례에 대해 설명합니다.
삭제 및 잘못된 구성
삭제와 잘못된 구성은 테넌트에 서로 다른 영향을 줍니다.
삭제
삭제의 영향은 개체 유형에 따라 달라집니다.
사용자, Microsoft 365 그룹 및 애플리케이션은 일시 삭제할 수 있습니다. 일시 삭제된 항목은 Microsoft Entra ID 휴지통으로 보내집니다. 휴지통에 있는 동안에는 항목을 사용할 수 없습니다. 그러나 모든 속성을 유지하며, Microsoft Graph API 호출 또는 Azure Portal을 통해 복원할 수 있습니다. 30일 이내에 복원되지 않는 일시 삭제 상태의 항목은 영구적으로 삭제됩니다(영구 삭제).
Important
다른 모든 개체 형식은 삭제하도록 선택되는 즉시 영구 삭제됩니다. 영구 삭제된 개체는 복구할 수 없습니다. 다시 만들고 다시 구성해야 합니다.
삭제 및 복구 방법에 대한 자세한 내용은 삭제에서 복구를 참조하세요.
잘못된 구성
잘못된 구성은 조직의 정책 또는 계획에서 벗어나 의도하지 않거나 원치 않는 결과를 초래하는 리소스 또는 정책의 구성입니다. 테넌트 전체 설정 또는 조건부 액세스 정책을 잘못 구성하면 보안과 조직의 공용 이미지에 심각한 영향을 줄 수 있습니다. 잘못된 구성에 따른 영향은 다음과 같습니다.
- 관리자, 테넌트 사용자 및 외부 사용자가 테넌트의 리소스와 상호 작용하는 방식을 변경할 수 있습니다.
- 사용자가 다른 테넌트와 상호 작용하고, 외부 사용자가 테넌트와 상호 작용할 수 있는 기능을 변경할 수 있습니다.
- 서비스 거부가 발생할 수 있습니다.
- 데이터, 시스템 및 애플리케이션 간의 종속성을 끊을 수 있습니다.
잘못된 구성 및 잘못된 구성을 복구하는 방법에 대한 자세한 내용은 잘못된 구성에서 복구를 참조하세요.
공동 책임
복구 가능성은 클라우드 서비스 공급자인 Microsoft와 조직의 공동 책임입니다.
Microsoft에서 제공하는 도구와 서비스를 사용하여 삭제 및 잘못된 구성에 대비할 수 있습니다.
비즈니스 연속성 및 재해 플랜
영구 삭제되거나 잘못 구성된 항목을 복원하는 것은 리소스를 많이 사용하는 프로세스입니다. 미리 계획하여 필요한 리소스를 최소화할 수 있습니다. 복원을 담당하는 전담 관리 팀을 두는 것이 좋습니다.
복원 프로세스 테스트
다양한 개체 형식에 대한 복원 프로세스와 결과적으로 수행되는 통신을 미리 연습해야 합니다. 테스트 테넌트에서 테스트 개체를 사용하여 미리 연습해야 합니다.
계획을 테스트하면 다음을 확인하는 데 도움이 될 수 있습니다.
- 개체 상태 설명서의 유효성 및 완전성
- 일반적인 해결 시간
- 적절한 통신 및 대상 그룹
- 예상되는 성공 및 잠재적인 과제
통신 프로세스 만들기
다른 사용자가 복원과 관련된 문제와 타임라인을 알 수 있도록 미리 정의된 통신 프로세스를 만듭니다. 복원 통신 계획에 포함되는 항목은 다음과 같습니다.
나가는 통신 유형. 미리 정의된 템플릿을 만드는 것이 좋습니다.
통신을 받을 관련자. 해당하는 경우 다음 그룹을 포함합니다.
- 영향을 받는 비즈니스 소유자
- 복구를 수행할 운영 관리자
- 비즈니스 및 기술 승인자
- 영향을 받는 사용자
통신을 트리거하는 다음과 같은 이벤트를 정의합니다.
- 초기 삭제
- 영향 평가
- 해결 시간
- 복원
알려진 정상 상태 문서화
테넌트 및 해당 개체의 상태를 정기적으로 문서화합니다. 그런 다음, 영구 삭제 또는 잘못된 구성이 발생하는 경우에 대비하기 위한 복구 로드맵이 있습니다. 현재 상태를 문서화하는 데 도움이 될 수 있는 도구는 다음과 같습니다.
- Microsoft Graph API를 사용하여 많은 Microsoft Entra 구성의 현재 상태를 내보낼 수 있습니다.
- Microsoft Entra 내보내기는 구성 설정을 내보내는 데 사용할 수 있는 도구입니다.
- Microsoft 365 Desired State Configuration은 PowerShell Desired State Configuration 프레임워크의 모듈입니다. 많은 설정의 이전 상태를 참조하고 적용하기 위한 구성을 내보내는 데 사용할 수 있습니다.
- 조건부 액세스 API는 조건부 액세스 정책을 코드로 관리하는 데 사용할 수 있습니다.
일반적으로 사용되는 Microsoft Graph API
Microsoft Graph API를 사용하여 많은 Microsoft Entra 구성의 현재 상태를 내보낼 수 있습니다. 이 API는 이전 상태에 대한 참조 자료 또는 내보낸 복사본에서 해당 상태를 적용하는 기능이 비즈니스를 계속 운영하는 데 필수적일 수 있는 대부분의 시나리오를 처리합니다.
Microsoft Graph API는 조직의 요구 사항에 따라 유연하게 사용자 지정할 수 있습니다. 백업 또는 참조 자료에 대한 솔루션을 구현하려면 개발자가 데이터를 쿼리, 저장 및 표시하도록 코드를 엔지니어링해야 합니다. 여러 구현에서 이 기능의 일부로 온라인 코드 리포지토리를 사용합니다.
복구에 유용한 API
| 리소스 유형 | 참조 링크 |
|---|---|
| 사용자, 그룹 및 기타 디렉터리 개체 | directoryObject API |
| 디렉터리 역할 | directoryRole API |
| 조건부 액세스 정책 | 조건부 액세스 정책 API |
| 장치 | 디바이스 API |
| 도메인: | 도메인 API |
| 관리 단위 | 관리 단위 API |
| 삭제된 항목* | deletedItems API |
*제한된 수의 관리자에게 제공되는 액세스 권한으로 이러한 구성 내보내기를 안전하게 저장합니다.
Microsoft Entra 내보내기는 필요한 대부분의 설명서를 제공할 수 있습니다.
- 원하는 구성을 구현했는지 확인합니다.
- 내보내기를 사용하여 현재 구성을 캡처합니다.
- 내보내기를 검토하고, 내보내지 않은 테넌트의 설정을 이해하고, 수동으로 문서화합니다.
- 제한된 액세스 권한으로 안전한 위치에 출력을 저장합니다.
참고 항목
애플리케이션 프록시 및 페더레이션 설정에 대한 레거시 다단계 인증 포털의 설정은 Microsoft Entra 내보내기 또는 Microsoft Graph API를 사용하여 내보내지 않을 수 있습니다. Microsoft 365 Desired State Configuration 모듈은 Microsoft Graph 및 PowerShell을 사용하여 Microsoft Entra ID의 여러 구성 상태를 검색합니다. 이 정보는 참조 정보로 사용하거나, PowerShell Desired State Configuration 스크립팅을 사용하여 알려진 정상 상태를 다시 적용할 수 있습니다.
조건부 액세스 Graph API를 사용하여 코드와 같은 정책을 관리합니다. 사전 프로덕션 환경에서 정책을 승격하고, 백업 및 복원하고, 변경 사항을 모니터링하고, 비상 사태에 대비하여 미리 계획하도록 승인을 자동화합니다.
개체 간의 종속성 매핑
일부 개체를 삭제하면 종속성으로 인해 파급 효과가 발생할 수 있습니다. 예를 들어 애플리케이션 할당에 사용되는 보안 그룹을 삭제하면 해당 그룹의 구성원인 사용자가 그룹이 할당된 애플리케이션에 액세스할 수 없게 됩니다.
일반 종속성
| Object type | 잠재적 종속성 |
|---|---|
| 애플리케이션 개체 | 서비스 주체(엔터프라이즈 애플리케이션) 애플리케이션에 할당된 그룹. 애플리케이션에 영향을 주는 조건부 액세스 정책 |
| 서비스 주체 | 애플리케이션 개체. |
| 조건부 액세스 정책 | 정책에 할당된 사용자. 정책에 할당된 그룹. 정책의 대상이 되는 서비스 주체(엔터프라이즈 애플리케이션) |
| Microsoft 365 그룹 이외의 그룹 | 그룹에 할당된 사용자. 그룹이 할당된 조건부 액세스 정책 그룹에 액세스 권한이 할당된 애플리케이션. |
모니터링 및 데이터 보존
Microsoft Entra 감사 로그에는 테넌트에서 수행된 모든 삭제 및 구성 작업에 대한 정보가 포함됩니다. 이러한 로그를 Microsoft Sentinel과 같은 보안 정보 및 이벤트 관리 도구로 내보내는 것이 좋습니다. 또한 Microsoft Graph를 사용하여 변경 내용을 감사하고 시간 경과에 따른 차이를 모니터링하는 사용자 지정 솔루션을 빌드할 수 있습니다. Microsoft Graph를 사용하여 삭제된 항목을 찾는 방법에 대한 자세한 내용은 삭제된 항목 나열 - Microsoft Graph v1.0을 참조하세요.
감사 로그
감사 로그는 테넌트의 개체가 활성 상태에서(활성에서 일시 삭제로 또는 활성에서 영구 삭제로) 제거될 때 항상 "<개체> 삭제" 이벤트를 기록합니다.
애플리케이션, 서비스 주체, 사용자 및 Microsoft 365 그룹에 대한 삭제 이벤트는 일시 삭제입니다. 다른 개체 형식의 경우 영구 삭제입니다.
| Object type | 로그의 작업 | 결과 |
|---|---|---|
| 애플리케이션 | 애플리케이션 및 서비스 주체 삭제 | 일시 삭제됨 |
| 애플리케이션 | 애플리케이션 영구 삭제 | 영구 삭제됨 |
| 서비스 사용자 | 서비스 주체 삭제 | 일시 삭제됨 |
| 서비스 사용자 | 서비스 주체 영구 삭제 | 영구 삭제됨 |
| 사용자 | 사용자 삭제 | 일시 삭제됨 |
| 사용자 | 사용자 영구 삭제 | 영구 삭제됨 |
| Microsoft 365 그룹 | 그룹 삭제 | 일시 삭제됨 |
| Microsoft 365 그룹 | 그룹 영구 삭제 | 영구 삭제됨 |
| 기타 모든 개체 | "objectType" 삭제 | 영구 삭제됨 |
참고 항목
감사 로그는 삭제된 그룹의 그룹 유형을 구분하지 않습니다. Microsoft 365 그룹만 일시 삭제됩니다. 그룹 삭제 항목이 표시되면 Microsoft 365 그룹의 일시 삭제 또는 다른 유형의 그룹 영구 삭제일 수 있습니다. 알려진 정상 상태에 대한 설명서는 조직의 각 그룹에 대한 그룹 유형을 포함해야 합니다.
구성 변경 모니터링에 대한 자세한 내용은 잘못된 구성에서 복구를 참조하세요.
통합 문서를 사용하여 구성 변경 내용 추적
Azure Monitor 통합 문서는 구성 변경을 모니터링하는 데 도움이 될 수 있습니다.
중요한 작업 보고서 통합 문서는 다음을 포함하여 손상을 나타낼 수 있는 의심스러운 애플리케이션 및 서비스 주체 작업을 식별하는 데 도움이 될 수 있습니다.
- 수정된 애플리케이션 또는 서비스 주체 자격 증명 또는 인증 방법
- 서비스 주체에 부여된 새 권한
- 서비스 주체에 대한 디렉터리 역할 및 그룹 멤버 자격 업데이트
- 수정된 페더레이션 설정.
테넌트 간 액세스 작업 통합 문서는 사용자가 액세스하는 외부 테넌트의 애플리케이션과 테넌트 외부 사용자가 액세스하는 애플리케이션을 모니터링하는 데 도움이 될 수 있습니다. 이 통합 문서를 사용하여 테넌트 간의 인바운드 또는 아웃바운드 애플리케이션 액세스에서 비정상적인 변경 내용을 찾습니다.
운영 보안
원치 않는 변경을 방지하는 것이 개체를 다시 만들고 다시 구성해야 하는 것보다 훨씬 덜 어렵습니다. 사고를 최소화하기 위해 다음과 같은 작업을 변경 관리 프로세스에 포함합니다.
- 최소 권한 모델을 사용합니다. 팀의 각 멤버가 일반 작업을 완료하는 데 필요한 최소 권한을 갖고 있는지 확인합니다. 비일반 작업에 대한 권한을 에스컬레이션하는 프로세스가 필요합니다.
- 개체의 관리 제어를 사용하면 구성 및 삭제가 가능합니다. CRUD(만들기, 업데이트 또는 삭제) 작업이 필요하지 않은 작업에는 보안 읽기 권한자와 같은 권한이 적은 역할을 사용합니다. CRUD 작업이 필요한 경우 가능하면 개체별 역할을 사용합니다. 예를 들어 사용자 관리자는 사용자만 삭제할 수 있고 애플리케이션 관리자는 애플리케이션만 삭제할 수 있습니다. 가능하면 이러한 더 제한된 역할을 사용합니다.
- PIM(Privileged Identity Management) 사용. PIM을 사용하면 하드 삭제와 같은 작업을 수행할 수 있도록 적시에 권한을 에스컬레이션할 수 있습니다. 권한 에스컬레이션에 대한 알림 또는 승인을 받도록 PIM을 구성할 수 있습니다.