조건부 액세스를 사용하여 Azure AD로 레거시 인증 차단

사용자가 클라우드 앱에 쉽게 액세스할 수 있도록 Azure AD(Active Directory)에서 레거시 인증을 포함한 다양한 인증 프로토콜을 지원합니다. 그러나 레거시 인증은 MFA(다단계 인증)와 같은 것을 지원하지 않습니다. MFA는 조직의 보안 태세를 개선하기 위한 일반적인 요구 사항입니다.

참고

2022년 10월 1일부터 SMTP 인증을 제외하고 사용 여부에 관계없이 모든 Microsoft 365 테넌트에서 Exchange Online에 대한 기본 인증을 영구적으로 사용하지 않도록 설정하기 시작합니다. 자세한 내용은 Exchange Online 기본 인증 사용 중단 문서를 참조하세요.

Microsoft의 ID 보안 책임자 Alex Weinert의 2020년 3월 12일 블로그 게시물 조직에서 레거시 인증을 차단할 수 있는 새로운 도구에서는 조직에서 레거시 인증을 차단해야 하는 이유와 이 작업을 수행할 수 있도록 Microsoft에서 제공하는 기타 도구에 대해 설명합니다.

MFA를 효과적으로 적용하려면 레거시 인증도 차단해야 합니다. POP, SMTP, IMAP, MAPI 등의 레거시 인증 프로토콜은 MFA를 적용할 수 없기 때문에 조직을 공격하는 악의적 사용자에게 적합한 진입점입니다.

...Azure AD(Azure Active Directory) 트래픽 분석에서 레거시 인증 수치는 엄청나게 높습니다.

  • 암호 스프레이 공격의 99% 이상이 레거시 인증 프로토콜을 사용합니다.
  • 자격 증명 스터핑 공격 중 97% 이상이 레거시 인증을 사용합니다.
  • 레거시 인증 환경을 사용하지 않도록 설정한 조직의 Azure AD 계정 손상이 레거시 인증을 사용하는 조직보다 67% 더 낮습니다.

레거시 인증을 차단하여 테넌트의 보호를 향상시킬 준비가 되면 조건부 액세스를 사용하여 이 목표를 달성할 수 있습니다. 이 문서에서는 테넌트 내의 모든 워크로드에 대한 레거시 인증을 차단하는 조건부 액세스 정책을 구성하는 방법에 대해 설명합니다.

레거시 인증 차단 보호를 롤아웃하는 동안 모든 사용자에 대해 한 번에 사용하지 않도록 설정하는 대신 단계적 접근 방식을 사용하는 것이 좋습니다. 고객은 먼저 Exchange Online 인증 정책을 적용하여 프로토콜별로 기본 인증을 사용하지 않도록 설정한 다음, 준비가 되면 조건부 액세스 정책을 통해 레거시 인증도 차단하도록 선택할 수 있습니다.

조건부 액세스가 포함된 라이선스가 없는 고객은 보안 기본값을 사용하여 레거시 인증을 차단할 수 있습니다.

사전 요구 사항

이 문서에서는 사용자가 Azure AD 조건부 액세스의 기본 개념을 잘 알고 있다고 가정합니다.

참고

조건부 액세스 정책은 1단계 인증이 완료된 후에 적용됩니다. 조건부 액세스는 DoS(서비스 거부) 공격과 같은 시나리오에 대한 조직의 최전방 방어선으로 사용하기 위해 개발된 것은 아니지만, 이러한 이벤트의 신호를 사용하여 액세스를 결정할 수 있습니다.

시나리오 설명

Azure AD는 레거시 인증을 포함하여 가장 널리 사용되는 인증 및 권한 부여 프로토콜을 지원합니다. 레거시 인증은 조건부 액세스 정책을 직접 충족하는 데 필요한 2단계 인증 또는 기타 인증 요구 사항을 사용자에게 표시할 수 없습니다. 이 인증 패턴에는 사용자 이름 및 암호 정보를 수집하기 위해 널리 사용되는 업계 표준 방법인 기본 인증이 포함됩니다. 일반적으로 또는 레거시 인증만 사용하는 애플리케이션의 예는 다음과 같습니다.

  • Microsoft Office 2013 또는 이전 버전
  • POP, IMAP 및 SMTP AUTH와 같은 메일 프로토콜을 사용하는 앱

Office의 최신 인증 지원에 대한 자세한 내용은 Office 클라이언트 앱에 대한 최신 인증 작동 방식을 참조하세요.

요즘에는 단일 단계 인증(예: 사용자 이름 및 암호)만으로도 충분하지 않습니다. 추측하기 쉬운 암호는 적합하지 않으며, 인간이 적합한 암호를 선택하는 데도 서투릅니다. 또한 암호는 피싱 또는 암호 스프레이와 같은 다양한 공격에도 취약합니다. 암호 위협으로부터 보호하기 위해 수행할 수 있는 가장 쉬운 방법 중 하나는 MFA(다단계 인증)를 구현하는 것입니다. MFA를 사용하면 공격자가 사용자의 암호를 획득하더라도 암호만으로 데이터를 성공적으로 인증하고 액세스하기에는 충분하지 않습니다.

레거시 인증을 사용하는 애플리케이션에서 테넌트의 리소스에 액세스하지 못하도록 방지하려면 어떻게 해야 할까요? 단지 조건부 액세스 정책을 사용하여 액세스를 차단하는 것이 좋습니다. 필요한 경우 특정 사용자 및 특정 네트워크 위치만 레거시 인증을 기반으로 하는 애플리케이션을 사용하도록 허용합니다.

구현

이 섹션에서는 레거시 인증을 차단하도록 조건부 액세스 정책을 구성하는 방법에 대해 설명합니다.

레거시 인증을 지원하는 메시징 프로토콜

레거시 인증을 지원하는 메시징 프로토콜은 다음과 같습니다.

  • 인증된 SMTP - 인증된 이메일 메시지를 보내는 데 사용됩니다.
  • 자동 검색 - Outlook 및 EAS 클라이언트에서 Exchange Online의 사서함을 찾아 연결할 때 사용합니다.
  • EAS(EExchange ActiveSync) - Exchange Online의 사서함에 연결하는 데 사용됩니다.
  • Exchange Online PowerShell - 원격 PowerShell을 사용하여 Exchange Online에 연결하는 데 사용됩니다. Exchange Online PowerShell에 대한 기본 인증을 차단하는 경우 Exchange Online PowerShell 모듈을 사용하여 연결해야 합니다. 자세한 내용은 다단계 인증을 사용하여 Exchange Online PowerShell에 연결을 참조하세요.
  • EWS(Exchange 웹 서비스) - Outlook, Outlook for Mac 및 타사 앱에서 사용하는 프로그래밍 인터페이스입니다.
  • IMAP4 - IMAP 이메일 클라이언트에서 사용합니다.
  • MAPI over HTTP(MAPI/HTTP) - Outlook 2010 SP2 이상에서 사용되는 기본 사서함 액세스 프로토콜입니다.
  • OAB(오프라인 주소록) - Outlook에서 다운로드하여 사용하는 주소 목록 컬렉션의 복사본입니다.
  • 외부에서 Outlook 사용(RPC over HTTP) - 모든 현재 Outlook 버전에서 지원하는 레거시 사서함 액세스 프로토콜입니다.
  • POP3 - POP 이메일 클라이언트에서 사용합니다.
  • 보고 웹 서비스 - Exchange Online에서 보고서 데이터를 검색할 때 사용합니다.
  • 유니버설 Outlook - Windows 10용 메일 및 일정 앱에서 사용합니다.
  • 기타 클라이언트 - 레거시 인증을 활용하는 것으로 확인된 기타 프로토콜입니다.

이러한 인증 프로토콜 및 서비스에 대한 자세한 내용은 Azure Active Directory 포털의 로그인 활동 보고서를 참조하세요.

레거시 인증 사용 확인

디렉터리에서 레거시 인증을 차단하려면 먼저 사용자에게 레거시 인증을 사용하는 클라이언트가 있는지 파악해야 합니다. 아래에서 클라이언트가 레거시 인증을 사용하는 위치를 식별하고 심사하는 데 유용한 정보를 찾을 수 있습니다.

Azure AD의 표시기

  1. Azure Portal>Azure Active Directory>로그인으로 이동합니다.
  2. 클라이언트 앱을 클릭하여 표시되지 않는 경우클라이언트 앱열을 추가합니다>.
  3. 필터 추가를 선택합니다.>클라이언트 앱>은 모든 레거시 인증 프로토콜을 선택하고 적용을 선택합니다.
  4. 새 로그인 작업 보고서 미리 보기를 활성화한 경우 사용자 로그인(비 대화형) 탭에서도 위의 단계를 반복합니다.

필터링은 레거시 인증 프로토콜을 통해 수행된 로그인 시도만 표시합니다. 각 개별 로그인 시도를 클릭하면 추가 세부 정보가 표시됩니다. 기본 정보 탭의 클라이언트 앱 필드는 사용된 레거시 인증 프로토콜을 표시합니다.

이러한 로그는 레거시 인증에 따라 여전히 클라이언트를 사용하는 위치를 나타냅니다. 이러한 로그에 표시되지 않고 레거시 인증을 사용하지 않도록 확인된 사용자의 경우에만 이러한 사용자 전용 조건부 액세스 정책을 구현합니다.

또한 테넌트 내에서 레거시 인증을 심사하는 데 도움이 되도록 레거시 인증 통합 문서를 사용하여 로그인을 사용합니다.

클라이언트의 표시기

클라이언트가 로그인 시 표시되는 대화 상자를 기반으로 레거시 또는 최신 인증을 사용하고 있는지 확인하려면 Exchange Online에서 기본 인증 사용 중단 문서를 참조하세요.

중요 고려 사항

이전에는 레거시 인증만 지원했던 많은 클라이언트가 이제 최신 인증을 지원합니다. 레거시 인증과 최신 인증을 모두 지원하는 클라이언트는 레거시 인증에서 최신 인증으로 이동하기 위해 구성 업데이트가 필요할 수 있습니다. Azure AD 로그에 클라이언트에 대한 최신 모바일, 데스크톱 클라이언트 또는 브라우저가 표시되면 최신 인증을 사용하는 것입니다. Exchange ActiveSync와 같은 특정 클라이언트 또는 프로토콜 이름이 있는 경우 레거시 인증을 사용하는 것입니다. 조건부 액세스, Azure AD 로그인 로그 및 레거시 인증 통합 문서의 클라이언트 유형은 최신 인증 클라이언트와 레거시 인증 클라이언트를 구분합니다.

  • 최신 인증을 지원하지만 최신 인증을 사용하도록 구성되지 않은 클라이언트는 최신 인증을 사용하도록 업데이트하거나 다시 구성해야 합니다.
  • 최신 인증을 지원하지 않는 모든 클라이언트를 대체해야 합니다.

중요

CBA(인증서 기반 인증)를 사용하는 Exchange Active Sync

CBA를 사용하여 EAS(Exchange Active Sync)를 구현하는 경우 최신 인증을 사용하도록 클라이언트를 구성합니다. CBA와 함께 EAS에 최신 인증을 사용하지 않는 클라이언트는 Exchange Online 기본 인증 사용 중단으로 인해 차단되지 않습니다. 그러나 이러한 클라이언트는 레거시 인증을 차단하도록 구성된 조건부 액세스 정책에 의해 차단됩니다 .

Azure AD 및 최신 인증을 사용하여 CBA 지원을 구현하는 방법에 대한 자세한 내용은 Azure AD 인증서 기반 인증을 구성하는 방법(미리 보기)을 참조하세요. 또 다른 옵션으로, 페더레이션 서버에서 수행된 CBA를 최신 인증과 함께 사용할 수 있습니다.

Microsoft Intune을 사용하는 경우 디바이스에 푸시하거나 배포하는 이메일 프로필을 사용하여 인증 유형을 변경할 수 있습니다. iOS 디바이스(iPhones 및 iPads)를 사용하는 경우 Microsoft Intune에서 iOS 및 iPadOS 디바이스에 대한 이메일 설정 추가를 살펴봐야 합니다.

레거시 인증 차단

조건부 액세스 정책을 사용하여 레거시 인증을 차단하는 두 가지 방법이 있습니다.

레거시 인증 직접 차단

전체 조직에서 레거시 인증을 차단하는 가장 쉬운 방법은 레거시 인증 클라이언트에만 적용되고 액세스를 차단하는 조건부 액세스 정책을 구성하는 것입니다. 사용자 및 애플리케이션을 정책에 할당하는 경우 여전히 레거시 인증을 사용하여 로그인해야 하는 사용자 및 서비스 계정을 제외해야 합니다. 이 정책을 적용할 클라우드 앱을 선택하는 경우 모든 클라우드 앱, Office 365(권장)와 같은 대상 앱 또는 최소한 Office 365 Exchange Online을 선택합니다. 조직은 조건부 액세스 템플릿 또는 일반적인 정책 조건부 액세스에서 사용할 수 있는 정책을 사용할 수 있습니다. 참조로 레거시 인증을 차단 합니다.

레거시 인증을 간접적으로 차단

조직이 전체 조직에서 레거시 인증을 차단할 준비가 되지 않은 경우 레거시 인증을 사용하는 로그인에서 다단계 인증 또는 호환/하이브리드 Azure AD 조인 디바이스가 필요한 것처럼 권한 부여 컨트롤이 필요한 정책을 무시하지 않는지 확인해야 합니다. 인증하는 동안 레거시 인증 클라이언트는 MFA, 디바이스 준수 또는 조인 상태 정보를 Azure AD에 전송하는 기능을 지원하지 않습니다. 따라서 권한 부여 컨트롤을 충족시킬 수 없는 레거시 인증 기반 로그인이 차단되도록 모든 클라이언트 애플리케이션에 권한 부여 컨트롤이 있는 정책을 적용합니다. 2020년 8월에 클라이언트 앱 조건의 일반 공급으로 새로 만든 조건부 액세스 정책이 기본적으로 모든 클라이언트 앱에 적용됩니다.

알아야 할 사항

조건부 액세스 정책이 적용되는 데 최대 24시간이 걸릴 수 있습니다.

기타 클라이언트를 사용하여 액세스를 차단하면 기본 인증을 사용하는 Exchange Online PowerShell 및 Dynamics 365도 차단됩니다.

기타 클라이언트에 대한 정책 구성은 SPConnect와 같은 특정 클라이언트에서 전체 조직을 차단합니다. 이러한 차단은 이전 버전의 클라이언트가 예기치 않은 방식으로 인증하기 때문에 발생합니다. 이 문제는 이전 버전의 Office 클라이언트와 같은 주요 Office 애플리케이션에 적용되지 않습니다.

다른 클라이언트 조건에 사용할 수 있는 모든 권한 부여 제어를 선택할 수 있지만, 최종 사용자 환경은 항상 동일합니다(액세스 차단).

다음 단계