Microsoft Entra ID의 보안 기본값
보안 기본값을 사용하면 오늘날 환경에서 흔히 볼 수 있는 암호 스프레이, 리플레이 및 피싱과 같은 ID 관련 공격으로부터 조직을 쉽게 보호할 수 있습니다.
보안 관리가 어려울 수 있으므로 Microsoft는 모든 사용자가 보안 기본값을 사용할 수 있도록 하고 있습니다. 당사의 조사 내용에 따르면 이러한 일반적인 ID 관련 공격의 99.9% 이상은 다단계 인증를 사용하고 레거시 인증을 차단하여 중지됩니다. 당사의 목표는 모든 조직에서 추가 비용 없이 기본 수준 이상의 보안을 설정할 수 있도록 하는 것입니다.
이러한 기본 컨트롤은 다음을 포함합니다.
- 모든 사용자에게 다단계 인증에 등록하도록 요구합니다.
- 관리자에게 다단계 인증을 수행하도록 요구.
- 필요한 경우 사용자에게 다단계 인증을 수행하도록 요구.
- 레거시 인증 프로토콜 차단
- Azure Portal에 대한 액세스와 같은 권한 있는 작업 보호
사용 대상:
- 보안 태세를 강화하려고 하지만 어디서부터 어떻게 시작해야 할지 모르는 조직
- Microsoft Entra ID 라이선스의 무료 계층을 사용하는 조직
조건부 액세스는 어떤 사용자가 사용해야 하나요?
- Microsoft Entra ID P1 또는 P2 라이선스를 보유한 조직인 경우 보안 기본값이 적합하지 않을 수 있습니다.
- 조직에 복잡한 보안 요구 사항이 있는 경우 조건부 액세스를 고려해야 합니다.
보안 기본값 사용
테넌트가 2019년 10월 22일 이후에 만들어진 경우에는 테넌트에서 보안 기본값을 사용할 수 있습니다. 모든 사용자를 보호하기 위해 보안 값은 생성 시 모든 새 테넌트에 롤아웃됩니다.
조직을 보호하기 위해 Microsoft 계정 서비스의 보안을 개선하기 위해 항상 노력하고 있습니다. 이 보호의 일환으로 고객은 다음과 같은 경우 보안 기본값의 자동 활성화에 대해 주기적으로 알림을 받습니다.
- 조건부 액세스 정책이 없음
- 프리미엄 라이선스가 없음
- 레거시 인증 클라이언트를 적극적으로 사용하지 않음
이 설정을 사용하면 조직의 모든 사용자가 다단계 인증에 등록해야 합니다. 혼동을 방지하려면 받은 이메일을 참조하거나 보안 기본값을 사용하도록 설정한 후 사용 중지할 수 있습니다.
디렉터리에서 보안 기본값을 구성하려면 최소한 보안 관리자 역할이 할당되어야 합니다. 기본적으로 모든 디렉터리의 첫 번째 계정에는 전역 관리자라고 하는 더 높은 권한 있는 역할이 할당됩니다.
보안 기본값을 사용하려면 다음을 수행합니다.
- 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>개요>속성으로 이동합니다.
- 보안 기본값 관리를 선택합니다.
- 보안 기본값을 사용으로 설정합니다.
- 저장을 선택합니다.
활성 토큰 해지
보안 기본값을 사용하는 과정의 일환으로 관리자는 모든 사용자가 다단계 인증에 등록하도록 요구하기 위해 모든 기존 토큰을 해지해야 합니다. 이 취소 이벤트는 이전에 인증된 사용자가 다단계 인증을 인증하고 등록하도록 강제합니다. 이 작업은 Revoke-AzureADUserAllRefreshToken PowerShell cmdlet을 사용하여 수행할 수 있습니다.
보안 정책 적용
모든 사용자에게 Microsoft Entra 다단계 인증에 등록하도록 요구
참고 항목
2024년 7월 29일부터 새로운 테넌트는 사용자가 MFA에 등록하는 데 필요한 14일 유예 기간을 갖지 못할 수 있습니다. MFA는 신원 기반 공격의 99.2% 이상을 차단할 수 있으므로, 14일 기간 동안 계정이 손상될 위험을 줄이기 위해 이러한 변경 내용을 실시합니다.
모든 사용자는 14일 동안 Microsoft Authenticator 앱 또는 OATH TOTP를 지원하는 앱을 사용하여 등록할 수 있습니다. 14일이 지나면 등록이 완료될 때까지 사용자는 로그인할 수 없습니다. 사용자의 14일 기간은 보안 기본값을 사용한 후 처음 성공한 대화형 로그인 이후에 시작됩니다.
사용자가 로그인하고 다단계 인증을 수행하라는 메시지가 표시되면 Microsoft Authenticator 앱에 입력할 번호를 제공하는 화면이 표시됩니다. 이 측정값은 사용자가 MFA 피로 공격에 빠지는 것을 방지하는 데 도움이 됩니다.
관리자에게 다단계 인증을 수행하도록 요구
환경에 대한 관리자의 액세스 권한이 증가되었습니다. 이러한 높은 권한의 계정은 강력한 권한을 가지므로 특별히 주의해서 처리해야 합니다. 권한 있는 계정의 보호를 향상하는 한 가지 일반적인 방법은 다단계 인증 요구와 같이 로그인 시 보다 강력한 형태의 계정 확인을 요구하는 것입니다.
팁
관리자를 위한 권장 사항:
- 모든 관리자가 인증 방법에 등록할 수 있도록 보안 기본값을 사용한 후 로그인해야 합니다.
- 관리자에게 MFA에 대한 메시지가 표시되는 횟수를 크게 줄이려면 관리 및 표준 생산성 작업에 대해 별도의 계정을 갖습니다.
등록을 완료한 후에는 로그인할 때마다 다단계 인증을 수행하기 위해 다음 관리자 역할이 필요합니다.
- 전역 관리자
- 애플리케이션 관리자
- 인증 관리자
- 대금 청구 관리자
- 클라우드 애플리케이션 관리자
- 조건부 액세스 관리자
- Exchange 관리자
- 기술 지원팀 관리자
- 암호 관리자
- 권한 있는 인증 관리자
- 권한 있는 역할 관리자
- 보안 관리자
- SharePoint 관리자
- 사용자 관리자
- 인증 정책 관리자
- ID 거버넌스 관리자
필요한 경우 사용자에게 다단계 인증을 수행하도록 요구
관리자 계정도 추가 인증 계층이 필요한 유일한 계정이라고 생각하는 경향이 있습니다. 관리자는 중요한 정보에 대해 광범위한 액세스 권한을 가지며 구독 전체 설정을 변경할 수 있습니다. 그러나 공격자는 최종 사용자를 대상으로 하는 경우가 많습니다.
이러한 공격자는 액세스 권한을 얻은 후에 원래 계정 소유자의 권한 있는 정보에 대한 액세스를 요청할 수 있습니다. 전체 디렉터리를 다운로드하여 전체 조직에서 피싱 공격을 수행할 수도 있습니다.
모든 사용자에 대해 보호를 개선하는 일반적인 방법 중 하나는 모든 사용자에 대해 다단계 인증과 같은 보다 강력한 형식의 계정 확인을 요구하는 것입니다. 사용자가 등록을 완료한 후에는 필요할 때마다 다른 인증을 요구하는 메시지가 표시됩니다. Microsoft 는 위치, 디바이스, 역할 및 작업과 같은 요소를 기반으로 사용자에게 다단계 인증을 요청하는 시기를 결정합니다. 이 기능은 SaaS 응용 프로그램을 포함하여 모든 등록된 애플리케이션을 보호합니다.
참고 항목
B2B 직접 연결 사용자의 경우 홈 테넌트의 직접 연결 사용자에 의한 다단계 인증 등록을 포함하여 리소스 테넌트에서 사용되는 보안 기본값의 모든 다단계 인증 요구 사항을 충족해야 합니다.
레거시 인증 프로토콜 차단
사용자가 클라우드 앱에 쉽게 액세스할 수 있도록 레거시 인증을 포함한 다양한 인증 프로토콜을 지원합니다. 레거시 인증은 다음을 통해 수행된 인증 요청을 나타내는 용어입니다.
- 최신 인증을 사용하지 않는 클라이언트(예: Office 2010 클라이언트)
- IMAP, SMTP, POP3 등의 이전 메일 프로토콜을 사용하는 모든 클라이언트
현재 대부분의 손상된 로그인 시도는 레거시 인증에서 발생합니다. 레거시 인증은 다단계 인증을 지원하지 않습니다. 디렉터리에서 다단계 인증 정책을 사용하는 경우에도 공격자는 이전 프로토콜을 사용하여 인증하고 다단계 인증을 무시할 수 있습니다.
테넌트에서 보안 기본값을 사용한 후에는 이전 프로토콜을 통해 수행된 모든 인증 요청이 차단됩니다. 보안 기본값은 Exchange Active Sync 기본 인증을 차단합니다.
경고
보안 기본값을 사용하기 전에 관리자가 이전 인증 프로토콜을 사용하지 않는지 확인합니다. 자세한 내용은 레거시 인증에서 전환하는 방법을 참조하세요.
Azure Portal에 대한 액세스와 같은 권한 있는 작업 보호
조직에서는 다음을 포함하여 Azure Resource Manager API를 통해 관리되는 다양한 Azure 서비스를 사용합니다.
- Azure Portal
- Microsoft Entra 관리 센터
- Azure PowerShell
- Azure CLI
Azure Resource Manager를 사용하여 서비스를 관리하는 작업은 높은 권한 수준의 작업입니다. Azure Resource Manager는 서비스 설정 및 구독 청구와 같은 테넌트 전체 구성을 변경할 수 있습니다. 단일 단계 인증은 피싱 및 암호 스프레이와 같은 다양한 공격에 취약합니다.
Azure Resource Manager에 액세스하고 구성을 업데이트하려는 사용자의 ID를 확인하는 것이 중요합니다. 액세스를 허용하기 전에 추가 인증을 요구하여 ID를 확인합니다.
테넌트에서 보안 기본값을 사용한 후 다음 서비스에 액세스하는 모든 사용자는 다단계 인증을 완료해야 합니다.
- Azure Portal
- Microsoft Entra 관리 센터
- Azure PowerShell
- Azure CLI
이 정책은 Azure Resource Manager 서비스에 액세스하는 관리자 또는 사용자 모두에게 적용됩니다. 이 정책은 구독, VM, 스토리지 계정 등에 대한 액세스와 같은 Azure Resource Manager API에 적용됩니다. 이 정책에는 Microsoft Entra ID 또는 Microsoft Graph가 포함되지 않습니다.
참고 항목
2017년 이전 Exchange Online 테넌트는 최신 인증을 기본적으로 사용하지 않습니다. 이러한 테넌트를 통해 인증하는 동안 로그인 루프가 발생하지 않도록 하려면 최신 인증을 사용해야 합니다.
참고 항목
Microsoft Entra Connect 동기화 계정은 보안 기본값에서 제외되며 다단계 인증을 등록하거나 수행하라는 메시지가 표시되지 않습니다. 조직에서는 다른 용도로 이 계정을 사용하지 않아야 합니다.
배포 고려 사항
사용자 준비
사용자에게 예정된 변경 내용, 등록 요구 사항, 필요한 모든 사용자 작업에 대해 알리는 것이 중요합니다. Microsoft는 사용자가 새로운 환경을 준비하고 성공적인 출시를 보장할 수 있도록 커뮤니케이션 템플릿 및 사용자용 설명 문서를 제공합니다. 사용자를 https://myprofile.microsoft.com으로 보내 해당 페이지에서 보안 정보 링크를 선택하여 등록하게 합니다.
인증 방법
보안 기본 사용자는 알림을 통해 Microsoft Authenticator 앱을 사용하여 다단계 인증에 등록하고 사용해야 합니다. 사용자는 Microsoft Authenticator 앱의 확인 코드를 사용할 수 있지만 알림 옵션만 사용하여 등록할 수 있습니다. 또한 사용자는 OATH TOTP를 사용하여 코드를 생성하는 타사 응용 프로그램을 사용할 수도 있습니다.
경고
보안 기본값을 사용하는 경우 조직에 대한 방법을 사용 중지하지 마세요. 보안 방법을 사용하지 않도록 설정하면 테넌트에서 스스로 잠금이 발생할 수 있습니다. MFA 서비스 설정 포털에서 사용자가 사용할 수 있는 모든 메서드를 그대로 두세요.
B2B 사용자
디렉터리에 액세스하는 모든 B2B 게스트 사용자 또는 B2B 직접 연결 사용자는 조직의 사용자와 동일하게 처리됩니다.
사용 중지된 MFA 상태
조직이 사용자 기준 다단계 인증의 이전 사용자인 경우 다단계 인증 상태 페이지를 볼 때 사용 또는 적용 상태에 사용자가 표시되지 않더라도 놀라지 마세요. 사용 안 함은 보안 기본값 또는 조건부 액세스 기반 다단계 인증을 사용하는 사용자에게 적절한 상태입니다.
보안 기본값 사용 중지
보안 기본값을 대체하는 조건부 액세스 정책을 구현하도록 선택하는 조직은 보안 기본값을 사용하지 않도록 설정해야 합니다.
디렉터리에서 보안 기본값을 사용 중지하려면 다음을 수행합니다.
- 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>개요>속성으로 이동합니다.
- 보안 기본값 관리를 선택합니다.
- 보안 기본값을 사용 안 함으로 설정합니다(권장하지 않음).
- 저장을 선택합니다.
보안 기본값에서 조건부 액세스로 이동
보안 기본값은 보안 태세를 시작하기 위한 좋은 기준이지만 많은 조직에서 요구하는 사용자 지정을 허용하지 않습니다. 조건부 액세스 정책은 보다 복잡한 조직에 필요한 모든 범위의 사용자 지정을 제공합니다.
보안 기본값 | 조건부 액세스 | |
---|---|---|
필수 라이선스 | 없음 | Microsoft Entra ID P1 이상 |
사용자 지정 | 사용자 지정 항목 없음(켜기 또는 끄기) | 완전한 사용자 지정 기능 |
사용하는 주체: | Microsoft 또는 관리자 | 관리자 |
복잡성 | 간편한 사용 | 사용자의 요구 사항에 따라 완전히 사용자 지정 가능 |
보안 기본값에서 이동할 때 권장되는 단계
조건부 액세스 기능을 테스트하려는 조직은 평가판에 등록하여 시작할 수 있습니다.
관리자가 보안 기본값을 사용 중지한 후 조직은 즉시 조건부 액세스 정책을 사용하여 조직을 보호해야 합니다. 이러한 정책에는 최소한 조건부 액세스 템플릿의 보안 기반 범주에 있는 정책이 포함되어야 합니다. Microsoft Entra ID 보호가 포함된 Microsoft Entra ID P2 라이선스를 보유한 조직은 이 목록을 확장하여 사용자 및 로그인 위험 기반 정책을 포함하여 상태를 더욱 강화할 수 있습니다.
Microsoft에서는 조직에 전역 관리자 역할이 영구적으로 할당된 두 개의 클라우드 전용 긴급 액세스 계정을 보유하는 것이 좋습니다. 이러한 계정은 높은 권한을 부여받으며 특정 개인에게 할당되지 않습니다. 계정은 일반 계정을 사용할 수 없거나 다른 모든 관리자가 실수로 잠긴 긴급 또는 "중단" 시나리오로 제한됩니다. 이러한 계정은 긴급 액세스 계정 권장 사항에 따라 만들어져야 합니다.
다음 단계
- 블로그: 보안 기본값 소개
- 라이선스에 대한 자세한 내용은 Microsoft Entra 가격 책정 페이지에서 확인할 수 있습니다.