Microsoft Entra 일반 운영 가이드 참조

Microsoft Entra 작업 참조 가이드의 이 섹션에서는 Microsoft Entra ID의 일반적인 작업을 최적화하기 위해 수행해야 하는 확인 사항과 작업에 대해 설명합니다.

참고 항목

이 권장 사항은 게시 날짜를 기준으로 최신이지만 시간이 지나면 변경될 수 있습니다. 시간이 지남에 따라 Microsoft 제품 및 서비스가 발전하므로 조직은 운영 사례를 지속해서 평가해야 합니다.

주요 운영 프로세스

주요 작업에 소유자 할당

Microsoft Entra ID를 관리하려면 롤아웃 프로젝트의 일부가 아닐 수도 있는 주요 운영 작업 및 프로세스를 지속적으로 실행해야 합니다. 환경을 최적화하기 위해 이 작업을 설정하는 것도 여전히 중요합니다. 핵심 작업과 권장 소유자는 다음과 같습니다.

Task	소유자
ID 보안 점수 개선 추진	InfoSec 운영 팀
Microsoft Entra Connect 서버 유지 관리	IAM 운영 팀
정기적으로 IdFix 보고서 실행 및 심사	IAM 운영 팀
동기화 및 AD FS에 대한 Microsoft Entra Connect Health 경고 심사	IAM 운영 팀
Microsoft Entra Connect Health를 사용하지 않는 경우 고객은 사용자 지정 인프라를 모니터링하기 위한 동등한 프로세스와 도구를 갖게 됩니다.	IAM 운영 팀
AD FS를 사용하지 않는 경우 고객에게 사용자 지정 인프라를 모니터링하는 동일한 프로세스 및 도구가 있습니다.	IAM 운영 팀
하이브리드 로그 모니터링: Microsoft Entra 프라이빗 네트워크 커넥터	IAM 운영 팀
하이브리드 로그 모니터링: 통과 인증 에이전트	IAM 운영 팀
하이브리드 로그 모니터링: 비밀번호 쓰기 저장 서비스	IAM 운영 팀
하이브리드 로그 모니터링: 온-프레미스 암호 보호 게이트웨이	IAM 운영 팀
하이브리드 로그 모니터링: Microsoft Entra 다단계 인증 NPS 확장(해당하는 경우)	IAM 운영 팀

목록을 검토할 때 소유자가 누락된 작업에 대해 소유자를 할당하거나 위의 권장 사항에 맞지 않는 소유자가 있는 작업에 대한 소유권을 조정해야 할 수도 있습니다.

소유자 권장 참조 항목

• Microsoft Entra ID에서 관리자 역할 할당

하이브리드 관리

최신 버전의 온-프레미스 구성 요소

최신 버전의 온-프레미스 구성 요소를 사용하면 고객에게 환경을 더욱 간소화하는 데 도움이 되는 기능 및 모든 최신 보안 업데이트, 성능 향상을 제공합니다. 대부분의 구성 요소에는 업그레이드 프로세스를 자동화하는 자동 업그레이드 설정이 있습니다.

이러한 구성 요소는 다음과 같습니다.

• Microsoft Entra Connect
• Microsoft Entra 프라이빗 네트워크 커넥터
• Microsoft Entra 통과 인증 에이전트
• Microsoft Entra Connect Health 에이전트

구성 요소가 설정되지 않은 경우 이러한 구성 요소를 업그레이드하는 프로세스를 정의하고 가능하면 자동 업그레이드 기능을 사용해야 합니다. 6개월 이상 지난 구성 요소를 찾으면 최대한 빨리 업그레이드해야 합니다.

하이브리드 관리 권장 참조 항목

• Microsoft Entra Connect: 자동 업그레이드
• Microsoft Entra 프라이빗 네트워크 커넥터 이해 | 자동 업데이트

Microsoft Entra Connect Health 경고 기준

조직은 Microsoft Entra Connect 및 AD FS를 모니터링하고 보고하기 위해 Microsoft Entra Connect Health를 배포해야 합니다. Microsoft Entra Connect 및 AD FS는 수명 주기 관리 및 인증을 방해하여 중단을 초래할 수 있는 중요한 구성 요소입니다. Microsoft Entra Connect Health를 사용하면 온-프레미스 ID 인프라를 모니터링하고 파악할 수 있으므로 사용자 환경의 신뢰성을 보장합니다.

환경의 상태를 모니터링할 때 심각도가 높은 경고를 즉시 처리한 다음 심각도가 낮은 경고를 처리해야 합니다.

Microsoft Entra Connect Health 권장 읽기 자료

• Microsoft Entra Connect Health 에이전트 설치

온-프레미스 에이전트 로그

일부 ID 및 액세스 관리 서비스에는 하이브리드 시나리오를 사용하기 위해 온-프레미스 에이전트가 필요합니다. 예로는 암호 재설정, PTA(통과 인증), Microsoft Entra 애플리케이션 프록시, Microsoft Entra 다단계 인증 NPS 확장 등이 있습니다. 운영 팀은 System Center Operations Manager 또는 SIEM과 같은 솔루션을 사용하여 구성 요소 에이전트 로그를 보관 및 분석하여 이러한 구성 요소의 상태를 기준으로 설정하고 모니터링하는 것이 중요합니다. Infosec 운영 팀이나 지원 센터에서 오류 패턴 문제를 해결하는 방법을 이해하는 것도 마찬가지로 중요합니다.

온-프레미스 에이전트 로그 권장 참조 항목

• 애플리케이션 프록시 문제 해결
• 셀프 서비스 암호 재설정 문제 해결
• Microsoft Entra 프라이빗 네트워크 커넥터 이해
• Microsoft Entra Connect: 통과 인증 문제 해결
• Microsoft Entra 다단계 인증 NPS 확장의 오류 코드 문제 해결

온-프레미스 에이전트 관리

모범 사례를 채택하면 온-프레미스 에이전트의 최적 운영에 도움이 될 수 있습니다. 다음 모범 사례를 고려합니다.

• 커넥터 그룹당 여러 Microsoft Entra 프라이빗 네트워크 커넥터는 프록시 애플리케이션에 액세스할 때 단일 실패 지점을 방지하여 원활한 부하 분산 및 고가용성을 제공하는 것이 좋습니다. 현재 프로덕션에서 애플리케이션을 처리하는 커넥터 그룹에 커넥터가 하나만 있는 경우 중복도를 위해 두 개 이상의 커넥터를 배포해야 합니다.
• 디버깅을 위해 프라이빗 네트워크 커넥터 그룹을 만들고 사용하는 것은 시나리오 문제 해결 및 새 온-프레미스 애플리케이션 온보딩 시 유용할 수 있습니다. 또한 커넥터 시스템에 Message Analyzer 및 Fiddler와 같은 네트워킹 도구를 설치하는 것이 좋습니다.
• 인증 흐름 중 단일 실패 지점을 방지하여 원활한 부하 분산 및 고가용성을 제공하려면 여러 통과 인증 에이전트를 사용하는 것이 좋습니다. 중복도를 위해 두 개 이상의 통과 인증 에이전트를 배포해야 합니다.

온-프레미스 에이전트 관리 권장 참조 항목

• Microsoft Entra 프라이빗 네트워크 커넥터 이해
• Microsoft Entra 통과 인증 - 빠른 시작

대규모 관리

ID 보안 점수

ID 보안 점수는 조직의 보안 태세에 대한 정량적 측정값을 제공합니다. 보고된 결과를 지속적으로 검토하여 해결하고 가능한 최고 점수를 받기 위해 노력하는 것이 중요합니다. 점수는 다음에 도움이 됩니다.

• ID 보안 상태를 객관적으로 측정
• ID 보안 개선 계획
• 개선 계획의 성공 여부 검토

조직에 현재 ID 보안 점수의 변경 사항을 모니터링하는 프로그램이 없는 경우 계획을 구현하고 모니터링 및 개선 조치를 추진할 소유자를 지정하는 것이 좋습니다. 조직은 점수 영향이 30보다 높은 개선 작업을 가능한 한 빨리 수정해야 합니다.

알림

Microsoft는 서비스의 다양한 변경 사항, 필요한 구성 업데이트 및 관리자 개입이 필요한 오류를 알리기 위해 관리자에게 이메일 통신을 보냅니다. 모든 알림을 확인하고 조치를 취할 수 있는 적절한 팀 구성원에게 알림이 전송되도록 고객이 알림 이메일 주소를 설정하는 것이 중요합니다. 메시지 센터에 여러 명의 수신자를 추가하고 알림(Microsoft Entra Connect Health 알림 포함)이 배포 목록이나 공유 편지함으로 전송되도록 요청하는 것이 좋습니다. 메일 주소가 있는 전역 관리자 계정이 하나만 있는 경우 메일 가능 계정을 두 개 이상 구성해야 합니다.

Microsoft Entra ID에서 사용하는 두 개의 "보낸 사람" 주소는 메시지 센터 알림을 보내는 o365mc@email2.microsoft.com과 관련된 알림을 보내는 azure-noreply@microsoft.com입니다.

• Microsoft Entra 액세스 검토
• Microsoft Entra Connect Health
• Microsoft Entra ID 보호
• Microsoft Entra Privileged Identity Management
• 엔터프라이즈 앱 인증서 만료 알림
• 엔터프라이즈 앱 서비스 프로비저닝 알림

전송되는 알림의 유형과 알림을 확인할 위치를 알아보려면 다음 표를 참조하세요.

알림 원본	전달 내용	확인할 위치
기술 담당자	동기화 오류	Azure Portal - 속성 블레이드
메시지 센터	ID 서비스 및 Microsoft 365 백 엔드 서비스의 인시던트 및 성능 저하 알림	Office 포털
ID 보호 주별 다이제스트	ID 보호 다이제스트	Microsoft Entra ID 보호 블레이드
Microsoft Entra Connect Health	경고 알림	Azure Portal - Microsoft Entra Connect Health 블레이드
엔터프라이즈 애플리케이션 알림	인증서 만료 및 프로비저닝 오류 알림	Azure Portal - 엔터프라이즈 애플리케이션 블레이드(각 앱에 고유한 이메일 주소 설정이 있음)

알림 권장 참조 항목

• 조직의 주소, 기술 담당자 등 변경

작업 노출 영역

AD FS 잠금

Microsoft Entra ID에 직접 인증하도록 애플리케이션을 구성하는 조직은 Microsoft Entra 스마트 잠금의 이점을 활용할 수 있습니다. Windows Server 2012 R2에서 AD FS를 사용하는 경우 AD FS 엑스트라넷 잠금 보호를 구현합니다. Windows Server 2016 이상에서 AD FS를 사용하는 경우 엑스트라넷 스마트 잠금을 구현합니다. 최소한 온-프레미스 Active Directory에 대한 무차별 암호 대입 공격의 위험을 포함하도록 엑스트라넷 잠금을 사용하는 것이 좋습니다. 그러나 Windows 2016 이상에 AD FS가 있는 경우 암호 스프레이 공격을 완화하는 데 도움이 되는 엑스트라넷 스마트 잠금도 사용해야 합니다.

AD FS가 Microsoft Entra 페더레이션에만 사용되는 경우 공격 표면을 최소화하기 위해 끌 수 있는 일부 엔드포인트가 있습니다. 예를 들어, AD FS가 Microsoft Entra ID에만 사용되는 경우 usernamemixed 및 windowstransport에 대해 사용하도록 설정된 엔드포인트 이외의 WS-Trust 엔드포인트를 사용하지 않도록 설정해야 합니다.

온-프레미스 ID 구성 요소가 있는 컴퓨터에 대한 액세스

조직은 온-프레미스 도메인과 동일한 방식으로 온-프레미스 하이브리드 구성 요소가 있는 컴퓨터에 대한 액세스를 잠가야 합니다. 예를 들어, 백업 운영자 또는 Hyper-V 관리자는 규칙을 변경하기 위해 Microsoft Entra Connect Server에 로그인할 수 없어야 합니다.

Active Directory 관리 계층 모델은 환경의 전체 제어(계층 0)와 공격자가 자주 손상시킬 위험이 높은 워크스테이션 자산 간의 버퍼 영역 집합을 사용하여 ID 시스템을 보호하도록 설계되었습니다.

계층 모델은 세 가지 수준으로 구성되며 관리 계정만 포함하고 표준 사용자 계정은 포함하지 않습니다.

• 계층 0 - 환경 내 엔터프라이즈 ID를 직접 제어합니다. 계층 0에는 Active Directory 포리스트, 도메인 또는 도메인 컨트롤러와 그 속의 모든 자산에 대한 직접 또는 간접 관리 권한을 가진 계정, 그룹 및 기타 자산이 포함됩니다. 모든 계층 0 자산은 서로를 효과적으로 제어하므로 보안 민감도가 동일합니다.
• 계층 1 - 엔터프라이즈 서버 및 애플리케이션을 제어합니다. 계층 1 자산에는 서버 운영 체제, 클라우드 서비스 및 엔터프라이즈 애플리케이션이 포함됩니다. 계층 1 관리자 계정은 이러한 자산에서 호스트되는 상당한 양의 비즈니스 가치에 대한 관리 권한이 있습니다. 일반적인 역할 예로는 모든 엔터프라이즈 서비스에 영향을 줄 수 있는 기능으로 이러한 운영 체제를 유지 관리하는 서버 관리자가 있습니다.
• 계층 2 - 사용자 워크스테이션 및 디바이스를 제어합니다. 계층 2 관리자 계정은 사용자 워크스테이션 및 디바이스에서 호스트되는 상당한 양의 비즈니스 가치에 대한 관리 권한이 있습니다. 예를 들어 지원 센터 및 컴퓨터 지원 관리자가 여기에 포함됩니다. 이들은 거의 모든 사용자 데이터의 무결성에 영향을 줄 수 있기 때문입니다.

도메인 컨트롤러와 동일한 방식으로 Microsoft Entra Connect, AD FS 및 SQL 서비스와 같은 온-프레미스 ID 구성 요소에 대한 액세스를 잠급니다.

요약

보안 ID 인프라에는 7가지 측면이 있습니다. 이 목록은 Microsoft Entra ID에 대한 작업을 최적화하기 위해 취해야 할 작업을 찾는 데 도움이 됩니다.

• 주요 작업에 소유자를 할당합니다.
• 온-프레미스 하이브리드 구성 요소에 대한 업그레이드 프로세스를 자동화합니다.
• Microsoft Entra Connect 및 AD FS를 모니터링하고 보고하기 위해 Microsoft Entra Connect Health를 배포합니다.
• System Center Operations Manager 또는 SIEM 솔루션을 사용하여 구성 요소 에이전트 로그를 보관 및 분석하여 온-프레미스 하이브리드 구성 요소의 상태를 모니터링합니다.
• ID 보안 점수를 통해 보안 태세를 측정하여 보안 향상을 구현합니다.
• AD FS를 잠급니다.
• 온-프레미스 ID 구성 요소가 있는 컴퓨터에 대한 액세스를 잠급니다.

다음 단계

아직 배포하지 않은 기능에 대한 구현 세부 정보는 Microsoft Entra 배포 계획을 참조하세요.