위험 기반 액세스 정책

  • 아티클
  • 읽는 데 8분 걸림

로그인 또는 사용자가 위험에 처한 것으로 감지되면 액세스 제어 정책을 적용하여 조직을 보호할 수 있습니다. 이러한 정책을 위험 기반 정책이라고 합니다.

Azure AD 조건부 액세스는 로그인 위험사용자 위험이라는 두 가지 위험 조건을 제공합니다. 조직은 이러한 두 가지 위험 조건을 구성하고 액세스 제어 방법을 선택하여 위험 기반 조건부 액세스 정책을 만들 수 있습니다. 로그인할 때마다 ID 보호가 검색된 위험 수준을 조건부 액세스로 보내고 정책 조건이 충족되면 위험 기반 정책이 적용됩니다.

개념적 위험 기반 조건부 액세스 정책을 보여 주는 다이어그램

예를 들어 아래 다이어그램과 같이 조직에 로그인 위험 수준이 중간 또는 높음일 때 다단계 인증을 요구하는 로그인 위험 정책이 있는 경우 로그인 위험이 중간 또는 높음일 때 사용자는 다단계 인증을 완료해야 합니다.

자체 수정을 사용하는 개념적 위험 기반 조건부 액세스 정책을 보여 주는 다이어그램

위의 예제에서는 위험 기반 정책의 주요 이점인 자동 위험 수정도 보여 줍니다. 사용자가 보안 암호 변경과 같은 필수 액세스 제어를 성공적으로 완료하면 위험이 수정됩니다. 해당 로그인 세션 및 사용자 계정은 위험에 노출되지 않으며 관리자의 조치가 필요하지 않습니다.

사용자가 이 프로세스를 사용하여 자체 수정할 수 있도록 허용하면 보안 손상으로부터 조직을 보호하면서 관리자의 위험 조사 및 수정 부담을 크게 줄일 수 있습니다. 위험 수정에 대한 자세한 내용은 위험 수정 및 사용자 차단 해제 문서에서 찾을 수 있습니다.

로그인 위험 기반 조건부 액세스 정책

각 로그인 중에 ID 보호는 수백 개의 신호를 실시간으로 분석하고 지정된 인증 요청이 승인되지 않을 확률을 나타내는 로그인 위험 수준을 계산합니다. 그런 다음, 이 위험 수준은 조직의 구성된 정책이 평가되는 조건부 액세스로 전송됩니다. 관리자는 로그인 위험 기반 조건부 액세스 정책을 구성하여 로그인 위험에 따라 다음과 같은 요구 사항을 비롯한 액세스 제어를 적용할 수 있습니다.

  • 액세스 차단
  • 액세스 허용
  • 다단계 인증 필요

로그인 시 위험이 감지되면 사용자는 다단계 인증과 같은 필수 액세스 제어를 수행하여 위험한 로그인 이벤트를 자체 수정하고 닫음으로써 관리자에 대한 불필요한 노이즈를 방지할 수 있습니다.

로그인 위험 기반 조건부 액세스 정책의 스크린샷

참고

로그인 위험 정책을 트리거하기 전에 사용자는 Azure AD Multifactor Authentication에 등록되어야 합니다.

사용자 위험 기반 조건부 액세스 정책

ID 보호는 사용자 계정에 대한 신호를 분석하고 사용자의 보안이 침해되었을 확률에 따라 위험 점수를 계산합니다. 사용자에게 위험한 로그인 동작이 있거나 자격 증명이 유출된 경우 ID 보호는 이러한 신호를 사용하여 사용자 위험 수준을 계산합니다. 관리자는 사용자 위험 기반 조건부 액세스 정책을 구성하여 사용자 위험에 따라 다음과 같은 요구 사항을 비롯한 액세스 제어를 적용할 수 있습니다.

  • 액세스 차단
  • 액세스를 허용하지만 보안 암호 변경이 필요합니다.

보안 암호 변경은 사용자 위험을 수정하고 위험한 사용자 이벤트를 닫아 관리자에 대한 불필요한 노이즈를 방지합니다.

ID 보호 정책

또한 ID 보호는 사용자 위험 정책 및 로그인 위험 정책을 만들기 위한 사용자 인터페이스를 제공하지만 다음과 같은 이유로 Azure AD 조건부 액세스를 사용하여 위험 기반 정책을 만드는 것이 좋습니다.

  • 조건부 액세스에 대한 풍부한 조건 집합: 조건부 액세스는 구성을 위한 애플리케이션 및 위치와 같은 다양한 조건을 제공합니다. 위험 조건을 다른 조건과 함께 사용하여 조직 요구 사항을 가장 잘 적용하는 정책을 만들 수 있습니다.
  • 여러 위험 기반 정책을 적용하여 다양한 사용자 그룹을 대상으로 하거나 다양한 위험 수준에 대해 서로 다른 액세스 제어를 적용할 수 있습니다.
  • 조건부 액세스 정책은 Microsoft Graph API를 통해 만들 수 있으며 보고서 전용 모드에서 먼저 테스트할 수 있습니다.
  • 조건부 액세스에서는 모든 액세스 정책을 한 곳에서 관리합니다.

ID 보호 위험 정책이 이미 설정되어 있는 경우 조건부 액세스로 마이그레이션하는 것이 좋습니다.

Azure AD MFA 등록 정책

ID 보호를 사용하면 조직에서 로그인할 때 등록하도록 요구하는 정책을 사용하여 Azure AD MFA(Multifactor Authentication)를 롤아웃할 수 있습니다. 이 정책을 사용하도록 설정하는 것은 조직의 새 사용자가 첫 날에 MFA에 등록했는지 확인하는 좋은 방법입니다. 다단계 인증은 ID 보호 내에서 위험 이벤트에 대한 자체 수정 방법 중 하나입니다. 자동 수정 기능을 사용하면 사용자가 자체적으로 조치를 취할 수 있으므로 기술 지원팀 문의 전화 횟수를 줄일 수 있습니다.

Azure AD Multifactor Authentication에 대한 자세한 내용은 작동 방법: Azure AD Multifactor Authentication 문서에서 확인할 수 있습니다.

다음 단계