다음을 통해 공유


위험 정책 구성 및 사용

Microsoft Entra 조건부 액세스에는 두 가지 형식의 위험 정책을 설정할 수 있습니다. 다음 정책을 사용하여 위험이 감지될 때 사용자가 자체 수정할 수 있도록 위험에 대한 응답을 자동화할 수 있습니다.

위험을 조건으로 보여 주는 조건부 액세스 정책의 스크린샷

허용 가능한 위험 수준 선택

조직은 사용자 환경과 보안 태세의 균형을 맞추기 위해 액세스 제어를 요구하려는 위험 수준을 결정해야 합니다.

높음 위험 수준에서 액세스 제어를 적용하도록 선택하면 정책이 트리거되는 횟수가 줄어들고 사용자의 마찰이 최소화됩니다. 그러나 정책에서 낮음중간 위험을 제외하므로 손상된 ID를 악용하지 못하도록 공격자를 차단하지 못할 수 있습니다. 낮음 위험 수준을 선택하여 액세스 제어를 요구하면 더 많은 사용자 중단이 발생합니다.

구성된 신뢰할 수 있는 네트워크 위치는 일부 위험 검색에서 Microsoft Entra ID Protection이 가양성을 줄이는 데 사용됩니다.

다음 정책 구성에는 위험한 사용자 및 로그인에 대한 재인증이 필요한 로그인 빈도 세션 제어가 포함됩니다.

Microsoft의 권장 사항

Microsoft는 조직을 보호하기 위해 아래 위험 정책 구성을 권장합니다.

  • 사용자 위험 정책
    • 사용자 위험 수준이 높음이면 보안 암호 변경이 필요합니다. 사용자가 비밀번호 쓰기 저장으로 새 암호를 만들어 위험을 해결하려면 Microsoft Entra 다단계 인증이 필요합니다.
  • 로그인 위험 정책
    • 로그인 위험 수준이 중간 또는 높음일 때 Microsoft Entra 다단계 인증이 필요하므로 사용자가 등록된 인증 방법 중 하나로 로그인 위험을 해결하여 이를 입증할 수 있습니다.

위험 수준이 낮을 때 액세스 제어를 요구하면 중간 또는 높음보다 마찰 및 사용자 중단이 더 많이 발생합니다. 보안 암호 변경 및 다단계 인증과 같은 자체 수정 옵션을 허용하지 않고 액세스를 차단하도록 선택하면 사용자 및 관리자에게 더 많은 영향을 줍니다. 정책을 구성할 때 이러한 선택 사항을 고려합니다.

위험 수정

조직은 위험이 감지되면 액세스를 차단하도록 선택할 수 있습니다. 차단은 합법적인 사용자가 필요한 작업을 수행하지 못하게 하는 경우가 있습니다. 더 나은 솔루션은 사용자가 스스로 수정할 수 있도록 허용하는 사용자로그인 위험 기반 조건부 액세스 정책을 구성하는 것입니다.

Warning

사용자는 수정이 필요한 상황에 직면하기 전에 Microsoft Entra 다단계 인증에 등록해야 합니다. 온-프레미스에서 동기화된 하이브리드 사용자의 경우 비밀번호 쓰기 저장 기능을 사용하도록 설정해야 합니다. 등록되지 않은 사용자는 차단되며 관리자 개입이 필요합니다.

위험한 사용자 정책 수정 흐름 외부의 암호 변경(내 암호를 알고 새 암호로 변경하려는 경우)이 보안 암호 변경 요구 사항을 충족하지 않습니다.

정책 사용

조직은 다음 단계를 사용하거나 조건부 액세스 템플릿을 사용하여 조건부 액세스의 위험 기반 정책을 배포하도록 선택할 수 있습니다.

조직에서 이러한 정책을 사용하도록 설정하기 전에 활성 위험을 조사하고 수정하기 위한 조치를 취해야 합니다.

정책 제외

조건부 액세스 정책은 강력한 도구이므로 정책에서 다음 계정을 제외하는 것이 좋습니다.

  • 정책 잘못된 구성으로 인한 잠금을 방지하기 위한 비상 액세스 또는 비상 계정 드문 시나리오에서 모든 관리자가 잠기면 응급 액세스 관리 계정을 사용하여 로그인하고 액세스를 복구하는 단계를 수행할 수 있습니다.
  • 서비스 계정 및 서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에게 연결되지 않은 비대화형 계정입니다. 일반적으로 애플리케이션에 대한 프로그래매틱 액세스를 허용하는 백 엔드 서비스에서 사용하지만 관리 목적으로 시스템에 로그인할 때도 사용합니다. 서비스 주체가 수행한 호출은 사용자로 범위가 지정된 조건부 액세스 정책에서 차단하지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
    • 조직에서 스크립트 또는 코드에 이러한 계정을 사용 중인 경우 이를 관리 ID로 바꾸는 것이 좋습니다.

조건부 액세스의 사용자 위험 정책

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>조건부 액세스로 이동합니다.
  3. 새 정책을 선택합니다.
  4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
  5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
    1. 포함에서 모든 사용자를 선택합니다.
    2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
    3. 완료를 선택합니다.
  6. 클라우드 앱 또는 작업>포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
  7. 조건>사용자 위험에서 구성로 설정합니다.
    1. 정책을 적용하는 데 필요한 사용자 위험 수준 구성에서 높음을 선택합니다. 이 지침은 Microsoft 권장 사항을 기준으로 하며 조직마다 다를 수 있음
    2. 완료를 선택합니다.
  8. 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
    1. 인증 강도 필요를 선택한 다음, 목록에서 기본 제공 다단계 인증 강도를 선택합니다.
    2. 암호 변경 필요를 선택합니다.
    3. 선택을 선택합니다.
  9. 세션에서.
    1. 로그인 빈도를 선택합니다.
    2. 매번이 선택되어 있는지 확인합니다.
    3. 선택을 선택합니다.
  10. 설정을 확인하고 정책 사용보고 전용으로 설정합니다.
  11. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.

암호 없는 시나리오

암호 없는 인증 방법을 채택하는 조직의 경우 다음과 같이 변경합니다.

암호 없는 사용자 위험 정책 업데이트

  1. 사용자 아래:
    1. 포함, 사용자 및 그룹을 선택하고 암호 없는 사용자를 대상으로 지정합니다.
  2. 액세스 제어에서 >암호 없는 사용자에 대한 액세스를 차단합니다.

암호 없는 메서드를 배포하는 동안 일정 기간 동안 두 개의 정책이 필요할 수 있습니다.

  • 암호 없는 메서드를 사용하지 않는 사용자에 대해 자체 수정을 허용하는 메서드입니다.
  • 위험성이 높은 암호 없는 사용자를 차단하는 또 다른 요소입니다.

암호 없는 사용자 위험 수정 및 차단 해제

  1. 모든 위험에 대한 관리자 조사 및 수정 이 필요합니다.
  2. 사용자 차단을 해제합니다.

조건부 액세스의 로그인 위험 정책

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>조건부 액세스로 이동합니다.
  3. 새 정책을 선택합니다.
  4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
  5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
    1. 포함에서 모든 사용자를 선택합니다.
    2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
    3. 완료를 선택합니다.
  6. 클라우드 앱 또는 작업>포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
  7. 조건>로그인 위험에서 구성로 설정합니다.
    1. 이 정책을 적용할 로그인 위험 수준 선택 아래에서 높음중간을 선택합니다. 이 지침은 Microsoft 권장 사항을 기준으로 하며 조직마다 다를 수 있음
    2. 완료를 선택합니다.
  8. 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
    1. 인증 강도 필요를 선택한 다음, 목록에서 기본 제공 다단계 인증 강도를 선택합니다.
    2. 선택을 선택합니다.
  9. 세션에서.
    1. 로그인 빈도를 선택합니다.
    2. 매번이 선택되어 있는지 확인합니다.
    3. 선택을 선택합니다.
  10. 설정을 확인하고 정책 사용보고 전용으로 설정합니다.
  11. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.

암호 없는 시나리오

암호 없는 인증 방법을 채택하는 조직의 경우 다음과 같이 변경합니다.

암호 없는 로그인 위험 정책 업데이트

  1. 사용자 아래:
    1. 포함, 사용자 및 그룹을 선택하고 암호 없는 사용자를 대상으로 지정합니다.
  2. 이 정책이 적용되는 로그인 위험 수준 선택에서 [높음]을 선택합니다.
  3. 액세스 제어에서 >암호 없는 사용자에 대한 액세스를 차단합니다.

암호 없는 메서드를 배포하는 동안 일정 기간 동안 두 개의 정책이 필요할 수 있습니다.

  • 암호 없는 메서드를 사용하지 않는 사용자에 대해 자체 수정을 허용하는 메서드입니다.
  • 위험성이 높은 암호 없는 사용자를 차단하는 또 다른 요소입니다.

암호 없는 로그인 위험 수정 및 차단 해제

  1. 모든 위험에 대한 관리자 조사 및 수정 이 필요합니다.
  2. 사용자 차단을 해제합니다.

위험 정책을 조건부 액세스로 마이그레이션

Microsoft Entra ID Protection에서 레거시 위험 정책을 사용하도록 설정한 경우 조건부 액세스로 마이그레이션할 계획입니다.

Warning

Microsoft Entra ID Protection에 구성된 레거시 위험 정책은 2026년 10월 1일에 사용 중지됩니다.

조건부 액세스로 마이그레이션

  1. 보고 전용 모드의 조건부 액세스에서 동등한 사용자 위험 기반로그인 위험 기반 정책을 만듭니다. 이전 단계를 사용하거나 Microsoft의 권장 사항 및 조직 요구 사항에 따라 조건부 액세스 템플릿을 사용하여 정책을 만들 수 있습니다.
    1. 관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.
  2. ID 보호에서 이전 위험 정책을 사용하지 않도록 설정합니다.
    1. 보호>ID 보호>로 이동하여 사용자 위험 또는 로그인 위험 정책을 선택합니다.
    2. 정책 적용사용 안 함으로 설정합니다.
  3. 필요한 경우 조건부 액세스에서 다른 위험 정책을 만듭니다.