위험 정책 구성 및 사용

이전 문서인 위험 기반 액세스 정책에서 알아보았습니다. Microsoft Entra 조건부 액세스에는 설정할 수 있는 두 가지 유형의 위험 정책이 있습니다. 다음 정책을 사용하여 위험이 감지될 때 사용자가 자체 수정할 수 있도록 위험에 대한 응답을 자동화할 수 있습니다.

• 로그인 위험 정책
• 사용자 위험 정책

허용 가능한 위험 수준 선택

조직은 사용자 환경과 보안 태세의 균형을 맞추기 위해 액세스 제어를 요구하려는 위험 수준을 결정해야 합니다.

높은 위험 수준에서 액세스 제어를 적용하도록 선택하면 정책이 트리거되는 횟수가 줄어들고 사용자의 마찰이 최소화됩니다. 그러나 공격자가 손상된 ID를 악용하는 것을 차단하지 않을 수 있는 정책에서 낮 음 및 중간 위험을 제외합니다. 낮음 위험 수준을 선택하여 액세스 제어를 요구하면 더 많은 사용자 중단이 발생합니다.

구성된 신뢰할 수 있는 네트워크 위치는 일부 위험 검색에서 Identity Protection이 가양성을 줄이는 데 사용됩니다.

다음 정책 구성에는 위험한 사용자 및 로그인에 대한 재인증이 필요한 로그인 빈도 세션 제어가 포함됩니다.

위험 수정

조직은 위험이 감지되면 액세스를 차단하도록 선택할 수 있습니다. 차단은 합법적인 사용자가 필요한 작업을 수행하지 못하게 하는 경우가 있습니다. 더 나은 솔루션은 Microsoft Entra 다단계 인증 및 보안 암호 변경을 사용하여 자체 수정을 허용하는 것입니다.

Warning

사용자는 수정이 필요한 상황에 직면하기 전에 Microsoft Entra 다단계 인증에 등록해야 합니다. 온-프레미스에서 클라우드로 동기화되는 하이브리드 사용자의 경우 비밀번호 쓰기 저장을 사용하도록 설정해야 합니다. 등록되지 않은 사용자는 차단되며 관리자 개입이 필요합니다.

위험한 사용자 정책 수정 흐름 외부의 암호 변경(내 암호를 알고 새 암호로 변경하려는 경우)이 보안 암호 변경 요구 사항을 충족하지 않습니다.

Microsoft의 권장 사항

Microsoft는 조직을 보호하기 위해 다음과 같은 위험 정책 구성을 권장합니다.

• 사용자 위험 정책
  • 사용자 위험 수준이 높음이면 보안 암호 변경이 필요합니다. 사용자가 비밀번호 쓰기 저장으로 새 암호를 만들어 위험을 해결하려면 Microsoft Entra 다단계 인증이 필요합니다.
• 로그인 위험 정책
  • 로그인 위험 수준이 중간 또는 높음일 때 Microsoft Entra 다단계 인증이 필요하므로 사용자가 등록된 인증 방법 중 하나로 로그인 위험을 해결하여 이를 입증할 수 있습니다.

위험 수준이 낮을 때 액세스 제어를 요구하면 중간 또는 높음보다 마찰 및 사용자 중단이 더 많이 발생합니다. 보안 암호 변경 및 다단계 인증과 같은 자체 수정 옵션을 허용하지 않고 액세스를 차단하도록 선택하면 사용자 및 관리자에게 더 많은 영향을 줍니다. 정책을 구성할 때 이러한 선택 사항을 고려합니다.

제외 항목

정책을 통해 긴급 액세스 또는 비상 관리자 계정과 같은 사용자를 제외할 수 있습니다. 조직은 계정 사용 방식에 따라 특정 정책에서 다른 계정을 제외해야 할 수 있습니다. 제외 항목을 정기적으로 검토하여 해당 항목이 계속 적용되는지 확인해야 합니다.

정책 사용

조직은 다음 단계를 사용하거나 조건부 액세스 템플릿을 사용하여 조건부 액세스에서 위험 기반 정책을 배포하도록 선택할 수 있습니다.

조직에서 수정 정책을 사용하도록 설정하기 전에 활성 위험을 조사하고수정해야 합니다.

조건부 액세스의 사용자 위험 정책

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>조건부 액세스로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
   1. 포함에서 모든 사용자를 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
   3. 완료를 선택합니다.
6. 클라우드 앱 또는 작업>포함에서 모든 클라우드 앱을 선택합니다.
7. 조건>사용자 위험에서 구성을 예로 설정합니다.
   1. 정책을 적용하는 데 필요한 사용자 위험 수준 구성에서 높음을 선택합니다. (이 지침은 Microsoft 권장 사항을 기반으로 하며 조직마다 다를 수 있습니다.)
   2. 완료를 선택합니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 액세스 권한 부여, 다단계 인증 필요 및 암호 변경 필요를 선택합니다.
   2. 선택을 선택합니다.
9. 세션에서.
   1. 로그인 빈도를 선택합니다.
   2. 매번이 선택되어 있는지 확인합니다.
   3. 선택을 선택합니다.
10. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
11. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.

조건부 액세스의 로그인 위험 정책

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>조건부 액세스로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
   1. 포함에서 모든 사용자를 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
   3. 완료를 선택합니다.
6. 클라우드 앱 또는 작업>포함에서 모든 클라우드 앱을 선택합니다.
7. 조건>로그인 위험에서 구성을 예로 설정합니다. 이 정책을 적용할 로그인 위험 수준 선택에서 (이 지침은 Microsoft 권장 사항을 기반으로 하며 조직마다 다를 수 있습니다.)
   1. 높음 및 중간을 선택합니다.
   2. 완료를 선택합니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 액세스 권한 부여, 다단계 인증 필요를 선택합니다.
   2. 선택을 선택합니다.
9. 세션에서.
   1. 로그인 빈도를 선택합니다.
   2. 매번이 선택되어 있는지 확인합니다.
   3. 선택을 선택합니다.
10. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
11. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.

위험 정책을 조건부 액세스로 마이그레이션

Warning

Microsoft Entra ID Protection에 구성된 레거시 위험 정책은 2026년 10월 1일에 사용 중지됩니다.

Microsoft Entra ID에서 위험 정책을 사용하도록 설정한 경우 조건부 액세스로 마이그레이션할 계획입니다.

조건부 액세스로 마이그레이션

1. 보고 전용 모드의 조건부 액세스에서 동일한사용자 위험 기반 및 로그인 위험 기반 정책을 만듭니다. 이전 단계를 사용하거나 Microsoft의 권장 사항 및 조직 요구 사항에 따라 조건부 액세스 템플릿을 사용하여 정책을 만들 수 있습니다.
   1. 보고 전용 모드에서 테스트하여 새 조건부 액세스 위험 정책이 예상대로 작동하는지 확인합니다.
2. 새 조건부 액세스 위험 정책을 사용하도록 설정합니다. ID 보호 위험 정책을 해제하기 전에 두 정책을 함께 실행하여 새 정책이 예상대로 작동하는지 확인할 수 있습니다.
   1. 보호>조건부 액세스로 돌아갑니다.
   2. 이 새 정책을 선택하여 편집합니다.
   3. 정책 사용을 켜기로 설정하여 정책을 사용하도록 설정합니다.
3. ID 보호에서 이전 위험 정책을 사용하지 않도록 설정합니다 .
   1. 보호>ID 보호>로 이동하여 사용자 위험 또는 로그인 위험 정책을 선택합니다.
   2. 정책 적용을 사용 안 함으로 설정
4. 필요한 경우 조건부 액세스에서 다른 위험 정책을 만듭니다.

다음 단계

• Microsoft Entra 다단계 인증 등록 정책 사용
• 위험이란?
• 위험 검색 조사
• 위험 검색 시뮬레이션
• 매번 재인증 필요