다음을 통해 공유

방어 조직에 대한 다중 테넌트 작업 관리

  • 아티클

이 문서에서는 제로 트러스트 요구 사항을 충족하기 위해 다중 테넌트 방어 조직이 Microsoft Entra 테넌트 전체에서 작업을 관리하는 방법을 정의합니다. 애플리케이션 관리, ID 거버넌스 및 보안 작업을 다룹니다. 기본 및 보조 Microsoft Entra 테넌트 관리자는 각 영역에서 고유한 책임을 맡습니다. 기본 및 보조 테넌트는 애플리케이션 온보딩, 권한 관리 및 위협 탐지 및 대응을 조정해야 합니다(그림 1 참조). 자세한 내용은 테넌트 유형 식별을 참조 하세요.

Diagram showing the management responsibilities of the primary tenant and secondary tenant for application management, identity governance, and security operations.그림 1. 다중 테넌트 방어 조직에 대한 테넌트별 공동 책임

애플리케이션 관리

기본 Microsoft Entra 테넌트와 보조 Microsoft Entra 테넌트는 애플리케이션 관리 책임을 공유합니다. 기본 테넌트는 엔터프라이즈 앱 관리 및 앱 등록과 같은 Microsoft Entra 작업을 완료해야 합니다. 보조 테넌트는 성능 모니터링, 리소스 구성, 크기 조정 및 DevSecOps 파이프라인 관리와 같은 Azure 플랫폼 작업을 담당합니다.

기본 테넌트 애플리케이션 관리

사용자를 기본 테넌트에서 엔터프라이즈 애플리케이션으로 로그인해야 하는 모든 최신 애플리케이션을 온보딩해야 합니다.

보조 테넌트 구독에서 실행되는 Azure 애플리케이션을 기본 테넌트에 등록해야 합니다. 기본 테넌트는 사용자 및 라이선스가 있는 곳입니다. 기본 테넌트에 애플리케이션을 등록하면 사용자가 Microsoft 365에 사용하는 것과 동일한 ID로 로그인할 수 있습니다. 이 구성은 가장 원활한 환경을 제공하며 모든 애플리케이션 액세스에 동일한 제로 트러스트 정책 기준을 적용할 수 있습니다.

애플리케이션 인프라(가상 머신, 데이터베이스, 웹앱)의 위치는 사용자 로그인에 사용할 수 있는 테넌트에 영향을 미치지 않습니다. 기본 테넌트 관리 팀은 앱 등록 및 엔터프라이즈 애플리케이션을 담당합니다. 또한 주 테넌트 및 보조 테넌트에서 호스트되는 애플리케이션에 적용되는 조건부 액세스 정책을 담당합니다.

앱 등록. 조직에서 기본 테넌트에 사용하는 웹 애플리케이션 및 API를 등록합니다. 앱 등록은 Microsoft Entra ID에 애플리케이션 개체를 만듭니다. 애플리케이션 개체는 애플리케이션 정의를 나타냅니다. 애플리케이션 정의에는 애플리케이션 매니페스트, 토큰 클레임 구성, 앱 역할 정의 및 클라이언트 비밀이 포함됩니다. 기본 테넌트 앱 등록과 관련된 작업은 다음과 같습니다.

엔터프라이즈 애플리케이션 엔터프라이즈 애플리케이션은 디렉터리에 있는 애플리케이션의 고유한 인스턴스에 대한 서비스 주체 입니다. Azure Portal에서 앱 등록을 만들 때 엔터프라이즈 애플리케이션은 자동으로 만들어지고 애플리케이션 개체에서 특정 속성을 상속합니다. 기본 테넌트에서 엔터프라이즈 애플리케이션을 관리하는 작업은 다음과 같습니다.

조건부 액세스 정책 조건부 액세스 정책은 Microsoft Entra ID로 보호되는 리소스에 액세스하기 위한 제로 트러스트 정책을 적용합니다. 기본 테넌트에 애플리케이션을 등록하면 기본 테넌트 관리자 가 사용자 로그인 중에 적용되는 정책을 제어합니다.

보조 테넌트 애플리케이션 관리

보조 테넌트는 Azure에서 워크로드에 대한 인프라 및 플랫폼 리소스를 호스트합니다. 보조 테넌트 관리 팀은 성능 모니터링, 리소스 구성, 크기 조정 및 DevSecOps 파이프라인 관리를 담당합니다.

성능 모니터링. Azure에는 Azure Monitor 및 Application Insights를 포함하여 호스트된 애플리케이션의 성능을 모니터링하기 위한 여러 도구가 포함되어 있습니다. 보조 테넌트 관리자는 보조 테넌트에 연결된 구독에서 애플리케이션 워크로드에 대한 성능 메트릭을 수집하도록 모니터링을 설정해야 합니다.

애플리케이션 인프라. Azure 환경의 관리자는 애플리케이션을 실행하는 인프라를 관리해야 합니다. 인프라에는 네트워킹, 플랫폼 서비스 및 가상 머신이 포함됩니다. 요구 사항은 Azure Kubernetes Service, App Service 또는 가상 머신에서 실행되는 애플리케이션에 적용됩니다.

애플리케이션 소유자는 클라우드용 Defender 사용하여 환경의 보안 상태를 관리하고 배포된 리소스에 대한 경고 및 권장 사항을 확인해야 합니다. 규정 준수 요구 사항을 충족하려면 Azure Policy Initiatives를 사용해야 합니다.

Microsoft Sentinel에 클라우드용 Defender 커넥트 사용하면 SOC(보안 운영 센터)가 클라우드 애플리케이션을 더 잘 보호할 수 있습니다. SOC는 여전히 표준 보안 워크플로 및 자동화 절차를 기본 수 있습니다. Defender에서 Sentinel로 커넥트 통해 기업 전체의 이벤트 상관 관계를 파악할 수 있습니다. 클라우드 및 온-프레미스를 모니터링할 수 있습니다. 온-프레미스 구성 요소를 모니터링하려면 (1) Azure Arc 를 사용하여 관리하거나 (2) API, Azure Monitor 에이전트 또는 Syslog 전달자를 통해 연결해야 합니다.

DevSecOps 파이프라인. Azure 에서 애플리케이션을 호스트하는 경우 DevSecOps 파이프라인은 인프라 리소스 및 애플리케이션 코드를 Azure에 배포합니다. 보조 테넌트 관리자는 코드 배포를 자동화하는 서비스 주체를 관리할 책임이 있습니다. Microsoft Entra 워크로드 ID 프리미엄은 서비스 주체를 보호하는 데 도움이 됩니다. 또한 Microsoft Entra 워크로드 ID 기존 액세스를 검토하고 서비스 주체 위험에 따라 추가 보호를 제공합니다.

ID 거버넌스

다중 테넌트 방어 조직은 기본 Microsoft Entra 테넌트의 애플리케이션에 대한 액세스를 제어하고 Azure 환경의 보조 테넌트에서 외부 게스트 ID를 관리해야 합니다.

기본 테넌트 ID 거버넌스

기본 테넌트에 애플리케이션을 등록하면 주 테넌트가 애플리케이션 액세스를 제어합니다. 기본 테넌트 관리 팀은 권한 관리를 구성하고 액세스 검토를 수행하여 기존 액세스를 감사합니다. 또한 기본 테넌트에서 외부 ID 및 권한 있는 ID 관리를 관리합니다.

권한 관리. Microsoft Entra ID 권한 관리는 할당 가능한 액세스 패키지에 권한을 묶어 Microsoft Entra 애플리케이션, 그룹, SharePoint 사이트 및 Teams에 대한 액세스를 제어하는 데 도움이 됩니다. 기본 테넌트 관리자는 애플리케이션 거버넌스에 사용되는 Microsoft Entra 개체를 관리합니다. 기본 테넌트에서 권한 관리와 관련된 활동에는 다음이 포함됩니다(그림 2 참조).

Diagram showing the process to set up entitlement management for application access.그림 2. 예를 들어 contoso.com 사용하여 애플리케이션 할당에 대한 권한 관리는 이름을 기본.

권한 관리 액세스 패키지를 사용하여 애플리케이션 거버넌스를 설정하고 이 프로세스를 따라야 합니다(그림 2 참조).

  1. 기본 테넌트 애플리케이션 관리자는 개발자와 협력하여 보조 테넌트에 배포된 웹앱에 대한 새 앱 등록을 만들어야 합니다.
  2. ID 거버넌스 관리자는 액세스 패키지를 만들어야 합니다. 관리자는 애플리케이션을 자격으로 추가하고 사용자가 패키지를 요청할 수 있도록 허용합니다. 관리자는 액세스 검토 전에 액세스의 최대 기간을 설정합니다. 필요에 따라 권한 관리 관리자는 다른 사용자가 액세스 패키지를 관리할 수 있는 권한을 위임할 수 있습니다.
  3. 사용자가 액세스 패키지를 요청합니다 . 승인자가 결정을 내리는 데 도움이 되는 근거와 함께 액세스 요청 기간을 포함해야 합니다. 관리자가 설정한 최대 기간까지 모든 기간을 요청할 수 있습니다.
  4. 액세스 패키지 승인자가 요청을 승인합니다.
  5. 패키지는 요청된 기간 동안 보조 테넌트에서 애플리케이션에 대한 사용자 액세스를 할당합니다.
  6. 사용자는 기본 테넌트 ID를 사용하여 로그인하여 보조 테넌트에 연결된 구독에서 호스트되는 애플리케이션에 액세스합니다.

외부 ID입니다. Microsoft Entra 외부 ID 조직 외부 사용자와 안전하게 상호 작용할 수 있습니다. 기본 테넌트 관리자는 기본 테넌트에 등록된 애플리케이션에 대한 몇 가지 구성 책임을 맡습니다. 파트너 조직에서 외부(B2B) 공동 작업 및 테넌트 간 액세스 정책을 구성해야 합니다. 또한 게스트 사용자 및 해당 액세스에 대한 수명 주기 워크플로를 구성해야 합니다. 기본 테넌트에서 외부 ID를 관리하는 데 관련된 작업은 다음과 같습니다.

Privileged Identity Management.Microsoft Entra PIM(Privileged Identity Management)을 사용하면 Microsoft Entra 역할, Azure 역할Microsoft Entra 보안 그룹을 적시에 관리할 수 있습니다. 기본 테넌트 관리자는 기본 테넌트에서 Microsoft Entra PIM을 구성하고 관리할 책임이 있습니다.

보조 테넌트 ID 거버넌스

기본 테넌트 ID를 사용하여 보조 테넌트 관리해야 합니다. 이 관리 모델은 관리자가 기본 확인해야 하는 별도의 계정 및 자격 증명 수를 줄입니다. 보조 테넌트에서 ID 거버넌스 기능을 구성하여 관리를 훨씬 더 간소화합니다. 셀프 서비스 모델을 사용하여 기본 테넌트에서 외부 사용자(B2B 게스트)를 온보딩할 수 있습니다.

보조 테넌트를 관리하는 팀은 보조 테넌트에서 여러 가지 책임을 맡습니다. 권한 관리를 구성합니다. 기존 액세스를 감사하기 위해 액세스 검토를 수행합니다. 외부 ID를 관리하고 권한 있는 ID 관리를 구성합니다.

권한 관리. Azure 관리에 대한 외부 사용자 거버넌스를 구성해야 합니다. 자격 관리를 사용하여 최종 사용자 시작 시나리오를 사용하여 Azure 리소스를 관리하려면 기본 테넌트에서 외부 ID(B2B 게스트)를 온보딩해야 합니다(그림 3 참조).

Diagram showing the process to set up an access package for Azure management in the secondary tenant.그림 3. 예를 들어 contoso.com 사용하여 외부(B2B) 게스트 액세스에 대한 권한 관리를 수행합니다기본.

권한 관리 액세스 패키지를 사용하여 외부(B2B) 게스트 액세스를 설정하고 이 프로세스를 따라야 합니다(그림 3 참조).

  1. 보조 테넌트에서 관리자는 기본 테넌트를 연결된 조직으로 추가하고 주 테넌트 사용자가 요청할 액세스 패키지를 만듭니다.
  2. 주 테넌트 사용자는 보조 테넌트에서 액세스 패키지를 요청합니다.
  3. 필요에 따라 승인자가 요청을 완료합니다.
  4. 보조 테넌트에서 사용자에 대한 외부 게스트 개체가 만들어집니다.
  5. 액세스 패키지에는 Azure 역할에 대한 자격 부여가 할당됩니다.
  6. 사용자는 외부 ID를 사용하여 Azure 리소스를 관리합니다.

자세한 내용은 권한 관리에서 외부 사용자에 대한 액세스 제어를 참조하세요.

외부 ID입니다. Microsoft Entra 외부 ID 주 테넌트에서 사용자가 보조 테넌트에서 리소스와 상호 작용할 수 있도록 합니다. 그림 3설명된 프로세스는 주 테넌트에서 외부 ID를 사용하여 보조 테넌트에 연결된 Azure 구독을 관리합니다. 보조 테넌트에서 외부 ID를 관리하는 데 관련된 작업은 다음과 같습니다.

Privileged Identity Management.Microsoft Entra PIM을 사용하면 Microsoft Entra 역할, Azure 역할권한 있는 보안 그룹에 대해 Just-In-Time 관리를 사용할 수 있습니다. 보조 테넌트 관리자는 보조 Microsoft Entra 테넌트 및 Azure 환경을 관리하는 데 사용되는 관리 역할에 대해 Microsoft Entra PIM을 구성하고 관리할 책임이 있습니다.

보안 운영

방어 조직의 보안 운영 팀은 온-프레미스, 하이브리드 및 다중 클라우드 환경에서 위협을 보호, 감지 및 대응해야 합니다. 사용자를 보호하고, 중요한 데이터를 제어하고, 사용자 디바이스 및 서버에서 위협을 조사해야 합니다. 또한 클라우드 및 온-프레미스 리소스의 안전하지 않은 구성을 수정해야 합니다. 다중 테넌트 방어 조직의 보안 운영자는 일반적으로 기본 테넌트에서 작동하지만 특정 작업을 위해 테넌트 간에 피벗할 수 있습니다.

기본 테넌트 보안 작업

기본 테넌트에서 보안 운영자는 기본 테넌트에서 Microsoft 365의 경고를 모니터링하고 관리해야 합니다. 이 작업에는 MDE(엔드포인트용 Microsoft Defender)와 같은 Microsoft Sentinel 및 Microsoft Defender XDR 서비스를 관리하는 작업이 포함됩니다.

Sentinel 및 Microsoft 365. 기본 테넌트에 연결된 구독에 Microsoft Sentinel 인스턴스를 배포합니다. 이 Sentinel 인스턴스에 대한 데이터 커넥터를 구성해야 합니다. 데이터 커넥터를 사용하면 Sentinel 인스턴스가 다양한 원본에서 보안 로그를 수집할 수 있습니다. 이러한 원본에는 Office 365, Microsoft Defender XDR, Microsoft Entra ID, Entra Identity Protection 및 주 테넌트에 있는 기타 워크로드가 포함됩니다. Microsoft 365에 대한 인시던트 및 경고를 모니터링하는 보안 운영자는 기본 테넌트만 사용해야 합니다. 기본 테넌트에서 Microsoft 365용 Sentinel을 관리하는 데 관련된 작업은 다음과 같습니다.

Microsoft Defender XDR. 기본 테넌트에서 Microsoft Defender XDR을 관리합니다. 기본 테넌트는 Microsoft 365 서비스를 사용하는 곳입니다. Microsoft Defender XDR을 사용하면 사용자, 디바이스 및 서비스 주체에 대한 경고를 모니터링하고 공격을 수정할 수 있습니다. 작업에는 Microsoft Defender XDR구성 요소 관리가 포함됩니다. 이러한 구성 요소에는 엔드포인트용 Defender, Defender for Identity, 클라우드용 Defender Apps, Office용 Defender가 포함됩니다.

MDE(엔드포인트용 Microsoft Defender) 응답(워크스테이션). 최종 사용자 워크스테이션을 기본 테넌트에 조인하고 Microsoft Intune을 사용하여 관리해야 합니다. 보안 운영자는 MDE를 사용하여 감지된 공격에 대응해야 합니다. 응답은 워크스테이션을 격리하거나 조사 패키지를 수집할 수 있습니다. 사용자 디바이스에 대한 엔드포인트용 Defender 응답 작업은 기본 테넌트 MDE 서비스에서 수행됩니다. 기본 테넌트에서 MDE 응답을 관리하는 데 관련된 활동에는 디바이스 그룹 및 역할 관리가 포함됩니다.

보조 테넌트 보안 작업

이 섹션에서는 보조 테넌트에서 구독에서 Azure 리소스를 모니터링하고 보호하는 방법을 설명합니다. 클라우드용 Defender, Microsoft Sentinel 및 MDE(엔드포인트용 Microsoft Defender)가 필요합니다. Azure Lighthouse외부 ID를 사용하여 기본 테넌트에서 보안 운영자에게 권한을 할당해야 합니다. 이 설정을 통해 보안 운영자는 하나의 계정 및 권한 있는 액세스 디바이스 를 사용하여 테넌트 전체에서 보안을 관리할 수 있습니다.

Sentinel(클라우드, 온-프레미스). 권한을 할당하고 보조 테넌트에 연결된 구독에 배포된 Azure 리소스에서 보안 신호를 수집하도록 Sentinel을 구성해야 합니다.

사용 권한을 할당합니다. 기본 테넌트에서 보안 운영자가 Microsoft Sentinel을 사용하려면 Azure Resource Manager 역할을 사용하여 권한을 할당해야 합니다. Azure Lighthouse를 사용하여 주 테넌트에서 사용자 및 보안 그룹에 이러한 역할을 할당할 수 있습니다. 이 구성을 사용하면 보안 운영자가 다른 테넌트에 있는 Sentinel 작업 영역에서 작동할 수 있습니다. Lighthouse가 없으면 보안 운영자는 보조 테넌트에서 Sentinel을 관리하기 위해 게스트 계정 또는 별도의 자격 증명이 필요합니다.

Sentinel을 구성합니다. 여러 원본에서 보안 로그를 수집하도록 보조 테넌트에서 Microsoft Sentinel을 구성해야 합니다. 이러한 원본에는 보조 테넌트, 온-프레미스 서버 및 보조 테넌트에서 소유하고 관리하는 네트워크 어플라이언스 Azure 리소스의 로그가 포함됩니다. 보조 테넌트에서 Sentinel 및 온-프레미스를 관리하는 데 관련된 작업은 다음과 같습니다.

  • Sentinel 역할 할당 및 기본 테넌트 보안 운영자에 대한 액세스 권한을 부여하도록 Azure Lighthouse 구성
  • Microsoft Sentinel에 Azure Resource Manager, 클라우드용 Defender 및 기타 사용 가능한 보조 테넌트 데이터 원본에 대한 데이터 커넥터 구성
  • 보조 테넌트 Azure 환경 내에서 통합 문서, Notebook, 분석 규칙SOAR(보안 오케스트레이션 및 응답) 빌드

클라우드용 Microsoft Defender. 클라우드용 Defender Azure, 온-프레미스 또는 기타 클라우드 공급자의 리소스에 대한 보안 권장 사항 및 경고를 표시합니다. 클라우드용 Defender 구성하고 관리하려면 권한을 할당해야 합니다.

사용 권한을 할당합니다. 기본 테넌트에서 보안 운영자에게 권한을 할당해야 합니다. Sentinel과 마찬가지로 클라우드용 Defender Azure 역할도 사용합니다. Azure Lighthouse를 사용하여 기본 테넌트 보안 운영자에게 Azure 역할을 할당할 수 있습니다. 이 구성을 사용하면 주 테넌트에서 보안 운영자가 디렉터리를 전환하거나 보조 테넌트에서 별도의 계정으로 로그인하지 않고도 클라우드용 Defender 권장 사항 및 경고를 볼 수 있습니다.

클라우드용 Defender를 구성할 수 있습니다. 클라우드용 Defender 사용하도록 설정하고 권장 사항 및 경고를 관리해야 합니다. 보조 테넌트에 연결된 구독의 리소스에 대해 향상된 워크로드 보호를 켭니다.

MDE(엔드포인트용 Microsoft Defender) 응답(서버)입니다.서버용 Defender는 MDE를 포함하는 서버에 대한 클라우드용 Defender 향상된 보호 기능입니다.

사용 권한을 할당합니다. 보조 테넌트에서 Defender for Server 계획을 사용하도록 설정하면 MDE 확장VM에 자동으로 배포됩니다. 이 MDE 확장은 보조 테넌트에 대한 MDE 서비스에 서버를 온보딩합니다.

MDE는 Microsoft Defender 포털권한 모델을 사용합니다. 기본 테넌트에서 보안 운영자에게 MDE에 대한 액세스 권한을 부여하려면 외부 ID(B2B 게스트)를 사용해야 합니다. MDE 역할을 Microsoft Entra 보안 그룹에 할당하고 게스트를 그룹 구성원으로 추가하여 서버에서 응답 작업을 수행할 수 있습니다.

MDE를 구성합니다. 보조 테넌트에 대한 엔드포인트용 Microsoft Defender 디바이스 그룹 및 역할을 구성하고 관리해야 합니다.

다음 단계

중앙 집중식 보안 작업