구독에 대한 MFA(다단계 인증) 적용 관리

사용자를 인증하는 데 암호만 사용하는 경우 공격 벡터를 열어 둡니다. 사용자는 종종 취약한 암호를 사용하거나 여러 서비스에 대해 다시 사용합니다. MFA를 사용하도록 설정하면 계정이 더 안전하게 유지되고 사용자는 SSO(Single Sign-On)를 사용하여 거의 모든 애플리케이션에서 인증을 받을 수 있습니다.

조직에서 소유하는 라이선스에 따라 Azure AD(Active Directory) 사용자에 대해 MFA를 사용하도록 설정하는 방법에는 여러 가지가 있습니다. 이 페이지에서는 클라우드용 Microsoft Defender의 컨텍스트에서 각각에 대한 세부 정보를 제공합니다.

MFA 및 클라우드용 Microsoft Defender

클라우드용 Defender는 MFA에 높은 값을 배치합니다. 보안 점수를 가장 많이 제공하는 보안 제어는 MFA를 사용하도록 설정하는 것입니다.

MFA 사용 제어의 권장 사항은 구독 사용자에 대해 권장되는 방법을 충족하고 있는지 확인합니다.

  • 구독에서 소유자 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다.
  • 구독에서 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다.

MFA를 사용하도록 설정하고 클라우드용 Defender의 두 가지 권장 사항을 준수하는 세 가지 방법인 보안 기본값, 사용자별 할당, CA(조건부 액세스) 정책이 있습니다. 이러한 각 옵션은 아래에 설명되어 있습니다.

무료 옵션 - 보안 기본값

무료 버전의 Azure AD를 사용하는 경우에는 보안 기본값을 사용하여 테넌트에서 다단계 인증을 사용하도록 설정합니다.

Microsoft 365 Business, E3 또는 E5 고객에 대한 MFA

Microsoft 365를 사용하는 고객은 사용자별 할당을 사용할 수 있습니다. 이 시나리오에서는 모든 로그인 이벤트에서 모든 사용자에 대해 Azure AD MFA를 사용하거나 사용하지 않도록 설정합니다. 사용자의 하위 집합 또는 특정 시나리오에서 다단계 인증을 사용하도록 설정할 수 있는 기능은 없으며, Office 365 포털을 통해 관리할 수 있습니다.

Azure AD Premium 고객에 대한 MFA

향상된 사용자 환경을 위해 CA(조건부 액세스) 정책 옵션에 대해 Azure AD Premium P1 또는 P2로 업그레이드합니다. CA 정책을 구성하려면 Azure AD(Active Directory) 테넌트 권한이 필요합니다.

CA 정책은 다음을 수행해야 합니다.

  • MFA 적용
  • Microsoft Azure 관리 앱 ID(797f4846-ba00-4fd7-ba43-dac1f8f63013) 또는 모든 앱 포함
  • Microsoft Azure 관리 앱 ID를 제외하지 않음

Azure AD Premium P1 고객은 Azure AD CA를 사용하여 비즈니스 요구 사항에 맞게 특정 시나리오 또는 이벤트 중에 사용자에게 다단계 인증을 사용할지 묻는 메시지를 표시할 수 있습니다. 이 기능을 포함하는 다른 라이선스: Enterprise Mobility + Security E3, Microsoft 365 F1, Microsoft 365 E3.

Azure AD Premium P2는 가장 강력한 보안 기능과 향상된 사용자 환경을 제공합니다. 이 라이선스는 Azure AD Premium P1 기능에 위험 기반 조건부 액세스를 추가합니다. 위험 기반 CA는 사용자의 패턴에 적응하고 다단계 인증 프롬프트를 최소화합니다. 이 기능을 포함하는 다른 라이선스: Enterprise Mobility + Security E5 또는 Microsoft 365 E5

Azure 조건부 액세스 설명서에서 자세히 알아보세요.

MFA(다단계 인증)를 사용하지 않는 계정 식별

클라우드용 Defender 권장 사항 세부 정보 페이지 또는 Azure Resource Graph를 사용하여 MFA를 사용하지 않고 사용자 계정 목록을 볼 수 있습니다.

Azure Portal에서 MFA를 사용하지 않는 계정 보기

권장 사항 세부 정보 페이지의 비정상 리소스 목록에서 구독을 선택하거나 작업 수행을 선택하면 목록이 표시됩니다.

Azure Resource Graph를 사용하여 MFA를 사용하지 않는 계정 보기

MFA를 사용하지 않는 계정을 확인하려면 다음 Azure Resource Graph 쿼리를 사용합니다. 이 쿼리는 "구독에서 소유자 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다."라는 권장 사항의 모든 비정상 리소스 - 계정을 반환합니다.

  1. Azure Resource Graph Explorer를 엽니다.

    Azure Resource Graph Explorer 시작** 권장 사항 페이지

  2. 다음 쿼리를 입력하고 쿼리 실행을 선택합니다.

    securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "MFA should be enabled on accounts with owner permissions on subscriptions"
     | where properties.status.code == "Unhealthy"
    
  3. additionalData 속성은 MFA가 적용되지 않은 계정에 대한 계정 개체 ID의 목록을 표시합니다.

    참고

    계정은 계정 소유자의 개인 정보를 보호하기 위해 계정 이름이 아닌 개체 ID로 표시됩니다.

또는 클라우드용 Defender의 REST API 메서드 Assessments - Get을 사용할 수 있습니다.

FAQ - 클라우드용 Defender의 MFA

이미 CA 정책을 사용하여 MFA를 적용하고 있습니다. 클라우드용 Defender 권장 사항이 계속 표시되는 이유는 무엇인가요?

권장 사항이 여전히 생성되는 이유를 조사하려면 MFA CA 정책에서 다음 구성 옵션을 확인합니다.

  • MFA CA 정책의 사용자 섹션(또는 그룹 섹션의 그룹 중 하나)에 계정을 포함했습니다.
  • Azure 관리 앱 ID(797f4846-ba00-4fd7-ba43-dac1f8f63013) 또는 모든 앱이 MFA CA 정책의 섹션에 포함되어 있습니다.
  • Azure 관리 앱 ID는 MFA CA 정책의 섹션에서 제외되어 있지 않습니다.

타사 MFA 도구를 사용하여 MFA를 적용하고 있습니다. 클라우드용 Defender 권장 사항이 계속 표시되는 이유는 무엇인가요?

클라우드용 Defender의 MFA 권장 사항은 타사 MFA 도구(예: DUO)를 지원하지 않습니다.

권장 사항이 조직과 관련이 없는 경우에는 보안 점수에서 리소스 및 권장 사항 제외에 설명된 대로 "완화됨"으로 표시하는 것이 좋습니다. 권장 사항을 사용하지 않도록 설정할 수도 있습니다.

클라우드용 Defender에서 “MFA 필요”로 구독에 대한 사용 권한이 없는 사용자 계정을 표시하는 이유는 무엇인가요?

클라우드용 Defender의 MFA 권장 사항은 Azure RBAC 역할 및 Azure 클래식 구독 관리자 역할을 참조합니다. 이러한 역할이 있는 계정이 없는지 확인합니다.

PIM을 사용하여 MFA를 적용하고 있습니다. PIM 계정이 비규격으로 표시되는 이유는 무엇인가요?

클라우드용 Defender의 MFA 권장 사항은 현재 PIM 계정을 지원하지 않습니다. 이러한 계정을 사용자 및 그룹 섹션의 CA 정책에 추가할 수 있습니다.

일부 계정을 면제 또는 해제할 수 있나요?

MFA를 사용하지 않는 일부 계정을 제외하는 기능은 미리 보기의 새 권장 사항에서 사용할 수 있습니다.

  • Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다.
  • Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다.
  • Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다.

계정을 제외하려면 다음 단계를 수행합니다.

  1. 비정상 계정과 연결된 MFA 권장 사항을 선택합니다.
  2. 계정 탭에서 제외할 계정을 선택합니다.
  3. 세 개의 점 단추를 선택한 다음, 제외 계정을 선택합니다.
  4. 범위 및 예외 이유를 선택합니다.

제외되는 계정을 확인하려면 각 권장 사항에 대해 제외된 계정으로 이동합니다.

계정을 제외하면 계정이 비정상으로 표시되지 않으며 구독이 비정상으로 표시되지 않습니다.

클라우드용 Defender의 ID 및 액세스 보호에 대한 제한 사항이 있나요?

클라우드용 Defender의 ID 및 액세스 보호에 대한 일부 제한 사항이 있습니다.

  • 계정이 6,000개가 넘는 구독에는 ID 권장 사항을 사용할 수 없습니다. 이러한 경우 관련 유형의 구독은 해당 없음 탭에 나열됩니다.
  • CSP(클라우드 솔루션 공급자) 파트너의 관리 에이전트에는 ID 권장 사항을 사용할 수 없습니다.
  • ID 권장 사항은 PIM(Privileged Identity Management) 시스템을 사용하여 관리되는 계정을 식별하지 않습니다. PIM 도구를 사용하는 경우 액세스 및 권한 관리 제어에서 부정확한 결과가 표시될 수 있습니다.

다음 단계

다른 Azure 리소스 유형에 적용되는 권장 사항에 대해 자세히 알아보려면 다음 문서를 참조하세요.