온-프레미스 관리 콘솔에서 사용자 만들기 및 관리(레거시)
Important
이제 Defender for IoT는 중앙 모니터링 및 센서 관리를 위해 Microsoft 클라우드 서비스 또는 기존 IT 인프라를 사용할 것을 권장하며 2025년 1월 1일에 온-프레미스 관리 콘솔을 사용 중지할 계획입니다.
자세한 내용은 하이브리드 또는 에어 갭 OT 센서 관리 배포를 참조하세요.
Microsoft Defender for IoT는 OT 네트워크 센서 및 온-프레미스 관리 콘솔에서 온-프레미스 사용자 액세스를 관리하기 위한 도구를 제공합니다. Azure 사용자는 Azure RBAC를 사용하여 Azure 구독 수준에서 관리됩니다.
이 문서에서는 온-프레미스 관리 콘솔에서 직접 온-프레미스 사용자를 관리하는 방법을 설명합니다.
기본 권한이 있는 사용자
기본적으로 각 온-프레미스 관리 콘솔은 문제 해결 및 설정을 위한 고급 도구에 액세스할 수 있는 권한 있는 지원 및 cyberx 사용자와 함께 설치됩니다.
온-프레미스 관리 콘솔을 처음 설정하는 경우 이러한 권한이 있는 사용자 중 하나로 로그인하고 관리자 역할이 있는 초기 사용자를 만든 다음, 보안 분석이 및 읽기 전용 사용자를 위한 추가 사용자를 만듭니다.
자세한 내용은 온-프레미스 관리 콘솔에 OT 모니터링 소프트웨어 설치 및 권한이 있는 기본 온-프레미스 사용자를 참조하세요.
새로운 온-프레미스 관리 콘솔 사용자 추가
이 절차에서는 온-프레미스 관리 콘솔에 대한 새 사용자를 만드는 방법을 설명합니다.
필수 조건: 이 절차는 지원 및 cyberx 사용자와 관리자 역할이 있는 모든 사용자가 사용할 수 있습니다.
사용자를 추가하려면 다음을 수행합니다.
온-프레미스 관리 콘솔에 로그인하고 사용자>+ 사용자 추가를 선택합니다.
사용자 만들기를 선택한 후, 다음 값을 정의합니다.
이름 설명 사용자 이름 사용자 이름을 입력합니다. 전자 메일 사용자의 전자 메일 주소를 입력합니다. 이름 사용자의 이름을 입력합니다. 성 사용자의 성을 입력합니다. 역할 사용자 역할을 선택합니다. 자세한 내용은 온-프레미스 사용자 역할을 참조하세요. 원격 사이트 액세스 그룹 온-프레미스 관리 콘솔에만 사용할 수 있습니다.
사용자를 모든 전역 액세스 그룹에 할당하려면 모두를 선택하고 특정 그룹에만 할당하려면 특정을 선택한 다음, 드롭다운 목록에서 그룹을 선택합니다.
자세한 내용은 온-프레미스 사용자에 대한 전역 액세스 권한 정의를 참조하세요.암호 사용자 유형을 로컬 또는 Active Directory 사용자 중에서 선택합니다.
로컬 사용자의 경우 해당 사용자의 암호를 입력합니다. 암호 요구 사항은 다음과 같습니다.
- 최소 8자 이상
- 영문 소문자, 대문자 모두 가능
- 하나 이상의 숫자
- 하나 이상의 기호팁
Active Directory와 통합하면 사용자 그룹을 특정 권한 수준과 연결할 수 있습니다. Active Directory를 사용하여 사용자를 만들려면 먼저 온-프레미스 관리 콘솔에서 Active Directory를 구성한 후 이 절차를 진행합니다.
완료되면 저장을 선택합니다.
새 사용자가 추가되고 센서 사용자 페이지에 나열됩니다.
사용자를 편집하려면 편집하려는 사용자에 대한 편집
단추를 선택하고 필요에 따라 값을 변경합니다.
사용자를 삭제하려면 삭제하려는 사용자에 대해 삭제
단추를 선택합니다.
사용자 암호 변경
이 절차에서는 관리 사용자가 로컬 사용자 암호를 변경할 수 있는 방법을 설명합니다. 관리 사용자는 자신이나 다른 보안 분석가 또는 읽기 전용 사용자의 암호를 변경할 수 있습니다. 권한이 있는 사용자는 자신의 암호를 변경할 수 있고, 관리 사용자의 암호도 변경할 수 있습니다.
팁
권한이 있는 사용자 계정에 대한 액세스 권한을 복구해야 하는 경우 온-프레미스 관리 콘솔에 대한 권한 있는 액세스 복구를 참조하세요.
필수 조건: 이 절차는 지원 또는 cyberx 사용자 또는 관리자 역할을 가진 사용자에게만 제공됩니다.
온-프레미스 관리 콘솔에서 사용자의 암호를 다시 설정하려면:
온-프레미스 관리 콘솔에 로그인하고 사용자를 선택합니다.
사용자 페이지에서 암호를 변경해야 하는 사용자를 찾습니다.
해당 사용자 행 오른쪽에서 편집
단추를 선택합니다.표시되는 사용자 편집 창에서 암호 변경 섹션까지 아래로 스크롤합니다. 새 암호를 입력하고 확인합니다.
암호는 16자 이상이어야 하며 소문자 및 대문자 알파벳 문자, 숫자 및 #%*+,-./:=?@[]^_{}~ 기호 중 하나를 포함해야 합니다.
완료되면 업데이트를 선택합니다.
온-프레미스 관리 콘솔에 대한 권한 있는 액세스 복구
이 절차에서는 온-프레미스 관리 콘솔에서 지원 또는 cyberx 사용자 암호를 복구하는 방법을 설명합니다. 자세한 내용은 기본 권한 있는 온-프레미스 사용자를 참조하세요.
필수 조건: 이 절차는 지원 및 cyberx 사용자만 사용할 수 있습니다.
온-프레미스 관리 콘솔에 대한 권한 있는 액세스를 복구하려면 다음을 수행합니다.
온-프레미스 관리 콘솔에 로그인을 시작합니다. 로그인 화면의 사용자 이름 및 암호 필드에서 암호 복구를 선택합니다.
암호 복구 대화 상자의 드롭다운 메뉴에서 CyberX 또는 지원을 선택하고 클립보드에 표시되는 고유 식별자 코드를 복사합니다.
Azure Portal에서 Defender for IoT 사이트 및 센서 페이지로 이동합니다. 온-프레미스 관리 콘솔을 열어둔 상태에서 새 브라우저 탭이나 창에서 Azure Portal을 열 수 있습니다.
Azure Portal 설정 >디렉터리 + 구독에서 센서가 Defender for IoT에 온보딩된 구독을 선택했는지 확인합니다.
사이트 및 센서 페이지에서 추가 작업 드롭다운 메뉴 >온-프레미스 관리 콘솔 암호 복구를 선택합니다.
복구 대화 상자가 열리면 온-프레미스 관리 콘솔에서 클립보드에 복사한 고유 식별자를 입력하고 복구를 선택합니다. password_recovery.zip 파일이 자동으로 다운로드됩니다.
Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.
온-프레미스 관리 콘솔 탭으로 돌아가서 암호 복구 대화 상자에서 업로드를 선택합니다. Azure Portal에서 다운로드한 password_recovery.zip 파일 업로드를 찾습니다.
참고 항목
파일이 잘못되었음을 나타내는 오류 메시지가 나타나면 Azure Portal 설정에서 잘못된 구독을 선택했을 수 있습니다.
Azure로 돌아가서 위쪽 도구 모음에서 설정 아이콘을 선택합니다. 디렉터리 + 구독 페이지에서 센서가 Defender for IoT에 온보딩된 구독을 선택했는지 확인합니다. 그런 다음, Azure에서 단계를 반복하여 password_recovery.zip 파일을 다운로드하고 온-프레미스 관리 콘솔에 다시 업로드합니다.
다음을 선택합니다. 선택한 사용자에 대해 사용할 온-프레미스 관리 콘솔의 시스템 생성 암호가 나타납니다. 암호는 다시 표시되지 않으므로 꼭 적어두세요.
온-프레미스 관리 콘솔에 로그인하려면 다시 다음을 선택합니다.
사용자를 Active Directory와 통합
온-프레미스 관리 콘솔과 Active Directory 간의 통합을 구성하여 다음을 수행합니다.
- Active Directory 사용자가 온-프레미스 관리 콘솔에 로그인하도록 허용
- 그룹의 모든 사용자에게 집합적 권한이 할당된 Active Directory 그룹을 사용합니다.
예를 들어 많은 사용자에게 읽기 전용 액세스 권한을 할당하려고 하고 그룹 수준에서 해당 권한을 관리하려는 경우 Active Directory를 사용합니다.
자세한 내용은 센서 및 온-프레미스 관리 콘솔에 대한 Microsoft Entra ID 지원을 참조하세요.
필수 조건: 이 절차는 지원 및 cyberx 사용자 또는 관리자 역할이 있는 모든 사용자만 사용할 수 있습니다.
Active Directory와 통합하려면 다음을 수행합니다.
온-프레미스 관리 콘솔에 로그인하고 시스템 설정을 선택합니다.
오른쪽의 관리 콘솔 통합 영역까지 아래로 스크롤한 다음, Active Directory를 선택합니다.
Active Directory 통합 사용 옵션을 선택하고 Active Directory 서버에 대해 다음 값을 입력합니다.
필드 설명 도메인 컨트롤러 FQDN LDAP 서버에 표시되는 것과 동일한 FQDN(정규화된 도메인 이름)입니다. 예를 들어 host1.subdomain.contoso.com을 입력합니다.
FQDN을 사용한 통합에 문제가 발생하면 DNS 구성을 확인합니다. 통합을 설정할 때 FQDN 대신 LDAP 서버의 명시적 IP를 입력할 수도 있습니다.도메인 컨트롤러 포트 LDAP가 구성된 포트입니다. 기본 도메인 subdomain.contoso.com과 같은 도메인 이름을 선택한 다음 LDAP 구성에 대한 연결 형식을 선택합니다.
지원되는 연결 형식은 다음과 같습니다. LDAPS/NTLMv3(권장), LDAP/NTLMv3 또는 LDAP/SASL-MD5Active Directory 그룹 필요에 따라 나열된 각 권한 수준에 Active Directory 그룹을 추가하려면 + 추가를 선택합니다.
그룹 이름을 입력할 때 LDAP 서버의 Active Directory 구성에 정의된 그룹 이름을 입력했는지 확인합니다. 그런 다음, Active Directory에서 새 센서 사용자를 만들 때 이러한 그룹을 사용해야 합니다.
지원되는 권한 수준에는 읽기 전용, 보안 분석가, 관리자 및 신뢰할 수 있는 도메인이 포함됩니다.
그룹을 다른 Active Directory 그룹과 별도의 행에 신뢰할 수 있는 엔드포인트로 추가합니다. 트러스트된 도메인을 추가하려면 트러스트된 도메인의 도메인 이름 및 연결 형식을 추가합니다. 사용자 아래에 정의된 사용자에 대해서만 신뢰할 수 있는 엔드포인트를 구성할 수 있습니다.+ 서버 추가를 선택하여 다른 서버를 추가하고 필요에 따라 해당 값을 입력한 후 완료되면 저장합니다.
Important
LDAP 매개 변수를 입력하는 경우:
- 대/소문자를 제외하고 Active Directory에 표시되는 것과 정확히 일치하는 값을 정의합니다.
- Active Directory의 구성에서 대문자를 사용하는 경우에도 소문자만 사용자입니다.
- 동일한 도메인에 대해 LDAP와 LDAPS를 구성할 수 없습니다. 그러나 서로 다른 도메인에서 각각을 구성한 다음 동시에 사용할 수 있습니다.
예시:
온-프레미스 관리 콘솔 사용자에 대한 액세스 그룹 규칙을 만듭니다.
온-프레미스 관리 콘솔 사용자를 위해 Active Directory 그룹을 구성하는 경우 각 Active Directory 그룹에 대한 액세스 그룹 규칙도 만들어야 합니다. 해당 액세스 그룹 규칙이 없으면 온-프레미스 관리 콘솔 사용자에 대해 Active Directory 자격 증명이 작동하지 않습니다.
자세한 내용은 온-프레미스 사용자에 대한 전역 액세스 권한 정의를 참조하세요.
온-프레미스 사용자에 대한 전역 액세스 권한 정의
대규모 조직에는 전역 조직 구조를 기반으로 하는 복잡한 사용자 권한 모델이 있는 경우가 많습니다. 온-프레미스 Defender for IoT 사용자를 관리하려면 사업부, 지역 및 사이트를 기반으로 하는 글로벌 비즈니스 토폴로지를 사용한 다음, 해당 엔터티에 대한 사용자 액세스 권한을 정의하는 것이 좋습니다.
사용자 액세스 그룹을 만들어 Defender for IoT 온-프레미스 리소스에서 전역 액세스 제어를 설정합니다. 각 액세스 그룹에는 사업부, 지역 및 사이트를 포함하여 비즈니스 토폴로지의 특정 엔터티에 액세스할 수 있는 사용자에 대한 규칙이 포함됩니다.
자세한 내용은 온-프레미스 전역 액세스 그룹을 참조하세요.
필수 구성 요소:
이 절차는 지원 및 cyberx 사용자와 관리자 역할이 있는 모든 사용자가 사용할 수 있습니다.
액세스 그룹을 만들기 전에 다음을 수행하는 것이 좋습니다.
만드는 액세스 그룹에 어떤 사용자를 연결할지 계획합니다. 사용자를 액세스 그룹에 할당하는 데 사용할 수 있는 두 가지 옵션은 다음과 같습니다.
Active Directory 그룹에 대한 그룹 할당: 온-프레미스 관리 콘솔과 통합되도록 Active Directory 인스턴스를 설정했는지 확인하세요.
로컬 사용자 할당: 로컬 사용자를 만들었는지 확인합니다.
관리자 역할이 있는 사용자는 기본적으로 모든 비즈니스 토폴로지 항목에 액세스할 수 있으며 액세스 그룹에 할당될 수 없습니다.
비즈니스 토폴로지를 신중하게 설정합니다. 규칙을 성공적으로 적용시키려면 사이트 관리 창에서 영역에 센서를 할당해야 합니다. 자세한 내용은 온-프레미스 관리 콘솔에서 OT 사이트 및 영역 만들기를 참조하세요.
액세스 그룹을 만들려면 다음을 수행합니다.
관리자 역할이 있는 사용자로 온-프레미스 관리 콘솔에 로그인합니다.
왼쪽 탐색 메뉴에서 액세스 그룹을 선택한 다음, 추가
를 선택합니다.액세스 그룹 추가 대화 상자에서 액세스 그룹에 대한 의미 있는 이름을 입력합니다(최대 64자).
규칙 추가를 선택한 다음, 액세스 그룹에 포함할 비즈니스 토폴로지 옵션을 선택합니다. 규칙 추가 대화 상자에 표시되는 옵션은 엔터프라이즈 보기 및 사이트 관리 페이지에서 만든 항목입니다. 예시:
아직 존재하지 않는 경우 만드는 첫 번째 그룹에 대해 기본 글로벌 사업부 및 지역이 만들어집니다. 사업부 또는 지역을 선택하지 않으면 액세스 그룹의 사용자는 모든 비즈니스 토폴로지 엔터티에 액세스할 수 있습니다.
각 규칙에는 형식당 하나의 요소만 포함될 수 있습니다. 예를 들어 각 규칙에 대해 하나의 비즈니스 단위, 하나의 지역, 하나의 사이트를 할당할 수 있습니다. 동일한 사용자가 서로 다른 지역의 여러 사업부에 액세스할 수 있도록 하려면 그룹에 대해 더 많은 규칙을 만듭니다. 액세스 그룹에 여러 규칙이 포함된 경우 규칙 논리는 AND 논리를 사용하여 모든 규칙을 집계합니다.
만든 모든 규칙은 액세스 그룹 추가 대화 상자에 나열되며, 여기서 추가로 편집하거나 필요에 따라 삭제할 수 있습니다. 예시:
다음 방법 중 하나 또는 둘 다를 사용하여 사용자를 추가합니다.
Active Directory 그룹 할당 옵션이 나타나면 필요에 따라 Active Directory 사용자 그룹을 이 액세스 그룹에 할당합니다. 예시:
옵션이 표시되지 않고 액세스 그룹에 Active Directory 그룹을 포함시키려는 경우 Active Directory 통합에 Active Directory 그룹을 포함했는지 확인합니다. 자세한 내용은 Active Directory와 온-프레미스 사용자 통합을 참조하세요.
사용자 페이지에서 기존 사용자를 편집하여 그룹에 로컬 사용자를 추가합니다. 사용자 페이지에서 그룹에 할당할 사용자에 대한 편집 단추를 선택한 다음, 선택한 사용자에 대한 원격 사이트 액세스 그룹 값을 업데이트합니다. 자세한 내용은 새 온-프레미스 관리 콘솔 사용자 추가를 참조하세요.
토폴로지 엔터티 변경
나중에 토폴로지 엔터티를 수정하고 변경 내용이 규칙 논리에 영향을 미치는 경우 규칙이 자동으로 삭제됩니다.
토폴로지 엔터티 수정 사항이 규칙 논리에 영향을 주어 모든 규칙이 삭제되는 경우 액세스 그룹은 유지되지만 사용자는 온-프레미스 관리 콘솔에 로그인할 수 없습니다. 대신, 로그인에 대한 도움을 받으려면 온-프레미스 관리 콘솔 관리자에게 문의하라는 알림이 사용자에게 표시됩니다. 해당 사용자가 더 이상 레거시 액세스 그룹에 속하지 않도록 해당 사용자에 대한 설정을 업데이트합니다.
사용자 세션 시간 제한 제어
기본적으로 온-프레미스 사용자는 30분 동안 작업이 없으면 세션에서 로그아웃됩니다. 관리 사용자는 로컬 CLI를 사용하여 이 기능을 켜거나 끄거나 비활성 임계값을 조정할 수 있습니다. 자세한 내용은 IoT용 Defender CLI 명령 사용을 참조하세요.
참고 항목
사용자 세션 시간 제한에 대한 모든 변경 내용은 OT 모니터링 소프트웨어를 업데이트하면 기본값으로 다시 설정됩니다.
필수 조건: 이 절차는 지원 및 cyberx 사용자만 사용할 수 있습니다.
센서 사용자 세션 시간 제한을 제어하려면 다음을 수행합니다.
터미널을 통해 센서에 로그인하고 다음을 실행합니다.
sudo nano /var/cyberx/properties/authentication.properties다음과 같은 출력이 표시됩니다.
infinity_session_expiration = true session_expiration_default_seconds = 0 # half an hour in seconds session_expiration_admin_seconds = 1800 session_expiration_security_analyst_seconds = 1800 session_expiration_read_only_users_seconds = 1800 certifcate_validation = true CRL_timeout_secounds = 3 CRL_retries = 1다음 중 하나를 수행합니다.
사용자 세션 시간 제한을 완전히 끄려면
infinity_session_expiration = true를infinity_session_expiration = false로 변경합니다. 다시 변경하여 다시 켭니다.비활성 시간 제한 기간을 조정하려면 다음 값 중 하나를 필요한 시간(초)으로 조정합니다.
- 모든 사용자에 대한
session_expiration_default_seconds session_expiration_admin_seconds: 관리자 사용자 전용session_expiration_security_analyst_seconds: 보안 분석가 사용자 전용session_expiration_read_only_users_seconds: 읽기 전용 사용자 전용
- 모든 사용자에 대한
다음 단계
자세한 내용은 다음을 참조하세요.