다음을 통해 공유


Microsoft Entra ID를 사용하여 조직 ID 보호

특히 신속하게 대응하고 많은 서비스에 액세스를 신속하게 제공해야 하는 경우, 오늘날 전 세계에서 작업자를 보호하는 것이 어려울 수 있습니다. 이 문서는 수행할 작업의 간결한 목록을 제공하여 사용자가 소유한 라이선스 유형에 따라 기능을 식별하고 우선 순위를 지정하는 데 도움이 됩니다.

Microsoft Entra ID는 다양한 기능을 제공하고 ID에 다양한 보안 레이어를 제공하며, 관련된 기능을 탐색하는 경우도 있습니다. 이 문서는 조직이 보안 ID를 주요 고려 사항으로 사용하여 서비스를 신속하게 배포할 수 있도록 돕기 위한 것입니다.

각 테이블은 사용자 마찰을 최소화하면서 일반적인 보안 공격으로부터 ID를 보호하기 위한 보안 권장 사항을 제공합니다.

이 지침은 다음을 지원합니다.

  • 안전하고 보호되는 방식으로 SaaS(Software as a Service) 및 온-프레미스 애플리케이션에 대한 액세스를 구성합니다.
  • 클라우드 및 하이브리드 ID 모두
  • 원격 또는 사무실에서 작업하는 사용자

필수 조건

이 가이드에서는 클라우드 전용 또는 하이브리드 ID가 이미 Microsoft Entra ID에 설정되어 있다고 가정합니다. ID 유형 선택에 대한 문서는 Microsoft Entra 하이브리드 ID 솔루션에 적합한 인증(AuthN) 방법 선택 문서를 참조하세요.

Microsoft에서는 조직에 전역 관리자 역할이 영구적으로 할당된 두 개의 클라우드 전용 긴급 액세스 계정을 보유하는 것이 좋습니다. 이러한 계정은 높은 권한을 부여받으며 특정 개인에게 할당되지 않습니다. 계정은 일반 계정을 사용할 수 없거나 다른 모든 관리자가 실수로 잠긴 긴급 또는 "중단" 시나리오로 제한됩니다. 이러한 계정은 긴급 액세스 계정 권장 사항에 따라 만들어져야 합니다.

단계별 연습

이 문서의 다양한 권장 사항에 대한 단계별 안내는 Microsoft 365 관리 센터에 로그인할 때 Microsoft Entra ID 설정 가이드를 참조하세요. 로그인하고 자동 설정 기능을 활성화하지 않고 모범 사례를 검토하려면 Microsoft 365 설정 포털로 이동합니다.

Microsoft Entra ID Free, Office 365 또는 Microsoft 365 고객에 대한 참고 자료

Microsoft Entra ID Free, Office 365 또는 Microsoft 365 앱 고객이 사용자 ID를 보호하기 위해 취해야 할 권장 사항이 많이 있습니다. 다음 표에서는 다음 라이선스 구독에 대한 주요 작업을 강조 표시합니다.

  • Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
  • Microsoft 365(비즈니스 기본, 비즈니스용 앱, 비즈니스 표준, 비즈니스 프리미엄, A1)
  • Microsoft Entra ID Free(Azure, Dynamics 365, Intune 및 Power Platform에 포함)
권장 작업 세부 정보
보안 기본값 사용 다단계 인증을 사용하도록 설정하고 레거시 인증을 차단하여 모든 사용자 ID와 애플리케이션을 보호합니다.
암호 해시 동기화 사용(하이브리드 ID를 사용하는 경우) 인증에 중복성을 제공하고, 보안(스마트 잠금, IP 잠금 및 유출된 자격 증명을 검색하는 기능 포함)을 개선합니다.
AD FS 스마트 잠금 사용하도록 설정(해당되는 경우) 악의적인 활동으로부터 엑스트라넷 계정 잠금이 발생하지 않도록 사용자를 보호합니다.
Microsoft Entra 스마트 잠금 사용(관리 ID를 사용하는 경우) 스마트 잠금은 사용자의 암호를 추측하려거나 무차별 암호 대입 공격을 사용하여 침입하려는 불량 작업자를 차단하도록 도와줍니다.
애플리케이션에 대한 최종 사용자 동의 사용 안함 관리자 동의 워크플로는 관리자에게 관리자 승인이 필요한 애플리케이션에 대한 액세스 권한을 부여하는 안전한 방법을 제공합니다. 그래서 최종 사용자가 회사 데이터를 노출하지 않도록 할 수 있습니다. 노출 영역을 줄이고 위험을 완화하는 데 도움이 되도록 향후 모든 사용자 동의 작업을 사용하지 않도록 설정는 것이 좋습니다.
갤러리에서 지원되는 SaaS 애플리케이션을 Microsoft Entra ID에 통합하고, SSO(Single Sign-On)를 사용하도록 설정 Microsoft Entra ID에는 수천 개의 사전 통합 애플리케이션이 들어 있는 갤러리가 있습니다. 조직에서 사용하는 애플리케이션 중 일부는 Azure Portal에서 직접 액세스할 수 있는 갤러리에 있을 것입니다. 개선된 사용자 환경(SSO(Single Sign-On))을 통해 기업 SaaS 애플리케이션에 대한 원격 및 보안 액세스를 제공합니다.
SaaS 애플리케이션에서 자동화된 사용자 프로비저닝 및 프로비저닝 해제(해당하는 경우) 자동으로 사용자가 액세스해야 하는 클라우드(SaaS) 애플리케이션에서 사용자 ID와 역할을 만듭니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함되어, 조직의 보안을 강화합니다.
보안 하이브리드 액세스 사용: 기존 앱 배달 컨트롤러 및 네트워크를 사용하여 레거시 앱 보호(해당하는 경우) 기존 애플리케이션 배달 컨트롤러나 네트워크를 사용하여 온-프레미스 및 클라우드 레거시 인증 애플리케이션을 Microsoft Entra ID에 연결하여 게시 및 보호할 수 있습니다.
셀프 서비스 암호 재설정 사용(클라우드 전용 계정에 적용) 사용자가 디바이스 또는 애플리케이션에 로그인할 수 없는 경우 이 기능을 통해 지원 센터 호출 및 생산성 저하를 줄일 수 있습니다.
가능한 경우 최소 권한의 역할 사용 관리자에게 액세스해야 하는 영역에 대해 필요한 액세스 권한만 제공합니다.
Microsoft의 암호 지침 사용 사용자에게 설정된 일정에 따라 자신의 암호를 변경하도록 더 이상 요구하지 않고, 복잡성 요구를 사용하지 않도록 설정합니다. 그러면 사용자는 암호를 기억하고 안전하게 유지하려고 노력합니다.

Microsoft Entra ID P1 고객에 대한 참고 자료

다음 표에서는 다음 라이선스 구독에 대한 주요 작업을 강조 표시합니다.

  • Microsoft Entra ID P1
  • Microsoft Enterprise Mobility + Security E3
  • Microsoft 365(E3, A3, F1, F3)
권장 작업 세부 정보
사용자 등록 환경을 간소화하기 위해 Microsoft Entra MFA 및 SSPR에 대해 결합된 등록 환경 사용 사용자가 Microsoft Entra MFA 및 셀프 서비스 암호 재설정을 위해 하나의 공통된 환경에서 등록할 수 있도록 합니다.
조직에 대한 다단계 인증 설정 구성 MFA를 사용하여 계정이 손상되지 않도록 보호합니다.
셀프 서비스 암호 재설정 사용 사용자가 디바이스 또는 애플리케이션에 로그인할 수 없는 경우 이 기능을 통해 지원 센터 호출 및 생산성 저하를 줄일 수 있습니다.
비밀번호 쓰기 저장 구현(하이브리드 ID를 사용하는 경우) 클라우드에서 암호 변경 내용을 온-프레미스 Windows Server Active Directory 환경에 다시 쓸 수 있도록 합니다.
조건부 액세스 정책 만들기 및 사용 관리자가 관리 권한이 할당된 계정을 보호하기 위한 다단계 인증.

레거시 인증 프로토콜과 관련된 위험이 증가하여 레거시 인증 프로토콜을 차단합니다.

모든 사용자 및 애플리케이션에 대한 다단계 인증을 통해 환경에 균형 잡힌 다단계 인증 정책을 만들어 사용자와 애플리케이션을 보호합니다.

Azure 리소스에 액세스하는 모든 사용자에게 다단계 인증을 요구하여 권한 있는 리소스를 보호하려면 Azure 관리에 다단계 인증을 요구합니다.
암호 해시 동기화 사용(하이브리드 ID를 사용하는 경우) 인증에 중복성을 제공하고, 보안(스마트 잠금, IP 잠금 및 유출된 자격 증명을 검색하는 기능 포함)을 개선합니다.
AD FS 스마트 잠금 사용하도록 설정(해당되는 경우) 악의적인 활동으로부터 엑스트라넷 계정 잠금이 발생하지 않도록 사용자를 보호합니다.
Microsoft Entra 스마트 잠금 사용(관리 ID를 사용하는 경우) 스마트 잠금은 사용자의 암호를 추측하려거나 무차별 암호 대입 공격을 사용하여 침입하려는 불량 작업자를 차단하도록 도와줍니다.
애플리케이션에 대한 최종 사용자 동의 사용 안함 관리자 동의 워크플로는 관리자에게 관리자 승인이 필요한 애플리케이션에 대한 액세스 권한을 부여하는 안전한 방법을 제공합니다. 그래서 최종 사용자가 회사 데이터를 노출하지 않도록 할 수 있습니다. 노출 영역을 줄이고 위험을 완화하는 데 도움이 되도록 향후 모든 사용자 동의 작업을 사용하지 않도록 설정는 것이 좋습니다.
애플리케이션 프록시가 있는 온-프레미스 레거시 애플리케이션에 대한 원격 액세스 사용 사용자가 Microsoft Entra 계정으로 로그인하여 온-프레미스 애플리케이션에 안전하게 액세스할 수 있도록 Microsoft Entra 애플리케이션 프록시를 사용하도록 설정하고 레거시 앱과 통합합니다.
보안 하이브리드 액세스 사용: 기존 앱 배달 컨트롤러 및 네트워크를 사용하여 레거시 앱을 보호합니다(해당하는 경우). 기존 애플리케이션 배달 컨트롤러나 네트워크를 사용하여 온-프레미스 및 클라우드 레거시 인증 애플리케이션을 Microsoft Entra ID에 연결하여 게시 및 보호할 수 있습니다.
갤러리에서 지원되는 SaaS 애플리케이션을 Microsoft Entra ID에 통합하고, Single Sign On을 사용하도록 설정 Microsoft Entra ID에는 수천 개의 사전 통합 애플리케이션이 들어 있는 갤러리가 있습니다. 조직에서 사용하는 애플리케이션 중 일부는 Azure Portal에서 직접 액세스할 수 있는 갤러리에 있을 것입니다. 향상된 사용자 환경(SSO)을 사용하여 원격으로 그리고 안전하게 회사 SaaS 애플리케이션에 대한 액세스를 제공합니다.
SaaS 애플리케이션에서 자동화된 사용자 프로비저닝 및 프로비저닝 해제(해당하는 경우) 자동으로 사용자가 액세스해야 하는 클라우드(SaaS) 애플리케이션에서 사용자 ID와 역할을 만듭니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함되어, 조직의 보안을 강화합니다.
조건부 액세스 사용 – 디바이스 기반 디바이스 기반 조건부 액세스를 통해 보안 및 사용자 환경을 개선합니다. 이 단계를 통해 사용자는 보안 및 규정 준수에 대한 귀하의 표준을 충족하는 디바이스에서만 액세스할 수 있습니다. 이러한 디바이스는 관리 디바이스라고도 합니다. 관리 디바이스에는 Intune 규격 또는 하이브리드 Microsoft Entra 하이브리드 조인 디바이스가 포함될 수 있습니다.
암호 보호 사용 사용자가 허술하고 추측하기 쉬운 암호를 사용하지 못하도록 보호합니다.
가능한 경우 최소 권한의 역할 사용 관리자에게 액세스해야 하는 영역에 대해 필요한 액세스 권한만 제공합니다.
Microsoft의 암호 지침 사용 사용자에게 설정된 일정에 따라 자신의 암호를 변경하도록 더 이상 요구하지 않고, 복잡성 요구를 사용하지 않도록 설정합니다. 그러면 사용자는 암호를 기억하고 안전하게 유지하려고 노력합니다.
조직별 사용자 지정 금지된 암호 목록 만들기 사용자가 조직이나 영역에서 사용하는 일반적인 단어 또는 구를 포함하여 암호를 만들지 못하도록 합니다.
사용자를 위한 암호 없는 인증 방법 배포 사용자에게 편리한 암호 없는 인증 방법 제공
게스트 사용자 액세스에 대한 계획 만들기 게스트 사용자가 자신의 회사, 학교 또는 소셜 ID로 앱 및 서비스에 로그인할 수 있도록 하여 공동으로 작업합니다.

Microsoft Entra ID P2 고객에 대한 참고 자료

다음 표에서는 다음 라이선스 구독에 대한 주요 작업을 강조 표시합니다.

  • Microsoft Entra ID P2
  • Microsoft Enterprise Mobility + Security E5
  • Microsoft 365(E5, A5)
권장 작업 세부 정보
사용자 등록 환경을 간소화하기 위해 Microsoft Entra MFA 및 SSPR에 대해 결합된 등록 환경 사용 사용자가 Microsoft Entra MFA 및 셀프 서비스 암호 재설정을 위해 하나의 공통된 환경에서 등록할 수 있도록 합니다.
조직에 대한 다단계 인증 설정 구성 MFA를 사용하여 계정이 손상되지 않도록 보호합니다.
셀프 서비스 암호 재설정 사용 사용자가 디바이스 또는 애플리케이션에 로그인할 수 없는 경우 이 기능을 통해 지원 센터 호출 및 생산성 저하를 줄일 수 있습니다.
비밀번호 쓰기 저장 구현(하이브리드 ID를 사용하는 경우) 클라우드에서 암호 변경 내용을 온-프레미스 Windows Server Active Directory 환경에 다시 쓸 수 있도록 합니다.
다단계 인증 등록을 적용하도록 ID Protection 정책 사용 Microsoft Entra 다단계 인증의 롤아웃을 관리합니다.
사용자 및 로그인 위험 기반 조건부 액세스 정책 사용 권장되는 로그인 정책은 중간 위험 로그인을 대상으로 하고 다단계 인증을 요구하는 것입니다. 사용자 정책의 경우, 암호 변경 작업을 필요로 하는 고위험 사용자를 대상으로 해야 합니다.
조건부 액세스 정책 만들기 및 사용 관리자가 관리 권한이 할당된 계정을 보호하기 위한 다단계 인증.

레거시 인증 프로토콜과 관련된 위험이 증가하여 레거시 인증 프로토콜을 차단합니다.

Azure 리소스에 액세스하는 모든 사용자에게 다단계 인증을 요구하여 권한 있는 리소스를 보호하려면 Azure 관리에 다단계 인증을 요구합니다.
암호 해시 동기화 사용(하이브리드 ID를 사용하는 경우) 인증에 중복성을 제공하고, 보안(스마트 잠금, IP 잠금 및 유출된 자격 증명을 검색하는 기능 포함)을 개선합니다.
AD FS 스마트 잠금 사용하도록 설정(해당되는 경우) 악의적인 활동으로부터 엑스트라넷 계정 잠금이 발생하지 않도록 사용자를 보호합니다.
Microsoft Entra 스마트 잠금 사용(관리 ID를 사용하는 경우) 스마트 잠금은 사용자의 암호를 추측하려거나 무차별 암호 대입 공격을 사용하여 침입하려는 불량 작업자를 차단하도록 도와줍니다.
애플리케이션에 대한 최종 사용자 동의 사용 안함 관리자 동의 워크플로는 관리자에게 관리자 승인이 필요한 애플리케이션에 대한 액세스 권한을 부여하는 안전한 방법을 제공합니다. 그래서 최종 사용자가 회사 데이터를 노출하지 않도록 할 수 있습니다. 노출 영역을 줄이고 위험을 완화하는 데 도움이 되도록 향후 모든 사용자 동의 작업을 사용하지 않도록 설정는 것이 좋습니다.
애플리케이션 프록시가 있는 온-프레미스 레거시 애플리케이션에 대한 원격 액세스 사용 사용자가 Microsoft Entra 계정으로 로그인하여 온-프레미스 애플리케이션에 안전하게 액세스할 수 있도록 Microsoft Entra 애플리케이션 프록시를 사용하도록 설정하고 레거시 앱과 통합합니다.
보안 하이브리드 액세스 사용: 기존 앱 배달 컨트롤러 및 네트워크를 사용하여 레거시 앱을 보호합니다(해당하는 경우). 기존 애플리케이션 배달 컨트롤러나 네트워크를 사용하여 온-프레미스 및 클라우드 레거시 인증 애플리케이션을 Microsoft Entra ID에 연결하여 게시 및 보호할 수 있습니다.
갤러리에서 지원되는 SaaS 애플리케이션을 Microsoft Entra ID에 통합하고, Single Sign On을 사용하도록 설정 Microsoft Entra ID에는 수천 개의 사전 통합 애플리케이션이 들어 있는 갤러리가 있습니다. 조직에서 사용하는 애플리케이션 중 일부는 Azure Portal에서 직접 액세스할 수 있는 갤러리에 있을 것입니다. 향상된 사용자 환경(SSO)을 사용하여 원격으로 그리고 안전하게 회사 SaaS 애플리케이션에 대한 액세스를 제공합니다.
SaaS 애플리케이션에서 자동화된 사용자 프로비저닝 및 프로비저닝 해제(해당하는 경우) 자동으로 사용자가 액세스해야 하는 클라우드(SaaS) 애플리케이션에서 사용자 ID와 역할을 만듭니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함되어, 조직의 보안을 강화합니다.
조건부 액세스 사용 – 디바이스 기반 디바이스 기반 조건부 액세스를 통해 보안 및 사용자 환경을 개선합니다. 이 단계를 통해 사용자는 보안 및 규정 준수에 대한 귀하의 표준을 충족하는 디바이스에서만 액세스할 수 있습니다. 이러한 디바이스는 관리 디바이스라고도 합니다. 관리 디바이스에는 Intune 규격 또는 하이브리드 Microsoft Entra 하이브리드 조인 디바이스가 포함될 수 있습니다.
암호 보호 사용 사용자가 허술하고 추측하기 쉬운 암호를 사용하지 못하도록 보호합니다.
가능한 경우 최소 권한의 역할 사용 관리자에게 액세스해야 하는 영역에 대해 필요한 액세스 권한만 제공합니다.
Microsoft의 암호 지침 사용 사용자에게 설정된 일정에 따라 자신의 암호를 변경하도록 더 이상 요구하지 않고, 복잡성 요구를 사용하지 않도록 설정합니다. 그러면 사용자는 암호를 기억하고 안전하게 유지하려고 노력합니다.
조직별 사용자 지정 금지된 암호 목록 만들기 사용자가 조직이나 영역에서 사용하는 일반적인 단어 또는 구를 포함하여 암호를 만들지 못하도록 합니다.
사용자를 위한 암호 없는 인증 방법 배포 사용자에게 편리한 암호 없는 인증 방법 제공
게스트 사용자 액세스에 대한 계획 만들기 게스트 사용자가 자신의 회사, 학교 또는 소셜 ID로 앱 및 서비스에 로그인할 수 있도록 하여 공동으로 작업합니다.
PIM(Privileged Identity Management) 사용 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하여 관리자가 필요한 경우에만 액세스하고 승인을 받도록 할 수 있습니다.
PIM에서 Microsoft Entra 디렉터리 역할에 대한 액세스 검토 완료 보안 및 리더십 팀과 협의하여 조직의 정책을 기준으로 관리 액세스 권한을 검토하는 액세스 검토 정책을 만듭니다.

제로 트러스트

이 기능은 조직이 ID를 제로 트러스트 아키텍처의 세 가지 기본 원칙에 맞추는 데 도움이 됩니다.

  • 명시적으로 확인
  • 최소 권한 사용
  • 위반 가정

제로 트러스트 및 기본 원칙에 조직을 맞추는 다른 방법에 대해 자세히 알아보려면 제로 트러스트 참고 자료 센터를 참조하세요.

다음 단계