Microsoft Entra ID에서 피싱 방지 암호 없는 인증 배포의 특정 가상 사용자에 대한 고려 사항
각 가상 사용자에는 피싱 방지 암호 없는 배포 중에 일반적으로 발생하는 고유한 과제와 고려 사항이 있습니다. 수용해야 하는 가상 사용자를 식별할 때 이러한 고려 사항을 배포 프로젝트 계획에 고려해야 합니다. 다음 섹션에서는 각 가상 사용자에 대한 특정 지침을 제공합니다.
정보 근로자
정보 근로자는 일반적으로 가장 간단한 요구 사항을 가지고 있으며 피싱 방지 암호 없는 배포를 시작하는 가장 쉽습니다. 그러나 이러한 사용자를 위해 배포할 때 자주 발생하는 몇 가지 문제가 여전히 있습니다. 일반적인 예는 다음과 같습니다.
다른 사용자 가상 사용자와 마찬가지로 정보 작업자 배포에는 적절한 통신 및 지원이 필요합니다. 여기에는 일반적으로 사용자가 휴대폰에 특정 앱을 설치하도록 유도하고, 사용자가 앱을 사용하지 않는 보안 키를 배포하고, 생체 인식에 대한 우려를 해결하고, 사용자가 자격 증명의 일부 또는 총 손실로부터 복구할 수 있도록 돕는 프로세스를 개발하는 작업이 포함됩니다.
생체 인식에 대한 우려를 다룰 때는 비즈니스용 Windows Hello 같은 기술이 생체 인식을 처리하는 방법을 이해해야 합니다. 생체 인식 데이터는 디바이스에 로컬로만 저장되며 도난당한 경우에도 원시 생체 인식 데이터로 다시 변환할 수 없습니다.
정보 작업자 배포 흐름
정보 근로자에 대한 배포 흐름의 1~3단계는 일반적으로 다음 이미지와 같이 표준 배포 흐름을 따라야 합니다. 사용자 환경에서 필요에 따라 각 단계에서 사용되는 메서드를 조정합니다.
- 1단계: 온보딩
- 임시 액세스 패스를 획득하는 데 사용되는 Microsoft Entra 확인된 ID 서비스
- 2단계: 이식 가능한 자격 증명 등록
- Microsoft Authenticator 앱 암호(기본 설정)
- FIDO2 보안 키
- 3단계: 로컬 자격 증명 등록
- 비즈니스용 Windows Hello
- Platform SSO Secure Enclave 키
일선 직원
일선 근로자는 자격 증명의 이식성에 대한 요구가 증가하고 소매 또는 제조 설정에서 휴대할 수 있는 디바이스에 대한 제한 사항으로 인해 더 복잡한 요구 사항이 있는 경우가 많습니다. 보안 키는 일선 작업자에게 유용한 옵션이지만 고려해야 할 비용이 있습니다. 피싱 저항을 달성하기 위해 스마트 카드 및 인증서 기반 인증의 추가 배포 부담과 보안 키의 비용 문제를 균형 조정해야 합니다. 사용자 환경에 다른 일선 작업자 사용자 가상 사용자가 있을 수 있는지 고려합니다. 스마트 카드가 다른 사용자에게 더 나은 일부 일선 작업자에게는 보안 키가 더 좋을 수 있습니다.
일선 작업자 배포 흐름
일선 작업자를 위한 배포 흐름의 1~3단계는 일반적으로 이식 가능한 자격 증명을 강조하는 수정된 흐름을 따라야 합니다. 대부분의 일선 작업자는 영구 컴퓨팅 디바이스가 없을 수 있으며 Windows 또는 Mac 워크스테이션에서 로컬 자격 증명이 필요하지 않습니다. 대신, 디바이스에서 디바이스로 사용할 수 있는 이식 가능한 자격 증명을 주로 사용합니다. 사용자 환경에서 필요에 따라 각 단계에서 사용되는 메서드를 조정합니다.
- 1단계: 온보딩
- FIDO2 보안 키 대신 등록(선호)
- 임시 액세스 패스를 획득하는 데 사용되는 Microsoft Entra 확인된 ID 서비스
- 2단계: 이식 가능한 자격 증명 등록
- FIDO2 보안 키(기본 설정)
- 스마트 카드
- Microsoft 인증자 앱 암호 키
- 3단계(선택 사항): 로컬 자격 증명 등록
- 선택 사항: 비즈니스용 Windows Hello
- 선택 사항: 플랫폼 SSO 보안 Enclave 키
IT 전문가/DevOps 작업자
IT 전문가 및 DevOps 작업자는 특히 원격 액세스 및 여러 사용자 계정에 의존하므로 정보 근로자와는 다른 것으로 간주됩니다. IT 전문가를 위한 피싱 방지 암호 없는 문제로 인해 발생하는 많은 문제는 시스템에 대한 원격 액세스 및 자동화 실행 능력에 대한 필요성이 증가하기 때문입니다.
특히 이 가상 사용자에 대해 RDP를 사용한 피싱 방지에 지원되는 옵션을 이해합니다.
사용자가 사용자 컨텍스트에서 실행되므로 현재 MFA를 사용하지 않는 스크립트를 사용하는 위치를 이해해야 합니다. IT 전문가에게 서비스 주체 및 관리 ID를 사용하여 자동화를 실행하는 적절한 방법을 지시합니다. 또한 IT 전문가 및 기타 전문가가 새 서비스 주체를 요청하고 할당된 적절한 권한을 얻을 수 있도록 프로세스를 고려해야 합니다.
IT 전문가/DevOps 작업자 배포 흐름
IT 전문가/DevOps 작업자를 위한 배포 흐름의 1~3단계는 일반적으로 사용자의 기본 계정에 대해 위에서 설명한 대로 표준 배포 흐름을 따라야 합니다. IT 전문가/DevOps 작업자는 종종 서로 다른 고려 사항이 필요한 보조 계정을 가지고 있습니다. 기본 계정에 대해 사용자 환경에서 필요에 따라 각 단계에서 사용되는 메서드를 조정합니다.
- 1단계: 온보딩
- 임시 액세스 패스를 획득하는 데 사용되는 Microsoft Entra 확인된 ID 서비스
- 2단계: 이식 가능한 자격 증명 등록
- Microsoft Authenticator 앱 암호(기본 설정)
- FIDO2 보안 키
- 3단계: 로컬 자격 증명 등록
- 비즈니스용 Windows Hello
- Platform SSO Secure Enclave 키
IT 전문가/DevOps 작업자에게 보조 계정이 있는 경우 해당 계정을 다르게 처리해야 할 수 있습니다. 예를 들어 보조 계정의 경우 대체 이식 가능한 자격 증명을 사용하고 컴퓨팅 디바이스에서 로컬 자격 증명을 완전히 포기하도록 선택할 수 있습니다.
- 1단계: 온보딩
- 임시 액세스 패스를 획득하는 데 사용되는 Microsoft Entra 확인된 ID 서비스(기본 설정)
- IT 전문가/DevOps 작업자에게 보조 계정에 대한TAP를 제공하는 대체 프로세스
- 2단계: 이식 가능한 자격 증명 등록
- Microsoft Authenticator 앱 암호(기본 설정)
- FIDO2 보안 키
- 스마트 카드
- 3단계: 로컬 자격 증명이 아닌 이식 가능한 자격 증명 사용
높은 규제 근로자
규제가 높은 근로자는 잠긴 디바이스에서 작업하거나, 잠긴 환경에서 작업하거나, 충족해야 하는 특별한 규제 요구 사항이 있을 수 있기 때문에 일반 정보 근로자보다 더 많은 문제를 제기합니다.
규제가 높은 근로자는 이미 PKI 및 스마트 카드 인프라를 많이 채택한 규제 환경으로 인해 스마트 카드를 사용하는 경우가 많습니다. 그러나 스마트 카드가 바람직하고 필요한 시기와 스마트 카드가 비즈니스용 Windows Hello 같은 사용자 친화적 인 옵션과 균형을 맞출 수있는 경우를 고려하십시오.
PKI가 없는 높은 규제 작업자 배포 흐름
인증서, 스마트 카드 및 PKI를 사용하지 않으려는 경우 규제가 높은 작업자 배포는 정보 작업자 배포와 밀접하게 반영됩니다. 자세한 내용은 정보 근로자를 참조하세요.
PKI를 사용하여 고도로 규제되는 작업자 배포 흐름
인증서, 스마트 카드 및 PKI를 사용하려는 경우 규제가 높은 작업자의 배포 흐름은 일반적으로 주요 위치의 정보 작업자 설정 흐름과 다릅니다. 일부 사용자에 대해 로컬 인증 방법이 실행 가능한지 식별해야 하는 필요성이 증가합니다. 마찬가지로, 인터넷 연결 없이 작동할 수 있는 스마트 카드와 같은 이식 가능한 전용 자격 증명이 필요한 일부 사용자가 있는지 식별해야 합니다. 필요에 따라 배포 흐름을 추가로 조정하고 사용자 환경에서 식별된 다양한 사용자 가상 사용자에 맞게 조정할 수 있습니다. 사용자 환경에서 필요에 따라 각 단계에서 사용되는 메서드를 조정합니다.
- 1단계: 온보딩
- 임시 액세스 패스를 획득하는 데 사용되는 Microsoft Entra 확인된 ID 서비스(기본 설정)
- ID 교정 프로세스에 따라 사용자를 대신하여 스마트 카드 등록
- 2단계: 이식 가능한 자격 증명 등록
- 스마트 카드(기본 설정)
- FIDO2 보안 키
- Microsoft 인증자 앱 암호 키
- 3단계(선택 사항): 로컬 자격 증명 등록
- 선택 사항: 비즈니스용 Windows Hello
- 선택 사항: 플랫폼 SSO 보안 Enclave 키
참고 항목
항상 사용자에게 두 개 이상의 자격 증명을 등록하는 것이 좋습니다. 이렇게 하면 다른 자격 증명에 문제가 발생하는 경우 사용자가 백업 자격 증명을 사용할 수 있습니다. 높은 규제 대상 작업자의 경우 배포하는 스마트 카드 외에도 암호나 비즈니스용 Windows Hello 배포하는 것이 좋습니다.