스마트 잠금을 사용하면 사용자의 암호를 추측하거나 무차별 암호 대입 공격 방법을 사용하여 로그인하려는 잘못된 행위자를 잠글 수 있습니다. 스마트 계정 잠금은 유효한 사용자의 로그인을 인식하고 이를 공격자 및 기타 알 수 없는 출처의 로그인과 다르게 처리할 수 있습니다. 공격자는 잠기지만 사용자는 계속해서 계정에 액세스하여 생산성을 유지할 수 있습니다.
스마트 잠금 작동 방법
기본적으로 스마트 잠금은 다음 이후에 로그인할 때 계정을 잠급니다.
- Azure Public 및 21Vianet이 운영하는 Microsoft Azure 테넌트에서 10회의 시도가 실패함
- Azure 미국 정부 테넌트에 대한 3번의 실패한 시도
이후 로그인 시도가 실패할 때마다 계정이 다시 잠깁니다. 잠금 기간은 처음에는 1분이고 이후 시도에서는 더 길어집니다. 공격자가 이 문제를 해결할 수 있는 방법을 최소화하기 위해 로그인 시도 실패 후 잠금 기간이 증가하는 비율을 공개하지 않습니다.
스마트 잠금 기능은 동일한 암호에 대해 잠금 카운터가 증가하는 것을 방지하기 위해 마지막 세 개의 잘못된 암호 해시를 추적합니다. 누군가가 동일한 잘못된 암호를 여러 번 입력하더라도 이 동작으로 인해 계정이 잠기는 것은 아닙니다.
참고
패스스루 인증이 활성화된 고객의 경우, 인증이 클라우드가 아닌 온-프레미스에서 수행되기 때문에 해시 추적 기능을 사용할 수 없습니다.
AD FS(Active Directory Federation Services) 2016 및 AD FS 2019를 사용하는 페더레이션된 배포는 AD FS 엑스트라넷 잠금 및 엑스트라넷 스마트 잠금을 사용하여 유사한 이점을 사용할 수 있습니다. 관리 인증으로 이동하는 것이 좋습니다.
스마트 잠금은 보안 및 유용성의 적절한 혼합을 제공하는 기본 설정으로 모든 Microsoft Entra 고객에 대해 항상 활성 상태입니다. 조직에 특수한 값이 있는 스마트 잠금 설정의 사용자 지정에는 Microsoft Entra ID P1 또는 사용자에 대한 높은 라이선스가 필요합니다.
스마트 잠금 사용은 정상적 사용자가 절대 잠기지 않는다고 보장하지 않습니다. 스마트 잠금이 사용자 계정을 잠그는 경우 Azure는 정상적 사용자가 잠기지 않도록 최선을 다합니다. 잠금 서비스는 악의적 행위자가 진정한 사용자 계정에 액세스할 수 없도록 합니다. 고려 사항은 다음과 같습니다.
Microsoft Entra 데이터 센터의 잠금 상태가 동기화됩니다. 그러나 계정이 잠기기 전에 허용되는 실패한 로그인 시도의 총 수는 구성된 잠금 임계값과 약간 차이가 있습니다. 계정이 잠기면 모든 Microsoft Entra 데이터 센터 전체에서 계정이 잠깁니다.
스마트 잠금은 익숙한 위치와 익숙하지 않은 위치를 사용하여 잘못된 행위자와 정품 사용자를 구분합니다. 낯선 위치와 익숙한 위치 모두 별도의 잠금 카운터가 있습니다.
시스템이 익숙하지 않은 위치에서 사용자 로그인을 잠그지 않도록 하려면 올바른 암호를 사용하여 잠긴 것을 방지하고 익숙하지 않은 위치에서 이전 잠금 시도가 적어야 합니다. 사용자가 익숙하지 않은 위치에서 잠긴 경우 사용자는 잠금 카운터를 다시 설정하기 위해 SSPR을 고려해야 합니다.
계정이 잠긴 후 사용자는 SSPR(셀프 서비스 암호 재설정)을 시작하여 다시 로그인할 수 있습니다. 사용자가 SSPR 중에 암호를 잊어버린 경우 잠금 기간이 0초로 다시 설정됩니다. 사용자가 SSPR 중에 내 암호를 알고 있다고 선택하면 잠금 타이머가 계속되며 잠금 기간이 다시 설정되지 않습니다. 기간을 초기화하고 다시 로그인하려면 사용자는 암호를 변경해야 합니다.
스마트 잠금은 암호 해시 동기화 또는 통과 인증을 사용하여 공격자가 온-프레미스 AD DS(Active Directory Domain Services) 계정을 잠그지 않도록 보호하는 하이브리드 배포와 통합될 수 있습니다. Microsoft Entra ID에서 스마트 잠금 정책을 적절하게 설정하여 공격자가 온-프레미스 AD DS에 도달하기 전에 필터링할 수 있습니다.
통과 인증을 사용하는 경우 다음 고려 사항이 적용됩니다.
- Microsoft Entra 잠금 임계값은 AD DS 계정 잠금 임계값보다 작 아야 합니다. AD DS의 계정 잠금 임계값을 Microsoft Entra의 잠금 임계값보다 최소 2~3배 이상 크게 설정합니다.
- Microsoft Entra 잠금 기간은 AD DS 계정 잠금 기간보다 길 어야 합니다. Microsoft Entra 기간은 초 단위로 설정되고 AD DS 기간은 분 단위로 설정됩니다.
팁 (조언)
이 구성을 통해 Microsoft Entra 스마트 잠금은 Microsoft Entra 계정의 암호 스프레이 공격과 같은 무차별 암호 대입 공격에 의해 온-프레미스 AD DS 계정이 잠기지 않도록 합니다.
예를 들어, Microsoft Entra의 스마트 잠금 지속 시간을 AD DS보다 길게 설정하려면, 온-프레미스 AD는 1분(60초)으로 설정하고, Microsoft Entra ID는 120초(2분)로 설정해야 합니다. Microsoft Entra 잠금 임계값을 10으로 지정하려면 온-프레미스 AD DS 잠금 임계값을 5로 설정합니다.
중요한
관리자는 스마트 잠금 기능으로 사용자가 잠긴 경우 잠금 기간이 만료될 때까지 기다릴 필요 없이 사용자의 클라우드 계정을 잠금 해제할 수 있습니다. 자세한 내용은 Microsoft Entra ID를 사용하여 사용자의 암호 재설정을 참조하세요.
온-프레미스 계정 잠금 정책 확인
온-프레미스 AD DS 계정 잠금 정책을 확인하려면 관리자 권한으로 도메인에 가입된 시스템에서 다음 단계를 완료합니다.
- 그룹 정책 관리 도구를 엽니다.
- 조직의 계정 잠금 정책(예: 기본 도메인 정책)을 포함하는 그룹 정책을 편집합니다.
- 컴퓨터 구성>정책>Windows 설정>보안 설정>계정 정책>계정 잠금 정책으로 이동합니다.
- 계정 잠금 임계값을 확인하고 값 후에 계정 잠금 카운터를 다시 설정합니다.
Microsoft Entra 스마트 잠금 값 관리
조직의 요구 사항에 따라 Microsoft Entra 스마트 잠금 값을 사용자 지정할 수 있습니다. 조직에 특수한 값이 있는 스마트 잠금 설정의 사용자 지정에는 Microsoft Entra ID P1 또는 사용자에 대한 높은 라이선스가 필요합니다. 21Vianet에서 운영하는 Microsoft Azure 테넌트에서는 스마트 잠금 설정을 사용자 지정할 수 없습니다.
조직의 스마트 잠금 값을 확인하거나 수정하려면 다음 단계를 완료합니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID>인증 방법 및 >를 방문하세요.
첫 번째 잠금 전에 계정에서 허용되는 실패한 로그인 수에 따라 잠금 임계값을 설정합니다.
기본값은 Azure 공용 테넌트 10개, Azure 미국 정부 테넌트 3개입니다.
잠금 기간(초)을 각 잠금의 길이(초)로 설정합니다.
기본값은 60초(1분)입니다.
참고
잠금 기간이 만료된 이후의 첫 번째 로그인도 실패하는 경우 계정은 다시 잠깁니다. 계정이 반복적으로 잠기는 경우 잠금 지속 시간이 증가합니다.
스마트 잠금 테스트
스마트 잠금 임계값이 트리거되면 계정이 잠겨 있는 동안 다음 메시지가 표시됩니다.
권한 없는 사용을 방지하기 위해 계정이 일시적으로 잠겨 있습니다. 나중에 다시 시도하세요. 문제가 계속 발생하면 관리자에게 문의하세요.
스마트 잠금을 테스트할 때 Microsoft Entra 인증 서비스의 지리적 분산 및 부하 분산 특성으로 인해 여러 데이터 센터에서 로그인 요청을 처리할 수 있습니다.
스마트 잠금 기능은 동일한 암호에 대해 잠금 카운터가 증가하는 것을 방지하기 위해 마지막 세 개의 잘못된 암호 해시를 추적합니다. 누군가가 동일한 잘못된 암호를 여러 번 입력하더라도 이 동작으로 인해 계정이 잠기는 것은 아닙니다.
기본 보호
Microsoft Entra ID는 스마트 잠금 외에도 IP 트래픽을 비롯한 신호를 분석하고 비정상 동작을 식별하여 공격으로부터 보호합니다. Microsoft Entra ID는 기본적으로 이러한 악의적인 로그인을 차단하고 암호 유효성에 관계없이 AADSTS50053 - IdsLocked 오류 코드를 반환합니다.
다음 단계
환경을 추가로 사용자 지정하려면 Microsoft Entra 암호 보호를 위해 사용자 지정 금지 암호를 구성할 수 있습니다.
사용자가 웹 브라우저에서 암호를 재설정하거나 변경할 수 있도록 Microsoft Entra 셀프 서비스 암호 재설정을 구성할 수 있습니다.