자습서: 사용자 로그인에 대한 위험 탐지를 사용하여 Microsoft Entra 다단계 인증 또는 암호 변경 트리거
사용자를 보호하기 위해 위험한 동작에 자동으로 대응하는 위험 기반 Microsoft Entra 조건부 액세스 정책을 구성할 수 있습니다. 이러한 정책은 로그인 시도를 자동으로 차단하거나 보안 암호 변경을 요구하거나 Microsoft Entra 다단계 인증을 요청하는 등의 추가 조치를 요구할 수 있습니다. 이러한 정책은 기존 Microsoft Entra 조건부 액세스 정책에서 조직의 추가 보호 계층으로 작동합니다. 사용자는 이러한 정책 중 하나에서 위험한 동작을 트리거하지 않을 수 있지만 보안을 손상시키려고 하면 조직을 보호합니다.
Important
이 자습서에서는 관리자에게 위험 기반 MFA(다단계 인증)를 사용하도록 설정하는 방법을 보여줍니다.
IT 팀이 Microsoft Entra 다단계 인증을 사용하는 기능을 사용하도록 설정하지 않았거나 로그인하는 동안 문제가 발생한 경우 추가 지원을 받으려면 기술 지원팀에 문의하세요.
이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.
- 사용 가능한 정책 이해
- Microsoft Entra 다단계 인증 등록 사용
- 위험 기반 암호 변경 사용
- 위험 기반 다단계 인증 활성화
- 사용자 로그인 시도에 대한 위험 기반 정책 테스트
필수 조건
이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.
- Microsoft Entra ID P2 또는 평가판 라이선스가 사용하도록 설정된 작동하는 Microsoft Entra 테넌트입니다.
- 필요한 경우, 체험 계정을 만드세요.
- 보안 관리자 권한이 있는 계정입니다.
- 셀프 서비스 암호 재설정 및 Microsoft Entra 다단계 인증을 위해 구성된 Microsoft Entra ID
- 필요한 경우 자습서를 완료하여 Microsoft Entra SSPR을 사용하도록 설정합니다.
- 필요한 경우 자습서를 완료하여 Microsoft Entra 다단계 인증을 사용하도록 설정합니다.
Microsoft Entra ID 보호 개요
Microsoft는 매일 사용자 로그인 시도의 일환으로 익명화된 수조 개의 신호를 수집하고 분석합니다. 이러한 신호는 양호한 사용자 로그인 동작 패턴을 구축하고 잠재적으로 위험한 로그인 시도를 식별하는 데 도움이 됩니다. Microsoft Entra ID 보호는 사용자 로그인 시도를 검토하고 의심스러운 동작이 있으면 추가 작업을 수행할 수 있습니다.
다음 작업 중 일부는 Microsoft Entra ID 보호 위험 탐지를 트리거할 수 있습니다.
- 자격 증명이 유출된 사용자
- 익명 IP 주소에서의 로그인
- 비정상적 위치 간 이동 불가능
- 감염된 디바이스에서의 로그인
- 의심스러운 활동을 포함하는 IP 주소의 로그인
- 일반적이지 않은 위치에서의 로그인
이 문서에서는 사용자를 보호하고 의심스러운 활동에 대한 응답을 자동화하는 세 가지 정책을 사용하도록 설정하는 방법을 안내합니다.
- 다단계 인증 등록 정책
- 사용자가 Microsoft Entra 다단계 인증에 등록되어 있는지 확인하세요. 로그인 위험 정책에서 MFA를 요구하는 메시지가 표시되는 경우 사용자는 Microsoft Entra 다단계 인증에 이미 등록되어 있어야 합니다.
- 사용자 위험 정책
- 자격 증명이 유출되었을 가능성이 있는 사용자 계정을 식별하고 이에 대한 대응을 자동화합니다. 사용자에게 새 암호를 만들도록 요구하는 메시지를 표시할 수 있습니다.
- 로그인 위험 정책
- 의심스러운 로그인 시도에 대한 응답을 식별하고 자동화합니다. 사용자에게 Microsoft Entra 다단계 인증을 사용하여 추가 확인 양식을 제공하도록 요구하는 메시지를 표시할 수 있습니다.
위험 기반 정책을 사용하도록 설정하면 낮은, 중간, 높은 위험 수준에 대한 임계값을 선택할 수도 있습니다. 이러한 유연성을 통해 의심스러운 로그인 이벤트에 적극적으로 적용하려는 제어 수준을 결정할 수 있습니다. Microsoft는 다음 정책 구성을 권장합니다.
Microsoft Entra ID Protection 대한 자세한 내용은 Microsoft Entra ID Protection란? 참조
다단계 인증 등록 정책 활성화
Microsoft Entra ID Protection 사용자가 Microsoft Entra 다단계 인증에 등록되도록 하는 데 도움이 되는 기본 정책이 포함되어 있습니다. 로그인 이벤트를 보호하기 위해 다른 정책을 사용하는 경우 사용자가 이미 MFA에 등록되어 있어야 합니다. 이 정책을 사용하도록 설정하면 사용자가 각 로그인 이벤트에서 MFA를 수행할 필요가 없습니다. 정책은 사용자의 등록 상태만 확인하고 필요한 경우 미리 등록하도록 요청합니다.
다단계 인증을 사용하는 사용자에게는 이 등록 정책을 활성화하는 것이 좋습니다. 이 정책을 사용하도록 설정하려면 다음 단계를 수행합니다.
- 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>ID 보호>MFA 등록 정책으로 이동합니다.
- 정책은 기본적으로 모든 사용자에게 적용됩니다. 원하는 경우 할당을 선택한 다음, 정책을 적용할 사용자 또는 그룹을 선택합니다.
- 컨트롤 아래에서 액세스를 선택합니다. Microsoft Entra 다단계 인증 등록 필요 옵션이 선택되어 있는지 확인한 다음 선택을 선택합니다.
- 정책 적용을 켜기로 설정한 다음, 저장을 선택합니다.
암호 변경에 대한 사용자 위험 정책 사용
Microsoft는 연구원, 법 집행 기관, Microsoft의 다양한 보안 팀, 신뢰할 수 있는 기타 소스와 협력하여 사용자 이름 및 암호 쌍을 찾습니다. 이러한 쌍 중 하나가 사용자 환경의 계정과 일치하면 위험 기반 암호 변경을 요청할 수 있습니다. 이 정책과 작업을 수행하려면 이전에 노출된 자격 증명이 더 이상 작동하지 않도록 로그인하기 전에 암호를 업데이트해야 합니다.
이 정책을 사용하도록 설정하려면 다음 단계를 수행합니다.
- 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>조건부 액세스로 이동합니다.
- 새 정책을 선택합니다.
- 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
- 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
- 포함에서 모든 사용자를 선택합니다.
- 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
- 완료를 선택합니다.
- 클라우드 앱 또는 작업>포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
- 조건>사용자 위험에서 구성을 예로 설정합니다.
- 정책을 적용하는 데 필요한 사용자 위험 수준 구성에서 높음을 선택합니다. 이 지침은 Microsoft 권장 사항을 기준으로 하며 조직마다 다를 수 있음
- 완료를 선택합니다.
- 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
- 인증 강도 필요를 선택한 다음, 목록에서 기본 제공 다단계 인증 강도를 선택합니다.
- 암호 변경 필요를 선택합니다.
- 선택을 선택합니다.
- 세션에서.
- 로그인 빈도를 선택합니다.
- 매번이 선택되어 있는지 확인합니다.
- 선택을 선택합니다.
- 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
- 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.
관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.
암호 없는 시나리오
암호 없는 인증 방법을 채택하는 조직의 경우 다음과 같이 변경합니다.
암호 없는 사용자 위험 정책 업데이트
- 사용자 아래:
- 포함, 사용자 및 그룹을 선택하고 암호 없는 사용자를 대상으로 지정합니다.
- 액세스 제어에서 >암호 없는 사용자에 대한 액세스를 차단합니다.
팁
암호 없는 메서드를 배포하는 동안 일정 기간 동안 두 개의 정책이 필요할 수 있습니다.
- 암호 없는 메서드를 사용하지 않는 사용자에 대해 자체 수정을 허용하는 메서드입니다.
- 위험성이 높은 암호 없는 사용자를 차단하는 또 다른 요소입니다.
암호 없는 사용자 위험 수정 및 차단 해제
- 모든 위험에 대한 관리자 조사 및 수정 이 필요합니다.
- 사용자 차단을 해제합니다.
MFA에 대한 로그인 위험 정책 사용
대부분의 사용자에게는 추적할 수 있는 정상적인 동작이 있습니다. 이 정상적인 동작에서 벗어나는 사용자인 경우 성공적인 로그인을 허용하는 것은 위험할 수 있습니다. 대신 해당 사용자를 차단하거나 다단계 인증을 수행하도록 요청하는 것이 좋습니다. 사용자가 MFA 챌린지를 성공적으로 완료하면 유효한 로그인 시도로 간주하고 애플리케이션 또는 서비스에 대한 액세스 권한을 부여할 수 있습니다.
이 정책을 사용하도록 설정하려면 다음 단계를 수행합니다.
- 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>조건부 액세스로 이동합니다.
- 새 정책을 선택합니다.
- 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
- 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
- 포함에서 모든 사용자를 선택합니다.
- 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
- 완료를 선택합니다.
- 클라우드 앱 또는 작업>포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
- 조건>로그인 위험에서 구성을 예로 설정합니다.
- 이 정책을 적용할 로그인 위험 수준 선택 아래에서 높음 및 중간을 선택합니다. 이 지침은 Microsoft 권장 사항을 기준으로 하며 조직마다 다를 수 있음
- 완료를 선택합니다.
- 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
- 인증 강도 필요를 선택한 다음, 목록에서 기본 제공 다단계 인증 강도를 선택합니다.
- 선택을 선택합니다.
- 세션에서.
- 로그인 빈도를 선택합니다.
- 매번이 선택되어 있는지 확인합니다.
- 선택을 선택합니다.
- 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
- 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.
관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.
암호 없는 시나리오
암호 없는 인증 방법을 채택하는 조직의 경우 다음과 같이 변경합니다.
암호 없는 로그인 위험 정책 업데이트
- 사용자 아래:
- 포함, 사용자 및 그룹을 선택하고 암호 없는 사용자를 대상으로 지정합니다.
- 이 정책이 적용되는 로그인 위험 수준 선택에서 [높음]을 선택합니다.
- 액세스 제어에서 >암호 없는 사용자에 대한 액세스를 차단합니다.
팁
암호 없는 메서드를 배포하는 동안 일정 기간 동안 두 개의 정책이 필요할 수 있습니다.
- 암호 없는 메서드를 사용하지 않는 사용자에 대해 자체 수정을 허용하는 메서드입니다.
- 위험성이 높은 암호 없는 사용자를 차단하는 또 다른 요소입니다.
암호 없는 로그인 위험 수정 및 차단 해제
- 모든 위험에 대한 관리자 조사 및 수정 이 필요합니다.
- 사용자 차단을 해제합니다.
위험한 서명 이벤트 테스트
대부분의 사용자 로그인 이벤트는 이전 단계에서 구성된 위험 기반 정책을 트리거하지 않습니다. 사용자에게 MFA를 요구하거나 암호를 다시 설정하도록 요구하는 메시지가 표시되지 않을 수 있습니다. 자격 증명이 안전하게 유지되고 동작이 일관되면 로그인 이벤트가 성공적으로 수행됩니다.
이전 단계에서 만든 Microsoft Entra ID 보호 정책을 테스트하려면 위험한 동작 또는 잠재적인 공격을 시뮬레이션할 수 있는 방법이 필요합니다. 이러한 테스트를 수행하는 단계는 유효성을 검사하려는 Microsoft Entra ID 보호 정책에 따라 달라집니다. 시나리오 및 단계에 대한 자세한 내용은 Microsoft Entra ID 보호에서 위험 탐지 시뮬레이션을 참조하세요.
리소스 정리
테스트를 완료하고 위험 기반 정책을 더 이상 활성화하지 않으려면 비활성화하려는 각 정책으로 돌아가서 정책 활성화를 해제하거나 삭제합니다.
다음 단계
이 자습서에서는 Microsoft Entra ID 보호에 대한 위험 기반 사용자 정책을 사용하도록 설정했습니다. 구체적으로 다음 작업 방법을 알아보았습니다.
- Microsoft Entra ID 보호에 사용할 수 있는 정책 이해
- Microsoft Entra 다단계 인증 등록 사용
- 위험 기반 암호 변경 사용
- 위험 기반 다단계 인증 활성화
- 사용자 로그인 시도에 대한 위험 기반 정책 테스트