Microsoft Entra ID에서 응급 액세스 계정 관리

역할을 로그인하거나 활성화할 수 없으므로 Microsoft Entra 조직에서 실수로 자신을 잠그지 않도록 하는 것이 중요합니다. 조직에서 둘 이상의 응급 액세스 계정을 만들어 실수로 인한 관리 액세스 부족의 영향을 줄일 수 있습니다.

전역 관리자 역할이 있는 사용자 계정은 시스템에서 높은 권한을 가지며, 이 역할에는 전역 관리자 역할이 있는 응급 액세스 계정이 포함됩니다. 일반 관리 계정을 사용할 수 없는 비상 상황 또는 "브레이크 글래스" 시나리오에서만 긴급 액세스 계정을 사용하세요. 응급 계정 사용은 반드시 필요한 경우에만 제한합니다.

이 문서에서는 Microsoft Entra ID에서 응급 액세스 계정을 관리하는 지침을 제공합니다.

응급 액세스 계정은 왜 사용하나요?

조직은 다음과 같은 상황에서 응급 액세스 계정을 사용해야 할 수도 있습니다.

• 사용자 계정이 페더레이션되고, 페더레이션이 현재 셀 네트워크 중단 또는 ID 공급자 중단으로 인해 사용할 수 없습니다. 예를 들어, 사용자 환경의 ID 공급자 호스트가 다운되면 Microsoft Entra ID가 해당 ID 공급자로 리디렉션할 때 사용자가 로그인하지 못할 수 있습니다.
• 관리자는 Microsoft Entra 다단계 인증을 통해 등록하며 모든 개별 디바이스를 사용할 수 없거나 서비스를 사용할 수 없습니다. 사용자는 역할을 활성화하는 다단계 인증을 완료하지 못할 수도 있습니다. 예를 들어 셀 네트워크 장애로 인해 해당 디바이스에 대해 등록된 단 두 개의 인증 메커니즘인 수신 전화에 응답 및 문자 메시지 수신이 불가능할 수 있습니다.
• 가장 최근 전역 관리자 액세스 권한이 있는 사용자는 조직을 떠난다. Microsoft Entra ID는 마지막 글로벌 관리자 계정이 삭제되지 않도록 할 수 있으나, 계정이 온-프레미스에서 삭제되거나 비활성화되는 것은 방지할 수 없습니다. 각 상황에서 조직은 계정을 복구하지 못할 수 있습니다.
• 자연 재해 비상 사태와 같이 예기치 않은 상황이 발생하여 휴대폰이나 기타 네트워크를 사용하지 못하는 경우.
• 모든 전역 관리자 및 권한 있는 역할 관리자 역할 할당은 적격(활성이 아님), 활성화에는 승인이 필요하고 승인자가 선택되지 않습니다(또는 선택한 모든 승인자가 디렉터리에서 제거됨). 활성 전역 관리자 및 권한 있는 역할 관리자는 아무도 선택되지 않은 경우 기본 승인자이지만, 현재 활성 상태인 사용자가 없으므로 아무도 활성화를 승인할 수 없으며 테넌트 관리가 사실상 잠기게 됩니다.

응급 액세스 계정 생성

두 개 이상의 응급 액세스 계정을 생성합니다. 이러한 계정은 *.onmicrosoft.com 도메인을 사용하고 온-프레미스 환경에서 페더레이션되거나 동기화되지 않는 클라우드 전용 계정이어야 합니다. 높은 수준에서 다음 단계를 수행합니다.

1. 기존 응급 액세스 계정을 찾거나 새 클라우드 전용 사용자를 만들고 전역 관리자 역할을 할당합니다.

2. 응급 액세스 계정에 대해 이러한 암호 없는 인증 방법 중 하나를 선택합니다. 이러한 메서드는 필수 다단계 인증 요구 사항을 충족합니다.

   • Passkey(FIDO2)(권장)
   • 조직에 PKI(공개 키 인프라) 설정이 이미 있는 경우 인증서 기반 인증

3. 이전 단계에서 선택한 인증 방법에 대한 자격 증명을 등록합니다.

   • Passkey(FIDO2): 조직에 대해 PASSKEY(FIDO2)를 사용하도록 설정한 다음, 암호를 등록합니다(FIDO2).
   • 인증서 기반 인증: 인증서 기반 인증 구성

4. 비상 액세스 계정이 로그인을 차단하거나 제한하는 조건부 액세스 정책에서 제외되는지 확인합니다. 이전 단계에서 등록된 피싱 방지 인증 방법은 계정을 보호합니다. 적용된 조건부 액세스 정책은 계정이 설계된 정확한 응급 상황에서 로그인을 방지할 수 있습니다. 보고서 전용 정책은 액세스를 차단하지 않으며 제외가 필요하지 않습니다. 자세한 내용은 조건부 액세스 고려 사항을 참조하세요.

5. 계정 자격 증명을 안전하게 저장.

6. 로그인 및 감사 로그 모니터링.

7. 정기적으로 계정 유효성 검사.

구성 요구 사항

이러한 계정을 구성할 때 다음 요구 사항이 충족되는지 확인합니다.

• 응급 액세스 계정을 조직의 개별 사용자와 연결하지 마세요. 관리 팀의 여러 구성원이 사용할 수 있는 알려진 보안 위치에 자격 증명을 저장합니다. 이러한 계정을 휴대폰과 같이 직원이 제공한 디바이스에 연결하지 마세요. 이 방법은 응급 액세스 계정 관리를 통합합니다. 대부분의 조직은 Microsoft Cloud 인프라뿐만 아니라 온-프레미스 환경, 페더레이션된 SaaS 애플리케이션 및 기타 중요한 시스템에 대한 응급 액세스 계정이 필요합니다.

  또는 관리자를 위한 개별 응급 액세스 계정을 만들도록 선택할 수 있습니다. 이 솔루션은 책임을 촉진하고 관리자가 원격 위치에서 긴급 액세스 계정을 사용할 수 있도록 합니다.

• 응급 액세스 계정에 대해 강력한 인증을 사용하고 다른 관리 계정과 동일한 인증 방법을 사용하지 않는지 확인합니다. 예를 들어 일반 관리자 계정이 강력한 인증을 위해 Microsoft Authenticator 앱을 사용하는 경우 비상 계정에 FIDO2 보안 키를 사용합니다. 인증 프로세스에 외부 요구 사항을 추가하지 않도록 하려면 다양한 인증 방법의 종속성을 고려합니다.

• 디바이스나 자격 증명이 만료되지 않아야 하고 사용 부족으로 인해 자동으로 정리되는 범위에 속하지 않아야 합니다.

• Microsoft Entra Privileged Identity Management에서 긴급 액세스 계정의 전역 관리자 역할 할당을 적격이 아닌 영구 활성 상태로 설정합니다.

• 이러한 응급 액세스 계정을 사용할 권한이 있는 개인은 지정된 보안 워크스테이션 또는 Privileged Access 워크스테이션과 같은 유사한 클라이언트 컴퓨팅 환경을 활용해야 합니다. 응급 액세스 계정과 상호 작용할 때 이러한 워크스테이션을 사용합니다. 지정된 워크스테이션이 있는 Microsoft Entra 테넌트를 구성하는 방법에 대한 자세한 내용은 권한 있는 액세스 솔루션을 배포하는을 참조하세요.

페더레이션 지침

일부 조직에서는 Active Directory Domain Services 및 AD FS(Active Directory Federation Service) 또는 유사한 ID 공급자를 사용하여 Microsoft Entra ID에 페더레이션합니다. 온-프레미스 시스템에 대한 긴급 액세스 및 클라우드 서비스에 대한 긴급 액세스를 서로 종속되지 않고 유지합니다. 다른 시스템의 응급 액세스 권한이 있는 계정에 대한 인증을 마스터하거나 소싱하면 해당 시스템에서 중단이 발생할 경우 불필요한 위험이 추가됩니다.

계정 자격 증명을 안전하게 저장

응급 액세스 계정에 대한 자격 증명이 안전하게 유지되고 해당 자격 증명을 사용할 권한이 있는 개인에게만 알려야 합니다. 예를 들어 Microsoft Entra ID 또는 Windows Server Active Directory용 스마트 카드에 FIDO2 보안 키를 사용할 수 있습니다. 안전한 별도의 위치에 있는 안전한 방화 금고에 자격 증명을 저장합니다.

조건부 액세스 고려 사항

로그인을 차단하거나 제한하는 조건부 액세스 정책에서 응급 액세스 계정을 제외합니다. 보고서 전용 정책은 액세스를 차단하지 않으며 응급 계정을 제외할 필요가 없습니다. 응급 액세스 계정에 MFA, 규격 디바이스 또는 다른 제어가 필요한 조건부 액세스 정책이 적용되는 경우 계정이 설계된 정확한 긴급 시나리오 중에는 이 계정을 사용할 수 없을 수 있습니다.

조건부 액세스 배포를 계획할 때 다음 사항을 고려합니다.

• EmergencyAccess와 같은 응급 액세스 계정에 대한 전용 보안 그룹을 만들고 로그인을 차단하거나 제한하는 조건부 액세스 정책에서 이 그룹을 제외합니다.
• 응급 액세스 계정이 현재 조건부 액세스 구성을 사용하여 성공적으로 로그인할 수 있도록 정기적으로 테스트합니다(예: 매 분기).
• 중단 중에 중요한 사용자에 대한 액세스를 복원하기 위해 사용하도록 설정할 수 있는 비상 조건부 액세스 정책을 만듭니다. 자세한 내용은 복원력 있는 액세스 제어 관리 전략 만들기를 참조하세요.

조건부 액세스 제외 계획에 대한 자세한 내용은 조건부 액세스 배포 계획을 참조하세요.

보안 가드레일 요약

다음 검사 목록에는 응급 액세스 계정에 대한 보안 요구 사항이 요약됩니다.

• 중복성을 위해 두 개 이상의 응급 액세스 계정을 유지 관리합니다.
• 페더레이션 ID 공급자에 대한 종속성이 없는 클라우드 전용 계정(.onmicrosoft.com 도메인)을 사용합니다.
• 일반 관리자 계정과 다른 피싱 방지 인증 방법(FIDO2 보안 키 또는 인증서 기반 인증)을 사용합니다.
• 자격 증명 및 디바이스가 만료되지 않고 자동화된 정리가 적용되지 않는지 확인합니다.
• Privileged Identity Management에서 긴급 계정에 전역 관리자 역할을 영구적으로 활성 상태(적격 아님)로 할당합니다.
• 긴급 액세스 계정을 사용할 때 지정된 보안 워크스테이션 또는 Privileged Access Workstation을 사용해야 합니다.
• 인증된 개인이 액세스할 수 있는 별도의 안전한 방화 위치에 자격 증명을 저장합니다.
• 로그인을 차단하거나 제한하는 조건부 액세스 정책에서 응급 액세스 계정을 제외합니다. 보고서 전용 정책에는 제외가 필요하지 않습니다.
• 경고가 있는 응급 액세스 계정에 대한 모든 로그인 및 감사 로그 활동을 모니터링하여 불필요하거나 무단 사용을 감지합니다.
• 적어도 90일마다 계정 기능의 유효성을 검사합니다.

감사 가능성 및 규정 준수

규제 산업의 조직은 응급 액세스 계정의 사용이 적절하게 관리된다는 것을 입증해야 할 수 있습니다. 이 문서에 설명된 모니터링 및 유효성 검사 방법은 감사 가능성을 지원합니다.

• 로그인 및 감사 로그 모니터링: 응급 액세스 계정의 모든 사용에 대한 경고를 구성합니다. 검토를 위해 로그인 로그 및 감사 로그를 캡처합니다. 자세한 내용은 이 문서의 로그인 로그 및 감사 로그 모니터링을 참조하세요.
• 사후 검토: 응급 액세스 계정을 사용한 후 검토를 수행하여 사용 권한이 부여되었는지 여부와 수행된 작업이 적절한지 여부를 확인합니다. 자세한 내용은 이 문서의 사후 평가 팀 준비를 참조하세요.
• 일반 유효성 검사: 권한 있는 사용자 목록 검토 및 로그인 및 관리 작업 기능 테스트를 포함하여 최소 90일마다 계정 유효성 검사 훈련을 수행합니다. 자세한 내용은 이 문서에서 정기적으로 계정 유효성 검사를 참조하세요.
• 호환성 매핑: 조직에서 HIPAA 규정을 준수해야 하는 경우 Microsoft 응급 액세스 계정이 HIPAA 응급 액세스 절차 요구 사항에 매핑되는 방법에 대한 지침을 제공합니다. 자세한 내용은 HIPAA 액세스 제어를 참조하세요.

로그인 및 감사 로그 모니터링

응급 계정의 로그인 및 감사 로그 활동을 모니터링하고 다른 관리자에게 알림을 트리거합니다. 응급 액세스 계정에 대한 활동을 모니터링할 때 이러한 계정이 테스트 또는 실제 비상 사태에만 사용되는지 확인할 수 있습니다. Azure Monitor, Microsoft Sentinel 또는 기타 도구를 사용하여 로그인 로그를 모니터링하고 긴급 액세스 계정이 로그인할 때마다 관리자에게 이메일 및 SMS 경고를 트리거할 수 있습니다. 이 섹션에서는 Azure Monitor를 사용하는 방법을 보여 줍니다.

필수 조건

• Azure Monitor로 Microsoft Entra 로그인 로그를 보냅니다.

응급 액세스 계정의 개체 ID 가져오기

1. 최소한 사용자 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. Entra ID>사용자 페이지로 이동합니다.

3. 응급 액세스 계정을 검색하고 사용자의 이름을 선택합니다.

4. 개체 ID 특성을 복사하여 나중에 사용할 수 있도록 저장합니다.

5. 두 번째 응급 액세스 계정에 대해 이전 단계를 반복합니다.

경고 규칙 만들기

1. 적어도 모니터링 기여자로 Azure Portal에 로그인합니다.

2. 모니터를 검색하여 엽니다.

3. 왼쪽 메뉴에서 경고를 선택합니다.

4. + 만들기>경고 규칙을 선택합니다. 경고 규칙 만들기 페이지가 열립니다.

5. 범위 탭에서 다음을 수행합니다.

   1. 자원 선택 창에서 Log Analytics 작업 영역을 찾아 선택합니다.
   2. 구독이 필수 구성 요소에서 구성한 작업 영역과 일치하는지 확인합니다.
   3. 적용을 선택합니다.

6. 조건 탭에서:

   1. 신호 이름 드롭다운에서 사용자 지정 로그 검색을 선택합니다.

   2. 쿼리 유형을집계된 로그로 설정합니다.

   3. 검색 쿼리에서 다음 쿼리 중 하나를 입력하고 두 응급 액세스 계정의 개체 ID를 삽입합니다.

      참고

      포함하려는 각 추가 응급 액세스 계정에 대해, 쿼리에 or UserId == "ObjectGuid"를 하나 더 추가합니다.

      샘플 쿼리:

      // Search for a single Object ID (UserID)
      SigninLogs
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription
      

      // Search for a single UserPrincipalName
      SigninLogs
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription
      

   4. 측정값 아래에서 쿼리 결과를 요약하는 방법을 설정합니다.

      1. 측정값을 선택합니다.
      2. 집계 유형을 선택합니다.
      3. 집계 세분성을 선택합니다.

   5. 차원으로 분할 아래에서 리소스 ID 열을 선택합니다.

   6. 경고 논리에서:

      1. 임계값 유형을정적으로 설정합니다.
      2. 연산자를 초과로 설정합니다.
      3. 임계값을 0으로 설정합니다.
      4. 평가 빈도를 쿼리를 실행할 빈도로 설정합니다.

      

   7. 계속 진행하려면 다음을 선택합니다.

7. 작업 탭에서 경고로 알림을 받을 작업 그룹을 선택합니다. 작업 그룹 하나를 만들려면 작업 그룹 만들기를 참조하세요.

8. 세부 정보 탭에서 다음을 수행합니다.

   1. 이벤트의 심각도 를 선택합니다. 0 - 중요를 사용합니다.
   2. 경고 규칙 이름을 입력하고 선택적 설명을 추가합니다.
   3. 지역을 선택합니다.
   4. 로그 쿼리를 실행할 때 사용할 ID 를 선택합니다.
   5. 고급 옵션에서 만들 때 사용을 선택합니다.
   6. 계속 진행하려면 다음을 선택합니다.

9. 태그 탭에서 경고 규칙과 연결할 태그를 추가합니다.

10. 검토 + 생성를 선택한 다음, 생성를 선택합니다.

작업 그룹 만들기

1. 작업 그룹 만들기를 선택합니다.

   

2. 기본 사항 탭에서 다음 정보를 입력합니다.

   • 구독 및 리소스 그룹: 작업 그룹을 저장할 위치를 선택합니다.
   • 지역: 작업 그룹에 대한 지역을 선택합니다.
   • 작업 그룹 이름: 설명이 포함된 이름을 입력합니다.
   • 표시 이름: 알림에 표시되는 짧은 이름(최대 12자)을 입력합니다.

3. 다음: 알림을 선택합니다.

4. 알림 유형에서 전자 메일/SMS 메시지/푸시/음성을 선택합니다.

5. 전역 관리자에게 알림과 같은 알림 이름을 입력합니다.

6. 세부 정보 편집을 선택하고 알림 방법 및 연락처 정보를 구성한 다음 확인을 선택합니다.

7. 트리거할 다른 알림을 추가합니다.

8. 다음: 작업을 선택하여 추가 자동화된 작업을 구성하거나 검토 + 만들기를 선택하여 완료합니다.

각 긴급 액세스 계정 자격 증명 사용을 평가할 사후 분석 팀을 준비하십시오.

경고가 트리거되면 Microsoft Entra 및 기타 워크로드의 로그를 유지합니다. 상황 및 응급 액세스 계정 사용의 결과를 검토합니다. 이 검토는 계정이 사용되었는지 여부를 결정합니다.

• 적합성을 확인하기 위한 계획된 훈련
• 관리자가 일반 계정을 사용할 수 없는 실제 비상 사태에 대응
• 계정의 오용 또는 무단 사용으로 인한 결과

다음으로, 로그를 검사하여 비상 액세스 계정을 사용하는 개인이 수행한 작업을 확인하여 해당 작업이 계정의 권한 있는 사용과 일치하는지 확인합니다.

정기적으로 계정 유효성 검사

응급 액세스 계정을 사용하도록 직원을 교육하는 것 외에도 권한 있는 직원이 응급 액세스 계정에 액세스할 수 있도록 유효성을 검사하는 지속적인 프로세스가 있습니다. 정기적으로 훈련을 수행하여 계정의 기능을 확인하고 계정이 오용될 경우 모니터링 및 경고 규칙이 트리거되는지 확인합니다. 최소한 정기적으로 다음 단계를 수행합니다.

• 보안 모니터링 직원이 계정 확인 작업이 진행 중임을 알고 있는지 확인합니다.
• 응급 액세스 계정 자격 증명을 사용할 권한이 있는 개인 목록을 검토하고 업데이트합니다.
• 이 계정을 사용할 수 있는 비상용 유리 깨기 절차가 문서화되어 있으며 최신 상태인지 확인합니다.
• 응급 상황 시, 이 단계를 수행해야 하는 관리자와 보안 담당자가 해당 프로세스에 대한 교육을 받도록 합니다.
• 응급 액세스 계정이 로그인하고 관리 작업을 수행할 수 있는지 확인합니다.
• 사용자가 개별 사용자의 디바이스 또는 개인 정보에 다단계 인증 또는 SSPR(셀프 서비스 암호 재설정)을 등록하지 않았는지 확인합니다.
• 로그인 또는 역할 활성화 중에 사용할 수 있도록 디바이스에 대한 다단계 인증에 계정이 등록된 경우 응급 상황에서 디바이스를 사용해야 하는 모든 관리자가 디바이스에 액세스할 수 있어야 합니다. 또한 디바이스가 공통 오류 모드를 공유하지 않는 두 개 이상의 네트워크 경로를 통해 통신할 수 있는지 확인합니다. 예를 들어 디바이스는 시설의 무선 네트워크 및 휴대 전화 공급자 네트워크 모두를 통해 인터넷과 통신할 수 있습니다.
• 정기적으로 모든 금고에 대한 조합을 변경하고 액세스 권한이 있는 사람이 조직을 떠난 후에 변경합니다.

정기적으로 및 주요 변경에 대해 다음 단계를 수행합니다.

• 최소 90일 간격
• 종료 후 또는 직책 변경과 같이 최근 IT 직원이 변경된 경우
• 조직의 Microsoft Entra 구독이 변경되는 경우

다음 단계

• 사용자가 필수 MFA에 설정되었는지 확인하는 방법
• 관리자 피싱 방지 다단계 인증 필요
• Microsoft Entra ID에서 하이브리드 및 클라우드 배포를 위한 권한 있는 액세스 보안
• Microsoft 365를 사용하는 경우 Microsoft 365에서 권한 있는 역할에 대한 추가 보호 구성
• 권한 있는 역할에 대한 액세스 검토를 시작하고기존의 권한 있는 역할 할당을 보다 구체적인 관리자 역할로 전환

관련 콘텐츠

• 복원력 있는 액세스 제어 관리 전략 만들기
• 권한 있는 계정에 대한 보안 작업
• Privileged Identity Management 배포 계획
• 조건부 액세스 배포 계획
• HIPAA 액세스 제어
• DORA 관련 Microsoft Entra 고객 고려 사항