테넌트 구성 디자인
Microsoft Entra ID 구성은 각 테넌트 내에서 수행됩니다. 구성 설정은 보안 및 액세스 정책을 제어합니다. 보안 및 액세스 정책을 문서화하여 해당되는 경우 테넌트 간에 일관성을 보장합니다.
테넌트 간 구성 일관성
중앙 관리 팀이 있는 대규모 EDU 환경에서는 대부분의 구성이 테넌트 간에 일관되도록 합니다.
관리를 간소화하고 중앙 IT 팀을 보다 효율적으로 만듭니다.
문제를 보다 쉽게 식별하고 해결할 수 있도록 합니다.
테넌트 간에 소프트웨어를 더 쉽게 개발, 테스트 및 배포할 수 있도록 합니다.
테넌트 전체에서 사용자 환경을 보다 일관되고 직관적으로 만듭니다.
한 테넌트에서 다른 테넌트로 사용자를 마이그레이션하는 프로세스를 용이하게 합니다.
중앙 IT 팀에서 표준으로 관리하고 테넌트별 IT 팀에서 조정할 수 있는 테넌트 구성에 대한 정책을 만듭니다. 테넌트별 관리 팀이 유연성을 가져야 할 수 있는 일부 영역에는 다음이 포함됩니다.
외부 파트너가 테넌트 액세스 허용 organization 다른 테넌트 액세스만 허용하는 정책이 있을 수 있지만 특정 지역에는 Microsoft Entra B2B 협업 허용 목록에 대한 지역별 공급업체가 필요할 수 있습니다.
필요한 액세스 정책 조정(예: 관리 디바이스가 테넌트 또는 지역별 보안 요구 사항을 충족하거나 관리 디바이스의 가용성을 고려하도록 요구).
새로운 기능(예: MyStaff 를 사용해 학교 책임자가 해당 학교의 교직원에 대한 특정 IT 작업을 처리하도록 하는 지역)을 파일럿합니다.
외부 ID 구성
외부 ID는 EDU organization 다른 테넌트 사용자와 같이 Microsoft Entra 테넌트 외부의 사용자를 나타냅니다. 여러 테넌트 간에 적용되는 대규모 EDU organization Microsoft Entra B2B(Business-to-Business) 협업을 사용하여 해당 테넌트 간에 액세스를 제공할 수 있습니다. Microsoft Entra B2B를 사용하면 자신의 데이터에 대한 제어를 유지하면서 organization 애플리케이션 및 서비스를 다른 organization 게스트와 안전하게 공유할 수 있습니다.
외부 공동 작업 제어
외부 공동 작업 설정을 사용하면 organization 다양한 유형의 사용자에 대한 게스트 초대를 켜거나 끌 수 있습니다. 게스트를 초대할 수 있는 역할을 할당하여 개별 사용자에게 초대를 위임할 수도 있습니다. 외부 공동 작업 설정은 Microsoft Entra ID 아래의 Microsoft Entra 관리 센터 관리됩니다.
게스트가 전역 주소 목록에 표시되도록 설정
다음 중 하나를 통해 GAL(전역 주소 목록)에 게스트(외부 사용자)를 표시할 수 있습니다.
Microsoft Entra B2B를 사용하여 사용자를 게스트로 초대(권장)
GAL 동기화 사용(권장되지 않음)
참고
GAL 동기화는 사용자 계정을 만들지 않습니다. 대신 생성되는 각 연락처는 테넌트의 개체 제한에 대해 계산되는 개체입니다.
보안 및 액세스 정책
ID 관련 공격이 너무 많이 발생하는 경우 보안 관리가 어려울 수 있습니다. 보안 기본값 및 액세스 정책을 사용하면 암호 스프레이, 재생 및 피싱과 같은 공격으로부터 organization 보다 쉽게 보호할 수 있습니다.
보안 기본값
보안 기본값은 사용자 고유의 ID 보안 스토리를 관리할 준비가 될 때까지 안전하게 보호하기 위해 organization 대신하여 관리하는 보안 설정을 제공합니다. 보안 기본값을 사용하도록 설정하면 다음과 같이 미리 구성된 정책 설정을 사용하여 organization 보호할 수 있습니다.
모든 사용자가 Azure Multi-Factor Authentication에 등록하도록 요구
관리자가 다단계 인증을 수행하도록 요구
레거시 인증 프로토콜 차단
필요한 경우 사용자가 다단계 인증을 수행하도록 요구
Azure Portal 액세스와 같은 권한 있는 활동 보호
organization 지금 보안 태세를 강화하려고 하고 강력한 보안을 구성하지 않은 경우 보안 기본값을 사용하도록 설정하는 것이 좋습니다. Microsoft Entra ID P1 또는 P2 라이선스를 사용하는 organization 현재 조건부 액세스 정책을 사용하여 조직 정책을 적용하는 경우 보안 기본값이 적합하지 않을 수 있습니다.
다음 이미지와 같이 Azure Portal 보안 기본값을 사용하도록 설정합니다.
IT 및 직원을 위한 관리되는 디바이스
테넌트에서 리소스를 보호하려면 알 수 없는 보호 수준이 있는 디바이스의 액세스를 방지합니다. 사용자가 organization 관리하는 디바이스를 사용하여 리소스에만 액세스할 수 있도록 디바이스 관리 솔루션을 구현합니다.
Microsoft Entra ID 디바이스를 관리되는 것으로 간주하기 위한 최소 요구 사항은 디바이스가 Microsoft Entra ID 등록된 경우입니다. 관리자는 Microsoft Entra ID 다음 유형의 디바이스 관리를 구현하도록 선택할 수 있습니다.
하이브리드 도메인에 가입되었습니다. organization 소유하고 온-프레미스 Active Directory 및 Microsoft Entra ID 모두에 조인된 디바이스입니다. 일반적으로 organization 구매하고 관리하며 System Center Configuration Manager 관리되는 디바이스입니다.
도메인 가입을 Microsoft Entra. organization 소유하고 organization Microsoft Entra 테넌트로 조인된 디바이스입니다. 일반적으로 organization 구매하고 관리하고, Microsoft Entra ID 조인하고, Microsoft Intune 같은 서비스에서 관리하는 디바이스입니다.
Microsoft Entra 등록되었습니다. 회사 리소스에 액세스하는 데 사용되는 organization 또는 개인 디바이스가 소유한 디바이스입니다. 일반적으로 회사 리소스에 액세스하는 데 사용되는 개인 디바이스입니다. 조직에서는 MDM(모바일 장치 관리)을 통해 디바이스를 등록하거나 리소스에 액세스하기 위해 등록하지 않고 MAM(모바일 애플리케이션 관리)을 통해 디바이스를 적용해야 할 수 있습니다. 이 기능은 Microsoft Intune 같은 서비스에서 제공할 수 있습니다.
자세한 내용은 통합 방법 선택을 참조하세요.
보안을 강화하려면 IT 및 직원을 위한 Microsoft Entra 조건부 액세스 정책을 만드는 것이 좋습니다. 조건부 액세스를 사용하면 액세스 권한을 부여하는 단일 정책을 만들 수 있습니다.
선택한 클라우드 앱.
선택한 사용자 및 그룹의 경우
관리되는 디바이스 필요.
관리자에게 MFA 사용
상승된 권한이 할당된 계정은 공격자에게 중요한 대상입니다. 권한 있는 계정 손상의 위험을 최소화하려면 Azure MFA(Multi-Factor Authentication)와 같은 강력한 인증 자격 증명을 사용하여 상승된 권한으로 모든 계정을 프로비전합니다.
최소한 다음 관리 역할에 MFA를 요구하는 조건부 액세스 정책을 만드는 것이 좋습니다.
청구 관리자
조건부 액세스 관리자
Exchange 관리자
전역 관리자
기술 지원팀(암호) 관리자
보안 관리자
SharePoint 관리자
사용자 관리자
사용자가 사용할 수 있는 다단계 인증 방법이 있는 경우 학생 레코드와 같은 중요한 정보에 액세스할 수 있는 사용자에게 MFA를 적용합니다.
위험 정책
관리자는 Microsoft Entra ID 사용하여 특정 유형의 위험으로부터 보호하는 정책을 만들 수 있습니다.
로그인 위험. ID 소유자가 지정된 인증 요청을 승인하지 않을 확률입니다.
사용자 위험. ID 또는 계정 제공이 손상되는 확률입니다.
로그인 위험 정책 및 사용자 위험 정책은 사용자 환경에서 위험 검색에 대한 응답을 자동화하고 사용자가 위험을 자체 수정할 수 있도록 합니다.
Microsoft 365 A5 라이선스(또는 Microsoft Entra ID P2 라이선스)가 있는 교육 조직은 Microsoft Entra ID Protection 사용하여 계정을 보호할 수 있습니다. 로그인 위험 기반 조건부 액세스 정책 및 사용자 위험 기반 조건부 액세스 정책을 만들 수도 있습니다.
위험 수준이 높은 사용자가 로그인 후 암호를 변경하도록 사용자 위험 정책을 구성합니다.
모범 사례
조건부 액세스 정책을 정의하여 로그인 위험 및 사용자 위험을 최소화하여 ID 보안 태세를 적용합니다. 여기에는 관리되는 디바이스 및 예상 위치를 통해서만 액세스할 수 있도록 하는 MFA 및 디바이스 기반 컨트롤에 대한 컨트롤이 포함되어야 합니다.
모든 애플리케이션에는 명시적 조건부 액세스 정책이 적용되어야 합니다.
동일한 요구 사항을 가진 여러 앱에 적용하여 조건부 액세스 정책 수를 최소화합니다.
실수로 인한 잠금의 영향을 완화하기 위해 긴급 액세스 계정을 설정하여 중단을 계획합니다.
보고서 전용 모드에서 조건부 액세스 정책을 구성합니다.
개별 환경에 대한 조건부 액세스 정책에 대한 일반적인 지침은 CA 모범 사례 및 Microsoft Entra 운영 가이드를 검사.
앱 등록
상승된 권한이 있는 사용자만 애플리케이션 갤러리에 애플리케이션을 추가하거나 애플리케이션 프록시 사용하도록 애플리케이션을 구성하는 등의 작업을 수행할 수 있습니다. 그러나 기본적으로 디렉터리의 모든 사용자는 애플리케이션 및 서비스 주체 개체를 등록할 수 있습니다. 또한 사용자 동의를 통해 organization 데이터에 액세스할 수 있는 애플리케이션에 대한 재량권도 있습니다.
권한이 없는 계정이 테넌트에서 애플리케이션 및 서비스 주체 개체를 만들 수 없도록 사용자 동의를 사용하지 않도록 설정하는 것이 좋습니다. 대신 팀 구성원에게 애플리케이션 관리자, 애플리케이션 개발자 또는 클라우드 애플리케이션 관리자 역할과 같은 애플리케이션 관리 역할을 위임합니다. 역할을 사용하면 organization 보안 및 ID 팀과의 동의를 중심으로 의사 결정 프로세스가 중앙 집중화됩니다.
앱 통합
가능하면 Microsoft Entra ID 작동하는 미리 구성된 앱을 찾을 수 있는 Microsoft Entra 애플리케이션 갤러리를 사용하여 지원되는 SaaS 애플리케이션을 통합합니다. Microsoft Entra 애플리케이션 갤러리에서 애플리케이션을 사용할 수 없는 경우 Microsoft Entra 관리 센터 목록에 없는 애플리케이션을 추가할 수 있습니다.
하이브리드 환경에서는 Microsoft Entra 애플리케이션 프록시를 사용하여 레거시 애플리케이션에 대한 보안 원격 액세스를 사용하도록 설정할 수 있습니다. 애플리케이션 프록시를 사용하면 사용자가 Microsoft Entra 계정을 사용하여 VPN 없이 온-프레미스 웹앱에 액세스할 수 있습니다.
또는 현재 다음 타사 애플리케이션 배달 또는 네트워크 솔루션을 사용하는 경우 레거시 앱에 대한 액세스를 보호할 수 있습니다.
테넌트 보안 디자인
위의 권장 사항 외에도 Microsoft Entra 관리 센터 다음 설정을 구성하여 테넌트도 추가로 잠그는 것이 좋습니다.
사용자 설정
| 설정 | 값 | 이유 |
|---|---|---|
| 관리 포털 | ||
| Microsoft Entra 관리 포털에 대한 액세스 제한 | 예 | 이 설정은 권한이 없는 계정이 Azure Portal Microsoft Entra ID 섹션에 액세스하지 못하도록 차단합니다. |
| LinkedIn 계정 연결 | 아니오 | 비즈니스 필요 없음 |
| 앱 등록 | ||
| 사용자가 애플리케이션을 등록할 수 있습니다. | 아니오 | 교육 조직의 경우 Microsoft는 권한이 없는 계정이 테넌트에서 애플리케이션 및 서비스 주체 개체를 만드는 것을 방지하는 것이 좋습니다. 대신 애플리케이션 관리자, 애플리케이션 개발자 또는 클라우드 애플리케이션 관리자 역할과 같은 애플리케이션 관리 역할에 팀 구성원을 명시적으로 할당합니다. |
외부 ID 설정
| 설정 | 값 | 이유 | |
|---|---|---|---|
| 동일한 organization 테넌트만 허용 | |||
| 게스트 권한은 제한됩니다. | 아니오 | 게스트는 잘 알려진 테넌트출신입니다. | |
| 관리자 및 게스트 초대자 역할의 사용자만 초대 가능 | 예 | 초대가 지정된 도메인에만 허용되는 경우 게스트 초대를 위임할 수 있습니다. | |
| 구성원은 초대할 수 있고 게스트는 초대할 수 있습니다. | 아니오 | 게스트 초대자 역할이 있는 특정 관리자 또는 관리자/사용자만 게스트를 초대할 수 있도록 허용하여 테넌트로 초대되는 사용자를 더 자세히 제어할 수 있습니다. | |
| 게스트에 메일 일회용 암호 사용(미리 보기) | 아니요 | 게스트는 잘 알려진 테넌트출신입니다. | |
| 사용자 흐름을 통해 게스트 셀프 서비스 등록 사용(미리 보기) | 아니오 | 초대는 지정된 도메인에만 허용되며 사용자 계정은 해당 다른 테넌트에서 Microsoft Entra 계정입니다. | |
| 공동 작업 제한 – 지정된 도메인에 대한 초대만 허용 | 가장 제한적인 | Microsoft는 B2B 협업 기능을 사용하여 테넌트 간에 액세스를 제공하는 여러 테넌트가 있는 대규모 조직에 이 설정을 권장합니다. 공동 작업 설정을 지정된 도메인에만 초대 허용(가장 제한적)으로 설정하면 허용 목록에 organization 일부인 모든 도메인이 포함되며, 이 도메인은 다른 도메인에 대한 초대를 자동으로 거부합니다. 또는 학교에서 다른 조직과 파트너십을 맺고 있는 경우 허용 목록에 초대를 추가하여 해당 조직에만 초대를 제한할 수 있습니다. |
|
| 자체 organization 외부에서 공동 작업 허용 | |||
| 게스트 권한은 제한됩니다. | 예 | 게스트는 자체 organization 외부에서 온 것일 수 있으며, 이 설정은 사용자, 그룹 또는 기타 디렉터리 개체 열거와 같은 특정 디렉터리 작업에서 게스트를 제한합니다. | |
| 관리자 및 게스트 초대자 역할의 사용자가 초대할 수 있음 | 아니오 | 모든 도메인에 초대를 보낼 수 있도록 협업 제한이 설정된 경우 위임된 관리자 그룹으로 초대를 제어하는 것이 좋습니다. | |
| 구성원은 초대할 수 있고 게스트는 초대할 수 있습니다. | 아니오 | 게스트 초대자 역할이 있는 특정 관리자 또는 관리자/사용자만 게스트를 초대할 수 있도록 허용하여 테넌트로 초대되는 사용자를 더 자세히 제어할 수 있습니다. | |
| 게스트에 메일 일회용 암호 사용(미리 보기) | 예 | 사용자 고유의 organization 외부에서 사용자를 초대하는 경우 OTP를 사용하는 것이 좋습니다. | |
| 사용자 흐름을 통해 게스트 셀프 서비스 서명 사용(미리 보기) | 아니오 | 게스트가 테넌트에서 셀프 서비스를 등록하도록 하는 것에 대한 초대를 제어하는 것이 좋습니다. | |
| 공동 작업 제한 – 모든 도메인에 초대를 보낼 수 있도록 허용 | 가장 포괄 | 파트너, 외부 컨설턴트, 기타 교육 조직 등과 공동 작업하는 경우와 같이 다른 여러 테넌트에서 공동 작업해야 하는 경우 권장 설정입니다. |
사용자 기능 미리 보기 설정
| 설정 | 값 | 이유 |
|---|---|---|
| 사용자는 내 앱 미리 보기 기능을 사용할 수 있습니다. | None/Selected/All | 설정은 내 앱 포털 및 해당 기능에 대한 사용 및 필요성에 따라 달라집니다. 내 앱 포털을 사용하여 직원 또는 학생을 포함한 모든 사람에게만 organization 클라우드 기반 앱에 대한 액세스를 제공할 수 있습니다. |
| 사용자는 결합된 보안 정보 등록 환경을 사용할 수 있습니다. | 전체 | 암호 없는 자격 증명과 같은 향상된 인증 방법 및 보안 정보 등록을 보호하기 위한 조건부 액세스를 사용하는 것이 좋습니다. |
| 관리자는 내 직원에 액세스할 수 있습니다. | None/Selected/All | 설정은 내 직원의 사용 및 요구 사항에 따라 달라집니다. 내 직원을 사용하여 직원에게 일반적인 기술 지원팀 작업을 위임하는 것이 좋습니다. 내 교직원을 사용하면 교직원이 Microsoft Entra 계정에 액세스할 수 있도록 학교 이사, 권한 등의 권한을 위임할 수 있습니다. 조직은 중앙 기술 지원팀에 의존하는 대신 암호 재설정 또는 전화 번호 변경과 같은 일반적인 작업을 학교 디렉터에게 위임할 수 있습니다. 내 직원을 사용하면 계정에 액세스할 수 없는 사용자는 기술 지원팀 또는 IT 직원이 필요하지 않은 몇 번의 선택으로 액세스 권한을 다시 얻을 수 있습니다. |
그룹 관리 설정
| 설정 | 값 | 이유 | |
|---|---|---|---|
| 셀프 서비스 그룹 관리 | |||
| 소유자는 액세스 패널 그룹 멤버 자격 요청을 관리할 수 있습니다. | 아니오 | EDU 테넌트에서 그룹은 구성 및 관리해야 하는 중요한 리소스 액세스(예: 학생 정보에 대한 액세스)를 가질 수 있습니다. 이러한 시나리오에는 사용자 시작 관리가 권장되지 않습니다. | |
| 액세스 패널 그룹 기능에 액세스하는 사용자 기능을 제한합니다. 관리자(전역, 그룹 및 사용자 관리)는 이 설정의 값에 관계없이 액세스할 수 있습니다. | 예 | EDU 테넌트에서 그룹은 구성 및 관리해야 하는 중요한 리소스 액세스(예: 학생 정보에 대한 액세스)를 가질 수 있습니다. 이러한 시나리오에는 사용자 시작 관리가 권장되지 않습니다. | |
| 보안 그룹 | |||
| 사용자는 Azure Portal에서 보안 그룹을 만들 수 있습니다. | 아니오 | EDU 테넌트에서 그룹은 구성 및 관리해야 하는 중요한 리소스 액세스(예: 학생 정보에 대한 액세스)를 가질 수 있습니다. 이러한 시나리오에는 사용자 시작 관리가 권장되지 않습니다. | |
| Azure Portal에서 구성원을 그룹 소유자로 할당할 수 있는 소유자 | 없음 | EDU 테넌트에서 그룹은 구성 및 관리해야 하는 중요한 리소스 액세스(예: 학생 정보에 대한 액세스)를 가질 수 있습니다. 이러한 시나리오에는 사용자 시작 관리가 권장되지 않습니다. | |
| Office 365 그룹 | |||
| 사용자는 Azure Portal에서 Office 365 그룹을 만들 수 있습니다. | 아니오 | EDU 테넌트에서 그룹은 구성 및 관리해야 하는 중요한 리소스 액세스(예: 학생 정보에 대한 액세스)를 가질 수 있습니다. 이러한 시나리오에는 사용자 시작 관리가 권장되지 않습니다. | |
| Azure Portal에서 구성원을 그룹 소유자로 할당할 수 있는 소유자 | 없음 | EDU 테넌트에서 그룹은 구성 및 관리해야 하는 중요한 리소스 액세스(예: 학생 정보에 대한 액세스)를 가질 수 있습니다. 이러한 시나리오에는 사용자 시작 관리가 권장되지 않습니다. |
엔터프라이즈 애플리케이션 설정
| 설정 | 값 | 이유 | |
|---|---|---|---|
| 엔터프라이즈 응용 프로그램 | |||
| 사용자는 대신 회사 데이터에 액세스하는 앱에 동의할 수 있습니다. | 아니오 | 동의가 필요한 애플리케이션은 관리 동의 요청 워크플로를 사용하여 설정된 소유권이 있는 정의된 프로세스를 통해 검토해야 합니다. | |
| 사용자는 소유한 그룹의 회사 데이터에 액세스하는 앱에 동의할 수 있습니다. | 아니오 | 동의가 필요한 애플리케이션은 관리 동의 요청 워크플로를 사용하여 설정된 소유권이 있는 정의된 프로세스를 통해 검토해야 합니다. | |
| 사용자는 액세스 패널 갤러리 앱을 추가할 수 있습니다. | 아니오 | EDU 테넌트에서 그룹은 구성 및 관리해야 하는 중요한 리소스 액세스(예: 학생 정보에 대한 액세스)를 가질 수 있습니다. 이러한 시나리오에는 사용자 시작 관리가 권장되지 않습니다. | |
| 관리 동의 요청(미리 보기) | |||
| 사용자는 동의할 수 없는 앱에 대한 관리자 동의를 요청할 수 있습니다. | 아니오 | 이 설정을 사용하도록 설정하면 테넌트 내의 모든 사용자가 동의를 요청할 수 있으며, 이로 인해 관리자에게 전송된 많은 동의 요청이 발생할 수 있습니다. 관리자가 요청을 관리할 수 없거나 관리하지 않으려는 경우 사용자는 혼동을 받을 수 있습니다. | |
| 관리자 동의 요청을 검토할 사용자 선택 | 해당 없음 | 관리 동의 요청 기능이 사용하도록 설정된 경우에만 적용할 수 있습니다. | |
| 선택한 사용자는 요청에 대한 메일 알림 받습니다. | 해당 없음 | 관리 동의 요청 기능이 사용하도록 설정된 경우에만 적용할 수 있습니다. | |
| 선택한 사용자는 요청 만료 미리 알림을 받게 됩니다. | 해당 없음 | 관리 동의 요청 기능이 사용하도록 설정된 경우에만 적용할 수 있습니다. | |
| 동의 요청은 (일) 후에 만료됩니다. | 해당 없음 | 관리 동의 요청 기능이 사용하도록 설정된 경우에만 적용할 수 있습니다. | |
| Office 365 설정 | |||
| 사용자는 Office 365 포털에서만 Office 365 앱을 볼 수 있습니다. | 아니오 | 내 앱 포털을 사용하는 경우 내 앱 Office 365 앱을 표시하려면 이 설정을 '아니요'로 설정해야 합니다. 내 앱 포털 개요앱/access-panel-deployment-plan |
ID 거버넌스 설정
마지막 액세스 패키지 할당이 손실될 때 발생하는 작업을 지정하여 액세스 패키지를 통해 추가된 외부 사용자의 수명 주기를 관리합니다.
| 설정 | 값 | 이유 |
|---|---|---|
| 외부 사용자가 이 디렉터리에 로그인하지 못하도록 차단 | 예 | 외부 사용자가 차단해야 하는 액세스 패키지에 대한 마지막 할당이 손실되면 테넌트에서 제거합니다. |
| 외부 사용자 제거 | 예 | 외부 사용자가 차단해야 하는 액세스 패키지에 대한 마지막 할당이 손실되면 테넌트에서 제거합니다. |
| 이 디렉터리에서 외부 사용자를 제거하기 전의 일 수 | 30 | 차단해야 하는 액세스 패키지에 대한 마지막 할당이 외부 사용자에게 손실되면 테넌트에서 제거합니다. |
암호 재설정 설정
| 설정 | 값 | 이유 | |
|---|---|---|---|
| 속성 | |||
| 셀프 서비스 암호 재설정 사용 | 사용자 선택 | 휴대폰을 텍스트에 사용할 수 있고 Microsoft Authenticator 앱을 설치하고 설정할 수 있는 모든 사용자에게 셀프 서비스 암호 재설정을 권장합니다. | |
| 인증 방법 | |||
| 다시 설정하는 데 필요한 메서드 수 | 2 | 두 가지 방법은 유용성과 보안 간의 균형을 제공합니다. | |
| 사용자가 사용할 수 있는 메서드 | 모바일 앱 알림, 모바일 앱 코드, 이메일 및 휴대폰(SMS에만 해당) | 모바일 앱은 가장 최신의 안전한 암호화 방법을 제공합니다. 그런 다음 전자 메일 또는 SMS를 다른 옵션으로 사용할 수 있습니다. EDU 테넌트에서 계정에 암호 없는 인증 방법을 배포하는 것이 좋습니다. 이렇게 하면 사용자 환경이 향상됩니다. |
|
| 등록 | |||
| 사용자가 로그인할 때 등록해야 합니까? | 예 | 이 값을 사용하면 첫 번째 로그인 시 SSPR에 등록을 제공하기 위해 계정이 중단됩니다. 이렇게 하면 일관된 기준선을 사용하여 계정을 온보딩하는 데 도움이 됩니다. | |
| 사용자에게 인증 정보를 다시 확인하라는 메시지가 표시되기 전의 일 수 | 180 | ||
| 알림 | |||
| 사용자에게 암호 재설정에 대해 알리시나요? | 예 | 알림은 이 중요한 자격 증명 관리 작업의 가시성을 제공합니다. | |
| 다른 관리자가 암호를 재설정할 때 모든 관리자에게 알리시나요? | 예 | 알림은 이 중요한 자격 증명 관리 작업의 가시성을 제공합니다. |
보안 설정
| 설정 | 값 | 이유 | |
|---|---|---|---|
| 인증 방법 정책 | |||
| FIDO2 보안 키 | 예 - 사용자 선택 | ||
| Microsoft Authenticator 암호 없는 로그인 | 예 - 사용자 선택 | ||
| 문자 메시지 | 아니오 | 이 기능을 사용해야 하는 모든 사용자에게 전화 번호를 할당해야 합니다. 이 기능에 대한 강력한 사용 사례가 없는 경우 전화 번호를 추가하는 오버헤드는 보증되지 않습니다. |