다음을 통해 공유

Microsoft 365 Lighthouse 포털 보안 구성

  • 아티클

MSP(관리 서비스 공급자)가 테넌트에게 액세스 권한을 위임한 경우 고객 데이터에 대한 액세스를 보호하는 것이 사이버 보안 우선 순위입니다. Microsoft 365 Lighthouse에는 Lighthouse 포털 보안을 구성하는 데 도움이 되는 필수 기능과 선택적 기능이 모두 제공됩니다. Lighthouse에 액세스하려면 먼저 MFA(다단계 인증)를 사용하도록 설정된 특정 역할을 설정해야 합니다. 필요에 따라 Microsoft Entra PIM(Privileged Identity Management) 및 조건부 액세스를 설정할 수 있습니다.

MFA(다단계 인증) 설정

블로그 게시물에서 설명한 대로 Pa$$word 중요하지 않습니다.

"암호는 중요하지 않지만 MFA는 그렇게 합니다. 연구에 따르면 MFA를 사용하는 경우 계정이 손상될 가능성이 99.9% 이상 낮습니다."

사용자가 Lighthouse에 처음 액세스할 때 Microsoft 365 계정이 아직 구성되지 않은 경우 MFA를 설정하라는 메시지가 표시됩니다. 사용자는 필요한 MFA 설정 단계가 완료될 때까지 Lighthouse에 액세스할 수 없습니다. 인증 방법에 대한 자세한 내용은 다단계 인증을 위해 Microsoft 365 로그인 설정을 참조하세요.

역할 기반 액세스 제어 설정

RBAC(역할 기반 액세스 제어)는 사용자 역할에 따라 리소스 또는 정보에 대한 액세스 권한을 부여합니다. Lighthouse의 고객 테넌트 데이터 및 설정에 대한 액세스는 CSP(클라우드 솔루션 공급자) 프로그램의 특정 역할로 제한됩니다. Lighthouse에서 RBAC 역할을 설정하려면 GDAP(세분화된 위임된 관리자 권한)를 사용하여 사용자를 위한 세분화된 할당을 구현하는 것이 좋습니다. 테넌트가 성공적으로 온보딩하려면 DAP(위임된 관리자 권한)가 여전히 필요하지만 GDAP 전용 고객은 DAP에 대한 종속성 없이 곧 온보딩할 수 있습니다. DAP 및 GDAP가 고객을 위해 공존하는 경우 GDAP 권한이 우선합니다.

GDAP 관계를 설정하려면 고객의 서비스를 관리하기 위한 세분화된 관리자 권한 가져오기를 참조하세요. Lighthouse를 사용하는 것이 좋습니다 역할에 대한 자세한 내용은 Microsoft 365 Lighthouse의 사용 권한 개요를 참조하세요.

MSP 기술자는 DAP(위임된 관리자 권한)를 통해 관리 에이전트 또는 기술 지원팀 에이전트 역할을 사용하여 Lighthouse에 액세스할 수도 있습니다.

Lighthouse의 비 고객 테넌트 관련 작업(예: 온보딩, 고객 비활성화/다시 활성화, 태그 관리, 로그 검토)의 경우 MSP 기술자는 파트너 테넌트에서 할당된 역할이 있어야 합니다. 파트너 테넌트 역할에 대한 자세한 내용은 Microsoft 365 Lighthouse의 사용 권한 개요 를 참조하세요.

Microsoft Entra PIM(Privileged Identity Management) 설정

MSP는 PIM을 사용하여 보안 정보 또는 리소스에 대한 높은 권한 역할 액세스 권한이 있는 사용자 수를 최소화할 수 있습니다. PIM은 악의적인 사용자가 리소스에 대한 액세스 권한을 얻거나 권한이 부여된 사용자가 실수로 중요한 리소스에 영향을 미칠 가능성을 줄입니다. 또한 MSP는 사용자에게 리소스에 액세스하고, 광범위하게 변경하고, 지정된 사용자가 권한 있는 액세스로 수행하는 작업을 모니터링할 수 있는 Just-In-Time 높은 권한 역할을 부여할 수 있습니다.

참고

Microsoft Entra PIM을 사용하려면 파트너 테넌트에서 Microsoft Entra ID P2 라이선스가 필요합니다.

다음 단계에서는 PIM을 사용하여 파트너 테넌트 사용자를 시간 범위 더 높은 권한 역할로 승격합니다.

  1. Microsoft Entra ID에서 역할을 할당하기 위한 그룹 만들기 문서에 설명된 대로 역할 할당 가능 그룹을 만듭니다.

  2. Microsoft Entra ID – 모든 그룹으로 이동하여 새 그룹을 높은 권한 역할에 대한 보안 그룹의 구성원으로 추가합니다(예: DAP용 관리 에이전트 보안 그룹 또는 GDAP 역할에 대한 유사한 해당 보안 그룹).

  3. 권한 있는 액세스 그룹에 대해 적격 소유자 및 구성원 할당 문서에 설명된 대로 새 그룹에 대한 권한 있는 액세스를 설정합니다.

PIM에 대한 자세한 내용은 Privileged Identity Management란?을 참조하세요.

위험 기반 Microsoft Entra 조건부 액세스 설정

MSP는 위험 기반 조건부 액세스를 사용하여 MFA를 사용하고 위험한 사용자(유출된 자격 증명 또는 Microsoft Entra 위협 인텔리전스별)로 검색될 때 암호를 변경하여 직원이 자신의 ID를 증명할 수 있도록 할 수 있습니다. 또한 사용자는 위험한 로그인으로 검색된 경우 익숙한 위치 또는 등록된 디바이스에서 로그인해야 합니다. 기타 위험한 동작으로는 악의적이거나 익명의 IP 주소 또는 비정형 또는 불가능한 이동 위치에서 로그인하거나, 비정상적인 토큰을 사용하거나, 암호 스프레이의 암호를 사용하거나, 다른 비정상적인 로그인 동작을 보이는 것이 포함됩니다. 사용자의 위험 수준에 따라 MSP는 로그인 시 액세스를 차단하도록 선택할 수도 있습니다. 위험에 대한 자세한 내용은 위험이란?을 참조하세요.

참고

조건부 액세스에는 파트너 테넌트에서 Microsoft Entra ID P2 라이선스가 필요합니다. 조건부 액세스를 설정하려면 Microsoft Entra 조건부 액세스 구성을 참조하세요.

관련 콘텐츠

암호 재설정 권한 (문서)
Microsoft 365 Lighthouse의 사용 권한 개요 (문서)
Microsoft 365 Lighthouse에서 Microsoft Entra 역할 보기 (문서)
Microsoft 365 Lighthouse에 대한 요구 사항 (문서)
Microsoft 365 Lighthouse 개요 (문서)
Microsoft 365 Lighthouse 등록 (문서)
Microsoft 365 Lighthouse FAQ (문서)