제로 트러스트 ID 및 디바이스 액세스 정책을 구현하기 위한 필수 구성 요소 작업

이 문서에서는 권장 제로 트러스트 ID 및 디바이스 액세스 정책을 사용하고 조건부 액세스를 사용하기 위해 관리자가 충족해야 하는 필수 구성 요소에 대해 설명합니다. 또한 최상의 SSO(Single Sign-On) 환경을 위해 클라이언트 플랫폼을 구성하는 데 권장되는 기본값에 대해서도 설명합니다.

필수 구성 요소

권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 사용하기 전에 organization 필수 조건을 충족해야 합니다. 나열된 다양한 ID 및 인증 모델에 대한 요구 사항은 서로 다릅니다.

  • 클라우드 전용
  • PHS(암호 해시 동기화) 인증을 사용하는 하이브리드
  • PTA(통과 인증)를 사용하는 하이브리드
  • 페더레이션

다음 표에서는 언급된 경우를 제외하고 모든 ID 모델에 적용되는 필수 구성 요소 기능 및 해당 구성에 대해 자세히 설명합니다.

구성 예외 라이선싱
PHS를 구성합니다. 이 기능은 유출된 자격 증명을 검색하고 위험 기반 조건부 액세스에 대해 작동하도록 설정해야 합니다. 참고: 이는 organization 페더레이션 인증을 사용하는지 여부에 관계없이 필요합니다. 클라우드 전용 Microsoft 365 E3 혹은 E5
원활한 Single Sign-On을 사용하도록 설정하여 사용자가 organization 네트워크에 연결된 organization 디바이스에 있을 때 자동으로 로그인합니다. 클라우드 전용 및 페더레이션됨 Microsoft 365 E3 혹은 E5
명명된 위치를 구성합니다. Microsoft Entra ID Protection 사용 가능한 모든 세션 데이터를 수집하고 분석하여 위험 점수를 생성합니다. Microsoft Entra ID 명명된 위치 구성에서 네트워크에 대한 organization 공용 IP 범위를 지정하는 것이 좋습니다. 이러한 범위에서 들어오는 트래픽에는 위험 점수가 감소하고 organization 환경 외부의 트래픽에는 더 높은 위험 점수가 부여됩니다. Microsoft 365 E3 혹은 E5
SSPR(셀프 서비스 암호 재설정) 및 MFA(다단계 인증)에 대한 모든 사용자를 등록합니다. Microsoft Entra 다단계 인증을 위해 사용자를 미리 등록하는 것이 좋습니다. Microsoft Entra ID Protection Microsoft Entra 다단계 인증을 사용하여 추가 보안 확인을 수행합니다. 또한 최상의 로그인 환경을 위해 사용자가 디바이스에 Microsoft Authenticator 앱과 Microsoft 회사 포털 앱을 설치하는 것이 좋습니다. 각 플랫폼에 대한 앱 스토어에서 설치할 수 있습니다. Microsoft 365 E3 혹은 E5
Microsoft Entra 하이브리드 조인 구현을 계획합니다. 조건부 액세스는 앱에 연결하는 디바이스가 도메인에 가입되었거나 규정을 준수하는지 확인합니다. Windows 컴퓨터에서 이를 지원하려면 디바이스를 Microsoft Entra ID 등록해야 합니다. 이 문서에서는 자동 장치 등록을 구성하는 방법에 대해 설명합니다. 클라우드 전용 Microsoft 365 E3 혹은 E5
사용자의 지원 팀 준비. MFA를 완료할 수 없는 사용자에 대한 계획을 시행합니다. 정책 제외 그룹에 추가하거나 새 MFA 정보를 등록할 수 있습니다. 이러한 보안에 민감한 변경 내용을 적용하기 전에 실제 사용자가 요청을 하고 있는지 확인해야 합니다. 사용자의 관리자에 대해 승인을 통해 도움을 주도록 요구하는 것이 효과적인 단계입니다. Microsoft 365 E3 혹은 E5
온-프레미스 AD에 대한 암호 쓰기 저장 구성. 비밀번호 쓰기 저장을 사용하면 Microsoft Entra ID 위험 수준이 높은 계정 손상이 감지될 때 사용자가 온-프레미스 암호를 변경하도록 요구할 수 있습니다. Microsoft Entra Connect 설정의 선택적 기능 화면에서 암호 쓰기 저장을 사용하도록 설정하거나 Windows PowerShell 통해 사용하도록 설정하는 두 가지 방법 중 하나로 Microsoft Entra Connect를 사용하여 이 기능을 사용하도록 설정할 수 있습니다. 클라우드 전용 Microsoft 365 E3 혹은 E5
Microsoft Entra 암호 보호를 구성합니다. Microsoft Entra 암호 보호는 알려진 약한 암호 및 해당 변형을 검색하고 차단하며 organization 관련된 추가 약한 용어를 차단할 수도 있습니다. 기본 전역 금지 암호 목록은 Microsoft Entra 테넌트에서 모든 사용자에게 자동으로 적용됩니다. 사용자 지정 금지 암호 목록에서 추가 항목을 정의할 수 있습니다. 사용자가 암호를 변경하거나 재설정하면 해당 금지된 암호 목록은 강력한 암호를 사용하도록 확인됩니다. Microsoft 365 E3 혹은 E5
Microsoft Entra ID Protection 사용하도록 설정합니다. Microsoft Entra ID Protection 사용하면 organization ID에 영향을 주는 잠재적 취약성을 감지하고 자동화된 수정 정책을 낮음, 중간 및 높은 로그인 위험 및 사용자 위험으로 구성할 수 있습니다. E5 보안 추가 기능을 사용하여 Microsoft 365 E5 또는 Microsoft 365 E3
Exchange Online 및 비즈니스용 SkypeOnline최신 인증을 사용하도록 설정합니다. 최신 인증은 MFA를 사용하기 위한 필수 구성 요소입니다. 최신 인증은 기본적으로 Office 2016 및 2019 클라이언트, SharePoint 및 비즈니스용 OneDrive 사용하도록 설정됩니다. Microsoft 365 E3 혹은 E5
Microsoft Entra ID 연속 액세스 평가를 사용하도록 설정합니다. 지속적인 액세스 평가는 활성 사용자 세션을 사전에 종료하고 거의 실시간으로 테넌트 정책 변경을 적용합니다. Microsoft 365 E3 혹은 E5

이 섹션에서는 사용자에게 최상의 SSO 환경을 제공하는 데 권장되는 기본 플랫폼 클라이언트 구성과 조건부 액세스를 위한 기술 필수 구성 요소에 대해 설명합니다.

Windows 장치

Azure는 온-프레미스 및 Microsoft Entra ID 모두에 대해 가능한 가장 원활한 SSO 환경을 제공하도록 설계되어 있으므로 Windows 11 또는 Windows 10(버전 2004 이상)를 권장합니다. 회사 또는 학교에서 발급한 디바이스는 Microsoft Entra ID 직접 가입하도록 구성해야 합니다. 또는 organization 온-프레미스 AD 도메인 조인을 사용하는 경우 해당 디바이스는 자동으로 자동으로 Microsoft Entra ID 등록하도록 구성되어야 합니다.

BYOD Windows 디바이스의 경우 사용자는 회사 또는 학교 계정 추가를 사용할 수 있습니다. Windows 11 또는 Windows 10 디바이스의 Google Chrome 브라우저 사용자는 Microsoft Edge 사용자와 동일한 원활한 로그인 환경을 얻기 위해 확장을 설치해야 합니다. 또한 organization 도메인에 가입된 Windows 8 또는 8.1 디바이스가 있는 경우 비 Windows 10 컴퓨터용 Microsoft Workplace Join을 설치할 수 있습니다. 패키지를 다운로드하여 Microsoft Entra ID 디바이스를 등록합니다.

iOS 장치

조건부 액세스 또는 MFA 정책을 배포하기 전에 사용자 디바이스에 Microsoft Authenticator 앱을 설치하는 것이 좋습니다. 최소한 사용자가 회사 또는 학교 계정을 추가하여 디바이스를 Microsoft Entra ID 등록하라는 요청을 받거나 Intune 회사 포털 앱을 설치하여 디바이스를 관리에 등록할 때 앱을 설치해야 합니다. 이는 구성된 조건부 액세스 정책에 따라 달라집니다.

Android 장치

조건부 액세스 정책을 배포하기 전에 또는 특정 인증 시도 중에 필요한 경우 사용자가 Intune 회사 포털 앱Microsoft Authenticator 앱을 설치하는 것이 좋습니다. 앱 설치 후 사용자에게 Microsoft Entra ID 등록하거나 Intune에 디바이스를 등록하라는 메시지가 표시될 수 있습니다. 이는 구성된 조건부 액세스 정책에 따라 달라집니다.

또한 organization 소유 디바이스는 Android for Work 또는 Samsung Knox를 지원하는 OEM 및 버전에서 표준화되어 메일 계정을 허용하고 Intune MDM 정책에 의해 관리 및 보호되는 것이 좋습니다.

다음 이메일 클라이언트는 최신 인증 및 조건부 액세스를 지원합니다.

플랫폼 클라이언트 버전/참고
Windows Outlook 2019, 2016

필수 업데이트

iOS iOS용 Outlook 최신
Android Android용 Outlook 최신
macOS Outlook 2019 및 2016
Linux 지원되지 않음

보안 문서 정책이 적용된 경우 다음 클라이언트를 사용하는 것이 좋습니다.

플랫폼 Word/Excel/PowerPoint OneNote OneDrive 앱 SharePoint 앱 OneDrive 동기화 클라이언트
Windows 11 또는 Windows 10 않음 지원됨 해당 없음 해당 없음 않음
Windows 8.1 지원됨 지원됨 해당 없음 해당 없음 지원
Android 지원됨 않음 않음 지원됨 해당 없음
iOS 지원됨 않음 않음 지원됨 해당 없음
macOS 지원 지원됨 해당 없음 해당 없음 지원되지 않음
Linux 지원되지 않음 지원되지 않음 지원되지 않음 지원되지 않음 지원되지 않음

Microsoft 365 클라이언트 지원

Microsoft 365의 클라이언트 지원에 대한 자세한 내용은 다음 문서를 참조하세요.

관리자 계정 보호

Microsoft 365 E3 또는 E5 또는 별도의 Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 수동으로 만든 조건부 액세스 정책을 사용하여 관리자 계정에 대해 MFA를 요구할 수 있습니다. 자세한 내용은 조건부 액세스: 관리자에게 MFA 필요 를 참조하세요.

조건부 액세스를 지원하지 않는 Microsoft 365 또는 Office 365 버전의 경우 모든 계정에 대해 MFA를 요구하도록 보안 기본값을 사용하도록 설정할 수 있습니다.

다음은 몇 가지 추가 권장 사항입니다.

  • Microsoft Entra Privileged Identity Management 사용하여 영구 관리 계정 수를 줄입니다.
  • 권한 있는 액세스 관리를 사용하여 중요한 데이터에 대한 고정 액세스 또는 중요한 구성 설정에 대한 액세스 권한이 있는 기존 권한 있는 관리자 계정을 사용할 수 있는 위반으로부터 organization 보호합니다.
  • 관리으로만 Microsoft 365 관리자 역할이 할당된 별도의 계정을 만들고 사용합니다. 관리자는 정기적인 비관리 사용을 위해 고유한 사용자 계정을 가지고 있어야 하며, 역할 또는 작업 기능과 관련된 작업을 완료하는 데 필요한 경우에만 관리 계정을 사용해야 합니다.
  • Microsoft Entra ID 권한 있는 계정을 보호하기 위한 모범 사례를 따릅니다.

다음 단계

2단계: 일반적인 제로 트러스트 ID를 구성하고 조건부 액세스 정책에 액세스합니다.

일반적인 제로 트러스트 ID 및 디바이스 액세스 정책 구성