제로 트러스트 평가는 테넌트 구성을 확인하고 개요에 설명된 대로 보안을 개선하는 방법을 권장합니다.
필수 조건
- PowerShell 7. 설치하려면 Windows, Linux 및 macOS에 PowerShell 설치를 참조하세요.
- 처음으로 필요한 권한에 연결하고 동의하려면 전역 관리자여야 합니다.
- 후속 실행에서는 전역 읽기 권한자 역할을 사용할 수 있습니다.
- 이전 버전의 제로 트러스트 평가를 설치한 경우 계속하기 전에 제거 합니다.
PowerShell 모듈 설치
다음 단계에 따라 평가를 설치하거나 업데이트하고 Microsoft Graph 및 테넌트에 연결합니다.
새 PowerShell 7 창을 엽니다.
다음 명령을 실행하여
ZeroTrustAssessment모듈을 설치합니다.Install-Module ZeroTrustAssessment -Scope CurrentUser
Microsoft Graph 및 Microsoft Azure에 연결
제로 트러스트 평가 모듈을 실행하려면 Microsoft Graph 및 Microsoft Azure에 연결합니다. 제로 트러스트 평가 모듈은 먼저 Microsoft Graph에 연결한 다음, Microsoft Azure에 연결합니다.
다음 명령을 실행하여 Microsoft Graph에 연결합니다.
Connect-ZtAssessment
Microsoft Graph PowerShell을 사용하여 연결하는 경우 다음 권한을 요청합니다.
- AuditLog.Read.All
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All
- DirectoryRecommendations.Read.All
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.Read.All (위험한 사용자 ID 읽기 모든 권한)
- 정책.읽기.모두 (모든 정책 읽기)
- 정책.읽기.조건부액세스
- Policy.Read.PermissionGrant
- PrivilegedAccess.Read.AzureAD
- Reports.Read.All
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All (사용자 인증 방법 읽기 전부)
비고
동의 프롬프트는 Microsoft Graph PowerShell 앱에 아직 이러한 권한이 없는 경우에만 표시됩니다. 다음에 연결할 때는 권한에 다시 동의할 필요가 없습니다.
Microsoft Graph에 로그인
- Microsoft Graph에 전역 관리자로 로그인합니다.
- 수락을 선택합니다.
Microsoft Azure에 로그인
Microsoft Azure 로그인에 대한 두 번째 창이 열립니다. 메시지가 표시되면 Microsoft Azure에 전역 관리자로 로그인합니다.
감사 및 로그인 로그 내보내기를 확인하려면 Microsoft Azure 로그인이 필요합니다. Microsoft Azure가 없는 경우 로그인하지 않고 창을 닫고 경고를 무시합니다. 평가는 Microsoft Azure에 의존하는 테스트를 건너뜁니다.
여러 구독이 있는 경우 메시지가 표시되면 테넌트 및 구독을 선택합니다.
평가 실행
제로 트러스트 평가는 읽기 전용입니다. 모든 데이터를 실행하여 데스크톱에 로컬로 저장합니다. 평가가 완료되면 평가 보고서를 안전하게 저장하고 생성된 폴더와 해당 내용을 로컬 드라이브에서 삭제하는 것이 좋습니다.
첫 번째 실행에서 권한에 대한 전역 관리자 동의를 제공한 후에는 전역 읽기 권한자로 후속 실행을 수행할 수 있습니다.
평가를 실행하려면 다음 명령을 사용합니다.
Invoke-ZtAssessment
평가는 결과를 현재 작업 폴더 .\ZeroTrustReport\ZeroTrustAssessmentReport.html에 저장합니다. 평가가 완료되면 보고서가 기본 브라우저에서 자동으로 열립니다.
주의
보고서 및 내보내기 폴더에는 위협 행위자가 이점에 사용할 수 있는 중요한 테넌트 정보가 포함되어 있습니다. 조직의 권한 있는 담당자와만 보고서 및 폴더를 공유합니다.
매개 변수를 -Path 사용하여 평가 보고서를 저장할 사용자 지정 위치를 제공합니다. 예를 들어 다음 명령은 폴더 C:/MyAssessment01/ZeroTrustAssessmentReport.html에 보고서를 저장합니다.
Invoke-ZtAssessment -Path C:\MyAssessment01
팁 (조언)
대규모 테넌트에서 제로 트러스트 평가를 실행하는 데 24시간 이상이 걸릴 수 있습니다. 평가가 경고 또는 오류를 기록하더라도 실행 중인 동안 평가를 중지하지 마세요.
평가 결과 검토
평가가 실행되면 보고서는 기본 브라우저에서 개요 탭을 엽니다. 개요 탭에는 테넌트에 대한 제로 트러스트 정보가 표시됩니다.
ID 및 디바이스 탭에는 테넌트에 대해 실행되는 테스트의 결과 목록이 표시됩니다. 결과는 각 테스트의 위험 및 결과 상태를 보여 줍니다.
테스트에 대한 자세한 내용을 보려면 결과를 선택합니다. 자세한 내용은 테스트된 내용을 설명하고 테넌트 구성을 해결하기 위해 권장되는 수정 작업을 나열합니다. 각 검사에 사용되는 몇 가지 용어에 대한 자세한 내용은 용어집을 참조하세요.
제로 트러스트 평가 모듈 제거
제로 트러스트 평가 모듈을 제거하려면 다음을 수행합니다.
- PowerShell 모듈을 제거합니다.
- 앱 등록 및 동의를 제거합니다.
- 제로 트러스트 평가 모듈에서 만든 폴더를 삭제합니다.
자주 묻는 질문 (FAQ)
이전 버전 제거
다음 명령을 실행하여 이전 모듈의 모든 버전이 제거되었는지 확인합니다.
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
PowerShell을 다시 시작하고 최신 버전을 설치합니다.
파일 또는 어셈블리 Microsoft.Graph.Authentication을 로드할 수 없습니다.
이 오류는 충돌하는 버전의 Microsoft Graph PowerShell이 설치되어 있을 때 발생합니다.
이 오류를 해결하려면 시스템에 설치된 모든 Microsoft Graph PowerShell 모듈을 제거하는 것이 좋습니다. uninstall-graph.merill.net 같은 도우미 모듈을 사용하여 정리를 실행할 수 있습니다.
Microsoft Graph를 제거할 때 모든 버전의 제로 트러스트 평가도 제거하고 PowerShell을 다시 시작한 다음 최신 버전을 설치해야 합니다.
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
스크립트가 수행하는 작업을 어떻게 알 수 있나요?
이 평가의 코드는 오픈 소스입니다.
https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell에서 검토하세요.
"'DuckDB.NET.Data.DuckDBConnectionStringBuilder'의 형식 이니셜라이저가 예외를 발생시킨 이유는 무엇인가요?"
Windows를 새로 설치할 때 다음 오류가 표시될 수 있습니다.
'DuckDB.NET.Data.DuckDBConnectionStringBuilder'의 형식 이니셜라이저에서 예외가 발생했습니다. 내부 예외: DLL 'duckdb' 또는 해당 종속성 중 하나를 로드할 수 없습니다. 지정된 모듈을 찾을 수 없습니다. (0x8007007E) 내부 예외 유형: DllNotFoundException
이 오류는 포함되지 Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64않은 시스템에서 실행 중이므로 발생합니다. VCRedist는 일반적으로 Microsoft Office 또는 Microsoft Entra Connect Sync와 같은 Microsoft 제품을 설치할 때 설치됩니다. 새 디바이스를 사용하는 경우 이 구성 요소를 수동으로 설치해야 할 수 있습니다.
최신 Microsoft Visual C++ 재배포 가능 버전을 참조하세요.
ARM64 디바이스의 Windows에 대한 지원은 현재 사용할 수 없습니다.
어떻게 지원을 받을 수 있나요?
제로 트러스트 평가 GitHub 리포지토리에서 지원 문제를 제기합니다.