Microsoft Entra ID에서 사용자 액세스 권한 철회
관리자가 사용자의 모든 액세스 권한을 취소해야 하는 시나리오에는 계정 훼손, 직원 퇴사 및 기타 내부자 위협 등이 있습니다. 관리자는 해당 환경의 복잡성에 따라 다양한 단계를 수행하여 액세스 권한이 취소되었는지 확인할 수 있습니다. 일부 시나리오에서는 액세스 권한을 취소한 시점과 액세스 권한이 실제로 취소된 시점 사이에 간격이 발생할 수 있습니다.
위험 완화를 위해 토큰의 작동 방식을 이해해야 합니다. 이 문서에서 설명하는 패턴 중 하나에 속하는 다양한 종류의 토큰이 있습니다.
액세스 토큰과 새로 고침 토큰
액세스 토큰과 새로 고침 토큰은 씩 클라이언트 애플리케이션에서 자주 사용되며 단일 페이지 앱과 같은 브라우저 기반 애플리케이션에서도 사용됩니다.
- 사용자가 Microsoft Entra의 일부인 Microsoft Entra ID에 인증하면 사용자에게 특정 리소스에 대한 액세스 권한을 부여할 수 있는지 확인하기 위해 권한 부여 정책이 평가됩니다.
- 권한이 부여되면 Microsoft Entra ID는 리소스에 대한 액세스 토큰 및 새로 고침 토큰을 발급합니다.
- 인증 프로토콜이 허용하는 경우 앱은 액세스 토큰이 만료되면 Microsoft Entra ID에 새로 고침 토큰을 전달하여 사용자를 자동으로 다시 인증할 수 있습니다. 기본적으로 Microsoft Entra ID에서 발급한 액세스 토큰은 1시간 동안 지속됩니다.
- 그런 다음 Microsoft Entra ID는 권한 부여 정책을 다시 평가합니다. 사용자에게 여전히 권한이 있는 경우 Microsoft Entra ID는 새 액세스 토큰을 발급하고 토큰을 새로 고칩니다.
액세스 토큰은 일반적인 1시간 수명보다 짧은 기간 내에 해지해야 하는 경우 보안 위험을 초래할 수 있습니다. 이러한 이유로 Microsoft는 거의 실시간으로 액세스 토큰의 무효화를 보장하는 지속적인 액세스 권한 평가를 Office 365 애플리케이션에 제공하기 위해 적극적으로 노력하고 있습니다.
세션 토큰(쿠키)
대부분의 브라우저 기반 애플리케이션은 액세스 토큰과 새로 고침 토큰 대신 세션 토큰을 사용합니다.
사용자가 브라우저를 열고 Microsoft Entra ID를 통해 애플리케이션에 인증하면 사용자는 두 개의 세션 토큰을 받습니다. 하나는 Microsoft Entra ID에서, 다른 하나는 애플리케이션에서 가져옵니다.
애플리케이션이 자체 세션 토큰을 발급하면 애플리케이션은 권한 부여 정책에 따라 액세스를 제어합니다.
Microsoft Entra ID의 권한 부여 정책은 애플리케이션이 사용자를 Microsoft Entra ID로 다시 보낼 때마다 다시 평가됩니다. 일반적으로 재평가는 자동으로 이루어지지만 애플리케이션 구성 방법에 따라 빈도가 달라집니다. 세션 토큰이 유효한 동안에는 앱이 사용자를 Microsoft Entra ID로 다시 보내지 않을 수도 있습니다.
세션 토큰을 취소하려면 애플리케이션이 자체 권한 부여 정책에 따라 액세스 권한을 취소해야 합니다. Microsoft Entra ID는 애플리케이션에서 발급한 세션 토큰을 직접 철회할 수 없습니다.
하이브리드 환경에서 사용자의 액세스 권한 취소
Microsoft Entra ID와 동기화된 온-프레미스 Active Directory가 있는 하이브리드 환경의 경우 Microsoft는 IT 관리자가 다음 작업을 취하는 것이 좋습니다. Microsoft Entra 전용 환경이 있는 경우 Microsoft Entra 환경 섹션으로 건너뛰세요.
온-프레미스 Active Directory 환경
Active Directory의 관리자 권한으로 온-프레미스 네트워크에 연결하여 PowerShell을 열고, 다음 작업을 수행합니다.
Active Directory에서 사용자를 비활성화합니다. Disable-ADAccount를 참조하세요.
Disable-ADAccount -Identity johndoe
Active Directory에서 사용자 암호를 두 번 재설정합니다. Set-ADAccountPassword를 참조하세요.
참고 항목
사용자 암호를 두 번 변경하는 이유는 특히 온-프레미스 암호 복제가 지연될 때 Pass-the-Hash 위험을 완화하기 위한 것입니다. 이 계정이 훼손되지 않았다고 안전하게 가정할 수 있는 경우에는 암호를 한 번만 재설정해도 됩니다.
Important
다음 cmdlets에서 예제 암호를 사용하지 마세요. 암호를 임의의 문자열로 변경해야 합니다.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra 환경
Microsoft Entra ID의 관리자 권한으로서 PowerShell을 열고 Connect-MgGraph
를 실행한 후 다음 작업을 수행합니다.
Microsoft Entra ID에서 사용자를 사용하지 않도록 설정합니다. Update-MgUser를 참조하세요.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$false
사용자의 Microsoft Entra ID 새로 고침 토큰을 철회합니다. Revoke-MgUserSignInSession을 참조하세요.
Revoke-MgUserSignInSession -UserId $User.Id
사용자의 디바이스를 사용하지 않도록 설정합니다. Get-MgUserRegisteredDevice를 참조하세요.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
참고 항목
이러한 단계를 수행할 수 있는 특정 역할에 대한 자세한 내용은 Microsoft Entra 기본 제공 역할을 검토합니다.
참고 항목
Azure AD와 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.
Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.
액세스가 취소된 경우
관리자가 위의 단계를 수행하면 사용자는 Microsoft Entra ID에 연결된 애플리케이션에 대한 새 토큰을 얻을 수 없습니다. 취소 후 사용자가 액세스 권한을 잃을 때까지의 경과 시간은 애플리케이션에서 액세스 권한을 부여하는 방법에 따라 달라집니다.
액세스 토큰을 사용하는 애플리케이션의 경우 액세스 토큰이 만료되면 사용자가 액세스 권한을 잃게 됩니다.
세션 토큰을 사용하는 애플리케이션의 경우 토큰이 만료되는 즉시 기존 세션이 종료됩니다. 사용자의 사용 안 함 상태가 애플리케이션에 동기화되면 애플리케이션은 구성되어 있는 경우 사용자의 기존 세션을 자동으로 철회할 수 있습니다. 소요되는 시간은 애플리케이션과 Microsoft Entra ID 간의 동기화 빈도에 따라 다릅니다.
모범 사례
자동화된 프로비저닝 및 프로비저닝 해제 솔루션을 배포합니다. 특히 세션 토큰을 사용하거나 사용자가 Microsoft Entra 또는 Windows Server AD 토큰 없이 직접 로그인할 수 있도록 허용하는 애플리케이션의 경우, 애플리케이션에서 사용자 프로비전을 해제하는 것은 액세스 권한을 취소하는 효과적인 방법입니다. 자동 프로비전 및 프로비전 해제를 지원하지 않는 앱에 대한 사용자의 프로비전도 해제하는 프로세스를 개발합니다. 애플리케이션이 자체 세션 토큰을 철회하고 Microsoft Entra 액세스 토큰이 여전히 유효하더라도 수락을 중지하는지 확인합니다.
Microsoft Entra 앱 프로비전을 사용합니다. Microsoft Entra 앱 프로비전은 일반적으로 20~40분마다 자동으로 실행됩니다. SaaS 및 온-프레미스 애플리케이션에서 사용자의 프로비전을 해제하거나 비활성화하려면 Microsoft Entra 프로비전을 구성합니다. Microsoft Identity Manager를 사용하여 온-프레미스 애플리케이션에서 사용자 프로비전 해제를 자동화한 경우 Microsoft Entra 앱 프로비전을 사용하여 SQL 데이터베이스, 비 AD 디렉터리 서버 또는 기타 커넥터를 통해 온-프레미스 애플리케이션에 연결할 수 있습니다.
Windows Server AD를 사용하는 온-프레미스 애플리케이션의 경우 직원이 퇴사할 때 AD(미리 보기)에서 사용자를 업데이트하도록 Microsoft Entra 수명 주기 워크플로를 구성할 수 있습니다.
직원이 액세스할 수 없을 때 티켓을 개설하기 위해 Microsoft Entra 권한 관리를 사용하여 자동으로 ServiceNow 티켓 만들기와 같은 수동 프로비전 해제가 필요한 애플리케이션에 대한 프로세스를 식별하고 개발합니다. 관리자와 애플리케이션 소유자가 필요한 수동 작업을 신속하게 실행하여 필요할 때 이러한 앱에서 사용자의 프로비전을 해제할 수 있는지 확인합니다.
Microsoft Intune으로 디바이스 및 애플리케이션을 관리합니다. Intune 관리형 디바이스를 초기 설정으로 재설정할 수 있습니다. 디바이스가 관리형이 아니라면 관리형 앱에서 회사 데이터를 지울 수 있습니다. 이 프로세스는 최종 사용자의 디바이스에서 잠재적으로 중요한 데이터를 제거하는 데 효과적입니다. 그러나 두 프로세스 중 하나를 트리거하려면 디바이스가 인터넷에 연결되어 있어야 합니다. 디바이스가 오프라인 상태인 경우에도 로컬로 저장된 데이터에 액세스할 수 있습니다.
참고 항목
디바이스의 데이터는 한 번 지운 후에는 복구할 수 없습니다.
적절한 경우 Microsoft Defender for Cloud Apps를 사용하여 데이터 다운로드를 차단합니다. 데이터에 온라인으로만 액세스할 수 있는 경우, 조직은 세션을 모니터링하고 실시간 정책 시행을 달성할 수 있습니다.
Microsoft Entra ID의 CAE(지속적인 액세스 권한 평가)를 사용합니다. CAE를 사용하면 관리자가 CAE를 지원하는 애플리케이션에 대한 세션 토큰과 액세스 토큰을 취소할 수 있습니다.