위험 수정 및 사용자 차단 해제
조사를 완료한 후에는 위험 사용자를 수정하거나 차단을 해제하는 조치를 취해야 합니다. 조직은 위험 기반 정책을 설정하여 자동 수정을 활성화할 수 있습니다. 조직은 조직이 원하는 기간 내에 모든 위험 사용자를 조사하고 수정하도록 노력해야 합니다. 위험을 처리할 때는 시간이 중요하므로 Microsoft에서는 빠른 조치를 취할 것을 권장합니다.
위험 수정
모든 활성 위험 검색은 사용자의 위험 수준 계산에 영향을 줍니다. 사용자 위험 수준은 사용자 계정이 손상될 가능성을 나타내는 지표(낮음, 중간, 높음)입니다. 위험한 사용자와 그에 따른 위험한 로그인 및 검색을 조사한 후에는 위험한 사용자를 수정하여 해당 사용자가 더 이상 위험에 노출되지 않고 액세스가 차단되지 않도록 해야 합니다.
Microsoft Entra ID Protection은 일부 위험 검색 및 그에 따른 위험한 로그인을 위험 상태 해제됨과 위험 세부 정보 Microsoft Entra ID 보호에서 로그인하기에 안전하다고 평가됨을 통해 해제됨으로 표시합니다. 해당 이벤트가 더 이상 위험하다고 판단되지 않았기 때문에 이 작업을 수행합니다.
관리자는 다음 수정 옵션을 사용할 수 있습니다.
- 사용자가 위험을 자체적으로 해결할 수 있도록 위험 기반 정책을 설정합니다.
- 암호를 수동으로 재설정합니다.
- 사용자 위험을 해제합니다.
- Microsoft Defender for Identity에서 수정하세요.
위험 기반 정책을 통한 자체 해결
위험 기반 정책을 설정하여 사용자가 로그인 위험과 사용자 위험을 자체적으로 해결하도록 허용할 수 있습니다. 사용자가 다단계 인증이나 보안 암호 변경 등 필수 액세스 제어를 통과하면 위험이 자동으로 수정됩니다. 해당 위험 감지, 위험한 로그인 및 위험한 사용자는 위험 대신 위험 상태 수정됨으로 보고됩니다.
위험 자체 수정을 허용하기 위해 위험 기반 정책을 적용하기 전에 사용자를 위한 필수 조건은 다음과 같습니다.
- MFA를 수행하여 로그인 위험을 자체 수정하려면 다음을 수행합니다.
- 사용자는 Microsoft Entra 다단계 인증에 등록되어 있어야 합니다.
- 사용자 위험을 자체 수정하기 위해 보안 암호 변경을 수행하려면 다음을 수행합니다.
- 사용자는 Microsoft Entra 다단계 인증에 등록되어 있어야 합니다.
- 온-프레미스에서 클라우드로 동기화되는 하이브리드 사용자의 경우 비밀번호 쓰기 저장을 사용하도록 설정해야 합니다.
위의 필수 조건이 충족되기 전에 로그인하는 동안 위험 기반 정책이 사용자에게 적용되면 사용자가 차단됩니다. 이 차단 작업은 필요한 액세스 제어를 수행할 수 없으며 사용자 차단을 해제하려면 관리자 개입이 필요하기 때문입니다.
위험 기반 정책은 위험 수준에 따라 구성되며 로그인 또는 사용자의 위험 수준이 구성된 수준과 일치하는 경우에만 적용됩니다. 일부 검색은 정책이 적용되는 수준으로 위험을 발생시키지 않을 수 있으며 관리자는 해당 위험 사용자를 수동으로 처리해야 합니다. 관리자는 여러 위치에서 액세스를 차단하거나 정책에서 허용 가능한 위험을 줄이는 것과 같은 추가 조치가 필요하다고 결정할 수 있습니다.
셀프 서비스 암호 재설정을 사용하여 자체 수정
사용자가 SSPR(셀프 서비스 암호 재설정)에 등록된 경우 셀프 서비스 암호 재설정을 수행하여 사용자 위험을 수정할 수 있습니다.
수동 암호 다시 설정
사용자 위험 정책을 사용하여 암호 재설정을 요구하는 것이 옵션이 아니거나 시간이 중요한 경우 관리자는 암호 재설정을 요구하여 위험 사용자를 수정할 수 있습니다.
관리자는 다음 중에서 선택할 수 있는 옵션을 제공합니다.
임시 암호 생성
임시 암호를 생성하여 즉시 ID를 안전한 상태로 되돌릴 수 있습니다. 이 방법을 사용하려면 임시 암호가 무엇인지 알아야 하므로 영향을 받는 사용자에게 문의해야 합니다. 암호는 임시 암호이므로 사용자에게 다음 로그인 시 암호를 새 암호로 변경하라는 메시지가 표시됩니다.
Microsoft Entra 관리 센터에서 클라우드 및 하이브리드 사용자를 위한 암호를 생성할 수 있습니다.
암호 해시 동기화 및 사용자 위험 초기화를 위한 온-프레미스 암호 변경 허용 설정이 사용하도록 설정된 경우 온-프레미스 디렉터리에서 하이브리드 사용자를 위한 암호를 생성할 수 있습니다.
Warning
다음 로그온 시 암호를 변경해야 합니다 옵션을 선택하지 마세요. 지원되지 않습니다.
사용자에게 암호를 재설정하도록 요구
사용자에게 암호를 재설정하도록 요구하면 지원 센터 또는 관리자에게 문의하지 않고도 자체 복구가 가능합니다.
- 클라우드 및 하이브리드 사용자는 안전한 암호 변경을 완료할 수 있습니다. 이 방법은 이미 MFA를 수행할 수 있는 사용자에게만 적용됩니다. 등록하지 않은 사용자의 경우 이 옵션을 사용할 수 없습니다.
- 하이브리드 사용자는 암호 해시 동기화 및 온-프레미스 암호 변경을 허용하여 사용자 위험 재설정 설정이 사용하도록 설정된 경우 온-프레미스 또는 하이브리드 조인 Windows 디바이스에서 암호 변경을 완료할 수 있습니다.
온-프레미스 암호 재설정을 허용하여 사용자 위험 수정
암호 해시 동기화를 사용하도록 설정한 조직은 온-프레미스에서 암호 변경을 허용하여 사용자 위험을 수정할 수 있습니다.
이 구성은 조직에 두 가지 새로운 기능을 제공합니다.
- 위험한 하이브리드 사용자는 관리자 개입 없이 자체 수정이 가능합니다. 온-프레미스에서 암호가 변경되면 이제 Microsoft Entra ID Protection 내에서 사용자 위험이 자동으로 수정되어 현재 사용자 위험 상태가 다시 설정됩니다.
- 조직은 하이브리드 사용자를 자신있게 보호하기 위해 암호 변경이 필요한 사용자 위험 정책을 적극적으로 배포할 수 있습니다. 이 옵션은 복잡한 하이브리드 환경에서도 사용자 위험이 신속하게 해결되도록 보장하여 조직의 보안 태세를 강화하고 보안 관리를 간소화합니다.
이 설정을 구성하려면 다음을 수행합니다.
- 최소한 보안 운영자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>ID 보호>설정으로 이동합니다.
- 사용자 위험을 다시 설정하기 위해 온-프레미스 암호 변경 허용 확인란을 선택합니다.
- 저장을 선택합니다.
참고 항목
사용자 위험을 재설정하기 위해 온-프레미스 암호 변경을 허용하는 것은 선택 전용 기능입니다. 고객은 프로덕션 환경에서 활성화하기 전에 이 기능을 평가해야 합니다. 고객이 온프레미스 암호 변경 또는 재설정 흐름을 보호하는 것을 권장합니다. 예를 들어 사용자는 Microsoft Identity Manager 셀프 서비스 암호 재설정 포털과 같은 도구를 사용하여 온-프레미스에서 암호를 변경하도록 허용하기 전에 다단계 인증을 요구할 수 있습니다.
사용자 위험 해제
조사 후 사용자 계정이 손상될 위험이 없는 것으로 확인되면 위험 사용자를 삭제하도록 선택할 수 있습니다.
Microsoft Entra 관리 센터에서 보안 운영자 이상인 사용자의 위험을 해제하려면 보호>ID 보호>위험한 사용자로 이동하고, 영향을 받는 사용자를 선택한 다음, 사용자 위험 해제를 선택합니다.
사용자 위험 해제를 선택하면 사용자는 더 이상 위험에 노출되지 않으며 이 사용자의 모든 위험한 로그인 및 해당 위험 검색도 해제됩니다.
이 방법은 사용자의 기존 암호에 영향을 미치지 않으므로 사용자의 ID를 안전한 상태로 되돌리지 않습니다.
위험 해제에 따른 위험 상태 및 세부 정보
- 위험 사용자:
- 위험 상태: “위험” -> “해제됨”
- 위험 세부 정보(위험 수정 세부 정보): "-" -> "관리자가 사용자에 대한 모든 위험을 해제함"
- 해당 사용자의 모든 위험한 로그인 및 해당 위험 검색:
- 위험 상태: “위험” -> “해제됨”
- 위험 세부 정보(위험 수정 세부 정보): "-" -> "관리자가 사용자에 대한 모든 위험을 해제함"
손상된 사용자 확인
조사 후 계정이 손상된 것으로 확인된 경우:
- 위험한 로그인 또는 위험 사용자 보고서에서 이벤트 또는 사용자를 선택하고 "손상됨 확인"을 선택합니다.
- 위험 기반 정책이 트리거되지 않았고 위험이 자체 수정되지 않은 경우 다음 작업 중 하나 이상을 수행합니다.
- 암호 재설정 요청
- 공격자가 암호를 재설정하거나 사용자에 대해 다단계 인증을 수행할 수 있다고 의심되는 경우 사용자를 차단합니다.
- 새로 고침 토큰을 취소합니다.
- 손상된 것으로 간주되는 모든 디바이스를 사용하지 않습니다.
- 지속적인 액세스 평가를 사용하는 경우 모든 액세스 토큰을 취소합니다.
손상 확인 시 발생하는 작업에 대한 자세한 내용은 위험에 대한 위험 피드백을 제공하는 방법 섹션 을 참조하세요.
삭제된 사용자
관리자는 디렉터리에서 삭제된 사용자에 대한 위험을 해제할 수 없습니다. 삭제된 사용자를 제거하려면 Microsoft 지원 사례를 엽니다.
사용자 차단 해제
관리자는 위험 정책 또는 조사에 따라 로그인을 차단하도록 선택할 수 있습니다. 로그인 또는 사용자 위험에 따라 차단이 발생할 수 있습니다.
사용자 위험에 따라 차단 해제
사용자 위험으로 인해 차단된 계정을 차단 해제하는 경우 관리자에게 다음 옵션이 있습니다.
- 암호 재설정 - 사용자의 암호를 다시 설정할 수 있습니다. 사용자가 손상되었거나 손상될 위험이 있는 경우 계정과 조직을 보호하기 위해 사용자의 암호를 재설정해야 합니다.
- 사용자 위험 해제 - 액세스 차단을 위해 구성된 사용자 위험 수준에 도달하면 사용자 위험 정책이 사용자를 차단합니다. 조사 후 사용자가 손상될 위험이 없고 액세스를 허용해도 안전하다고 확신하는 경우 사용자 위험을 해제하여 사용자의 위험 수준을 줄일 수 있습니다.
- 정책에서 사용자 제외 - 로그인 정책의 현재 구성으로 인해 특정 사용자에게 문제가 발생하고 있으며 이 정책을 적용하지 않고 해당 사용자에게 액세스 권한을 부여하는 것이 안전하다고 생각되면 이 정책에서 해당 사용자를 제외할 수 있습니다. 자세한 내용은 방법: 위험 정책 구성 및 사용 문서에서 제외 섹션을 참조하세요.
- 정책 비활성화 - 정책 구성이 모든 사용자에 대해 문제를 일으킨다고 생각하는 경우 정책을 비활성화할 수 있습니다. 자세한 내용은 방법: 위험 정책 구성 및 사용 문서를 참조하세요.
로그인 위험에 따라 차단 해제
로그인 위험에 따라 계정의 차단을 해제하기 위해 관리자는 다음 옵션을 사용할 수 있습니다.
- 친숙한 위치 또는 디바이스에서 로그인 - 차단된 의심스러운 로그인에 대한 일반적인 이유는 알 수 없는 위치 또는 디바이스에서의 로그인 시도입니다. 사용자사용자는 친숙한 위치 또는 디바이스에서 로그인을 시도하여 차단 이유인지 여부를 빠르게 확인할 수 있습니다.
- 정책에서 사용자 제외 - 로그인 정책의 현재 구성으로 인해 특정 사용자에 관련된 문제가 발생하고 있다고 생각되면 로그인 정책에서 해당 사용자를 제외할 수 있습니다. 자세한 내용은 방법: 위험 정책 구성 및 사용 문서에서 제외 섹션을 참조하세요.
- 정책 비활성화 - 정책 구성이 모든 사용자에 대해 문제를 일으킨다고 생각하는 경우 정책을 비활성화할 수 있습니다. 자세한 내용은 방법: 위험 정책 구성 및 사용 문서를 참조하세요.
높은 신뢰도 위험으로 인한 자동 차단
Microsoft Entra ID Protection은 위험성이 매우 높은 로그인을 자동으로 차단합니다. 이 블록은 레거시 인증 프로토콜을 통해 수행된 로그인 및 악의적인 시도의 속성을 표시하는 경우에 가장 일반적으로 발생합니다.
사용자가 이 메커니즘으로 차단되면 50053 인증 오류가 발생합니다. 로그인 로그를 조사하면 "위험 신뢰도가 높아서 기본 제공 보호에 의해 로그인이 차단되었습니다."라는 블록 이유가 표시됩니다.
높은 신뢰도의 로그인 위험에 따라 계정을 차단 해제하려면 관리자에게 다음 옵션이 있습니다.
- 신뢰할 수 있는 위치 설정 에 로그인하는 데 사용되는 IP를 추가합니다. 회사의 알려진 위치에서 로그인을 수행하는 경우 신뢰할 수 있는 IP를 추가할 수 있습니다. 자세한 내용은 조건부 액세스: 네트워크 할당 문서의 신뢰할 수 있는 위치 섹션을 참조하세요.
- 최신 인증 프로토콜 사용 - 로그인이 레거시 프로토콜을 통해 수행되는 경우 최신 프로토콜로 전환하면 시도가 차단 해제됩니다.
토큰 도난 관련 검색
최근 검색 아키텍처가 업데이트됨에 따라 로그인 중에 토큰 도난 관련 또는 MSTIC(Microsoft 위협 인텔리전스 센터) 국가 IP 검색이 트리거되는 경우 더 이상 MFA 클레임이 있는 세션이 자동 연결되지 않습니다.
의심스러운 토큰 활동을 식별하는 다음 ID 보호 검색 또는 MSTIC 국가 상태 IP 검색은 더 이상 자동 수정되지 않습니다.
- Microsoft Entra 위협 인텔리전스
- 비정상적 토큰
- 중간에 있는 공격자
- MSTIC 국가 상태 IP
- 토큰 발급자 이상
ID 보호는 이제 로그인 데이터를 방출하는 검색에 대해 위험 검색 세부 정보 창에 세션 세부 정보를 표시합니다. 이 변경으로 인해 MFA 관련 위험이 있는 검색이 포함된 세션은 닫히지 않습니다. 사용자 수준 위험 세부 정보와 함께 세션 세부 정보를 제공하면 조사에 도움이 되는 중요한 정보를 얻을 수 있습니다. 여기에는 다음 정보가 포함됩니다.
- 토큰 발급자 유형
- 로그인 시간
- IP 주소
- 로그인 위치
- 로그인 클라이언트
- 로그인 요청 ID
- 로그인 상관 관계 ID
사용자 위험 기반 조건부 액세스 정책이 구성되어 있고 의심스러운 토큰 활동을 나타내는 이러한 검색 중 하나가 사용자에 대해 발생하는 경우 최종 사용자는 보안 암호를 변경하고 다단계 인증을 통해 계정을 다시 인증하여 위험을 제거해야 합니다.
PowerShell 미리 보기
Microsoft Graph PowerShell SDK 미리 보기 모듈을 사용하면 조직은 PowerShell을 통해 위험을 관리할 수 있습니다. 미리 보기 모듈 및 샘플 코드는 Microsoft Entra GitHub 리포지토리에서 찾을 수 있습니다.
리포지토리에 포함된 Invoke-AzureADIPDismissRiskyUser.ps1
스크립트를 사용하면 조직은 디렉터리에서 모든 위험 사용자를 삭제할 수 있습니다.