Microsoft 관리 정책
2023년 10월 Microsoft 디지털 방어 보고서에 언급된 대로
... 디지털 평화에 대한 위협은 기술에 대한 신뢰를 감소시키고 모든 수준에서 개선된 사이버 방어에 대한 긴급한 필요성을 강조했습니다...
... Microsoft에서는 10,000명 이상의 보안 전문가가 매일 65조 개 이상의 신호를 분석합니다... 사이버 보안에서 가장 영향력 있는 인사이트를 제공합니다. 우리는 함께 혁신적인 행동과 집단 방어를 통해 사이버 복원력을 구축할 수 있습니다.
이 작업의 일환으로 전 세계 Microsoft Entra 테넌트에서 Microsoft 관리 정책을 사용할 수 있도록 하고 있습니다. 이러한 간소화된 조건부 액세스 정책은 다단계 인증을 요구하는 조치를 취하며 , 최근 연구에 따르면 손상 위험을 99% 이상 줄일 수 있습니다.
조건부 액세스 관리자 역할이 할당된 관리자는 Microsoft Entra 관리 센터의 Protection>조건부 액세스>정책에서 이러한 정책을 찾습니다.
관리자는 정책에서 상태(켜기, 끄기 또는 보고서 전용) 및 제외 ID(사용자, 그룹 및 역할)를편집 할 수 있습니다. 조직은 다른 조건부 액세스 정책과 동일한 방식으로 이러한 정책에서 긴급 상황 혹은 응급 액세스 계정을 제외해야 합니다. 조직이 Microsoft 관리 버전에서 허용되는 기본 변경 내용보다 더 많은 변경을 하려는 경우 이러한 정책을 복제할 수 있습니다.
Microsoft는 테넌트가 보고서 전용 상태로 남아 있는 경우 테넌트에 도입된 후 90일 이내에 이러한 정책을 사용하도록 설정합니다. 관리자는 이러한 정책을 더 빨리 켜기로 설정하거나 정책 상태를 끄기로 설정하여 옵트아웃할 수 있습니다. 정책이 사용하도록 설정되기 28일 전에 이메일과 메시지 센터 게시물을 통해 고객에게 알림이 전송됩니다.
참고 항목
경우에 따라 정책을 90일보다 빠르게 사용하도록 설정할 수 있습니다. 테넌트에 적용할 수 있는 경우 Microsoft 관리 정책에 대해 받은 전자 메일 및 M365 메시지 센터 게시물에 기록됩니다. 또한 Microsoft 관리 센터의 정책 세부 정보에도 언급됩니다.
정책
이러한 Microsoft 관리형 정책을 사용하면 관리자가 사용자를 제외하거나 보고서 전용 모드에서 켜기 또는 해제와 같은 간단한 수정 작업을 수행할 수 있습니다. 조직은 Microsoft 관리 정책의 이름을 바꾸거나 삭제할 수 없습니다. 관리자는 조건부 액세스 정책에 익숙해지면 정책을 복제하여 사용자 지정 버전을 만들 수도 있습니다.
시간이 지남에 따라 위협이 진화함에 따라 Microsoft는 새로운 기능과 기능을 활용하여 기능을 개선하기 위해 향후 이러한 정책을 변경할 수 있습니다.
Microsoft 관리 포털에 액세스하는 관리자를 위한 다단계 인증
이 정책은 높은 권한이 있는 것으로 간주하는 14개의 관리자 역할과 Microsoft 관리 포털 그룹에 액세스하고 다단계 인증을 수행해야 하는 관리자 역할을 다룹니다.
이 정책은 보안 기본값을 사용하도록 설정되지 않은 Microsoft Entra ID P1 및 P2 테넌트가 대상입니다.
팁
다단계 인증을 요구하는 Microsoft 관리 정책은 2024년 10월에 점진적 출시를 시작한 2024년에 만든 Azure 로그인에 대한 필수 다단계 인증 발표와 다릅니다. 해당 적용에 대한 자세한 내용은 Azure 및 기타 관리 포털에 대한 필수 다단계 인증 계획 문서에서 찾을 수 있습니다.
사용자별 다단계 인증 사용자에 대한 다단계 인증
이 정책은 Microsoft에서 더 이상 권장하지 않는 구성인 사용자별 MFA가 있는 사용자를 다룹니다. 조건부 액세스는 다양한 추가 기능을 통해 더 나은 관리 환경을 제공합니다. 조건부 액세스에 모든 MFA 정책을 통합하면 MFA를 요구하는 대상을 더욱 구체적으로 지정하여 보안 태세를 유지하면서 최종 사용자의 마찰을 줄이는 데 도움이 될 수 있습니다.
이 정책은 다음을 대상으로 합니다.
- Microsoft Entra ID P1 및 P2를 사용하여 사용자에게 라이선스를 부여한 조직
- 보안 기본값이 사용하도록 설정되지 않은 조직
- 사용자당 MFA 사용 또는 적용된 사용자가 500개 미만인 조직
이 정책을 더 많은 사용자에게 적용하려면 정책을 복제하고 할당을 변경합니다.
팁
상단에 있는 연필 편집을 사용하여 Microsoft에서 관리하는 사용자별 다단계 인증 정책을 수정하면 업데이트 실패 오류가 발생할 수 있습니다. 이 문제를 해결하려면 정책의 제외된 ID 섹션에서 편집을 선택합니다.
위험한 로그인에 대한 다단계 인증 및 재인증
이 정책은 모든 사용자를 포괄하며, 고위험 로그인을 감지할 때 MFA 및 재인증이 필요합니다. 이 경우 위험이 높다는 것은 사용자가 로그인한 방식이 일반적이지 않다는 의미입니다. 이러한 고위험 로그인에는 매우 비정상적인 여행, 암호 스프레이 공격 또는 토큰 리플레이 공격이 포함될 수 있습니다. 이러한 위험 정의에 대한 자세한 내용은 위험 검색이란 문서를 참조하세요.
이 정책은 보안 기본값을 사용하도록 설정되지 않은 Microsoft Entra ID P2 테넌트가 대상입니다.
- P2 라이선스가 총 MFA 등록 활성 사용자와 같거나 초과하는 경우 정책에는 모든 사용자가 포함됩니다.
- MFA에 등록된 활성 사용자가 P2 라이선스를 초과하는 경우 사용 가능한 P2 라이선스에 따라 제한된 보안 그룹에 정책을 만들고 할당합니다. 정책의 보안 그룹의 멤버 자격을 수정할 수 있습니다.
공격자가 계정을 인수하는 것을 방지하기 위해 Microsoft는 위험한 사용자가 MFA에 등록하는 것을 허용하지 않습니다.
보안 기본값 정책
다음 정책은 보안 기본값을 사용하여 업그레이드할 때 사용할 수 있습니다.
레거시 인증 차단
이 정책은 레거시 인증 프로토콜이 애플리케이션에 액세스하는 것을 차단합니다. 레거시 인증은 다음을 통해 이루어진 인증 요청을 의미합니다.
- 최신 인증을 사용하지 않는 클라이언트(예: Office 2010 클라이언트)
- IMAP, SMTP, POP3 등의 이전 메일 프로토콜을 사용하는 모든 클라이언트
- 레거시 인증을 사용한 모든 로그인 시도가 차단됩니다.
가장 많이 관찰된 손상된 로그인 시도는 레거시 인증에서 발생합니다. 레거시 인증은 다단계 인증을 지원하지 않으므로 공격자는 이전 프로토콜을 사용하여 MFA 요구 사항을 무시할 수 있습니다.
Azure 관리에 다단계 인증 필요
이 정책은 다음을 포함하여 Azure Resource Manager API를 통해 관리되는 다양한 Azure 서비스에 액세스하려고 하는 모든 사용자에게 적용됩니다.
- Azure Portal
- Microsoft Entra 관리 센터
- Azure PowerShell
- Azure CLI
이러한 리소스에 액세스하려는 경우 사용자는 MFA를 완료해야 액세스 권한을 얻을 수 있습니다.
관리자에 대해 다단계 인증 필요
이 정책은 높은 권한을 가진 것으로 간주되는 14개의 관리자 역할 중 하나를 가진 모든 사용자에게 적용됩니다. 이러한 권한이 높은 계정은 강력한 권한을 갖고 있기 때문에 애플리케이션에 로그인할 때마다 MFA를 수행해야 합니다.
모든 사용자에 대해 다단계 인증 필요
이 정책은 조직의 모든 사용자에게 적용되며 로그인할 때마다 MFA를 수행하도록 요구합니다. 대부분의 경우 세션은 디바이스에서 유지되며 사용자는 다른 애플리케이션과 상호 작용할 때 MFA를 완료할 필요가 없습니다.
이러한 정책의 효과를 어떻게 확인할 수 있나요?
관리자는 로그인 섹션에 대한 정책 영향을 확인하여 해당 환경에서 정책이 미치는 영향에 대한 간략한 요약을 볼 수 있습니다.
관리자는 Microsoft Entra 로그인 로그를 자세히 살펴보고 조직에서 이러한 정책이 작동하는지 확인할 수 있습니다.
- Microsoft Entra 관리 센터에 보고서 읽기 권한자 이상의 권한으로 로그인합니다.
- ID>모니터링 및 상태>로그인 로그로 이동합니다.
- 검토할 특정 로그인을 찾습니다. 필터 및 열을 추가하거나 제거하여 불필요한 정보를 필터링합니다.
- 범위를 좁히려면 다음과 같은 필터를 추가합니다.
- 상관 관계 ID - 조사할 특정 이벤트가 있는 경우입니다.
- 조건부 액세스 - 정책 실패 및 성공을 확인합니다. 결과를 제한하는 실패만 표시하도록 필터 범위를 지정합니다.
- 사용자 이름 - 특정 사용자와 관련된 정보를 확인합니다.
- 날짜 - 해당 시간 프레임으로 범위가 지정됩니다.
- 범위를 좁히려면 다음과 같은 필터를 추가합니다.
- 사용자의 로그인에 해당하는 로그인 이벤트가 발견되면 조건부 액세스 탭을 선택합니다. 조건부 액세스 탭에는 로그인이 중단되게 만든 특정 정책이 표시됩니다.
- 자세히 조사하려면 정책 이름을 클릭하여 정책 구성으로 드릴다운합니다. 정책 이름을 클릭하면 검토 및 편집을 위해 선택한 정책에 대한 정책 구성 사용자 인터페이스가 표시됩니다.
- 조건부 액세스 정책 평가에 사용된 클라이언트 사용자 및 디바이스 세부 정보는 기본 정보, 위치, 디바이스 정보, 인증 세부 정보, 로그인 이벤트의 추가 세부 정보 탭에서도 사용할 수 있습니다.
일반적인 질문
조건부 액세스란?
조건부 액세스는 조직에서 리소스에 액세스할 때 보안 요구 사항을 적용할 수 있도록 하는 Microsoft Entra의 기능입니다. 조건부 액세스는 일반적으로 다단계 인증, 디바이스 구성 또는 네트워크 위치 요구 사항을 적용하는 데 사용됩니다.
이러한 정책은 논리적인 조건문으로 간주할 수 있습니다.
만약 할당(사용자, 리소스 및 조건)이 true인 경우 정책에 엑세스 제어(권한 부여 및/또는 세션) 제어를 적용합니다. 만약 사용자가 Microsoft 관리자 포털에 접속하고자 하는 관리자인 경우 사용자를 입증하기 위해 다단계 인증을 수행해야 합니다.
더 많은 변경을 하려면 어떻게 해야 하나요?
관리자는 정책 목록 보기의 중복 단추를 사용하여 이러한 정책을 복제하여 이러한 정책을 추가로 변경할 수 있습니다. 이 새 정책은 Microsoft 권장 위치에서 시작하여 다른 조건부 액세스 정책과 동일한 방식으로 구성할 수 있습니다. 이러한 변경 내용으로 실수로 보안 태세를 낮추지 않도록 주의하세요.
이 정책에는 어떤 관리자 역할이 적용되나요?
- 전역 관리자
- 애플리케이션 관리자
- 인증 관리자
- 대금 청구 관리자
- 클라우드 애플리케이션 관리자
- 조건부 액세스 관리자
- Exchange 관리자
- 기술 지원팀 관리자
- 암호 관리자
- 권한 있는 인증 관리자
- 권한 있는 역할 관리자
- 보안 관리자
- SharePoint 관리자
- 사용자 관리자
다단계 인증에 다른 솔루션을 사용하면 어떻게 되나요?
외부 인증 방법을 사용한 다단계 인증은 Microsoft 관리 정책의 MFA 요구 사항을 충족할 수 있습니다.
IdP(페더레이션 ID 공급자)를 통해 다단계 인증이 완료되면 구성에 따라 Microsoft Entra ID MFA 요구 사항을 충족할 수 있습니다. 자세한 내용은 Microsoft Entra ID MFA(다단계 인증) 컨트롤 을 페더레이션 IdPMFA 클레임을 사용하여 충족하는 방법을 참조하세요.
Certificate-Based 인증을 사용하는 경우 어떻게 하나요?
테넌트의 CBA(Certificate-Based 인증) 구성에 따라 단일 요소 또는 다단계로 작동할 수 있습니다.
- 조직에서 CBA를 단일 요소로 구성한 경우 사용자는 MFA를 충족하기 위해 두 번째 인증 방법을 사용해야 합니다. 단일 요소 인증서 기반 인증(CBA)을 사용한 MFA 허용 인증 방법 조합에 대한 자세한 내용은 MFA 단일 요소 인증서 기반 인증을 참조하세요.
- 조직에서 CBA를 다단계로 구성한 경우 사용자는 CBA 인증 방법으로 MFA를 완료할 수 있습니다.
참고 항목
CBA는 Microsoft Entra ID에서 MFA 지원 방법으로 간주되므로 CBA 인증 방법 범위의 사용자는 MFA를 사용하여 새 인증 방법을 등록해야 합니다. 다른 등록된 인증 방법 없이 단일 요소 CBA 사용자에 대해 MFA를 등록하려면 옵션을 참조하여단일 요소 인증서를 사용하여 MFA 기능을 가져옵니다.
사용자 지정 컨트롤을 사용하는 경우 어떻게 하나요?
사용자 지정 컨트롤은다단계 인증 클레임 요구 사항을 충족하지 않습니다. 조직에서 사용자 지정 컨트롤을 사용하는 경우외부 인증 방법으로 마이그레이션할