Microsoft Entra 권장 사항은 무엇인가요?
테넌트의 모든 설정과 리소스를 추적하는 것은 부담스러울 수 있습니다. Microsoft Entra 권장 사항 기능은 테넌트의 상태를 모니터링하는 데 도움이 되므로 사용자가 모니터링할 필요가 없습니다. 이러한 권장 사항은 테넌트가 안전하고 정상적인 상태인지 확인하는 동시에 Microsoft Entra ID에서 사용할 수 있는 기능의 가치를 최대화하는 데 도움이 됩니다.
이제 Microsoft Entra 권장 사항에 ID 보안 점수 권장 사항이 포함됩니다. 이러한 권장 사항은 테넌트의 보안에 대한 유사한 인사이트를 제공합니다. ID 보안 점수 권장 사항에는 여러 보안 요소를 기반으로 전체 점수로 계산되는 보안 점수가 포함됩니다. 자세한 내용은 ID 보안 점수란?을 참조하세요.
이러한 모든 Microsoft Entra 권장 사항은 다음에 대한 실행 가능한 지침과 함께 개인 설정 인사이트를 제공합니다.
- Microsoft Entra 관련 기능에 대한 모범 사례를 구현할 기회를 식별하는 데 도움이 됩니다.
- Microsoft Entra 테넌트 상태를 개선합니다.
- 시나리오에 맞게 구성을 최적화합니다.
이 문서에서는 Microsoft Entra 권장 사항을 사용하는 방법을 대략적으로 설명합니다.
작동 방식
Microsoft Entra ID는 매일 테넌트 구성을 분석합니다. 이 분석 중에 Microsoft Entra ID는 테넌트 구성을 보안 모범 사례 및 권장 사항 데이터와 비교합니다. 권장 사항이 테넌트에 적용 가능한 것으로 플래그가 지정된 경우 해당 권장 사항은 Microsoft Entra ID 개요 영역의 권장 사항 섹션에 표시됩니다. 권장 사항은 우선 순위에 따라 나열되므로 먼저 집중해야 할 부분을 빠르게 결정할 수 있습니다.
페이지 상단에 표시되는 ID 보안 점수는 테넌트의 상태를 숫자로 표현한 것입니다. ID 보안 점수에 적용되는 권장 사항은 페이지 하단의 표에 개별 점수가 제공됩니다. 이 점수는 합산되어 ID 보안 점수를 생성합니다. 자세한 내용은 ID 보안 점수란?을 참조하세요.
각 권장 사항에는 설명, 권장 사항 해결의 가치 요약, 단계별 작업 계획이 포함되어 있습니다. 해당하는 경우 권장 사항과 관련된 영향을 받는 리소스가 나열되므로 영향을 받는 각 영역을 해결할 수 있습니다. 권장 사항에 연결된 리소스가 없는 경우 영향을 받는 리소스 종류는 테넌트 수준이므로 단계별 작업 계획은 특정 리소스뿐만 아니라 전체 테넌트에 영향을 미칩니다.
권장 사항 가용성 및 라이선스 요구 사항
다음 표에 나열된 권장 사항은 현재 공개 미리 보기 또는 일반 공급으로 제공됩니다. 공개 미리 보기의 권장 사항에 대한 라이선스 요구 사항은 변경될 수 있습니다. 표에는 영향을 받는 리소스와 사용 가능한 설명서에 대한 링크가 나와 있습니다.
| 권장 | 영향을 받는 리소스 | 필요한 라이선스 | 가용성 |
|---|---|---|---|
| 조건부 액세스에서 Microsoft Purview 적응형 보호 및 내부 위험 조건 사용 | 사용자 | Microsoft 엔트라 프리미엄 P2 | 일반적으로 사용 가능 |
| 사용자별 MFA를 조건부 액세스 MFA로 변환 | 사용자 | 모든 라이선스 | 일반적으로 사용 가능 |
| AD FS에서 Microsoft Entra ID로 애플리케이션 마이그레이션 | 애플리케이션 | 모든 라이선스 | 일반적으로 사용 가능 |
| 앱 및 서비스 주체를 Azure AD Graph에서 Microsoft Graph로 마이그레이션 | 애플리케이션 | 모든 라이선스 | 공개 프리뷰 |
| ADAL에서 MSAL로 마이그레이션 | 애플리케이션 | 모든 라이선스 | 일반적으로 사용 가능 |
| MFA 서버에서 Microsoft Entra MFA로 마이그레이션 | 테넌트 수준 | 모든 라이선스 | 일반적으로 사용 가능 |
| Microsoft Authenticator로 마이그레이션 | 사용자 | 모든 라이선스 | 프리뷰 |
| 알려진 디바이스에서 MFA 프롬프트 최소화 | 사용자 | 모든 라이선스 | 일반적으로 사용 가능 |
| 사용하지 않는 애플리케이션 제거 | 애플리케이션 | Microsoft Entra 워크로드 ID Premium | 공개 프리뷰 |
| 애플리케이션에서 사용하지 않는 자격 증명 제거 | 애플리케이션 | Microsoft Entra 워크로드 ID Premium | 공개 프리뷰 |
| 만료되는 애플리케이션 자격 증명 갱신 | 애플리케이션 | Microsoft Entra 워크로드 ID Premium | 공개 프리뷰 |
| 만료되는 서비스 주체 자격 증명 갱신 | 애플리케이션 | Microsoft Entra 워크로드 ID Premium | 공개 프리뷰 |
Microsoft Entra는 테넌트에 적용되는 권장 사항만 표시하므로 지원되는 모든 권장 사항이 나열되지 않을 수도 있습니다.
Microsoft Entra 권장 사항은 Azure Advisor와 관련이 있나요?
Microsoft Entra 권장 사항 기능은 모범 사례에 따라 Azure 배포를 최적화하는 데 도움이 되는 개인 설정 클라우드 컨설턴트인 Azure Advisor의 Microsoft Entra 관련 구현입니다. Azure Advisor는 리소스 구성 및 사용 현황 데이터를 분석하여 Azure 리소스의 비용 효율성, 성능, 안정성 및 보안을 개선하는 데 도움이 되는 솔루션을 권장합니다.
Microsoft Entra 권장 사항은 유사한 데이터를 사용하여 Microsoft Entra 테넌트에 대한 Microsoft 모범 사례의 출시 및 관리를 지원하여 테넌트를 안전하고 정상적인 상태로 유지합니다. Microsoft Entra 권장 사항 기능은 테넌트의 보안, 상태 및 사용량에 대한 전체적인 보기를 제공합니다.
이메일 알림(미리 보기)
이제 Microsoft Entra 권장 사항은 새 권장 사항이 생성될 때 메일 알림 생성합니다. 이 새로운 미리 보기 기능은 각 권장 사항에 대해 미리 정해진 역할 집합으로 이메일을 보냅니다. 예를 들어 테넌트 애플리케이션의 상태와 관련된 권장 사항은 애플리케이션 관리자 역할이 있는 사용자에게 전송됩니다.
다음 표에서는 각 권장 사항에 대한 메일 알림 받는 Microsoft 기본 제공 역할을 나열합니다.
| 권장 사항 제목 | 대상 역할 |
|---|---|
| AAD Connect 사용되지 않음 | 하이브리드 ID 관리자 |
| 사용자별 MFA를 조건부 액세스 MFA로 변환 | 보안 관리자 |
| 둘 이상의 글로벌 관리자 지정 | 전역 관리자 |
| 사용자가 신뢰할 수 없는 애플리케이션에 동의하도록 허용 금지 | 전역 관리자 |
| 암호를 만료하지 마세요. | 전역 관리자 |
| 하이브리드인 경우 비밀번호 해시 동기화 활성화 | 하이브리드 ID 관리자 |
| 정책을 사용하여 레거시 인증 차단 | 조건부 액세스 관리자, 보안 관리자 |
| 셀프 서비스 암호 재설정 사용 | 인증 정책 관리자 |
| 모든 사용자가 다단계 인증을 완료할 수 있는지 확인 | 조건부 액세스 관리자, 보안 관리자 |
| 애플리케이션의 수명이 긴 자격 증명 | 전역 관리자 |
| 사용 중지된 Azure AD Graph API에서 Microsoft Graph로 애플리케이션 마이그레이션 | 애플리케이션 관리자 |
| AD FS에서 Microsoft Entra ID로 애플리케이션 마이그레이션 | 애플리케이션 관리자, 인증 관리자 하이브리드 ID 관리자 |
| 레거시 MFA 및 SSPR 정책에서 인증 방법 마이그레이션 | 전역 관리자 |
| ADAL에서 MSAL로 마이그레이션 | 애플리케이션 관리자 |
| MFA 서버에서 Microsoft Entra MFA로 마이그레이션 | 전역 관리자 |
| 사용되지 않는 Azure AD Graph API에서 Microsoft Graph로 서비스 주체 마이그레이션 | 애플리케이션 관리자 |
| MS Graph 버전 관리 | 전역 관리자 |
| 테넌트 MFA 최적화 | 보안 관리자 |
| 로그인 위험 정책을 사용하여 모든 사용자 보호 | 조건부 액세스 관리자, 보안 관리자 |
| 사용자 위험 정책으로 모든 사용자 보호 | 조건부 액세스 관리자, 보안 관리자 |
| 내부 위험 조건부 액세스 정책을 사용하여 테넌트 보호 | 조건부 액세스 관리자, 보안 관리자 |
| 애플리케이션에 대한 권한 초과 사용 권한 제거 | 전역 관리자 |
| 사용하지 않는 애플리케이션 제거 | 애플리케이션 관리자 |
| 애플리케이션에서 사용하지 않는 자격 증명 제거 | 애플리케이션 관리자 |
| 만료되는 애플리케이션 자격 증명 갱신 | 애플리케이션 관리자 |
| 만료되는 서비스 주체의 자격 증명 갱신하기 | 애플리케이션 관리자 |
| 관리자 역할용 MFA 필요 | 조건부 액세스 관리자, 보안 관리자 |
| 액세스 리뷰로 비활성 사용자 검토 | Identity Governance 관리자 |
| 자동 사용자 및 그룹 프로비저닝을 사용하여 앱 보호 및 관리 | 애플리케이션 관리자, IT 거버넌스 관리자 |
| 최소 권한 관리 역할 사용 | 권한 있는 역할 관리자 |
| 앱 게시자 확인 | 전역 관리자 |
조직에서 PIM(Privileged Identity Management)을 사용하는 경우 전자 메일 알림을 받으려면 받는 사람을 표시된 역할로 승격해야 합니다. 역할에 적극적으로 할당된 사람이 없는 경우 전자 메일이 전송되지 않습니다. 이러한 이유로 권장 사항을 정기적으로 확인하여 새 권장 사항을 알고 있는지 확인하는 것이 좋습니다.