Microsoft 365 및 Entra ID 보안

최소 권한의 원칙 적용

별도의 관리자 계정 및 RBAC 역할을 사용하여 관리자 권한을 제한합니다. 직무에 필요한 역할만 부여합니다. Microsoft는 최대 5개의 전역 관리자 계정을 권장합니다. 도메인 또는 서비스 전체에서 관리자 자격 증명을 재사용하지 마십시오.

영향력: 사용자는 직무에 허용된 영역에만 액세스할 수 있어야 합니다. 관리자는 별도의 계정을 사용해야 합니다.

위치: Entra ID > 역할 및 관리자

참조:

• Microsoft Entra 기본 제공 역할 - Microsoft Entra ID
• 권한이 부여된 ID 관리 문서 - Microsoft Entra ID 거버넌스

인증 방법 구성

이 설정은 사용자가 환경에 액세스하는 데 사용할 수 있는 인증 방법을 구성합니다. 최소한 Microsoft Authenticator, 이메일 일회용 암호 및 임시 액세스 패스를 설정하여 옵션으로 전화 통화를 비활성화하는 것이 좋습니다.

위치: Entra ID > 보호 및 보안 > 인증 방법 > 정책

참조:

• Microsoft Authenticator에 대한 다단계 인증 푸시 알림에서 숫자 일치가 작동하는 방식 - Microsoft Entra ID
• 조건부 액세스로 보안 정보 등록 제어 - Microsoft Entra ID
• Microsoft Authenticator를 사용한 암호 없는 로그인 - Microsoft Entra ID

'보안 기본값'을 조건부 액세스 정책으로 대체

'Entra ID P1' 라이선스 이상을 사용할 경우 사용자 지정 조건부 액세스 정책을 만들어 보안을 강화할 수 있습니다. 이러한 정책을 만들려면 '보안 기본값'을 비활성화하고 Microsoft 템플릿에서 조건부 액세스 정책을 만들어 MFA 적용과 같은 작업을 수행해야 합니다. 이러한 정책을 생성할 때 모든 '비상 액세스' 계정 또는 그룹을 제외해야 합니다.

위치:

• Entra ID > 개요 > 속성
• Entra ID > 보호 및 보안 > 조건부 액세스

참조:

• 조건부 액세스 템플릿:

  • 레거시 인증 차단: 조건부 액세스를 통한 레거시 인증 차단 - Microsoft Entra ID
  • 관리자에 대해 MFA 요구: 조건부 액세스를 통해 관리자에 대해 MFA 요구 - Microsoft Entra ID
  • Azure 관리에 대해 MFA 요구: 조건부 액세스를 통해 Azure 관리에 대해 MFA 요구 - Microsoft Entra ID
  • 모든 사용자에 대해 MFA 요구: 조건부 액세스를 통해 모든 사용자에 대해 MFA 요구 - Microsoft Entra ID

• 조건부 액세스 정책 지침:

  • Microsoft Entra 조건부 액세스 배포 계획 - Microsoft Entra ID
  • 직장 또는 학교 계정 도움말 - Microsoft 지원
  • 등록 캠페인을 실행하여 Microsoft Authenticator를 설정하는 방법 - Microsoft Entra ID

장치를 등록하거나 연결하기 위해 MFA 요구

이렇게 설정하면 새 Windows 장치를 Entra ID에 연결하려는 사용자가 다단계 인증을 수행해야 합니다.

위치: Entra ID > 보호 및 보안 > 조건부 액세스

• 이름: 장치를 등록하거나 연결하려면 MFA가 필요합니다.
• 사용자: 모든 사용자는 '비상 접근' 계정 또는 그룹을 제외해야 합니다.
• 클라우드 앱 또는 작업: 사용자 작업 > 장치 등록 또는 연결.
• 조건: 없습니다.
• 액세스 제어 > 권한 부여: 다단계 인증이 필요합니다.

승인된 국가에서만 로그인 허용

사용자가 환경에 로그인할 수 있는 국가 수를 제한하여 계정 손상 위험을 줄이는 것이 좋습니다. 해외로 출장을 가는 직원이 없는 경우에는 조직 내 모든 사용자의 해외 액세스를 차단하여 자국 내에서만 액세스할 수 있도록 하십시오. 출장을 가는 사용자가 있는 경우 이러한 정책을 그룹별로 구현할 수 있습니다. 예를 들어, 모든 국가 또는 이동하는 특정 사용자 그룹에 대한 국가 하위 집합의 액세스를 허용하거나 사용자를 지리적 지역으로 나눠 지역별로 사용자의 액세스를 제한할 수 있습니다.

조건부 액세스 정책을 사용하여 이 작업을 수행할 수 있습니다. 명명된 위치 목록(예: "허용된 국가")을 만들고 액세스할 수 있는 국가를 추가합니다. 그런 다음 조건부 액세스 정책을 만들어 "허용된 국가" 및 "응급 사용자 또는 그룹"을 제외한 모든 클라우드 앱에 대한 모든 사용자의 액세스를 차단합니다.

위치: Entra ID > 보호 및 보안 > 조건부 액세스

고위험 사용자 차단

M365 사용자 위험 수준은 Entra ID에서 사용자 계정의 위험을 확인하는 데 도움이 되는 기능입니다. 이는 Entra ID 보호의 일부이며, IP 주소, 장치 상태, 의심스러운 활동 및 알려진 손상된 자격 증명과 같은 사용자 계정의 다양한 신호를 분석하여 수행됩니다.

사용자 위험 수준은 다음 세 가지 범주로 나뉩니다.

• 저위험: 저위험 사용자 계정은 합법적인 것으로 간주됩니다.
• 중간 위험: 중간 위험 사용자 계정은 합법적일 수 있지만, 위협 행위자에 의해 손상되거나 표적이 될 가능성이 더 높습니다.
• 고위험: 고위험 사용자 계정은 손상된 것으로 간주됩니다.

고위험으로 판정된 사용자 계정을 차단하고, 중간 위험으로 판정된 사용자는 보안 암호를 변경해야 하는 등의 조치를 취하는 것이 좋습니다.

위치: Entra ID > 보호 및 보안 > 조건부 액세스

참조:

• Microsoft Entra ID 보호 위험 기반 액세스 정책 - Microsoft Entra ID 보호

고위험 로그인 차단

M365 로그인 위험 수준은 Entra ID에 대한 개별 로그인 시도의 위험을 확인하는 데 도움이 되는 기능입니다. 이것은 Entra ID 보호의 일부분으로, 로그인 프로세스에서 다중 신호를 분석하여 위험 수준을 결정합니다.

로그인 위험 수준은 다음 세 가지 범주로 나뉩니다.

• 저위험: 저위험 로그인 시도는 합법적인 것으로 간주됩니다.
• 중간 위험: 중간 위험 로그인 시도는 합법적일 수 있지만 위협 행위자에 의해 손상되거나 표적이 될 가능성이 더 높습니다.
• 고위험: 고위험 로그인 시도는 손상된 것으로 간주됩니다.

고위험으로 판정된 로그인 시도는 차단하고, 중간 위험 로그인에는 다단계 인증(MFA)을 요구하는 것이 좋습니다.

위치: Entra ID > 보호 및 보안 > 조건부 액세스

참조:

• Microsoft Entra ID 보호 위험 기반 액세스 정책 - Microsoft Entra ID 보호

긴급 액세스 계정

조건부 액세스 정책에서 제외되는 긴급 액세스 관리자 계정을 사용하는 것이 좋습니다. 이러한 계정에는 '전역 관리자' 역할이 있어야 하며, 보안 암호 저장소에 저장되고 비상 시에만 사용되는 암호를 포함한 매우 길고 복잡한 암호로 보호되어야 합니다.

참조:

• 비상 액세스 관리자 계정 관리 - Microsoft Entra ID

암호 만료 정책 구성

암호 만료가 기업 정책 및 규정 준수 요구 사항과 일치하는지 확인합니다.

위치: Microsoft 365 관리 센터 > 설정 > 보안 및 개인 정보 보호

응용 프로그램 동의 및 권한 관리

기본적으로 모든 사용자는 타사 응용 프로그램 및 추가 기능에 권한을 부여할 수 있습니다. 이러한 행동은 위협 행위자가 악성 앱을 만들어 사용자에게 피싱 이메일을 보내 사용자의 사서함 및 파일에 대한 의도하지 않은 액세스를 제공하도록 유도할 수 있으므로, 위험할 수 있습니다. 이를 신뢰할 수 있는 게시자로 제한하거나 차단하여 관리자 동의를 요구하는 것이 좋습니다.

위치: Entra ID > 응용 프로그램 > 엔터프라이즈 응용 프로그램 > 동의 및 권한

참조:

• 응용 프로그램에 테넌트 전체 관리자 동의 부여 - Microsoft Entra ID

게스트에 대해 MFA 요구

침해된 타사 계정이 데이터에 액세스할 가능성을 줄이기 위해 환경 내의 리소스에 액세스하도록 초대된 게스트에 대해 MFA를 요구하는 것이 좋습니다. 이는 조건부 액세스 정책 템플릿을 사용하여 배포할 수 있습니다.

위치: Entra ID > 보호 및 보안 > 조건부 액세스