Microsoft 365 및 Entra ID 보안
Microsoft 365 테넌트 및 기본 인증 시스템 Entra ID(Azure AD)에는 다양한 보안 수준을 구현할 수 있는 다양한 구성 옵션이 있습니다. 이러한 옵션 중 대부분은 기본적으로 활성화되어 있지 않습니다. 이 문서에서 사용 가능한 모든 보안 옵션을 다루거나 장치 관리 및 DLP(데이터 손실 방지)와 같은 기타 기술에 대해 설명하지는 않지만, ID 보호를 개선하고 BEC(Business 이메일 Compromise)의 가능성을 줄이는 데 도움이 되는 권장 설정에 대해 고객에게 지침을 제공합니다.
이 지침은 권장 설정과 선택적 설정의 두 섹션으로 나뉩니다. 모든 고객이 권장 설정을 구현할 것을 권장합니다. 또한 선택적 설정을 고려하고 조사하여 환경에 적합한 설정을 적용하는 것이 좋습니다.
환경에 대한 변경 사항을 고려하는 경우 Microsoft에서 제공하는 해당 설명서를 참조한 후 해당 조직에서 검토하고 테스트해야 합니다. 전체 조직에 앞서 테스트 계정, 파일럿 사용자 및 소규모 부서를 사용하여 일괄 변경을 수행하는 것이 좋습니다. 잠기지 않도록 아래 문서와 같이 비상 액세스 계정을 사용할 수 있는지 확인하십시오.
라이센스 지침
아래 구성 항목 중 일부는 사용 중인 라이선스에 관계없이 모든 M365 테넌트에서 사용할 수 있습니다. 그러나 대부분의 경우 테넌트에서 'Entra ID P1' 라이센스를 사용할 수 있어야 하며, 일부 라이센스는 'Entra ID P2' 라이센스가 필요합니다. 'Entra ID P1'은 M365 Business Premium E3/A3 번들에 포함되어 있으며, M365 E5/A5 번들에서 'Entra ID P2' 라이센스를 사용할 수 있습니다.
적어도 'Entra ID P1' 라이센스가 포함된 라이센스를 사용하지 않는 경우 Microsoft의 '보안 기본값'을 사용하는 것이 좋습니다. 이는 Microsoft에서 제어하는 기본 보안 정책 집합입니다. Microsoft Entra ID - Microsoft Entra에서 기본 보안 수준 제공을 참조하십시오.
Microsoft Alerts를 Sophos MDR 서비스에 통합할 때 'Entra ID P1'은 사용해야 하는 최소 사용권이지만 Microsoft에서 생성되는 알림의 양이 많기 때문에 'Entra ID P2'를 사용하는 것이 좋습니다. 이러한 경고의 예는 다음 문서를 참조하십시오.
추가 라이선스 정보는 Microsoft 라이선스 전문가에게 문의하는 것이 좋습니다.
권장 구성 항목
-
최소 권한의 원칙 적용
별도의 관리자 계정 및 RBAC 역할을 사용하여 관리자 권한을 제한합니다. 직무에 필요한 역할만 부여합니다. Microsoft는 최대 5개의 전역 관리자 계정을 권장합니다. 도메인 또는 서비스에서 관리자 자격 증명을 재사용하지 마십시오.
영향력: 사용자는 자신의 직무에 허용된 영역에만 액세스할 수 있어야 합니다. 관리자는 별도의 계정을 사용해야 합니다.
위치: Entra ID > 역할 및 관리자
참조:
-
인증 방법 구성
이 설정은 사용자가 환경에 액세스하는 데 사용할 수 있는 인증 방법을 구성합니다. 최소한 Microsoft Authenticator, 이메일 일회용 암호 및 임시 액세스 패스를 설정하여 옵션으로 Call-to-Phone을 비활성화하는 것이 좋습니다.
위치: Entra ID > 보호 및 보안 > 인증 방법 > 정책
참조:
-
'보안 기본값'을 조건부 액세스 정책으로 대체
'Entra ID P1' 라이선스 이상을 사용할 경우 사용자 지정 조건부 액세스 정책을 만들어 보안을 강화할 수 있습니다. 이러한 정책을 만들려면 '보안 기본값'을 비활성화하고 Microsoft 템플릿에서 조건부 액세스 정책을 만들어 MFA를 적용하는 등의 작업을 수행해야 합니다. 이러한 정책을 생성할 때 모든 '비상 접근' 계정이나 그룹을 제외해야 합니다.
위치:
- Entra ID > 개요 > 속성
- Entra ID > 보호 및 보안 > 조건부 액세스
참조:
-
조건부 액세스 서식 파일:
-
조건부 액세스 정책 지침:
-
장치를 등록하거나 연결하려면 MFA 필요
따라서 새 Windows 장치를 Entra ID에 가입하려는 사용자는 다단계 인증을 수행해야 합니다.
위치: Entra ID > 보호 및 보안 > 조건부 액세스
- 이름: 장치를 등록하거나 연결하려면 MFA가 필요합니다.
- 사용자: 모든 사용자는 '비상 접근' 계정 또는 그룹을 제외해야 합니다.
- 클라우드 앱 또는 작업: User 작업 > 장치 등록 또는 연결 을 선택합니다.
- 조건: 없습니다.
- 액세스 제어 > 부여: 다단계 인증 필요.
-
승인된 국가의 로그인만 허용
사용자가 사용자 환경에 로그인할 수 있는 국가 수를 제한하여 계정 손상 위험을 줄이는 것이 좋습니다. 해외로 여행하는 직원이 없는 경우 조직의 모든 사용자가 자국 외부의 환경에 액세스하지 못하도록 합니다. 이동하는 사용자가 있는 경우 그룹별로 이러한 정책을 구현할 수 있습니다. 예를 들어, 모든 국가 또는 특정 사용자 그룹에 대한 국가 하위 집합의 액세스를 허용하거나 사용자를 지리적 지역으로 나눠 지역별로 액세스를 제한할 수 있습니다.
조건부 액세스 정책을 사용하여 이를 달성할 수 있습니다. 이름이 지정된 위치 목록(예: "허용된 국가")을 만들고 액세스하려는 국가를 추가합니다. 그런 다음 "허용된 국가" 및 "비상 사용자 또는 그룹"을 제외한 모든 클라우드 앱에 대한 모든 사용자의 액세스를 차단하는 조건부 액세스 정책을 만듭니다.
경고
모든 사용자에게 적용하기 전에 이 정책을 신중하게 테스트하십시오.
위치: Entra ID > 보호 및 보안 > 조건부 액세스
-
고위험 사용자 차단
M365 사용자 위험 수준은 Entra ID에서 사용자 계정의 위험을 결정하는 데 도움이 되는 기능입니다. 이 기능은 Entra ID Identity Protection의 일부이며 IP 주소, 장치 상태, 의심스러운 활동 및 알려진 손상된 자격 증명과 같은 사용자 계정의 다양한 신호를 분석하여 수행됩니다.
사용자 위험 수준은 세 가지 범주로 나뉩니다.
- 저위험: 저위험 사용자 계정은 합법적인 것으로 간주됩니다.
- 중간 위험: 중간 위험 사용자 계정은 합법적일 수 있지만 위협 행위자의 공격 대상이 될 가능성이 높습니다.
- 고위험: 고위험 사용자 계정은 손상된 것으로 간주됩니다.
위험성이 높은 사용자 계정을 차단하고 위험성이 중간 정도인 사용자의 경우 보안 암호 변경을 요구하는 것이 좋습니다.
위치: Entra ID > 보호 및 보안 > 조건부 액세스
참조:
선택적 구성 항목
-
긴급 액세스 계정
조건부 액세스 정책에서 제외되는 비상 액세스 관리자 계정을 사용하는 것이 좋습니다. 이러한 계정은 '전역 관리자' 역할이 있어야 하며, 매우 길고 복잡한 암호로 보호해야 하며, 암호는 보안 암호 볼트에 저장되어 긴급 상황에만 사용해야 합니다.
참조:
-
애플리케이션 동의 및 권한 관리
기본적으로 모든 사용자는 타사 응용 프로그램 및 추가 기능에 사용 권한을 부여할 수 있습니다. 위협 공격자가 악성 앱을 만들고 사용자에게 피싱 이메일을 보내 사용자가 사서함 및 파일에 의도치 않게 액세스하도록 유도할 수 있으므로 위험할 수 있습니다. 관리자 동의가 필요한 신뢰할 수 있는 게시자로 제한하거나 차단하는 것이 좋습니다.
위치: Entra ID > 응용 프로그램 > 엔터프라이즈 응용 프로그램 > 동의 및 권한
참조: