다음을 통해 공유

Microsoft Entra ID에서 피싱 방지 암호 없는 인증 배포 계획 세우기

  • 아티클

사용자 환경에서 피싱에 강한 암호 없는 인증을 배포하고 운영할 때는 사용자 가상 사용자 기반 방법을 사용하는 것이 좋습니다. 다른 피싱 방지 암호 없는 메서드는 특정 사용자 가상 사용자에 대해 다른 방법보다 더 효과적입니다. 이 배포 가이드는 사용자 환경의 사용자 가상 사용자에 적합한 메서드 및 롤아웃 계획의 유형을 확인하는 데 도움이 됩니다. 피싱 방지 암호 없는 배포 방법은 일반적으로 순서대로 흐르는 6단계를 포함하지만 다른 단계로 이동하기 전에 100% 완료할 필요는 없습니다.

사용자 가상 사용자 확인

조직과 관련된 사용자 가상 사용자를 결정합니다. 이 단계는 다른 가상 사용자의 요구 사항이 다르기 때문에 프로젝트에 매우 중요합니다. 조직에서 4개 이상의 일반 사용자 가상 사용자를 고려하고 평가하는 것이 좋습니다.

사용자 가상 사용자 설명
정보 근로자
  • 예를 들어 마케팅, 재무 또는 인사와 같은 사무실 생산성 직원이 있습니다.
  • 다른 유형의 정보 근로자는 특별한 통제가 필요한 임원 및 기타 고감도 근로자일 수 있습니다.
  • 일반적으로 모바일 및 컴퓨팅 디바이스와 1:1 관계
  • 특히 모바일의 경우 BYOD(자체 디바이스)를 가져올 수 있습니다.
    		•
    일선 직원
  • 예를 들어 소매점 근로자, 공장 근로자, 제조 노동자 등이 있습니다.
  • 일반적으로 공유 디바이스 또는 키오스크에서만 작동합니다.
  • 휴대 전화를 휴대 할 수 없습니다.
    		•
    IT 전문가/DevOps 작업자
  • 예를 들어 온-프레미스 Active Directory, Microsoft Entra ID 또는 기타 권한 있는 계정에 대한 IT 관리자가 있습니다. 다른 예로는 자동화를 관리하고 배포하는 DevOps 작업자 또는 DevSecOps 작업자가 있습니다.
  • 일반적으로 "일반" 사용자 계정 및 하나 이상의 관리 계정을 포함하여 여러 사용자 계정이 있습니다.
  • 일반적으로 RDP(원격 데스크톱 프로토콜) 및 SSH(Secure Shell Protocol)와 같은 원격 액세스 프로토콜을 사용하여 원격 시스템을 관리합니다.
  • Bluetooth가 비활성화된 잠긴 디바이스에서 작동할 수 있음
  • 보조 계정을 사용하여 비대화형 자동화 및 스크립트를 실행할 수 있습니다.
    		•
    높은 규제 근로자
  • 예를 들어 행정 명령 14028 요구 사항이 적용되는 미국 연방 정부 근로자, 주 및 지방 정부 근로자 또는 특정 보안 규정의 적용을 받는 근로자 등이 있습니다.
  • 일반적으로 디바이스와 1:1 관계가 있지만 해당 디바이스 및 인증을 위해 충족해야 하는 특정 규제 제어가 있습니다.
  • 휴대폰은 보안 영역에서 허용되지 않을 수 있습니다.
  • 인터넷 연결 없이 공기가 틈새가 있는 환경에 액세스할 수 있음
  • Bluetooth가 비활성화된 잠긴 디바이스에서 작동할 수 있음
    		•

    조직 전체에 피싱 방지 암호 없는 인증을 광범위하게 배포하는 것이 좋습니다. 일반적으로 정보 근로자는 시작하기 가장 쉬운 사용자 가상 사용자입니다. IT 전문가에게 영향을 주는 문제를 해결하는 동안 정보 근로자의 보안 자격 증명 롤아웃을 지연하지 마세요. "완벽함을 추구하다가 중요한 것을 놓치지 말라”는 접근 방식을 취하고 보안 자격 증명을 가능한 한 많이 배포합니다. 피싱에 강한 암호 없는 자격 증명을 사용하여 로그인하는 사용자가 늘어나면 환경의 공격 노출 영역을 줄일 수 있습니다.

    가상 사용자를 정의한 다음 각 가상 사용자를 해당 사용자 가상 사용자에 대한 Microsoft Entra ID 그룹에 배치하는 것이 좋습니다. 이러한 그룹은 이후 단계에서 다양한 유형의 사용자에게 자격 증명을 롤아웃하고 피싱에 강한 비밀번호 없는 자격 증명을 사용하기 시작할 때 사용됩니다.

    디바이스 준비 계획

    피싱 방지 암호 없는 자격 증명의 목표 중 하나는 최신 디바이스의 하드웨어를 사용하여 자격 증명을 보호하는 것이므로 디바이스는 성공적인 피싱 방지 암호 없는 배포의 필수적인 측면입니다. 먼저 Microsoft Entra ID에 대한 FIDO2 지원 가능성에 익숙해집니다.

    각 운영 체제의 지원되는 최신 버전에 패치를 적용하여 디바이스가 피싱 방지 암호 없는 상태가 되도록 준비되었는지 확인합니다. Microsoft는 디바이스에서 최소한 다음 버전을 실행하는 것이 좋습니다.

    • Windows 10 22H2(비즈니스용 Windows Hello용)
    • Windows 11 22H2(암호를 사용할 때 최상의 사용자 환경용)
    • macOS 13 Ventura
    • iOS 17
    • Android 14

    이러한 버전은 암호, 비즈니스용 Windows Hello 및 macOS 플랫폼 자격 증명과 같은 고유하게 통합된 기능을 가장 잘 지원합니다. 이전 운영 체제에서는 피싱 방지 암호 없는 인증을 지원하기 위해 FIDO2 보안 키와 같은 외부 인증자가 필요할 수 있습니다.

    피싱 방지 자격 증명에 대한 사용자 등록

    자격 증명 등록 및 부트스트랩은 피싱에 강한 암호 없는 배포 프로젝트의 첫 번째 주요 최종 사용자 연결 활동입니다. 이 섹션에서는 휴대용로컬 자격 증명의 롤아웃에 대해 설명합니다.

    자격 증명 설명 이점
    휴대용. 여러 디바이스에서 사용할 수 있습니다. 휴대용 자격 증명을 사용하여 다른 디바이스에 로그인하거나 다른 디바이스에 자격 증명을 등록할 수 있습니다. 대부분의 사용자에게 등록할 수 있는 가장 중요한 자격 증명 유형은 여러 디바이스에서 사용할 수 있으며 많은 시나리오에서 피싱 방지 인증을 제공합니다.
    Local 로컬 자격 증명을 사용하여 동일한 PC의 Microsoft Edge 브라우저에서 앱에 로그인하는 비즈니스용 Windows Hello 생체 인식 사용과 같은 외부 하드웨어를 사용하지 않고도 디바이스에서 인증할 수 있습니다. 휴대용용 자격 증명보다 두 가지 주요 이점이 있습니다.
  • 중복성을 제공합니다. 사용자가 휴대용 디바이스를 분실하거나 집에서 잊어버리거나 다른 문제가 있는 경우 로컬 자격 증명은 컴퓨팅 디바이스에서 계속 작동할 수 있는 백업 방법을 제공합니다.
  • 훌륭한 사용자 경험을 제공합니다. 로컬 자격 증명을 사용하면 사용자가 휴대폰을 주머니에서 꺼내거나, QR 코드를 스캔하거나, 인증 속도를 늦추고 마찰을 추가하는 다른 작업을 수행할 필요가 없습니다. 로컬로 사용 가능한 피싱 방지 자격 증명을 사용하면 사용자가 정기적으로 사용하는 디바이스에서 더 쉽게 로그인할 수 있습니다.
    		•
    • 새 사용자의 경우 등록 및 부트스트래핑 프로세스는 기존 엔터프라이즈 자격 증명이 없는 사용자를 사용하고 해당 ID를 확인합니다. 이를 첫 번째 휴대용용 자격 증명으로 부트스트랩하고 해당 휴대용용 자격 증명을 사용하여 각 컴퓨팅 디바이스에서 다른 로컬 자격 증명을 부트스트랩합니다. 등록 후 관리자는 Microsoft Entra ID의 사용자에 대해 피싱 방지 인증을 적용할 수 있습니다.
    • 기존 사용자의 경우 이 단계에서는 사용자가 기존 디바이스에서 직접 피싱 방지 암호 없는 암호를 등록하거나 기존 MFA 자격 증명을 사용하여 피싱 방지 암호 없는 자격 증명을 부트스트랩하도록 합니다. 최종 목표는 새 사용자와 동일합니다. 대부분의 사용자에게는 휴대용 자격 증명이 하나 이상 있어야 하고 각 컴퓨팅 디바이스에 로컬 자격 증명이 있어야 합니다. 기존 사용자에 대해 피싱 방지 암호 없는 암호를 배포하는 관리자인 경우 온보딩 2단계: 휴대용용 자격 증명 부트스트래핑 섹션으로 건너뛸 수 있습니다.

    시작하기 전에 테넌트에서 엔터프라이즈 사용자에게 암호 및 기타 자격 증명을 사용하도록 설정하는 것이 좋습니다. 사용자가 강력한 자격 증명에 대해 자체 등록하도록 동기를 부여하는 경우 이를 허용하는 것이 좋습니다. 최소한 사용자가 원하는 경우 암호 및 보안 키를 등록할 수 있도록 FIDO2(Passkey) 정책을 사용하도록 설정해야 합니다.

    이 섹션에서는 1-3단계에 중점을 둡니다.

    계획 프로세스의 처음 세 단계를 보여 주는 다이어그램

    사용자에게는 둘 이상의 인증 방법이 등록되어 있어야 합니다. 다른 메서드를 등록하면 디바이스를 분실하거나 도난당한 경우와 같이 기본 메서드에 문제가 발생하는 경우 사용자에게 백업 방법을 사용할 수 있습니다. 예를 들어 사용자가 휴대폰 및 비즈니스용 Windows Hello 워크스테이션에 로컬로 암호를 등록하는 것이 좋습니다.

    참고 항목

    항상 사용자에게 두 개 이상의 인증 방법을 등록하는 것이 좋습니다. 이렇게 하면 디바이스 손실 또는 도난과 같은 기본 메서드에 문제가 발생하는 경우 사용자가 백업 방법을 사용할 수 있습니다. 예를 들어 사용자가 휴대폰 및 비즈니스용 Windows Hello 워크스테이션에 로컬로 암호를 등록하는 것이 좋습니다.

    참고 항목

    이 지침은 Microsoft Authenticator의 디바이스 바인딩된 암호와 물리적 보안 키의 디바이스 바인딩된 암호를 포함하는 Microsoft Entra ID의 암호에 대한 현재 기존 지원에 맞게 조정되었습니다. Microsoft Entra ID는 동기화된 암호에 대한 지원을 추가할 계획입니다. 자세한 내용은 공개 미리 보기: Microsoft Entra ID에서 암호 지원 확장을 참조하세요. 이 가이드는 사용 가능하면 동기화된 암호 지침을 포함하도록 업데이트됩니다. 예를 들어 대부분의 조직에서는 완전히 새로운 자격 증명을 부트스트랩하는 대신 이전 다이어그램의 3단계 동기화를 사용하는 것이 도움이 될 수 있습니다.

    온보딩 1단계: ID 확인

    ID를 입증하지 못한 원격 사용자의 경우 엔터프라이즈 온보딩은 중요한 과제입니다. 적절한 ID 확인이 없으면 조직에서 의도한 사람을 온보딩하고 있는지 완전히 확신할 수 없습니다. Microsoft Entra 확인된 ID 높은 보증 ID 확인을 제공할 수 있습니다. 조직은 IDV(ID 확인 파트너)와 협력하여 온보딩 프로세스에서 새 원격 사용자의 ID를 확인할 수 있습니다. 사용자의 정부 발급 ID를 처리한 후 IDV는 사용자의 ID를 확인하는 확인된 ID를 제공할 수 있습니다. 새 사용자는 이 ID 확인 확인 ID를 고용 조직에 제시하여 신뢰를 구축하고 조직이 올바른 사람을 등록하고 있는지 확인합니다. 조직은 얼굴 일치 계층을 인증에 추가하는 Microsoft Entra 확인된 ID Face Check를 추가하여 신뢰할 수 있는 사용자가 해당 순간에 ID 확인 확인 ID를 표시하도록 할 수 있습니다.

    교정 프로세스를 통해 신원을 확인한 후 신입 사원에게 첫 번째 이식 가능한 자격 증명을 부트스트랩하는 데 사용할 수 있는 TAP(임시 액세스 패스)가 제공됩니다.

    Microsoft Entra 확인된 ID 온보딩 및 TAP 발급을 사용하도록 설정하려면 다음 가이드를 참조하세요.

    Microsoft Entra 확인된 ID 대한 라이선스 세부 정보는 다음 링크를 참조하세요.

    일부 조직에서는 사용자를 온보딩하고 첫 번째 자격 증명을 발급하는 Microsoft Entra 확인된 ID 이외의 다른 방법을 선택할 수 있습니다. Microsoft는 이러한 조직에서 여전히TAP 또는 사용자가 암호 없이 온보딩할 수 있는 다른 방법을 사용하는 것이 좋습니다. 예를 들어 Microsoft Graph API를 사용하여 FIDO2 보안 키를 프로비전할 수 있습니다.

    온보딩 2단계: 휴대용용 자격 증명 부트스트랩

    기존 사용자를 피싱 방지 암호 없는 자격 증명으로 부트스트랩하려면 먼저 사용자가 기존 MFA에 이미 등록되어 있는지 확인합니다. 기존의 MFA 메서드가 등록된 사용자는 피싱 방지 암호 없는 등록 정책을 대상으로 지정할 수 있습니다. 기존 MFA를 사용하여 첫 번째 휴대용용 피싱 방지 자격 증명에 등록한 다음 필요에 따라 로컬 자격 증명에 등록할 수 있습니다.

    MFA가 없는 새 사용자 또는 사용자의 경우 사용자에게 TAP(임시 액세스 패스)를 발급하는 프로세스를 진행합니다. 새 사용자에게 첫 번째 자격 증명을 제공하거나 Microsoft Entra 확인된 ID 통합을 사용하여 TAP를 발급할 수 있습니다. 사용자가 TAP을 갖게 되면 첫 번째 피싱 방지 자격 증명을 부트스트랩할 준비가 된 것입니다.

    사용자의 첫 번째 암호 없는 자격 증명은 다른 컴퓨팅 디바이스에서 인증하는 데 사용할 수 있는 휴대용용 자격 증명이어야 합니다. 예를 들어 암호를 사용하여 iOS 휴대폰에서 로컬로 인증할 수 있지만 디바이스 간 인증 흐름을 사용하여 Windows PC에서 인증하는 데 사용할 수도 있습니다. 이 장치 간 기능을 사용하면 휴대용 암호를 사용하여 Windows PC에서 비즈니스용 Windows Hello 부트스트랩할 수 있습니다.

    또한 사용자가 정기적으로 작업하는 각 디바이스에는 사용자에게 최대한 원활한 사용자 환경을 제공하기 위해 로컬에서 사용할 수 있는 자격 증명이 있는 것이 중요합니다. 로컬로 사용 가능한 자격 증명은 사용자가 여러 디바이스를 사용할 필요가 없고 단계가 적기 때문에 인증하는 데 필요한 시간을 줄입니다. 1단계의 TAP를 사용하여 이러한 다른 자격 증명을 부트스트랩할 수 있는 휴대용용 자격 증명을 등록하면 사용자가 소유할 수 있는 여러 디바이스에서 기본적으로 피싱 방지 자격 증명을 사용할 수 있습니다.

    다음 표에서는 다른 가상 사용자에 대한 권장 사항을 나열합니다.

    사용자 가상 사용자 권장되는 휴대용용 자격 증명 대체 휴대용용 자격 증명
    정보 근로자 Passkey(Authenticator 앱) 보안 키, 스마트 카드
    최전선 근로자 보안 키 Passkey(Authenticator 앱), 스마트 카드
    IT 전문가/DevOps 작업자 Passkey(Authenticator 앱) 보안 키, 스마트 카드
    높은 규제 근로자 인증서(스마트 카드) Passkey(Authenticator 앱), 보안 키

    다음 지침을 사용하여 조직의 관련 사용자 가상 사용자에 대해 권장되는 대체 휴대용용 자격 증명을 사용하도록 설정합니다.

    메서드 지침
    Passkeys
  • 사용자가 Microsoft Authenticator에 직접 로그인하여 앱에서 암호를 부트스트랩하는 것이 좋습니다.
  • 사용자는 TAP을 사용하여 iOS 또는 Android 디바이스에서 직접 Microsoft Authenticator에 로그인할 수 있습니다.
  • Microsoft Entra ID에서는 기본적으로 암호키가 비활성화되어 있습니다. 인증 방법 정책에서 암호를 사용하도록 설정할 수 있습니다.
  • Android 또는 iOS 디바이스에서 Authenticator에 패스키 등록
    		•
    보안 키
  • 보안 키는 기본적으로 Microsoft Entra ID에서 해제됩니다. 인증 방법 정책에서 FIDO2 보안 키를 사용하도록 설정할 수 있습니다.
  • Microsoft Entra ID 프로비저닝 API를 사용하여 사용자를 대신하여 키를 등록하는 것이 좋습니다. 자세한 내용은 Microsoft Graph API를 사용하여 FIDO2 보안 키 프로비저닝을 참조하세요.
    		•
    스마트 카드/인증서 기반 인증(CBA)
  • 인증서 기반 인증은 암호나 다른 방법보다 구성하기가 더 복잡합니다. 필요한 경우에만 사용하는 것이 좋습니다.
  • Microsoft Entra 인증서 기반 인증을 구성하는 방법
  • 사용자가 실제로 다단계 인증을 완료하여 로그인할 수 있도록 온-프레미스 PKI 및 Microsoft Entra ID CBA 정책을 구성해야 합니다. 구성에는 일반적으로 스마트 카드 OID(정책 개체 식별자) 및 필요한 선호도 바인딩 설정이 필요합니다. 고급 CBA 구성에 대한 자세한 내용은 인증 바인딩 정책 이해를 참조하세요.
    		•

    온보딩 3단계: 컴퓨팅 디바이스에서 로컬 자격 증명 부트스트랩

    사용자가 휴대용용 자격 증명을 등록한 후에는 1:1 관계에서 정기적으로 사용하는 각 컴퓨팅 디바이스에서 다른 자격 증명을 부트스트랩할 준비가 되어 있어 일상적인 사용자 환경에 이점이 있습니다. 이러한 유형의 자격 증명은 정보 근로자 및 IT 전문가에게 일반적이지만 디바이스를 공유하는 일선 작업자에게는 일반적이지 않습니다. 디바이스만 공유하는 사용자는 휴대용용 자격 증명만 사용해야 합니다.

    조직은 이 단계에서 각 사용자 가상 사용자에 대해 선호하는 자격 증명 유형을 결정해야 합니다. Microsoft 권장 사항:

    사용자 가상 사용자 권장되는 로컬 자격 증명 - Windows 권장되는 로컬 자격 증명 - macOS 권장되는 로컬 자격 증명 - iOS 권장되는 로컬 자격 증명 - Android 권장되는 로컬 자격 증명 - Linux
    정보 근로자 비즈니스용 Windows Hello 플랫폼 SSO(Single Sign-On) 보안 Enclave 키 Passkey(Authenticator 앱) Passkey(Authenticator 앱) 해당 사항 없음(휴대용 자격 증명 대신 사용)
    최전선 근로자 해당 사항 없음(휴대용 자격 증명 대신 사용) 해당 사항 없음(휴대용 자격 증명 대신 사용) 해당 사항 없음(휴대용 자격 증명 대신 사용) 해당 사항 없음(휴대용 자격 증명 대신 사용) 해당 사항 없음(휴대용 자격 증명 대신 사용)
    IT 전문가/DevOps 작업자 비즈니스용 Windows Hello Platform SSO Secure Enclave 키 Passkey(Authenticator 앱) Passkey(Authenticator 앱) 해당 사항 없음(휴대용 자격 증명 대신 사용)
    높은 규제 근로자 비즈니스용 Windows Hello 또는 CBA Platform SSO Secure Enclave 키 또는 CBA Passkey(Authenticator 앱) 또는 CBA Passkey(Authenticator 앱) 또는 CBA 해당 사항 없음(대신 스마트 카드 사용)

    다음 지침을 사용하여 조직의 관련 사용자 가상 사용자에 대해 사용자 환경에서 권장되는 로컬 자격 증명을 사용하도록 설정합니다.

    메서드 지침
    비즈니스용 Windows Hello
  • Microsoft는 Cloud Kerberos Trust 메서드를 사용하여 비즈니스용 Windows Hello 배포하는 것이 좋습니다. 자세한 내용은 Cloud Kerberos 트러스트 배포 가이드를 참조하세요. Cloud Kerberos Trust 메서드는 사용자가 온-프레미스 Active Directory Microsoft Entra ID로 동기화되는 모든 환경에 적용됩니다. Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인인 PC에서 동기화된 사용자를 지원합니다.
  • 비즈니스용 Windows Hello PC의 각 사용자가 해당 PC에 직접 로그인하는 경우에만 사용해야 합니다. 공유 사용자 계정을 사용하는 키오스크 디바이스에서는 사용하지 않아야 합니다.
  • 비즈니스용 Windows Hello 디바이스당 최대 10명의 사용자를 지원합니다. 공유 디바이스에서 더 많은 사용자를 지원해야 하는 경우 대신 보안 키와 같은 휴대용용 자격 증명을 사용합니다.
  • 생체 인식은 선택 사항이지만 권장됩니다. 자세한 내용은 비즈니스용 Windows Hello 프로비전 및 사용할 사용자 준비를 참조하세요.
    		•
    Platform SSO Secure Enclave 키
  • 플랫폼 SSO는 3가지 사용자 인증 방법(Secure Enclave 키, 스마트 카드 및 암호)을 지원합니다. 보안 Enclave 키 메서드를 배포하여 Mac에서 비즈니스용 Windows Hello 미러링합니다.
  • 플랫폼 SSO를 사용하려면 Mac을 MDM(모바일 장치 관리)에 등록해야 합니다. Intune에 대한 구체적인 지침은 Microsoft Intune에서 macOS 디바이스에 대한 플랫폼 SSO 구성을 참조하세요.
  • Mac에서 다른 MDM 서비스를 사용하는 경우 MDM 공급업체의 설명서를 참조하세요.
    		•
    Passkeys
  • Microsoft는 디바이스 간 등록 옵션이 아닌 Microsoft Authenticator에서 암호를 부트스트랩하는 데 동일한 디바이스 등록 옵션을 권장합니다.
  • 사용자는 TAP을 사용하여 iOS 또는 Android 디바이스에서 직접 Microsoft Authenticator에 로그인합니다.
  • 암호는 기본적으로 Microsoft Entra ID에서 사용하지 않도록 설정되며 인증 방법 정책에서 사용하도록 설정합니다. 자세한 내용은 Microsoft 인증기에서 암호 키 사용을 참조하세요.
  • Android 또는 iOS 디바이스에서 Authenticator에 패스키 등록
    		•

    가상 사용자별 고려 사항

    각 가상 사용자에는 피싱 방지 암호 없는 배포 중에 일반적으로 발생하는 고유한 과제와 고려 사항이 있습니다. 수용해야 하는 가상 사용자를 식별할 때 이러한 고려 사항을 배포 프로젝트 계획에 고려해야 합니다. 다음 링크에는 각 가상 사용자에 대한 특정 지침이 있습니다.

    피싱 방지 자격 증명 사용

    이 단계에서는 사용자가 피싱 방지 자격 증명을 더 쉽게 채택할 수 있도록 하는 방법을 설명합니다. 배포 전략을 테스트하고, 롤아웃을 계획하고, 최종 사용자에게 계획을 전달해야 합니다. 그런 다음 조직 전체에서 피싱 방지 자격 증명을 적용하기 전에 보고서를 만들고 진행 상황을 모니터링할 수 있습니다.

    테스트 배포 전략

    Microsoft는 테스트 및 파일럿 사용자 집합을 사용하여 이전 단계에서 만든 배포 전략을 테스트하는 것이 좋습니다. 이 단계에는 다음 단계가 포함되어야 합니다:

    • 테스트 사용자 및 얼리어답터 목록을 만듭니다. 이러한 사용자는 IT 관리자뿐만 아니라 다른 사용자 가상 사용자를 대표해야 합니다.
    • Microsoft Entra ID 그룹을 만들고 테스트 사용자를 그룹에 추가합니다.
    • Microsoft Entra ID에서 인증 방법 정책을 사용하도록 설정하고 테스트 그룹의 범위를 활성화하는 메서드로 지정합니다.
    • 인증 방법 활동 보고서를 사용하여 파일럿 사용자의 등록 롤아웃을 측정합니다.
    • 조건부 액세스 정책을 만들어 각 운영 체제 유형에서 피싱 방지 암호 없는 자격 증명 사용을 적용하고 파일럿 그룹을 대상으로 지정합니다.
    • Azure Monitor 및 통합 문서를 사용하여 적용의 성공 여부를 측정하세요.
    • 출시 성공에 대한 사용자 의견을 수집합니다.

    계획 출시 전략

    배포할 준비가 가장 준비된 사용자 가상 사용자에 따라 사용량을 높이는 것이 좋습니다. 일반적으로 이 순서대로 사용자를 위해 배포하는 것을 의미하지만 조직에 따라 변경 될 수 있습니다.

    1. 정보 근로자
    2. 일선 직원
    3. IT 전문가/DevOps 작업자
    4. 높은 규제 근로자

    다음 섹션을 사용하여 각 가상 사용자 그룹에 대한 최종 사용자 통신을 만들고, 암호 등록 기능을 범위 및 롤아웃하고, 사용자 보고 및 모니터링을 사용하여 출시 진행 상황을 추적합니다.

    최종 사용자 커뮤니케이션 계획

    Microsoft는 최종 사용자를 위한 커뮤니케이션 템플릿을 제공합니다. 인증 롤아웃 자료 피싱 방지 암호 없는 인증 배포에 대해 사용자에게 알리는 사용자 지정 가능한 이메일 템플릿이 포함되어 있습니다. 다음 템플릿을 사용하여 피싱 방지 암호 없는 배포를 이해할 수 있도록 사용자와 통신합니다.

    가능한 한 많은 사용자를 파악할 수 있도록 통신을 여러 번 반복해야 합니다. 예를 들어 조직에서 다음과 같은 패턴으로 다양한 단계와 타임라인을 전달하도록 선택할 수 있습니다.

    1. 적용 60일 후: 피싱 방지 인증 방법의 가치를 메시지로 표시하고 사용자가 사전에 등록하도록 장려
    2. 적용 45일 후: 메시지 반복
    3. 적용 30일 후: 30일 이내에 피싱 방지 적용이 시작된다는 메시지, 사용자가 사전에 등록하도록 장려
    4. 적용 15일 후: 메시지를 반복하고 지원 센터에 문의하는 방법을 알려주세요.
    5. 적용 7일 후: 메시지를 반복하고 지원 센터에 문의하는 방법을 알려주세요.
    6. 적용 1일 후: 적용이 24 시간 후에 발생하도록 알리고 지원 센터에 연락하는 방법을 알려주세요.

    Microsoft는 전자 메일 외에 다른 채널을 통해 사용자에게 통신하는 것이 좋습니다. 다른 옵션으로는 Microsoft Teams 메시지, 소규모 회의실 포스터 및 선택한 직원이 동료에게 프로그램을 옹호하도록 교육되는 챔피언 프로그램이 포함될 수 있습니다.

    보고 및 모니터링

    Microsoft Entra ID 보고서(인증 방법 활동Microsoft Entra 다단계 인증에 대한 로그인 이벤트 세부 정보 등)는 채택을 측정하고 추진하는 데 도움이 되는 기술 및 비즈니스 인사이트를 제공합니다.

    인증 방법 활동 대시보드에서 등록 및 사용량을 볼 수 있습니다.

    • 등록에는 피싱 방지 비밀번호 없는 인증 및 기타 인증 방법을 사용할 수 있는 사용자 수가 표시됩니다. 사용자가 등록한 인증 방법과 각 방법에 대한 최근 등록을 보여 주는 그래프를 볼 수 있습니다.
    • 사용법 은 로그인에 사용된 인증 방법을 보여 줍니다.

    비즈니스 및 기술 애플리케이션 소유자는 조직 요구 사항에 따라 보고서를 소유하고 받아야 합니다.

    • 인증 방법 등록 활동 보고서를 사용하여 피싱 방지 암호 없는 자격 증명 롤아웃을 추적합니다.
    • 인증 방법 로그인 활동 보고서 및 로그인 로그를 사용하여 피싱 방지 암호 없는 자격 증명의 사용자 채택을 추적합니다.
    • 로그인 활동 보고서를 사용하여 다양한 애플리케이션에 로그인하는 데 사용된 인증 방법을 추적합니다. 사용자 행을 선택합니다. 인증 세부 정보를 선택하여 인증 방법 및 해당 로그인 활동을 확인합니다.

    이러한 조건이 발생하면 Microsoft Entra ID는 감사 로그에 항목을 추가합니다:

    • 관리자가 인증 방법을 변경합니다.
    • 사용자는 Microsoft Entra ID 내에서 자격 증명을 변경합니다.

    Microsoft Entra ID는 대부분의 감사 데이터를 30일 동안 보관합니다. 감사, 트렌드 분석 및 기타 비즈니스 요구 사항을 위해 더 오래 보관하는 것이 좋습니다.

    Microsoft Entra 관리 센터 또는 API의 감사 데이터에 액세스하고 분석 시스템에 다운로드합니다. 더 오래 보관해야 하는 경우 Microsoft Sentinel, Splunk 또는 Sumo Logic과 같은 보안 정보 및 이벤트 관리(SIEM) 도구에서 로그를 내보내고 사용하세요.

    지원 센터 티켓 볼륨 모니터링

    IT 지원팀은 배포가 얼마나 잘 진행되고 있는지에 대한 귀중한 신호를 제공할 수 있으므로 피싱 방지 암호 없는 배포를 실행할 때 지원 센터 티켓 볼륨을 추적하는 것이 좋습니다.

    지원 센터 티켓 볼륨이 증가함에 따라 배포, 사용자 통신 및 적용 작업의 속도를 늦춰야 합니다. 티켓 볼륨이 감소하면 이러한 활동을 백업할 수 있습니다. 이 방법을 사용하려면 롤아웃 계획에서 유연성을 유지해야 합니다.

    예를 들어 배포를 실행한 다음 특정 날짜가 아닌 날짜 범위가 있는 웨이브에서 적용할 수 있습니다.

    1. 6월 1일부터 15일: Wave 1 코호트 등록 배포 및 캠페인
    2. 6월 16일부터 30일: Wave 2 코호트 등록 배포 및 캠페인
    3. 7월 1일부터 15일: Wave 3 코호트 등록 배포 및 캠페인
    4. 7월 16일부터 31일: 웨이브 1 코호트 적용 사용
    5. 8월 1일부터 15일: Wave 2 코호트 적용 사용
    6. 8월 16일부터 31일: Wave 3 코호트 적용 사용

    이러한 다양한 단계를 실행할 때 열린 지원 센터 티켓의 양에 따라 속도를 늦추고 볼륨이 가라앉으면 다시 시작해야 할 수 있습니다. 이 전략을 실행하려면 각 웨이브에 대해 Microsoft Entra ID 보안 그룹을 만들고 각 그룹을 정책에 한 번에 하나씩 추가하는 것이 좋습니다. 이 방법은 지원 팀을 압도하지 않도록 하는 데 도움이 됩니다.

    로그인에 피싱 방지 방법 적용

    이 섹션에서는 4단계를 중시합니다.

    배포의 적용 단계를 강조 표시하는 다이어그램

    피싱 방지 암호 없는 배포의 마지막 단계는 피싱 방지 자격 증명 사용을 적용하는 것입니다. Microsoft Entra ID에서 이 작업을 수행하는 기본 메커니즘은 조건부 액세스 인증 강점입니다. Microsoft는 사용자/디바이스 쌍 방법론에 따라 각 가상 사용자에 대한 적용에 접근하는 것이 좋습니다. 예를 들어 적용 롤아웃은 다음 패턴을 따를 수 있습니다.

    1. Windows 및 iOS의 정보 근로자
    2. macOS 및 Android의 정보 근로자
    3. iOS 및 Android의 IT 전문가
    4. iOS 및 Android의 FLW
    5. Windows 및 macOS의 FLW
    6. Windows 및 macOS의 IT 전문가

    테넌트에서 로그인 데이터를 사용하여 모든 사용자/디바이스 쌍의 보고서를 작성하는 것이 좋습니다. Azure Monitor 및 통합 문서와 같은 쿼리 도구를 사용할 수 있습니다. 최소한 이러한 범주와 일치하는 모든 사용자/디바이스 쌍을 식별해 보세요.

    각 사용자에 대해 정기적으로 작업에 사용하는 운영 체제 목록을 만듭니다. 해당 사용자/디바이스 쌍에 대한 피싱 방지 로그인 적용 준비에 목록을 매핑합니다.

    OS 유형 적용 준비 완료 적용할 준비가 되지 않음
    Windows 10+ 8.1 이전 버전, Windows Server
    iOS 17+ 16 이하
    Android 14+ 13 이하
    macOS 13 이상(벤투라) 12 이하
    VDI 1에 따라 다름 1에 따라 다름
    기타 1에 따라 다름 1에 따라 다름

    1디바이스 버전이 즉시 적용할 준비가 되지 않은 각 사용자/디바이스 쌍에 대해 피싱 저항을 적용해야 하는 필요성을 해결하는 방법을 결정합니다. 이전 운영 체제, VDI(가상 데스크톱 인프라) 및 Linux와 같은 기타 운영 체제에 대해 다음 옵션을 고려합니다.

    • 외부 하드웨어를 사용하여 피싱 저항 적용 – FIDO2 보안 키
    • 외부 하드웨어를 사용하여 피싱 저항 적용 – 스마트 카드
    • 디바이스 간 인증 흐름의 암호와 같은 원격 자격 증명을 사용하여 피싱 저항 적용
    • RDP 터널 내부의 원격 자격 증명을 사용하여 피싱 저항 적용(특히 VDI의 경우)

    주요 작업은 특정 플랫폼에서 적용할 준비가 된 사용자 및 가상 사용자를 데이터를 측정하는 것입니다. "출혈을 중지"하고 사용자 환경에서 발생하는 피싱 가능한 인증의 양을 줄이기 위해 적용할 준비가 된 사용자/디바이스 쌍에 대한 적용 작업을 시작합니다.

    그런 다음 사용자/디바이스 쌍에 준비 작업이 필요한 다른 시나리오로 이동합니다. 전반적으로 피싱 방지 인증을 적용할 때까지 사용자/디바이스 쌍 목록을 진행합니다.

    Microsoft Entra ID 그룹 집합을 만들어 적용을 점진적으로 롤아웃합니다. 웨이브 기반 롤아웃 방법을 사용한 경우 이전 단계의 그룹을 다시 사용합니다.

    특정 조건부 액세스 정책을 사용하여 각 그룹을 대상으로 지정합니다. 이 방법을 사용하면 사용자/디바이스 쌍별로 적용 컨트롤을 점진적으로 롤아웃할 수 있습니다.

    정책 정책의 대상 그룹 이름 정책 – 디바이스 플랫폼 조건 정책 – 제어 권한 부여
    1 Windows 피싱 방지 암호 없는 준비 사용자 Windows 인증 강도 필요 – 피싱 방지 MFA
    2 macOS 피싱 방지 암호 없는 준비 사용자 macOS 인증 강도 필요 – 피싱 방지 MFA
    3 iOS 피싱 방지 암호 없는 준비 사용자 iOS 인증 강도 필요 – 피싱 방지 MFA
    4 Android 피싱 방지 암호 없는 준비 사용자 Android 인증 강도 필요 – 피싱 방지 MFA
    5 기타 피싱 방지 암호 없는 준비 사용자 Windows, macOS, iOS 또는 Android를 제외한 모든 항목 인증 강도 필요 – 피싱 방지 MFA

    각 사용자를 각 그룹에 추가하여 디바이스 및 운영 체제가 준비되었는지 또는 해당 유형의 디바이스가 없는지 확인합니다. 롤아웃이 끝나면 각 사용자가 그룹 중 하나에 있어야 합니다.

    암호 없는 사용자의 위험에 대응

    Microsoft Entra ID Protection은 조직이 ID 기반 위험을 검색, 조사 및 수정하는 데 도움이 됩니다. Microsoft Entra ID Protection은 사용자가 피싱 방지 암호 없는 자격 증명을 사용하도록 전환한 후에도 사용자에게 중요하고 유용한 검색 기능을 제공합니다. 예를 들어 피싱에 강한 사용자를 위한 몇 가지 관련 검색에는 다음이 포함됩니다.

    • 익명 IP 주소에서의 활동
    • 관리자가 확인한 사용자 손상
    • 비정상적 토큰
    • 악성 IP 주소
    • Microsoft Entra 위협 인텔리전스
    • 의심스러운 브라우저
    • 중간에 있는 공격자
    • PRT(기본 새로 고침 토큰)에 액세스하려고 할 수 있습니다.
    • 그리고 기타: 위험 이벤트 유형에 매핑된 위험 감지

    Microsoft는 Microsoft Entra ID Protection 고객이 피싱에 강한 암호 없는 사용자를 가장 잘 보호하기 위해 다음 조치를 취하는 것이 좋습니다.

    1. Microsoft Entra ID Protection 배포 지침 검토: ID 보호 배포 계획
    2. SIEM으로 내보내도록 위험 로그 구성
    3. 중간 사용자 위험 조사 및 작업
    4. 위험 수준이 높은 사용자를 차단하도록 조건부 액세스 정책 구성

    Microsoft Entra ID Protection을 배포한 후 조건부 액세스 토큰 보호를 사용하는 것이 좋습니다. 사용자가 피싱에 강한 암호 없는 자격 증명으로 로그인함에 따라 공격 및 검색이 계속 진화하고 있습니다. 예를 들어 사용자 자격 증명을 더 이상 쉽게 피싱할 수 없는 경우 공격자는 사용자 디바이스에서 토큰을 유출하려고 할 수 있습니다. 토큰 보호는 발급된 디바이스의 하드웨어에 토큰을 바인딩하여 이 위험을 완화하는 데 도움이 됩니다.

    다음 단계

    Microsoft Entra ID에서 피싱 방지 암호 없는 인증 배포의 특정 가상 사용자에 대한 고려 사항