Microsoft Entra ID에서 응급 액세스 계정 관리

귀하가 로그인하거나 역할을 활성화할 수 없어 Microsoft Entra 조직에서 실수로 잠기지 않도록 예방하는 것이 중요합니다. 조직에서 둘 이상의 응급 액세스 계정을 만들어 우발적인 관리 액세스 부족에 따른 영향을 완화할 수 있습니다.

전역 관리자 역할이 있는 사용자 계정은 시스템에서 높은 권한을 가지며, 여기에는 전역 관리자 역할이 있는 응급 액세스 계정이 포함됩니다. 응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 비상 또는 "중단" 시나리오로 제한됩니다. 응급 계정 사용은 절대적으로 필요한 경우에만 사용한다는 목표를 유지하는 것이 좋습니다.

이 문서에서는 Microsoft Entra ID에서 응급 액세스 계정을 관리하는 지침을 제공합니다.

응급 액세스 계정은 왜 사용하나요?

조직은 다음과 같은 상황에서 응급 액세스 계정을 사용해야 할 수도 있습니다.

• 사용자 계정이 페더레이션되고, 페더레이션이 현재 셀 네트워크 중단 또는 ID 공급자 중단으로 인해 사용할 수 없습니다. 예를 들어, 사용자 환경에서 ID 공급자 호스트가 중단된 경우 사용자는 Microsoft Entra ID가 해당 ID 공급자로 리디렉션할 때 로그인하지 못할 수 있습니다.
• 관리자는 Microsoft Entra 다단계 인증을 통해 등록되었고 관리자의 개별 디바이스를 모두 사용할 수 없거나 서비스를 사용할 수 없습니다. 사용자는 역할을 활성화하는 다단계 인증을 완료하지 못할 수도 있습니다. 예를 들어 셀 네트워크 장애로 인해 해당 디바이스에 대해 등록된 단 두 개의 인증 메커니즘인 수신 전화에 응답 및 문자 메시지 수신이 불가능할 수 있습니다.
• 최근 글로벌 관리자 액세스 권한이 있는 사용자가 조직을 떠났습니다. Microsoft Entra ID는 마지막 글로벌 관리자 계정이 삭제되지 않도록 할 수 있으나, 계정이 온-프레미스에서 삭제되거나 비활성화되는 것은 방지할 수 없습니다. 각 상황에서 조직은 계정을 복구하지 못할 수 있습니다.
• 자연 재해 비상 사태와 같이 예기치 않은 상황이 발생하여 휴대폰이나 기타 네트워크를 사용하지 못하는 경우.
• 전역 관리자 및 권한 있는 역할 관리자 역할에 대한 역할 할당이 적격한 경우 활성화를 위해 승인이 필요하지만 승인자는 선택되지 않습니다(또는 모든 승인자가 디렉터리에서 제거됨). 활성 전역 관리자 및 권한 있는 역할 관리자는 기본 승인자입니다. 긴급 액세스 계정을 사용하지 않을 경우 활성 전역 관리자 및 권한 있는 역할 관리자가 없게 되고, 테넌트 관리는 사실상 잠기게 됩니다.

응급 액세스 계정 생성

두 개 이상의 응급 액세스 계정을 생성합니다. 이러한 계정은 *.onmicrosoft.com 도메인을 사용하고 온-프레미스 환경에서 페더레이션되거나 동기화되지 않는 클라우드 전용 계정이어야 합니다. 높은 수준에서 다음 단계를 수행합니다.

1. 기존 응급 액세스 계정을 찾거나 전역 관리자 역할을 사용하여 새 계정을 만듭니다.

   

2. 응급 액세스 계정에 대해 이러한 암호 없는 인증 방법 중 하나를 선택합니다. 이러한 메서드는 필수 다단계 인증 요구 사항을 충족합니다.

   • Passkey(FIDO2)(권장)
   • 조직에 PKI(공개 키 인프라) 설정이 이미 있는 경우 인증서 기반 인증

3. 암호 없는 인증을 사용하도록 긴급 액세스 계정 구성합니다.

   • 귀하의 조직에 대해 FIDO2(패스키) 사용을 활성화
   • FIDO2(passkey) 등록하기
   • 인증서 기반 인증 구성

4. 모든 응급 계정에 피싱 방지 다단계 인증 필요합니다.

5. 계정 자격 증명을 안전하게 저장.

6. 로그인 및 감사 로그 모니터링.

7. 정기적으로 계정 유효성 검사.

구성 요구 사항

이러한 계정을 구성할 때 다음 요구 사항을 충족해야 합니다.

• 대부분의 조직에서 응급 액세스 계정은 조직의 개별 사용자와 연결되지 않습니다. 자격 증명은 관리 팀의 여러 구성원이 사용할 수 있는 알려진 보안 위치에 있으며 전화와 같은 직원 제공 디바이스와 연결되지 않습니다. 이 방법은 일반적으로 응급 액세스 계정 관리를 통합하는 데 사용됩니다. 대부분의 조직은 Microsoft 클라우드 인프라뿐만 아니라 온-프레미스 환경, 페더레이션된 SaaS 애플리케이션 및 기타 중요한 시스템에 대한 응급 액세스 계정이 필요합니다.

  또는 관리자를 위한 개별 응급 액세스 계정을 만들도록 선택할 수 있습니다. 이 솔루션은 책임을 촉진하고 관리자가 원격 위치에서 긴급 액세스 계정을 사용할 수 있도록 합니다.

• 응급 액세스 계정에 대해 강력한 인증을 사용하고 다른 관리 계정과 동일한 인증 방법을 사용하지 않는지 확인합니다. 예를 들어 일반 관리자 계정이 강력한 인증을 위해 Microsoft Authenticator 앱을 사용하는 경우 비상 계정에 FIDO2 보안 키를 사용합니다. 인증 프로세스에 외부 요구 사항이 추가되지 않도록 다양한 인증 방법의 종속성을 고려합니다.

• 디바이스나 자격 증명이 만료되지 않아야 하고 사용 부족으로 인해 자동으로 정리되는 범위에 속하지 않아야 합니다.

• Microsoft Entra Privileged Identity Management에서 긴급 액세스 계정에 대해서는 전역 관리자 역할 할당을 적격 대상으로 두기보다 영구 활성화 상태로 설정해야 합니다.

• 이러한 응급 액세스 계정을 사용할 권한이 있는 개인은 지정된 보안 워크스테이션 또는 Privileged Access 워크스테이션과 같은 유사한 클라이언트 컴퓨팅 환경을 활용해야 합니다. 이러한 워크스테이션은 응급 액세스 계정과 상호 작용할 때 사용해야 합니다. 지정된 워크스테이션이 있는 Microsoft Entra 테넌트를 구성하는 방법에 대한 자세한 내용은 권한 있는 액세스 솔루션을 배포하는을 참조하세요.

페더레이션 지침

일부 조직에서는 Active Directory Domain Services 및 AD FS(Active Directory Federation Service) 또는 유사한 ID 공급자를 사용하여 Microsoft Entra ID에 페더레이션합니다. 온-프레미스 시스템에 대한 긴급 액세스와 클라우드 서비스에 대한 긴급 액세스는 서로 종속되지 않고 구별되어야 합니다. 다른 시스템에서 비상 액세스 권한이 있는 계정에 대한 인증을 마스터링 및/또는 소싱하면 해당 시스템이 중단될 경우 불필요한 위험이 추가됩니다.

계정 자격 증명을 안전하게 저장

조직은 응급 액세스 계정의 로그인 정보를 안전하게 유지하고 사용이 허가된 사람에게만 알려야 합니다. 예를 들어 Microsoft Entra ID 또는 Windows Server Active Directory용 스마트 카드에 FIDO2 보안 키를 사용할 수 있습니다. 자격 증명은 안전하고 별도의 위치에 있는 안전한 방화 금고에 저장해야 합니다.

로그인 및 감사 로그 모니터링

조직은 응급 계정에서 로그인 및 감사 로그 작업을 모니터링 하고 다른 관리자에게 알림을 트리거해야 합니다. 응급 액세스 계정에 대한 활동을 모니터링할 때 이러한 계정이 테스트 또는 실제 비상 사태에만 사용되는지 확인할 수 있습니다. Azure Monitor, Microsoft Sentinel 또는 기타 도구를 사용하여 로그인 로그를 모니터링하고 긴급 액세스 계정이 로그인할 때마다 관리자에게 이메일 및 SMS 경고를 트리거할 수 있습니다. 이 섹션에서는 Azure Monitor를 사용하는 방법을 보여 줍니다.

필수 조건

• Azure Monitor로 Microsoft Entra 로그인 로그를 보냅니다.

응급 액세스 계정의 개체 ID 가져오기

1. 최소한 사용자 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>사용자>모든 사용자로 이동합니다.

3. 응급 액세스 계정을 검색하고 사용자의 이름을 선택합니다.

4. 개체 ID 특성을 복사하여 나중에 사용할 수 있도록 저장합니다.

5. 두 번째 응급 액세스 계정에 대해 이전 단계를 반복합니다.

경고 규칙 만들기

1. 적어도 모니터링 기여자로 Azure Portal에 로그인합니다.

2. 모니터링>Log Analytics 작업 영역으로 이동합니다.

3. 작업 영역을 선택합니다.

4. 작업 영역에서 경고>새 경고 규칙을 선택합니다.

   1. 리소스에서 구독이 경고 규칙을 연결하려는 구독에 해당되는지 확인합니다.

   2. 조건에서 추가를 선택합니다.

   3. 신호 이름에서 사용자 지정 로그 검색을 선택합니다.

   4. 검색 쿼리에 다음 쿼리를 입력하여 두 응급 액세스 계정의 개체 ID를 포함합니다.

      참고 항목

      포함하려는 각 추가 응급 액세스 계정에 대해, 쿼리에 or UserId == "ObjectGuid"를 하나 더 추가합니다.

      샘플 쿼리:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. 경고 논리에서 다음을 입력합니다.

      • 기준: 결과 수
      • 연산자: 보다 큼
      • 임계값: 0

   6. 평가 기준에서 쿼리를 실행할 기간에 대한 기간(분)과 쿼리를 실행할 빈도에 대한 빈도(분)를 각각 선택합니다. 빈도는 기간보다 작거나 같아야 합니다.

      

   7. 완료를 선택합니다. 이제 이 경고의 월별 예상 비용을 볼 수 있습니다.

5. 경고에서 알림을 받을 사용자의 작업 그룹을 선택합니다. 작업 그룹 하나를 만들려면 작업 그룹 만들기를 참조하세요.

6. 작업 그룹의 멤버로 전송 되는 이메일 알림을 사용자 지정 하려면 작업 사용자 지정에서 작업을 선택합니다.

7. 경고 세부 정보에서 경고 규칙 이름을 지정하고 설명(선택 사항)을 추가합니다.

8. 이벤트의 심각도 수준을 설정합니다. 중요(심각도 0)로 설정하는 것이 좋습니다.

9. 생성 시 규칙 사용에서는 예로 설정된 상태로 둡니다.

10. 잠시 동안 경고를 해제하려면 경고 표시 안 함 확인란을 선택하고, 경고를 다시 표시하기 전에 대기 시간을 입력한 후 저장을 선택 합니다.

11. 경고 규칙 만들기선택합니다.

작업 그룹 만들기

1. 작업 그룹 만들기를 선택합니다.

   

2. 작업 그룹 이름 및 짧은 이름을 입력합니다.

3. 구독 및 리소스 그룹을 확인합니다.

4. 작업 유형에서 이메일/SMS/푸시/음성을 선택합니다.

5. 작업 이름(예: 전역 관리자에게 알림)을 입력합니다.

6. 작업 유형을 이메일/SMS/푸시/음성으로 선택합니다.

7. 세부 정보 편집을 선택하여 구성하려는 알림 방법을 선택하고 필요한 연락처 정보를 입력한 후 확인을 선택하여 세부 정보를 저장합니다.

8. 트리거할 추가 작업을 추가합니다.

9. 확인을 선택합니다.

각 긴급 액세스 계정 자격 증명 사용을 평가할 사후 분석 팀을 준비하십시오.

경고가 트리거되면 Microsoft Entra 및 기타 워크로드의 로그를 유지합니다. 상황 및 응급 액세스 계정 사용의 결과를 검토합니다. 이 검토는 계정이 사용되었는지 여부를 결정합니다.

• 적합성을 확인하기 위한 계획된 훈련
• 관리자가 일반 계정을 사용할 수 없는 실제 비상 사태에 대응
• 또는 계정의 오용 또는 무단 사용으로 인한 결과

다음으로, 로그를 검사하여 비상 액세스 계정으로 개인이 수행한 작업을 확인하여 해당 작업이 계정의 권한 있는 사용과 일치하는지 확인합니다.

정기적으로 계정 유효성 검사

응급 액세스 계정을 사용하도록 직원을 교육하는 것 외에도, 권한 있는 직원이 액세스할 수 있는 응급 액세스 계정의 유효성을 검사하는 지속적인 프로세스가 있어야 합니다. 계정의 기능의 유효성을 검사하고 나중에 계정이 오용될 경우 모니터링 및 경고 규칙이 트리거되는지 확인하기 위해 정기적인 훈련을 수행해야 합니다. 최소한 다음 단계는 정기적으로 수행해야 합니다.

• 보안 모니터링 직원이 계정 확인 활동이 진행 중임을 알고 있는지 확인합니다.
• 응급 액세스 계정 자격 증명을 사용할 권한이 있는 개인 목록을 검토하고 업데이트합니다.
• 이 계정을 사용할 수 있는 응급 비상 프로세스가 문서화되어 있고 최신 상태인지 확인합니다.
• 응급 상황 시, 이 단계를 수행해야 하는 관리자와 보안 담당자가 해당 프로세스에 대한 교육을 받도록 합니다.
• 응급 액세스 계정이 로그인하고 관리 작업을 수행할 수 있는지 확인합니다.
• 사용자가 개별 사용자의 디바이스 또는 개인 정보에 다단계 인증 또는 SSPR(셀프 서비스 암호 재설정)을 등록하지 않았는지 확인합니다.
• 로그인 또는 역할 활성화 중에 사용할 수 있도록 디바이스에 대한 다단계 인증에 계정이 등록된 경우 응급 상황에서 디바이스를 사용해야 하는 모든 관리자가 디바이스에 액세스할 수 있어야 합니다. 또한 디바이스가 공통 오류 모드를 공유하지 않는 두 개 이상의 네트워크 경로를 통해 통신할 수 있는지 확인합니다. 예를 들어 디바이스는 시설의 무선 네트워크 및 휴대 전화 공급자 네트워크 모두를 통해 인터넷과 통신할 수 있습니다.
• 액세스 권한이 있는 사용자가 조직을 떠난 후와 정기적으로 모든 금고의 조합을 변경합니다.

다음 단계는 정기적인 간격으로 수행하고 주요 변경 사항이 있는 경우에도 수행해야 합니다.

• 최소 90일 간격
• 종료 후 또는 직책 변경과 같이 최근 IT 직원이 변경된 경우
• 조직의 Microsoft Entra 구독이 변경된 경우

다음 단계

• 사용자가 필수 MFA에 설정되었는지 확인하는 방법
• 관리자 피싱 방지 다단계 인증 필요
• Microsoft Entra ID에서 하이브리드 및 클라우드 배포를 위한 권한 있는 액세스 보안
• Microsoft 365를 사용하는 경우 Microsoft 365에서 권한 있는 역할에 대한 추가 보호 구성
• 권한 있는 역할에 대한 액세스 검토를 시작하고기존의 권한 있는 역할 할당을 보다 구체적인 관리자 역할로 전환