제로 트러스트 ID 및 디바이스 액세스 정책을 구현하기 위한 필수 구성 요소 작업
이 문서에서는 권장 제로 트러스트 ID 및 디바이스 액세스 정책을 사용하고 조건부 액세스를 사용하기 위해 관리자가 충족해야 하는 필수 구성 요소를 설명합니다. 또한 최상의 SSO(Single Sign-On) 환경을 위해 클라이언트 플랫폼을 구성하는 데 권장되는 기본값에 대해서도 설명합니다.
필수 조건
권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 사용하기 전에 조직은 필수 구성 요소를 충족해야 합니다. 나열된 다양한 ID 및 인증 모델에 대한 요구 사항은 다릅니다.
- 클라우드 전용
- PHS(암호 해시 동기화) 인증을 사용하는 하이브리드
- PTA(통과 인증)를 사용하는 하이브리드
- 페더레이션
다음 표에서는 명시된 경우를 제외하고 모든 ID 모델에 적용되는 필수 구성 요소 기능 및 해당 구성에 대해 자세히 설명합니다.
| 구성 | 예외 | 라이선싱 |
|---|---|---|
| PHS를 구성합니다. 이 기능은 유출된 자격 증명을 검색하고 위험 기반 조건부 액세스에 대해 작동하도록 설정해야 합니다. 이 기능은 조직에서 페더레이션 인증을 사용하는지 여부에 관계없이 필요합니다. | 클라우드 전용 | Microsoft 365 E3 또는 E5 |
| 원활한 Single Sign-On 을 사용하도록 설정하여 사용자가 조직 네트워크에 연결된 조직 디바이스에 있을 때 자동으로 로그인합니다. | 클라우드 전용 및 페더레이션됨 | Microsoft 365 E3 또는 E5 |
| 명명된 위치를 구성합니다. Microsoft Entra ID Protection은 사용 가능한 모든 세션 데이터를 수집하고 분석하여 위험 점수를 생성합니다. Microsoft Entra ID 명명된 위치 구성에서 네트워크에 대한 조직의 공용 IP 범위를 지정하는 것이 좋습니다. 이러한 범위에서 들어오는 트래픽에는 위험 점수가 감소하고 조직 환경 외부에서 오는 트래픽에는 더 높은 위험 점수가 부여됩니다. | Microsoft 365 E3 또는 E5 | |
| 모든 사용자를 SSPR(셀프 서비스 암호 재설정) 및 MFA(다단계 인증)에 등록합니다. 미리 Microsoft Entra 다단계 인증을 위해 사용자를 등록하는 것이 좋습니다. Microsoft Entra ID Protection은 Microsoft Entra 다단계 인증을 사용하여 추가 보안 확인을 수행합니다. 또한 최상의 로그인 환경을 위해 사용자가 디바이스에 Microsoft Authenticator 앱 및 Microsoft 회사 포털 앱을 설치하는 것이 좋습니다. 각 플랫폼에 대한 앱 스토어에서 설치할 수 있습니다. | Microsoft 365 E3 또는 E5 | |
| Microsoft Entra 하이브리드 조인 구현을 계획합니다. 조건부 액세스는 앱에 연결하는 디바이스가 도메인에 가입되거나 규정을 준수하는지 확인합니다. Windows 컴퓨터에서 이를 지원하려면 디바이스를 Microsoft Entra ID에 등록해야 합니다. 이 문서에서는 자동 디바이스 등록을 구성하는 방법을 설명합니다. | 클라우드 전용 | Microsoft 365 E3 또는 E5 |
| 지원 팀을 준비합니다. MFA를 완료할 수 없는 사용자를 위한 계획을 세워야 합니다. 정책 제외 그룹에 추가하거나 새 MFA 정보를 등록할 수 있습니다. 이러한 보안에 민감한 변경 내용을 적용하기 전에 실제 사용자가 요청을 하고 있는지 확인해야 합니다. 사용자의 관리자에게 승인을 도와줄 것을 요구하는 것은 효과적인 단계입니다. | Microsoft 365 E3 또는 E5 | |
| 온-프레미스 AD에 대한 비밀번호 쓰기 저장을 구성합니다. 비밀번호 쓰기 저장을 통해 Microsoft Entra ID는 위험 수준이 높은 계정 손상이 감지될 때 사용자가 온-프레미스 암호를 변경하도록 요구할 수 있습니다. Microsoft Entra Connect 설정의 선택적 기능 화면에서 비밀번호 쓰기 저장을 사용하도록 설정하거나 Windows PowerShell을 통해 사용하도록 설정하는 두 가지 방법 중 하나로 Microsoft Entra Connect를 사용하여 이 기능을 사용하도록 설정할 수 있습니다. | 클라우드 전용 | Microsoft 365 E3 또는 E5 |
| Microsoft Entra 암호 보호를 구성합니다. Microsoft Entra 암호 보호는 알려진 취약한 암호와 관련 변형을 검색하고 차단하며 조직에 특정한 취약한 조건도 추가로 차단할 수 있습니다. 기본 전역 금지 암호 목록은 Microsoft Entra 테넌트에 있는 모든 사용자에게 자동으로 적용됩니다. 사용자 지정 금지 암호 목록에서 추가 항목을 정의할 수 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 금지 암호 목록이 선택됩니다. | Microsoft 365 E3 또는 E5 | |
| Microsoft Entra ID Protection을 사용하도록 설정합니다. Microsoft Entra ID Protection을 사용하면 조직의 ID에 영향을 주는 잠재적 취약성을 감지하고 자동화된 수정 정책을 낮음, 중간 및 높은 로그인 위험 및 사용자 위험으로 구성할 수 있습니다. | E5 보안 추가 기능이 포함된 Microsoft 365 E5 또는 Microsoft 365 E3 | |
| Exchange Online 및 비즈니스용 Skype Online에 최신 인증을 사용하도록 설정합니다. 최신 인증은 MFA를 사용하기 위한 필수 구성 요소입니다. 최신 인증은 기본적으로 Office 2016 및 2019 클라이언트, SharePoint 및 비즈니스용 OneDrive 사용하도록 설정됩니다. | Microsoft 365 E3 또는 E5 | |
| Microsoft Entra ID에 대한 지속적인 액세스 평가를 사용하도록 설정합니다. 지속적인 액세스 평가는 활성 사용자 세션을 사전에 종료하고 거의 실시간으로 테넌트 정책 변경을 적용합니다. | Microsoft 365 E3 또는 E5 |
권장 클라이언트 구성
이 섹션에서는 사용자에게 최상의 SSO 환경을 제공하는 데 권장되는 기본 플랫폼 클라이언트 구성과 조건부 액세스를 위한 기술 필수 구성 요소에 대해 설명합니다.
Windows 디바이스
Azure는 온-프레미스 및 Microsoft Entra ID 모두에 가능한 가장 원활한 SSO 환경을 제공하도록 설계되므로 Windows 11 또는 Windows 10(버전 2004 이상)을 사용하는 것이 좋습니다. 회사 또는 학교에서 발급한 디바이스는 Microsoft Entra ID를 직접 가입하도록 구성해야 합니다. 또는 조직에서 온-프레미스 AD 도메인 가입을 사용하는 경우 해당 디바이스를 자동으로 Microsoft Entra ID에 등록하도록 구성해야 합니다.
BYOD Windows 디바이스의 경우 사용자는 회사 또는 학교 계정 추가를 사용할 수 있습니다. Windows 11 또는 Windows 10 디바이스의 Google Chrome 브라우저 사용자는 Microsoft Edge 사용자와 동일한 원활한 로그인 환경을 얻기 위해 확장을 설치해야 합니다. 또한 조직에 도메인 가입 Windows 8 또는 8.1 디바이스가 있는 경우 비 Windows 10 컴퓨터용 Microsoft Workplace Join을 설치할 수 있습니다. 패키지를 다운로드하여 Microsoft Entra ID로 디바이스를 등록 합니다.
iOS 장치
조건부 액세스 또는 MFA 정책을 배포하기 전에 사용자 디바이스에 Microsoft Authenticator 앱을 설치하는 것이 좋습니다. 최소한 사용자가 회사 또는 학교 계정을 추가하여 Microsoft Entra ID에 디바이스를 등록하라는 요청을 받거나 Intune 회사 포털 앱을 설치하여 디바이스를 관리에 등록하도록 요청할 때 앱을 설치해야 합니다. 이는 구성된 조건부 액세스 정책에 따라 달라집니다.
Android 디바이스
조건부 액세스 정책을 배포하기 전에 또는 특정 인증 시도 중에 필요한 경우 사용자가 Intune 회사 포털 앱 및 Microsoft Authenticator 앱을 설치하는 것이 좋습니다. 앱을 설치한 후 사용자에게 Microsoft Entra ID에 등록하거나 Intune에 디바이스를 등록하라는 메시지가 표시될 수 있습니다. 이는 구성된 조건부 액세스 정책에 따라 달라집니다.
또한 조직 소유 디바이스는 OEM 및 Android for Work 또는 Samsung Knox를 지원하는 버전에서 표준화되어 메일 계정을 허용하고 Intune MDM 정책에 의해 관리 및 보호되는 것이 좋습니다.
권장되는 전자 메일 클라이언트
다음 이메일 클라이언트는 최신 인증 및 조건부 액세스를 지원합니다.
| 플랫폼 | 클라이언트 | 버전/노트 |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | iOS용 Outlook | Latest |
| Android | Android용 Outlook | Latest |
| macOS | Outlook | 2019 및 2016 |
| Linux | 지원되지 않음 |
문서를 보호하는 경우 권장되는 클라이언트 플랫폼
보안 문서 정책이 적용된 경우 다음 클라이언트를 사용하는 것이 좋습니다.
| 플랫폼 | Word/Excel/PowerPoint | OneNote | OneDrive 앱 | SharePoint 앱 | OneDrive 동기화 클라이언트 |
|---|---|---|---|---|---|
| Windows 11 또는 Windows 10 | 지원됨 | 지원됨 | 해당 없음 | 해당 없음 | 지원 여부 |
| Windows 8.1 | 지원됨 | 지원됨 | 해당 없음 | 해당 없음 | 지원 여부 |
| Android | 지원됨 | 지원됨 | 지원됨 | 지원됨 | 해당 없음 |
| iOS | 지원됨 | 지원됨 | 지원됨 | 지원됨 | 해당 없음 |
| macOS | 지원됨 | 지원됨 | 해당 없음 | 해당 없음 | 지원되지 않음 |
| Linux | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 |
Microsoft 365 클라이언트 지원
Microsoft 365의 클라이언트 지원에 대한 자세한 내용은 다음 문서를 참조하세요.
관리자 계정 보호
Microsoft 365 E3 또는 E5 또는 별도의 Microsoft Entra ID P1 또는 P2 라이선스를 사용하는 경우 수동으로 만든 조건부 액세스 정책을 사용하여 관리자 계정에 대해 MFA를 요구할 수 있습니다. 조건부 액세스를 참조하세요. 자세한 내용은 관리자 에게 MFA가 필요합니다.
조건부 액세스를 지원하지 않는 Microsoft 365 또는 Office 365 버전의 경우 모든 계정에 대해 MFA를 요구하도록 보안 기본값을 사용하도록 설정할 수 있습니다.
다음은 몇 가지 추가 권장 사항입니다.
- Microsoft Entra Privileged Identity Management를 사용하여 영구 관리 계정 수를 줄입니다.
- 권한 있는 액세스 관리를 사용하여 중요한 데이터에 대한 고정 액세스 또는 중요한 구성 설정에 대한 액세스 권한이 있는 기존 권한 있는 관리자 계정을 사용할 수 있는 위반으로부터 조직을 보호합니다.
- 관리용으로만 Microsoft 365 관리자 역할이 할당된 별도의 계정을 만들고 사용합니다. 관리자는 정기적인 비관리용 사용자 계정을 가지고 있어야 하며, 역할 또는 작업 기능과 관련된 작업을 완료하는 데 필요한 경우에만 관리 계정을 사용해야 합니다.
- Microsoft Entra ID에서 권한 있는 계정을 보호하기 위한 모범 사례를 따릅니다.
다음 단계
