다음을 통해 공유

제로 트러스트 ID 및 디바이스 액세스 구성

  • 아티클

오늘날의 인력은 기존의 회사 네트워크 경계를 넘어 존재하는 애플리케이션 및 리소스에 액세스해야 합니다. 네트워크 방화벽 및 VPN(가상 사설망)을 사용하여 리소스에 대한 액세스를 격리하고 제한하는 보안 아키텍처는 더 이상 충분하지 않습니다.

이 새로운 컴퓨팅 분야를 해결하기 위해 Microsoft는 다음 지침 원칙을 기반으로 하는 제로 트러스트 보안 모델을 적극 권장합니다.

  • 명시적으로 확인: 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여합니다. 제로 트러스트 ID 및 디바이스 액세스 정책은 로그인 및 지속적인 유효성 검사에 매우 중요합니다.
  • 최소 권한 액세스 사용: JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.
  • 위반 가정: 폭발 반경 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.

제로 트러스트 전체 아키텍처는 다음과 같습니다.

Microsoft 제로 트러스트 아키텍처를 보여 주는 다이어그램

제로 트러스트 ID 및 디바이스 액세스 정책은 다음을 해결합니다.다음을 위해 명시적으로 지침 원칙을 확인합니다.

  • ID: ID가 리소스에 액세스하려고 할 때 강력한 인증을 사용하는 ID를 확인하고 요청된 액세스가 규정을 준수하고 일반적인지 확인합니다.
  • 디바이스(엔드포인트라고도 함): 보안 액세스를 위해 디바이스 상태 및 규정 준수 요구 사항을 모니터링하고 적용합니다.
  • 애플리케이션: 컨트롤 및 기술을 다음 사항에 적용합니다.
    • 적절한 앱 내 사용 권한을 확인합니다.
    • 실시간 분석을 기반으로 액세스를 제어합니다.
    • 비정상적인 동작 모니터링
    • 사용자 작업을 제어합니다.
    • 보안 구성 옵션의 유효성을 검사합니다.

이 문서 시리즈에서는 Microsoft Entra ID, 조건부 액세스, Microsoft Intune 및 기타 기능을 사용하는 ID 및 디바이스 액세스 구성 및 정책 집합에 대해 설명합니다. 이러한 구성 및 정책은 다음 위치에 대한 제로 트러스트 액세스를 제공합니다.

  • 엔터프라이즈 클라우드 앱 및 서비스용 Microsoft 365.
  • 기타 SaaS 서비스.
  • Microsoft Entra 애플리케이션 프록시를 사용하여 게시되는 온-프레미스 애플리케이션.

제로 트러스트 ID 및 디바이스 액세스 설정 및 정책은 다음 세 가지 계층에서 권장됩니다.

  • 출발점.
  • Enterprise.
  • 높은 규제 또는 분류된 데이터가 있는 환경에 대한 특수 보안.

이러한 계층 및 해당 구성은 데이터, ID 및 디바이스에서 일관된 수준의 제로 트러스트 보호를 제공합니다. 이러한 기능 및 권장 사항:

  • Microsoft 365 E3 및 Microsoft 365 E5에서 지원됩니다.
  • Microsoft Entra IDMicrosoft 보안 점수 및 ID 점수에 맞춰집니다. 권장 사항은 조직에 대해 이러한 점수를 높입니다.
  • ID 인프라를 보호하는 다음 5단계를 구현하는 데 도움이 됩니다.

조직에 고유한 요구 사항 또는 복잡성이 있는 경우 이러한 권장 사항을 시작점으로 사용합니다. 그러나 대부분의 조직에서는 규정된 대로 이러한 권장 사항을 구현할 수 있습니다.

엔터프라이즈용 Microsoft 365의 ID 및 디바이스 액세스 구성에 대한 간략한 개요는 이 비디오를 시청하세요.

참고 항목

Microsoft는 Office 365 구독에 대한 EMS(Enterprise Mobility + Security) 라이선스도 판매합니다. EMS E3 및 EMS E5 기능은 Microsoft 365 E3 및 Microsoft 365 E5와 동일합니다. 자세한 내용은 EMS 계획을 참조하세요.

대상 그룹

이러한 권장 사항은 Microsoft 365 클라우드 생산성 및 보안 서비스에 익숙한 엔터프라이즈 설계자 및 IT 전문가를 위한 것입니다. 이러한 서비스에는 Microsoft Entra ID(ID), Microsoft Intune(디바이스 관리) 및 Microsoft Purview Information Protection(데이터 보호)이 포함됩니다.

고객 환경

권장 정책은 Microsoft 클라우드 내에서 전적으로 운영되는 엔터프라이즈 조직과 하이브리드 ID를 사용하는 고객에게 적용됩니다. 하이브리드 ID 인프라는 온-프레미스 Active Directory 포리스트를 Microsoft Entra ID와 동기화합니다.

대부분의 권장 사항은 다음 라이선스에서만 사용할 수 있는 서비스를 사용합니다.

  • Microsoft 365 E5
  • E5 보안 추가 기능이 포함된 Microsoft 365 E3
  • EMS E5
  • Microsoft Entra ID P2 라이선스

이러한 라이선스가 없는 조직의 경우, 모든 Microsoft 365 플랜에서 사용할 수 있으며 기본적으로 사용하도록 설정된 보안 기본값을추천드립니다.

제한 사항

조직은 권장 구성과 다른 정책을 요구하는 특정 권장 사항을 포함하여 규정 또는 기타 규정 준수 요구 사항이 적용될 수 있습니다. 이러한 컨트롤은 보안과 생산성 간의 균형을 나타낸다고 믿기 때문에 이러한 컨트롤을 사용하는 것이 좋습니다.

다양한 조직 보호 요구 사항을 고려하려고 했지만 가능한 모든 요구 사항이나 조직의 고유한 요소를 고려할 수는 없습니다.

세 가지 수준의 보호

대부분의 조직에는 보안 및 데이터 보호와 관련된 특정 요구 사항이 있습니다. 이러한 요구 사항은 업계 세그먼트 및 조직 내의 작업 기능에 따라 달라집니다. 예를 들어 법률 부서 및 관리자는 다른 사업부에 필요하지 않은 전자 메일 서신에 대해 더 많은 보안 및 정보 보호 제어가 필요할 수 있습니다.

또한 각 산업에는 일단의 고유한 특수 규정이 있습니다. 가능한 모든 보안 옵션 목록이나 업계 세그먼트 또는 작업 기능별 권장 사항을 제공하지는 않습니다. 대신 요구 사항의 세분성에 따라 적용할 수 있는 세 가지 수준의 보안 및 보호에 대한 권장 사항을 제공하고 있습니다.

  • 시작점: 모든 고객은 데이터에 액세스하는 ID 및 디바이스뿐만 아니라 데이터를 보호하기 위한 최소 표준을 설정하고 사용하는 것이 좋습니다. 이러한 권장 사항을 따라 모든 조직의 시작점으로 강력한 기본 보호를 제공할 수 있습니다.
  • 엔터프라이즈: 일부 고객은 상위 수준에서 보호해야 하는 데이터의 하위 집합이 있거나 모든 데이터를 더 높은 수준에서 보호해야 합니다. Microsoft 365 환경의 모든 또는 특정 데이터 집합에 향상된 보호를 적용할 수 있습니다. 비슷한 수준의 보안으로 중요한 데이터에 액세스하는 ID 및 디바이스를 보호하는 것이 좋습니다.
  • 특수 보안: 필요에 따라 일부 고객은 고도로 분류되거나 영업 비밀을 구성하거나 규제되는 적은 양의 데이터를 가지고 있습니다. Microsoft는 ID 및 디바이스에 대한 추가 보호를 포함하여 이러한 고객이 이러한 요구 사항을 충족하는 데 도움이 되는 기능을 제공합니다.

고객 범위를 보여 주는 보안 콘의 스크린샷.

이 지침에서는 이러한 각 보호 수준에 대해 ID 및 디바이스에 대한 제로 트러스트 보호를 구현하는 방법을 보여줍니다. 조직에 대해 이 지침을 최소한으로 사용하고 조직의 특정 요구 사항에 맞게 정책을 조정합니다.

ID, 디바이스 및 데이터에서 일관된 수준의 보호를 사용하는 것이 중요합니다. 예를 들어 우선 순위 계정이 있는 사용자(임원, 리더, 관리자 등)에 대한 보호에는 ID, 디바이스 및 액세스하는 데이터에 대해 동일한 수준의 보호가 포함되어야 합니다.

또한 솔루션을 참조하세요. Microsoft 365에 저장된 정보를 보호하기 위해 데이터 개인 정보 보호에 대한 정보 보호를 배포합니다.

보안 및 생산성 절상

보안 전략을 구현하려면 보안과 생산성 간의 절차가 필요합니다. 각 결정이 보안, 기능 및 사용 편의성의 균형에 미치는 영향을 평가하는 것이 유용합니다.

보안 삼중자 분산 보안, 기능 및 사용 편의성

제공된 권장 사항은 다음 원칙을 기반으로 합니다.

  • 사용자를 파악하고 보안 및 기능 요구 사항에 유연하게 대처하세요.
  • 적시에 보안 정책을 적용하고 의미 있는지 확인합니다.

제로 트러스트 ID 및 디바이스 액세스 보호에 대한 서비스 및 개념

엔터프라이즈용 Microsoft 365는 대규모 조직이 모든 사용자가 창의적이고 안전하게 함께 작업할 수 있도록 설계되었습니다.

이 섹션에서는 제로 트러스트 ID 및 디바이스 액세스에 중요한 Microsoft 365 서비스 및 기능에 대한 개요를 제공합니다.

Microsoft Entra ID

Microsoft Entra ID는 ID 관리 기능의 전체 제품군을 제공합니다. 이러한 기능을 사용하여 액세스를 보호하는 것이 좋습니다.

기능 또는 기능 설명 라이선싱
MFA(다단계 인증) 사용 MFA를 사용하려면 사용자가 사용자 암호와 Microsoft Authenticator 앱의 알림 또는 전화 통화와 같은 두 가지 형태의 확인을 제공해야 합니다. MFA는 도난당한 자격 증명을 사용하여 환경에 액세스할 수 있는 위험을 크게 줄입니다. Microsoft 365는 MFA 기반 로그인에 Microsoft Entra 다단계 인증 서비스를 사용합니다. Microsoft 365 E3 또는 E5
조건부 액세스 Microsoft Entra ID는 사용자 로그인 조건을 평가하고 조건부 액세스 정책을 사용하여 허용되는 액세스를 결정합니다. 예를 들어 이 지침에서는 중요한 데이터에 액세스하기 위해 디바이스 준수를 요구하는 조건부 액세스 정책을 만드는 방법을 보여 드립니다. 이 구성은 자체 디바이스 및 도난된 자격 증명을 사용하는 해커가 중요한 데이터에 액세스할 수 있는 위험을 크게 줄입니다. 또한 디바이스가 상태 및 보안에 대한 특정 요구 사항을 충족해야 하므로 디바이스에서 중요한 데이터를 보호합니다. Microsoft 365 E3 또는 E5
Microsoft Entra 그룹 조건부 액세스 정책, Intune을 사용한 디바이스 관리 및 조직의 파일 및 사이트에 대한 사용 권한도 사용자 계정 또는 Microsoft Entra 그룹에 할당됩니다. 구현된 보호 수준에 해당하는 Microsoft Entra 그룹을 만드는 것이 좋습니다. 예를 들어, 임원진의 구성원은 해커의 높은 가치 목표일 가능성이 높습니다. 이러한 사용자 계정을 Microsoft Entra 그룹에 추가하고 이 그룹을 더 높은 수준의 보호를 적용하는 조건부 액세스 정책 및 기타 정책에 할당해야 합니다. Microsoft 365 E3 또는 E5
디바이스 등록 디바이스를 Microsoft Entra ID에 등록하여 디바이스에 대한 ID를 만듭니다. 이 ID는 사용자가 로그인할 때 디바이스를 인증하고 도메인 가입 또는 호환 PC가 필요한 조건부 액세스 정책을 적용하는 데 사용됩니다. 이 지침에서는 디바이스 등록을 사용하여 도메인에 가입된 Windows 컴퓨터를 자동으로 등록합니다. 디바이스 등록은 Intune을 사용하여 디바이스를 관리하기 위한 필수 구성 요소입니다. Microsoft 365 E3 또는 E5
Microsoft Entra ID 보호 조직의 ID에 영향을 주는 잠재적 취약성을 감지하고 자동화된 수정 정책을 낮음, 중간 및 높은 로그인 위험 및 사용자 위험으로 구성할 수 있습니다. 이 지침은 다단계 인증에 조건부 액세스 정책을 적용하기 위해 이 위험 평가에 의존합니다. 또한 이 지침에는 계정에 대해 위험 수준이 높은 활동이 검색된 경우 사용자가 암호를 변경하도록 요구하는 조건부 액세스 정책도 포함되어 있습니다. E5 보안 추가 기능, EMS E5 또는 Microsoft Entra ID P2 라이선스를 사용하는 Microsoft 365 E5, Microsoft 365 E3
SSPR(셀프 서비스 암호 재설정) 관리자가 제어할 수 있는 여러 인증 방법을 확인하여 사용자가 지원 센터 개입 없이 안전하게 암호를 재설정할 수 있도록 허용합니다. Microsoft 365 E3 또는 E5
Microsoft Entra 암호 보호 알려진 약한 암호, 암호 변형 및 조직과 관련된 기타 약한 용어를 검색하고 차단합니다. 기본 전역 금지 암호 목록은 Microsoft Entra 조직의 모든 사용자에게 자동으로 적용됩니다. 사용자 지정 금지 암호 목록에서 특정 항목을 정의할 수도 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 금지 암호 목록이 선택됩니다. Microsoft 365 E3 또는 E5

Intune 및 Microsoft Entra 개체, 설정 및 하위 서비스를 포함하여 제로 트러스트 ID 및 디바이스 액세스의 구성 요소는 다음과 같습니다.

제로 트러스트 ID 및 디바이스 액세스의 구성 요소

Microsoft Intune

Intune 은 Microsoft의 클라우드 기반 모바일 디바이스 관리 서비스입니다. 이 지침에서는 Intune을 사용하여 Windows PC의 디바이스 관리를 권장하고 디바이스 준수 정책 구성을 권장합니다. Intune은 디바이스가 규정을 준수하는지 여부를 확인하고 조건부 액세스 정책을 적용할 때 사용할 Microsoft Entra ID로 이 데이터를 보냅니다.

Intune 앱 보호

Intune 앱 보호 정책을 사용하여 디바이스를 관리에 등록하거나 등록하지 않고 모바일 앱에서 조직의 데이터를 보호할 수 있습니다. Intune은 사용자 생산성을 유지하고 데이터 손실을 방지하면서 정보를 보호하는 데 도움이 됩니다. 앱 수준 정책을 구현하여 회사 리소스에 대한 액세스를 제한하고 IT 부서의 제어 내에서 데이터를 유지할 수 있습니다.

이 지침에서는 승인된 앱의 사용을 적용하는 정책을 만들고 이러한 앱을 비즈니스 데이터와 함께 사용할 수 있는 방법을 지정하는 방법을 보여 줍니다.

Microsoft 365

이 지침에서는 Microsoft Teams, Exchange, SharePoint 및 OneDrive를 포함하여 Microsoft 365 클라우드 서비스에 대한 액세스를 보호하는 정책 집합을 구현하는 방법을 보여 줍니다. 이러한 정책을 구현하는 것 외에도 다음 리소스를 사용하여 조직에 대한 보호 수준을 높이는 것이 좋습니다.

엔터프라이즈용 Microsoft 365 앱 있는 Windows 11 또는 Windows 10

엔터프라이즈용 Microsoft 365 앱 있는 Windows 11 또는 Windows 10은 PC에 권장되는 클라이언트 환경입니다. Microsoft Entra는 온-프레미스 및 Microsoft Entra ID 모두에 가능한 가장 원활한 환경을 제공하도록 설계되었기 때문에 Windows 11 또는 Windows 10을 사용하는 것이 좋습니다. Windows 11 또는 Windows 10에는 Intune을 통해 관리할 수 있는 고급 보안 기능도 포함되어 있습니다. 엔터프라이즈용 Microsoft 365 앱 최신 버전의 Office 앱lications가 포함되어 있습니다. 이러한 앱은 더 안전하며 조건부 액세스에 필요한 최신 인증을 사용합니다. 이러한 앱에는 향상된 규정 준수 및 보안 도구도 포함됩니다.

이러한 기능을 세 가지 수준의 보호에 적용

다음 표에서는 세 가지 보호 수준에서 이러한 기능을 사용하기 위한 권장 사항을 요약합니다.

보호 메커니즘 시작 지점 Enterprise 특수 보안
MFA 적용 로그인 위험은 중간 또는 높음입니다. 로그인 위험이 낮거나 중간이거나 높습니다. 새 세션 전체.
암호 변경 적용 위험 수준이 높은 사용자의 경우. 위험 수준이 높은 사용자의 경우. 위험 수준이 높은 사용자의 경우.
Intune 애플리케이션 보호 적용
조직 소유 디바이스에 Intune 등록 적용 규격 또는 도메인에 가입된 PC가 필요하지만 BYOD(Bring-Your-Own Device) 휴대폰 및 태블릿을 허용합니다. 준수 또는 도메인에 가입된 디바이스가 필요합니다. 규정을 준수하는 또는 도메인 가입된 디바이스가 필요합니다.

디바이스 소유권

이전 표에는 많은 조직에서 회사 데이터에 액세스하는 BYOD(조직 및 개인) 디바이스의 혼합을 지원하는 추세가 반영되어 있습니다. Intune 앱 보호 정책을 사용하면 조직 및 개인 디바이스의 iOS 및 Android용 Outlook 및 기타 Microsoft 365 모바일 앱에서 회사 데이터가 반출되지 않도록 보호합니다.

Intune을 사용하여 조직 소유 디바이스를 관리하거나 디바이스가 도메인에 가입되어 추가 보호 및 제어를 적용하는 것이 좋습니다. 데이터 민감도에 따라 조직에서 특정 사용자 그룹 또는 앱에 대해 BYOD를 허용하지 않을 수 있습니다.

배포 및 앱

Microsoft Entra 통합 앱에 대한 제로 트러스트 ID 및 디바이스 액세스 구성을 구성하고 롤아웃하기 전에 다음 단계를 수행해야 합니다.

  • 보호할 조직의 앱을 결정합니다.

  • 이 앱 목록을 분석하여 적절한 수준의 보호를 제공하는 정책 집합을 결정합니다.

    별도의 정책 관리가 번거로울 수 있으므로 각 앱에 대해 별도의 정책 집합을 사용하지 않는 것이 좋습니다. 대신 동일한 사용자에 대해 동일한 보호 요구 사항이 있는 앱을 그룹화하는 것이 좋습니다.

    예를 들어 모든 사용자에 대한 모든 Microsoft 365 앱을 포함하는 정책 집합으로 시작합니다. 모든 중요한 앱(예: 인사 또는 재무 부서에서 사용하는 앱)에 대해 더 제한적인 다른 정책 집합을 사용하고 영향을 받는 그룹에 해당 제한 정책을 적용합니다.

보호하려는 앱에 대한 정책 집합을 확인한 후 증분 방식으로 사용자에게 정책을 롤아웃하여 문제를 해결합니다. 예시:

  1. 모든 Microsoft 365 앱에 사용하려는 정책을 구성합니다.
  2. 필요한 변경 내용이 포함된 Exchange를 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
  3. 필요한 변경 내용이 포함된 Teams를 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
  4. 필요한 변경 내용으로 SharePoint를 추가하고, 사용자에게 정책을 배포하고, 문제를 해결합니다.
  5. 모든 Microsoft 365 앱을 포함하도록 이러한 시작점 정책을 자신 있게 구성할 수 있을 때까지 앱을 계속 추가합니다.

마찬가지로 한 번에 하나의 앱을 추가하여 중요한 앱에 대한 정책 집합을 만듭니다. 중요한 앱 정책 집합에 모두 포함될 때까지 모든 문제를 해결합니다.

일부 의도하지 않은 구성이 발생할 수 있으므로 모든 앱에 적용되는 정책 집합을 만들지 않는 것이 좋습니다. 예를 들어 모든 앱을 차단하는 정책은 Microsoft Entra 관리 센터에서 관리자를 잠글 수 있으며 Microsoft Graph와 같은 중요한 엔드포인트에 대해서는 제외를 구성할 수 없습니다.

제로 트러스트 ID 및 디바이스 액세스를 구성하는 단계

제로 트러스트 ID 및 디바이스 액세스를 구성하는 단계

  1. 필수 구성 요소 ID 기능 및 설정을 구성합니다.
  2. 일반 ID를 구성하고 조건부 액세스 정책에 액세스합니다.
  3. 게스트 액세스에 대한 조건부 액세스 정책을 구성합니다.
  4. Microsoft 365 클라우드 앱(예: Microsoft Teams, Exchange 및 SharePoint)에 대한 조건부 액세스 정책을 구성하고 Cloud Apps용 Microsoft Defender 정책을 구성합니다.

제로 트러스트 ID 및 디바이스 액세스를 구성한 후, 고려할 수 있는 다른 기능의 단계별 검사 목록을 보려면 Microsoft Entra 기능 배포 가이드 를 참조하고, 액세스 보호, 모니터링 및 감사를 위해서는 Microsoft Entra ID 거버넌스 를 참조하세요.

다음 단계

제로 트러스트 ID 및 디바이스 액세스 정책을 구현하기 위한 필수 구성 요소 작업