제로 트러스트 ID 및 디바이스 액세스 정책을 구현하기 위한 필수 구성 요소 작업
이 문서에서는 권장 제로 트러스트 ID 및 디바이스 액세스 정책을 사용하고 조건부 액세스를 사용하기 위해 관리자가 충족해야 하는 필수 구성 요소를 설명합니다. 또한 최상의 SSO(Single Sign-On) 환경을 위해 클라이언트 플랫폼을 구성하는 데 권장되는 기본값에 대해서도 설명합니다.
필수 조건
권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 사용하기 전에 조직은 필수 구성 요소를 충족해야 합니다. 나열된 다양한 ID 및 인증 모델에 대한 요구 사항은 다릅니다.
- 클라우드 전용
- PHS(암호 해시 동기화) 인증을 사용하는 하이브리드
- PTA(통과 인증)를 사용하는 하이브리드
- 페더레이션
다음 표에서는 명시된 경우를 제외하고 모든 ID 모델에 적용되는 필수 구성 요소 기능 및 해당 구성에 대해 자세히 설명합니다.
| 구성 | 예외 | 라이선싱 |
|---|---|---|
| PHS(암호 해시 동기화)구성합니다. 이 기능은 유출된 자격 증명을 검색하고 위험 기반 조건부 액세스에 대해 작동하도록 설정해야 합니다. 이 구성은 조직에서 페더레이션 인증을 사용하는지 여부에 관계없이 필요합니다. | 클라우드 전용 | Microsoft 365 E3 또는 E5 |
| 원활한 Single Sign-On 을 사용하도록 설정하여 사용자가 조직 네트워크에 연결된 조직 디바이스에 있을 때 자동으로 로그인합니다. | 클라우드 전용 및 페더레이션됨 | Microsoft 365 E3 또는 E5 |
| 네트워크 위치를 구성합니다. Microsoft Entra ID Protection은 사용 가능한 모든 세션 데이터를 수집하고 분석하여 위험 점수를 생성합니다. Microsoft Entra ID 명명된 위치 구성에서 네트워크에 대한 조직의 공용 IP 범위를 지정하는 것이 좋습니다. 이러한 범위에서 들어오는 트래픽에는 위험 점수가 감소하고 조직 환경 외부에서 오는 트래픽에는 더 높은 위험 점수가 부여됩니다. | Microsoft 365 E3 또는 E5 | |
| 모든 사용자를 SSPR(셀프 서비스 암호 재설정) 및 MFA(다단계 인증)에 등록합니다. 이 단계를 미리 수행하는 것이 좋습니다. Microsoft Entra ID Protection은 추가 보안 확인을 위해 Microsoft Entra 다단계 인증을 사용합니다. 최상의 로그인 환경을 위해 디바이스에서 Microsoft Authenticator 앱 및 Microsoft 회사 포털 앱을 사용하는 것이 좋습니다. 사용자는 디바이스 플랫폼용 앱 스토어에서 이러한 앱을 설치할 수 있습니다. | Microsoft 365 E3 또는 E5 | |
| Microsoft Entra 하이브리드 조인 구현을 계획합니다. 조건부 액세스는 앱에 연결하는 디바이스가 도메인에 가입되거나 규정을 준수하는지 확인합니다. Windows 컴퓨터에서 이 요구 사항을 지원하려면 디바이스를 Microsoft Entra ID에 등록해야 합니다. 이 문서에서는 자동 디바이스 등록을 구성하는 방법을 설명합니다. | 클라우드 전용 | Microsoft 365 E3 또는 E5 |
| 지원 팀을 준비합니다. MFA를 수행할 수 없는 사용자에 대한 계획을 세워야 합니다. 예를 들어 정책 제외 그룹에 추가하거나 새 MFA 정보를 등록합니다. 보안에 중요한 예외를 만드는 경우 사용자가 실제로 요청을 하고 있는지 확인합니다. 관리자에게 사용자 승인을 도와줄 것을 요구하는 것은 효과적인 단계입니다. | Microsoft 365 E3 또는 E5 | |
| 온-프레미스 Active Directory에 비밀번호 다시 쓰기를 구성합니다. 비밀번호 쓰기 저장을 통해 Microsoft Entra ID는 위험 수준이 높은 계정 손상이 감지될 때 사용자가 온-프레미스 암호를 변경하도록 요구할 수 있습니다. Microsoft Entra Connect 설정의 선택적 기능 화면에서 비밀번호 쓰기 저장을 사용하도록 설정하거나 Windows PowerShell을 통해 사용하도록 설정하는 두 가지 방법 중 하나로 Microsoft Entra Connect를 사용하여 이 기능을 사용하도록 설정할 수 있습니다. | 클라우드 전용 | Microsoft 365 E3 또는 E5 |
| Microsoft Entra 암호 보호를 구성합니다. Microsoft Entra Password Protection은 알려진 약한 암호 및 해당 변형을 검색하고 차단하며 조직과 관련된 다른 약한 용어를 차단할 수도 있습니다. 기본 전역 금지 암호 목록은 Microsoft Entra 조직의 모든 사용자에게 자동으로 적용됩니다. 사용자 지정 금지 암호 목록에서 다른 항목을 정의할 수 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 금지 암호 목록이 선택됩니다. | Microsoft 365 E3 또는 E5 | |
| Microsoft Entra ID Protection을 사용하도록 설정합니다. Microsoft Entra ID Protection을 사용하면 조직의 ID에 영향을 주는 잠재적 취약성을 감지하고 자동화된 수정 정책을 낮음, 중간 및 높은 로그인 위험 및 사용자 위험으로 구성할 수 있습니다. | E5 보안 추가 기능이 포함된 Microsoft 365 E5 또는 Microsoft 365 E3 | |
| Microsoft Entra ID에 대한 지속적인 액세스 평가를 사용하도록 설정합니다. 지속적인 액세스 평가는 활성 사용자 세션을 사전에 종료하고 거의 실시간으로 조직 정책 변경을 적용합니다. | Microsoft 365 E3 또는 E5 |
권장 클라이언트 구성
이 섹션에서는 최상의 SSO 환경에 권장되는 기본 플랫폼 클라이언트 구성과 조건부 액세스를 위한 기술 필수 구성 요소에 대해 설명합니다.
Windows 디바이스
Azure는 온-프레미스 및 Microsoft Entra ID 모두에 가능한 가장 원활한 SSO 환경을 제공하도록 설계되므로 Windows 11 또는 Windows 10(버전 2004 이상)을 사용하는 것이 좋습니다. 조직에서 발급한 디바이스는 다음 옵션 중 하나를 사용하여 구성해야 합니다.
- Microsoft Entra ID를 직접 조인합니다.
- Microsoft Entra ID 에 자동으로 등록하도록 내부 설치형 Active Directory 도메인에 가입된 디바이스를 구성하여
개인 BYOD(사용자 고유의 장치) Windows 디바이스의 경우, 사용자는 회사 또는 학교 계정을 추가할 수 있습니다. Windows 11 또는 Windows 10 디바이스의 Google Chrome 사용자는 Microsoft Edge 사용자와 동일한 원활한 로그인 환경을 얻으려면 확장 설치해야 합니다. 또한 조직에 도메인에 가입된 Windows 8 또는 8.1 디바이스가 있는 경우 비 Windows 10 컴퓨터용 Microsoft Workplace Join을 설치할 수 있습니다. 패키지를 다운로드하여 Microsoft Entra ID로 디바이스를 등록 합니다.
iOS 장치
조건부 액세스 또는 MFA 정책을 배포하기 전에 사용자 디바이스에 Microsoft Authenticator 앱을 설치하는 것이 좋습니다. 할 수 없는 경우 다음 시나리오에서 앱을 설치합니다.
- 회사 또는 학교 계정을 추가하여 Microsoft Entra ID에 디바이스를 등록하라는 메시지가 표시되는 경우
- 사용자가 Intune 회사 포털 앱을 설치하여 디바이스를 관리에 등록하는 경우
요청은 구성된 조건부 액세스 정책에 따라 달라집니다.
Android 디바이스
사용자가 조건부 액세스 정책이 배포되기 전이나 특정 인증 시도 중에 Intune 회사 포털 앱 및 Microsoft Authenticator 앱을 설치할 것을 권장합니다. 앱을 설치한 후에는 구성된 조건부 액세스 정책에 따라 사용자에게 Microsoft Entra ID에 등록하거나 Intune에 디바이스를 등록하라는 메시지가 표시될 수 있습니다.
또한 조직에서 지원하는 디바이스는 Intune MDM(모바일 디바이스 관리) 정책으로 메일 계정 관리 및 보호를 허용하도록 Android for Work 또는 Samsung Knox를 지원하는 것이 좋습니다.
권장되는 전자 메일 클라이언트
다음 표의 이메일 클라이언트는 최신 인증 및 조건부 액세스를 지원합니다.
| 플랫폼 | 클라이언트 | 버전/노트 |
|---|---|---|
| Windows | Outlook | 2016 이상 필수 업데이트 |
| iOS | iOS용 Outlook | Latest |
| Android | Android용 Outlook | Latest |
| macOS | Outlook | 2016 이상 |
| Linux | 지원되지 않음 |
문서를 보호하는 경우 권장되는 클라이언트 플랫폼
보안 문서 정책이 적용되는 경우 다음 표의 이메일 클라이언트를 사용하는 것이 좋습니다.
| 플랫폼 | Word/Excel/PowerPoint | OneNote | OneDrive 앱 | SharePoint 앱 | OneDrive 동기화 클라이언트 |
|---|---|---|---|---|---|
| Windows 11 또는 Windows 10 | 지원됨 | 지원됨 | 해당 없음 | 해당 없음 | 지원됨 |
| Windows 8.1 | 지원됨 | 지원됨 | 해당 없음 | 해당 없음 | 지원됨 |
| Android | 지원됨 | 지원됨 | 지원됨 | 지원됨 | 해당 없음 |
| iOS | 지원됨 | 지원됨 | 지원됨 | 지원됨 | 해당 없음 |
| macOS | 지원됨 | 지원됨 | 해당 없음 | 해당 없음 | 지원되지 않음 |
| Linux | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 |
Microsoft 365 클라이언트 지원
Microsoft 365의 클라이언트 지원에 대한 자세한 내용은 Microsoft 365대한 ID 인프라 배포를 참조하세요.
관리자 계정 보호
Microsoft 365 E3 또는 E5 또는 별도의 Microsoft Entra ID P1 또는 P2 라이선스를 사용하는 경우 수동으로 만든 조건부 액세스 정책을 사용하여 관리자 계정에 피싱 방지 MFA를 요구할 수 있습니다. 자세한 내용은 조건부 액세스:관리자를 위한 피싱 방지 MFA 필요를 참조하세요.
조건부 액세스를 지원하지 않는 Microsoft 365 또는 Office 365 버전의 경우 모든 계정에 MFA를 요구하도록 보안 기본값을 사용하도록 설정할 수 있습니다.
다음은 몇 가지 다른 권장 사항입니다.
- Microsoft Entra Privileged Identity Management를 사용하여 영구 관리 계정 수를 줄입니다.
- ko-KR: 권한 있는 액세스 관리를 사용하여 기존에 권한 있는 관리자 계정이 지속적인 액세스를 유지함으로써 발생할 수 있는 보안 위협이나 중요한 데이터 및 구성 설정에 대한 무단 액세스로부터 조직을 보호하십시오.
- 관리용으로만 Microsoft 365 관리자 역할이 할당된 별도의 계정을 만들고 사용합니다. 관리자는 정기적으로 사용하기 위해 자신의 사용자 계정이 있어야 합니다. 역할 또는 작업 기능과 관련된 작업을 완료하는 데 필요한 경우에만 관리 계정을 사용해야 합니다.
- Microsoft Entra ID에서 권한 있는 계정을 보호하기 위한 모범 사례를 따릅니다.
다음 단계
