사용자 위험 정책 구현 및 관리
디렉터리에서 사용할 수 있는 두 가지 위험 정책은 다음과 같습니다.
로그인 위험 정책: 로그인 위험 정책은 로그인과 함께 제공되는 의심스러운 작업을 검색합니다. 로그인 작업 자체에 중점을 두고 해당 사용자가 아닌 다른 사용자가 로그인을 수행했을 확률을 분석합니다.
사용자 위험 정책: 사용자 위험 정책은 사용자 동작이 비정상적인 위험 이벤트를 검색하여 사용자 계정이 손상되었을 가능성을 검색합니다.
두 정책은 모두 해당 환경에서 위험 검색에 대한 대응을 자동화하며 위험이 검색될 때 사용자가 직접 수정할 수 있도록 합니다.
비디오 보기
이 비디오에서는 조직에서 위험 기반 정책(사용자 위험 및 로그인 위험)을 구성하여 Microsoft Entra ID 보호를 배포하는 방법을 알아봅니다. 또한 조직에서 해당 정책 및 MFA 등록을 점진적으로 롤아웃하는 방법의 모범 사례를 알아봅니다.
필수 조건
조직에서 위험이 검색될 때 사용자가 자체 치료를 수행할 수 있도록 하려면 사용자가 셀프 서비스 암호 재설정 및 다단계 인증에 모두 등록되어야 합니다. 결합된 보안 정보 등록 환경을 사용하도록 설정하는 것이 좋습니다. 사용자가 직접 수정할 수 있게 하면 관리자 개입 없이도 더 빠르게 생산성 높은 상태로 돌아갑니다. 관리자는 여전히 관련 이벤트를 확인하고 발생 후에 조사할 수 있습니다.
허용 가능한 위험 수준 선택
조직은 허용할 위험 수준을 결정하여 사용자 환경과 보안 태세의 균형을 맞추어야 합니다.
사용자 위험 정책 임계값을 높음으로 설정하고 로그인 위험 정책을 중간 이상으로 설정하는 것이 좋습니다.
높음 임계값을 선택하면 정책이 실행되는 횟수가 줄어들고 사용자에 대한 문제가 최소화됩니다. 그러나 정책에서 낮음 및 중간 위험 검색을 제외하므로 손상된 ID를 악용하지 못하도록 공격자를 차단하지 못합니다. 낮음 임계값을 선택하면 추가 사용자 중단이 발생하지만 보안 태세는 강화됩니다.
제외
모든 정책에서 긴급 액세스 또는 비상 관리자 계정과 같은 사용자를 제외할 수 있습니다. 조직에서는 계정이 사용되는 방식에 따라 특정 정책에서 다른 계정을 제외해야 하는 시기를 결정합니다. 모든 제외 항목을 정기적으로 검토하여 해당 항목이 계속 적용되는지 확인해야 합니다.
구성된 신뢰할 수 있는 네트워크 위치는 일부 위험 검색에서 Identity Protection이 가양성을 줄이는 데 사용됩니다.