응급 액세스 계정 만들기 및 관리
실수로 Microsoft Entra ID가 잠기지 않도록 하는 것이 중요합니다. Microsoft Entra ID를 사용하면 관리자로 다른 사용자의 계정에 로그인하거나 활성화할 수 없습니다. 실수로 관리 액세스가 부족할 가능성을 완화할 수 있습니다. 비법은 조직에서 두 개 이상의 응급 액세스 계정을 만드는 것입니다.
응급 액세스 계정은 높은 권한을 가지며 특정 개인에게 할당되지 않습니다. 응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 긴급하거나 "비상시 액세스" 시나리오로 제한됩니다. 긴급 계정에 대한 액세스를 제한하는 것이 좋습니다. 필요한 경우에만 계정을 사용합니다.
이 문서에서는 Microsoft Entra ID에서 응급 액세스 계정을 관리하기 위한 지침을 제공합니다.
긴급 액세스 계정을 사용하는 이유
조직은 다음과 같은 상황에서 긴급 액세스 계정을 사용해야 할 수 있습니다.
- 사용자 계정은 페더레이션되며 셀 네트워크 중단 또는 ID 공급자 중단으로 인해 현재 페더레이션을 사용할 수 없습니다. 예를 들어 사용자 환경의 ID 공급자 호스트가 중단된 경우 Microsoft Entra ID가 ID 공급자로 리디렉션될 때 사용자가 로그인하지 못할 수 있습니다.
- 관리자는 Microsoft Entra 다단계 인증을 통해 등록됩니다. 모든 개별 디바이스를 사용할 수 없거나 서비스를 사용할 수 없습니다. 사용자가 역할을 활성화하기 위해 다단계 인증을 완료하지 못할 수 있습니다. 예를 들어 셀 네트워크 중단으로 인해 전화 통화에 응답하거나 문자 메시지를 받을 수 없습니다. 특히 이러한 인증 방법이 등록한 인증 메커니즘은 두 가지뿐인 경우입니다.
- 최신 전역 관리자 액세스 권한이 있는 사용자가 조직을 떠났습니다. Microsoft Entra ID는 마지막 전역 관리자 계정이 삭제되는 것을 방지하지만 계정이 온-프레미스에서 삭제되거나 비활성화되는 것을 방지하지는 않습니다. 어느 상황이든 조직에서 계정을 복구할 수 없게 만들 수 있습니다.
- 자연 재해 비상 사태와 같은 예기치 않은 상황으로 인해 휴대 전화 또는 기타 네트워크를 사용할 수 없을 수 있습니다.
응급 액세스 계정 만들기
둘 이상의 응급 액세스 계정을 만듭니다. 이러한 계정은 .onmicrosoft.com 도메인을 사용하고 온-프레미스 환경에서 페더레이션되거나 동기화되지 않는 클라우드 전용 계정이어야 합니다.
관리자가 긴급 계정을 구성하는 경우 다음 요구 사항을 충족해야 합니다.
- 응급 액세스 계정은 조직의 개별 사용자와 연결되어서는 안 됩니다. 계정이 직원이 제공한 휴대폰, 개별 직원과 함께 이동하는 하드웨어 토큰 또는 기타 직원별 자격 증명과 연결되지 않았는지 확인합니다. 이 예방 조치는 자격 증명이 필요할 때 개별 직원에게 연결할 수 없는 경우를 다룹니다. 등록된 모든 디바이스는 알려진 안전한 위치에 보관해야 합니다. 이러한 위치에는 Microsoft Entra ID와 통신하는 여러 가지 수단이 필요합니다.
- 응급 액세스 계정에 사용되는 인증 메커니즘은 고유해야 합니다. 다른 응급 액세스 계정을 포함하여 다른 관리 계정에서 사용하는 것과 별도로 유지합니다. 예를 들어 일반 관리자 로그인이 온-프레미스 MFA를 통해 제공되는 경우 다단계 인증은 다른 메커니즘이 됩니다. 그러나 다단계 인증이 관리 계정에 대한 인증의 기본 부분인 경우 응급 계정에 대해 다른 접근 방식을 고려합니다. 사용자 지정 컨트롤을 통해 타사 MFA 공급자와 조건부 액세스를 사용하는 등의 작업을 시도합니다.
- 디바이스 또는 자격 증명은 사용 부족으로 인해 만료되거나 자동화된 정리 범위에 속해서는 안 됩니다.
- 응급 액세스 계정에 대해 전역 관리자 역할 할당을 영구적으로 설정해야 합니다.
전화 기반 다단계 인증에서 하나 이상의 계정 제외
암호 손상으로 인한 공격 위험을 줄이기 위해 Microsoft Entra ID는 모든 개별 사용자에 대해 다단계 인증을 요구하는 것이 좋습니다. 이 그룹에는 손상된 계정이 피해를 입힐 수 있는 중요한 기회를 가진 관리자 및 다른 모든 사람(예: 재무 책임자)이 포함됩니다.
그러나 응급 액세스 계정 중 하나 이상이 다른 비응급 계정과 동일한 다단계 인증 메커니즘을 갖지 않아야 합니다. 여기에는 타사 다단계 인증 솔루션이 포함됩니다. Microsoft Entra ID 및 기타 연결된 SaaS(Software as a Service) 앱의 모든 관리자에 대해 다단계 인증을 요구하는 조건부 액세스 정책이 있는 경우 이 요구 사항에서 응급 액세스 계정을 제외하고 대신 다른 메커니즘을 구성해야 합니다. 또한 계정에 사용자별 다단계 인증 정책이 없는지 확인해야 합니다.
조건부 액세스 정책에서 하나 이상의 계정 제외
비상 시 정책을 사용하여 잠재적으로 액세스를 차단하여 문제를 해결하는 것을 원하지 않습니다. 모든 조건부 액세스 정책에서 하나 이상의 응급 액세스 계정을 제외해야 합니다.
페더레이션 지침
AD Domain Services 및 ADFS 또는 유사한 ID 공급자를 사용하여 Microsoft Entra ID에 페더레이션하는 조직을 위한 또 다른 옵션은 해당 ID 공급자가 MFA 클레임을 제공할 수 있는 긴급 액세스 계정을 구성하는 것입니다. 예를 들어 응급 액세스 계정은 스마트 카드에 저장된 인증서 및 키 쌍(예: 키 쌍)에 의해 지원될 수 있습니다. 해당 사용자가 AD에 인증되면 ADFS는 사용자가 MFA 요구 사항을 충족했음을 나타내는 클레임을 Microsoft Entra ID에 제공할 수 있습니다. 이 방법을 사용하더라도 페더레이션을 설정할 수 없는 경우에도 조직에는 클라우드 기반 응급 액세스 계정이 있어야 합니다.
로그인 및 감사 로그 모니터링
조직은 응급 계정의 로그인 및 감사 로그 활동을 모니터링하고 다른 관리자에게 알림을 트리거해야 합니다. 긴급 접근 계정에서 활동을 모니터링할 때 이러한 계정이 테스트나 실제 비상 상황에서만 사용되는지 확인할 수 있습니다. Azure Log Analytics를 사용하여 로그인 기록을 모니터링하고, 비상 접근 계정이 로그인할 때마다 관리자에게 이메일 및 SMS 경고를 보낼 수 있습니다.
정기적으로 계정 유효성 검사
응급 액세스 계정을 사용하고 응급 액세스 계정의 유효성을 검사하도록 직원을 교육하는 경우 최소한 정기적으로 다음 단계를 수행합니다.
- 보안 모니터링 직원이 계정 확인 활동이 진행 중임을 알고 있는지 확인합니다.
- 이러한 계정을 사용하는 긴급 액세스 절차가 문서화되고 최신 상태인지 확인합니다.
- 응급 상황 발생 시 이러한 단계를 수행해야 할 수 있는 관리자 및 보안 담당자가 이 프로세스에 대해 교육을 받아야 합니다.
- 응급 액세스 계정에 대한 계정 자격 증명, 특히 암호를 업데이트한 다음 응급 액세스 계정이 로그인하여 관리 작업을 수행할 수 있는지 확인합니다.
- 사용자가 개별 사용자의 디바이스 또는 개인 정보에 다단계 인증 또는 SSPR(셀프 서비스 암호 재설정)을 등록하지 않았는지 확인합니다.
- 로그인 또는 역할 활성화 중에 사용하기 위해 디바이스에 대한 다단계 인증을 위해 계정이 등록된 경우 비상 시 사용해야 할 수 있는 모든 관리자가 디바이스에 액세스할 수 있는지 확인합니다. 또한 디바이스가 공통 오류 모드를 공유하지 않는 두 개 이상의 네트워크 경로를 통해 통신할 수 있는지 확인합니다. 예를 들어 디바이스는 시설의 무선 네트워크와 셀 공급자 네트워크를 통해 인터넷과 통신할 수 있습니다.
이러한 단계는 정기적으로 및 주요 변경에 대해 수행해야 합니다.
- 최소 90일마다
- 최근 IT 직원이 변경된 경우(예: 채용 변경, 퇴사 또는 신규 채용)
- 조직의 Microsoft Entra 구독이 변경된 경우