암호 없는 배포로 전환
인식 및 사용자 교육
이 마지막 단계에서는 대상 작업 가상 사용자에 맞는 나머지 사용자를 암호 없는 배포에 포함하려고 합니다. 이 단계를 수행하기 전에 인식 캠페인에 투자하려고 합니다.
인식 캠페인은 사용자에게 비즈니스용 Windows Hello 사용하는 것과 같은 디바이스에 인증하는 새로운 방법을 소개합니다. 캠페인의 아이디어는 사전에 사용자에게 변화를 긍정적으로 홍보하는 것입니다. 가치와 회사가 변화하는 이유를 설명합니다. 캠페인은 날짜를 제공하고 질문과 피드백을 장려해야 합니다. 이 캠페인은 사용자에게 변경 내용을 표시할 수 있는 사용자 교육과 일치할 수 있으며, 환경이 허용하는 경우 사용자가 환경을 사용해 볼 수 있도록 합니다.
팁
사용자 통신을 용이하게 하고 성공적인 비즈니스용 Windows Hello 배포를 보장하기 위해 Microsoft Entra 템플릿에서 사용자 지정 가능한 자료(이메일 템플릿, 포스터, 교육 등)를 찾을 수 있습니다.
작업 가상 사용자에 맞는 나머지 사용자 포함
대상 사용자를 위한 인식 캠페인을 구현했습니다. 이러한 사용자는 정보를 받고 암호 없는 것으로 전환할 준비가 되어 있습니다. 대상 작업 가상 사용자와 일치하는 나머지 사용자를 배포에 추가합니다.
회사 가상 사용자의 암호가 필요하지 않은지 확인합니다.
대상 작업 가상 사용자의 모든 사용자를 암호 없는 사용자로 전환했습니다. 암호 없는 환경에서 작업하는 동안 문제가 발생하지 않도록 회사 페르소나 내의 사용자를 모니터링합니다.
보고된 모든 문제를 추적합니다. 보고된 각 문제에 우선 순위 및 심각도를 설정하고 팀이 문제를 적절하게 심사하도록 합니다. 문제를 심사할 때 다음 질문을 고려합니다.
| 질문 | |
|---|---|
| 🔲 | 보고 사용자가 작업 가상 사용자 외부에서 작업을 수행하고 있나요? |
| 🔲 | 보고된 문제가 전체 회사 페르소나 또는 특정 사용자에게만 영향을 주나요? |
| 🔲 | 중단이 잘못된 구성의 결과인가요? |
| 🔲 | 중단이 2단계에서 간과된 격차인가요? |
각 organization 우선 순위와 심각도가 다릅니다. 그러나 대부분의 조직에서는 작업 중단이 상당히 중요하다고 간주합니다. 팀은 우선 순위 및 심각도 수준을 미리 정의해야 합니다. 이러한 각 수준을 사용하여 심각도와 우선 순위의 각 조합에 대한 SLA(서비스 수준 계약)를 만들고 모든 사람에게 해당 계약에 대한 책임을 집니다. 사후 계획을 통해 사람들은 문제에 더 많은 시간을 할애하고 해결할 수 있으며 프로세스에 소요되는 시간을 줄입니다.
서비스 수준 계약에 따른 문제를 해결합니다. 심각도가 높을수록 사용자의 암호 표면의 일부 또는 전부를 반환해야 할 수 있습니다. 분명히 이 결과는 최종 목표가 아니지만 암호가 없는 방향으로 추진력을 늦추지 마십시오. 2단계에서 사용자의 암호 표면을 줄이고 솔루션으로 진행하여 해당 솔루션을 배포하고 유효성을 검사하는 방법을 참조하세요.
팁
도메인 컨트롤러에서 암호 인증 이벤트를 모니터링합니다. 이렇게 하면 여전히 암호를 사용하고 있는 사용자를 사전에 식별하고 사용자에게 연락하는 데 도움이 됩니다.
암호 인증을 방지하도록 사용자 계정 구성
대상 작업 가상 사용자에 대한 모든 사용자를 암호 없는 환경으로 전환하고 모든 워크플로의 유효성을 검사했습니다. 암호 없는 전환을 완료하는 마지막 단계는 암호에 대한 사용자의 지식을 제거하는 것입니다.
암호 스크램블링
사용자 계정에서 암호를 완전히 제거할 수는 없지만 사용자가 암호를 사용하여 인증하지 못하도록 할 수 있습니다. 가장 쉽고 효과적인 방법은 암호를 임의 값으로 설정하는 것입니다. 이 방법을 사용하면 사용자가 암호를 알고 인증하는 데 사용할 수 없지만 필요할 때마다 암호를 재설정할 수 있습니다.
팁
사용자가 암호를 재설정할 수 있도록 Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하도록 설정합니다. 구현되면 사용자는 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용하여 Windows 디바이스에 로그인하고 에서 https://aka.ms/sspr암호를 재설정할 수 있습니다. 비밀번호 쓰기 저장과 결합하여 암호 재설정을 온-프레미스 Active Directory 동기화합니다.
다음 샘플 PowerShell 스크립트는 64자의 임의 암호를 생성하고 Microsoft Entra ID 대해 변수 이름 $userId 지정된 사용자에 대해 설정합니다. 사용자 환경(첫 줄)과 일치하도록 스크립트의 userId 변수를 수정한 다음 PowerShell 세션에서 실행합니다. Microsoft Entra ID 인증하라는 메시지가 표시되면 암호를 재설정할 수 있는 역할이 있는 계정의 자격 증명을 사용합니다.
$userId = "<UPN of the user>"
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome
$passwordParams = @{
UserId = $userId
AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
NewPassword = Generate-RandomPassword
}
Reset-MgUserAuthenticationMethodPassword @passwordParams
Active Directory에 대해 암호를 재설정하는 데 유사한 스크립트를 사용할 수 있습니다. 사용자 환경(첫 줄)과 일치하도록 스크립트의 samAccountName 변수를 수정한 다음 PowerShell 세션에서 실행합니다.
$samAccountName = <sAMAccountName of the user>
function Generate-RandomPassword{
[CmdletBinding()]
param (
[int]$Length = 64
)
$chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
$random = New-Object System.Random
$password = ""
for ($i = 0; $i -lt $Length; $i++) {
$index = $random.Next(0, $chars.Length)
$password += $chars[$index]
}
return $password
}
$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force
Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset
조직 정책에서 허용하는 경우 임의 암호가 만료되지 않도록 구성하거나 긴 만료 기간을 사용할 수 있습니다. 이 구성을 사용하면 사용자에게 암호를 변경하라는 메시지가 표시되지 않습니다.
주의
안전하고 신뢰할 수 있는 환경에서만 스크립트를 실행하고 스크립트가 기록되지 않았는지 확인합니다. 스크립트가 실행되는 호스트를 도메인 컨트롤러와 동일한 수준의 보안으로 권한 있는 호스트로 처리합니다.
암호 사용 기간 및 암호 회전
organization 암호 회전 요구 사항이 없는 경우 암호 사용 기간을 사용하지 않도록 설정하는 것이 좋습니다.
organization 암호 회전 정책이 있는 경우 자동화를 구현하여 사용자의 암호를 정기적으로 회전하는 것이 좋습니다. 이 방법을 사용하면 사용자의 암호가 항상 임의로 표시되고 사용자가 암호를 알 수 없게 됩니다.
암호 관련 지침에 대한 자세한 내용은 백서 암호 지침을 참조하세요.
다음 단계
Microsoft는 암호 없는 여정을 더 쉽게 만들기 위해 노력하고 있습니다. 암호 없는 환경으로 전환하고 진정한 암호 없는 환경의 장기적인 보안 약속을 달성하는 데 도움이 되는 새로운 기능과 기능을 개발 중입니다. 새로운 것을 확인하려면 자주 다시 확인하세요.