Microsoft Entra ID에서 인증 방법 보호
참고 항목
인증자 라이트에 대한 Microsoft 관리 값은 2023년 6월 26일에 사용하지 않도록 설정에서 사용하도록 설정으로 전환됩니다. 기본 상태인 Microsoft 관리에 남아 있는 모든 테넌트는 6월 26일에 이 기능을 사용할 수 있게 됩니다.
Microsoft Entra ID는 증가하는 공격으로부터 고객을 더욱 효과적으로 보호하기 위해 보안 기능을 추가하고 개선합니다. 새로운 공격 벡터가 알려지면 Microsoft Entra ID는 고객이 새로운 보안 위협보다 앞서 나갈 수 있도록 기본적으로 보호를 사용하도록 설정하여 대응할 수 있습니다.
예를 들어 MFA 피로 공격이 증가함에 따라 Microsoft는 고객이 사용자를 방어할 수 있는 방법을 권장하고 있습니다. 사용자가 실수로 MFA(다단계 인증) 승인을 하지 못하도록 하기 위한 한 가지 권장 사항은 숫자 일치를 사용하도록 설정하는 것입니다. 따라서 숫자 일치에 대한 기본 동작은 모든 Microsoft Authenticator 사용자에 대해 명시적으로 사용으로 설정됩니다. 이제 고급 Microsoft Authenticator 보안 기능이 일반 공급됨 블로그 게시물에서 숫자 일치와 같은 새로운 보안 기능에 대해 자세히 알아볼 수 있습니다.
기본적으로 보안 기능을 보호하는 방법에는 다음 두 가지가 있습니다.
- 보안 기능이 릴리스된 후 고객은 Microsoft Entra 관리 센터 또는 Graph API를 사용하여 자신의 일정에 따라 변경 내용을 테스트하고 롤아웃할 수 있습니다. 새로운 공격 벡터로부터 방어하기 위해 Microsoft Entra ID는 특정 날짜에 모든 테넌트에 대해 기본적으로 보안 기능 보호를 사용하도록 설정할 수 있으며 보호를 사용하지 않도록 설정하는 옵션은 없습니다. Microsoft는 고객에게 변경에 대비할 시간을 주기 위해 기본 보호를 미리 예약합니다. Microsoft가 기본적으로 보호를 예약하는 경우 고객은 옵트아웃할 수 없습니다.
- 보호는 Microsoft에서 관리할 수 있습니다. 즉, Microsoft Entra ID는 현재 보안 위협 환경에 따라 보호를 사용하거나 사용하지 않도록 설정할 수 있습니다. 고객은 Microsoft가 보호를 관리할 수 있도록 허용할지 여부를 선택할 수 있습니다. 언제든지 Microsoft 관리형에서 다른 방식으로 변경하여 명시적으로 보호 사용 또는 사용 안 함을 설정할 수 있습니다.
참고 항목
중요한 보안 기능만 기본적으로 보호가 사용하도록 설정됩니다.
Microsoft Entra ID로 기본 보호 사용
숫자 일치는 현재 모든 테넌트에서 Microsoft Authenticator의 푸시 알림에 대해 선택 사항인 적절한 인증 방법 보호 예제입니다. 고객은 사용자 및 그룹에 대해 Microsoft Authenticator의 푸시 알림에서 숫자 일치를 사용하도록 설정하거나 사용하지 않도록 둘 수 있습니다. 숫자 일치는 이미 Microsoft Authenticator의 암호 없는 알림에 대한 기본 동작이며 사용자는 옵트아웃할 수 없습니다.
MFA 피로 공격이 증가함에 따라 로그인 보안을 위해 숫자 일치가 더 중요해졌습니다. 따라서 Microsoft는 Microsoft Authenticator에서 푸시 알림에 대한 기본 동작을 변경합니다.
Microsoft 관리형 설정
인증 방법 정책 설정을 사용 또는 사용 안 함으로 구성하는 것 외에도 IT 관리자는 인증 방법 정책의 일부 설정을 Microsoft 관리형으로 구성할 수 있습니다. Microsoft 관리으로 구성된 설정을 통해 Microsoft Entra ID가 설정을 사용하거나 사용하지 않도록 설정할 수 있습니다.
Microsoft Entra ID에서 설정을 관리하도록 하는 옵션은 조직에서 Microsoft가 기본적으로 기능을 사용하거나 사용하지 않도록 설정하도록 허용하는 편리한 방법입니다. 조직은 기능이 기본적으로 사용하도록 설정되어야 하는 시기를 Microsoft가 관리하도록 함으로써 보안 태세를 보다 쉽게 개선할 수 있습니다. 설정을 Microsoft 관리(Graph API에서 default로 명명)로 구성하면 IT 관리자는 Microsoft를 신뢰하여 명시적으로 사용하지 않도록 설정하지 않은 보안 기능을 사용하도록 설정할 수 있습니다.
예를 들어 관리자는 푸시 알림에서 위치 및 애플리케이션 이름을 사용하도록 설정하여 Microsoft Authenticator로 MFA 요청을 승인하는 사용자에게 더 많은 컨텍스트를 제공할 수 있습니다. 추가 컨텍스트를 명시적으로 사용하지 않도록 설정하거나 Microsoft 관리형으로 설정할 수도 있습니다. 현재 위치 및 애플리케이션 이름에 대한 Microsoft 관리 구성은 사용 안 함으로 설정되어 관리자가 Microsoft Entra ID에서 설정을 관리하도록 선택한 모든 환경에 대한 옵션을 효과적으로 사용하지 않도록 설정합니다.
시간이 지나면서 보안 위협 환경이 변경됨에 따라 Microsoft는 위치 및 애플리케이션 이름에 대한 Microsoft 관리형 구성을 사용으로 변경할 수 있습니다. Microsoft에 의존하여 보안 상태를 개선하려는 고객의 경우 보안 기능을 Microsoft 관리형으로 설정하면 보안 위협을 사전에 대처할 수 있습니다. Microsoft와 협력하면서 현재 위협 환경에 따라 보안 설정을 구성하는 가장 좋은 방법을 결정할 수 있습니다.
다음 표에는 Microsoft 관리로 설정할 수 있는 각 설정과 해당 설정이 기본적으로 사용 또는 사용 안 함으로 설정되어 있는지 여부가 나열되어 있습니다.
| 설정 | 구성 |
|---|---|
| 등록 캠페인 | 문자 메시지 및 음성 통화 사용자에 대해 사용 |
| Microsoft Authenticator 알림에 포함된 위치 | 사용 안 함 |
| Microsoft Authenticator 알림에 포함된 애플리케이션 이름 | 사용 안 함 |
| 시스템 기본 설정 MFA | Enabled |
| 인증자 라이트 | Enabled |
| 의심스러운 활동 보고 | 사용 안 함 |
위협 벡터가 변경됨에 따라 Microsoft Entra ID는 릴리스 정보 및 기술 커뮤니티와 같이 널리 읽히는 포럼에서 Microsoft 관리 설정에 대한 기본 보호를 공지할 수 있습니다. 예를 들어, 문자 메시지 및 음성 통화 사용을 중단해야 하는 필요성에 대한 자세한 내용은 블로그 게시물 인증을 위해 전화 전송을 끊어야 할 때입니다를 참조하세요. 이로 인해 사용자가 최신 인증을 위한 인증자를 설정할 수 있는 등록 캠페인이 기본적으로 사용하도록 설정되었습니다.