Microsoft Entra ID 보호 및 B2B 사용자

  • 아티클

Microsoft Entra ID Protection은 Microsoft Entra 사용자에 대해 손상된 자격 증명을 검색합니다. 자격 증명이 손상된 것으로 감지되면 다른 사람이 암호를 가지고 있고 불법적으로 사용할 수 있음을 의미합니다. 계정에 대한 추가 위험을 방지하려면 악의적인 행위자가 손상된 암호를 더 이상 사용할 수 없도록 암호를 안전하게 다시 설정해야 합니다. ID 보호는 손상될 수 있는 계정을 "위험"으로 표시합니다.

조직 자격 증명을 사용하여 게스트 사용자로 다른 조직에 로그인할 수 있습니다. 이 프로세스를 B2B(business-to-business) 협업이라고 합니다. 조직은 사용자의 자격 증명이 위험으로 간주되는 경우 해당 사용자가 로그인하지 못하도록 차단하는 정책을 구성할 수 있습니다. 계정이 위험에 처해 있고 게스트로 다른 조직에 로그인할 수 없는 경우 다음 단계를 사용하여 계정을 자체 수정할 수 있습니다. 조직에서 셀프 서비스 암호 재설정을 사용하도록 설정하지 않은 경우 관리자는 계정을 수동으로 수정해야 합니다.

계정 차단을 해제하는 방법

다른 조직에 게스트로 로그인하려고 하고 위험으로 인해 차단되는 경우 다음 블록 메시지가 표시됩니다. "계정이 차단되었습니다. 계정에 의심스러운 활동이 검색되었습니다."라는 차단 메시지가 표시됩니다.

A screenshot showing the error guest account blocked, contact your organization's administrator.

조직에서 이 계정을 사용하도록 설정하는 경우 셀프 서비스 암호 재설정을 사용하여 계정 차단을 해제하고 자격 증명을 안전한 상태로 되돌릴 수 있습니다.

  1. 암호 재설정 포털로 이동하여 암호 재설정을 시작합니다. 계정에 대해 셀프 서비스 암호 재설정을 사용하도록 설정하지 않고 계속 진행할 수 없는 경우 IT 관리자 에게 다음 정보를 문의하세요.
  2. 계정에 대해 셀프 서비스 암호 재설정을 사용하도록 설정한 경우 암호를 변경하기 전에 보안 방법을 사용하여 ID를 확인하라는 메시지가 표시됩니다. 도움이 필요하면 회사 또는 학교 암호 재설정 문서를 참조하세요.
  3. 암호를 성공적으로 안전하게 재설정하면 사용자 위험이 수정됩니다. 이제 게스트 사용자로 로그인을 다시 시도할 수 있습니다.

암호를 다시 설정한 후에도 위험으로 인해 게스트로 차단되는 경우 조직의 IT 관리자에게 문의하세요.

관리자가 사용자의 위험을 수정하는 방법

ID 보호는 Microsoft Entra 테넌트에 대한 위험한 사용자를 자동으로 검색합니다. 이전에 ID 보호 보고서를 검사 않은 경우 위험이 있는 사용자가 많을 수 있습니다. 리소스 테넌트는 게스트 사용자에게 사용자 위험 정책을 적용할 수 있으므로 사용자가 이전에 자신의 위험한 상태를 인식하지 못한 경우에도 위험으로 인해 해당 사용자가 차단될 수 있습니다. 사용자가 위험으로 인해 다른 테넌트에서 게스트 사용자로 차단되었다고 보고하는 경우 계정을 보호하고 공동 작업을 사용하도록 사용자를 수정하는 것이 중요합니다.

사용자 암호 다시 설정

Microsoft Entra 보안 메뉴의 위험한 사용자 보고서에서 '사용자' 필터를 사용하여 영향을 받는 사용자를 검색합니다. 보고서에서 영향을 받는 사용자를 선택하고, 위쪽 도구 모음에서 "암호 재설정"을 선택합니다. 다음에 로그인할 때 변경해야 하는 임시 암호가 사용자에게 할당됩니다. 이 프로세스는 사용자 위험을 수정하고 자격 증명을 안전한 상태로 다시 가져옵니다.

사용자 위험을 수동으로 해제

암호 재설정이 선택 사항이 아닌 경우 사용자 위험을 수동으로 제거하도록 선택할 수 있습니다. 사용자 위험을 해제해도 사용자의 기존 암호에 영향을 주지 않지만, 이 프로세스는 사용자의 위험 상태를 '위험'에서 '해제됨'으로 변경합니다. ID를 안전한 상태로 되돌리려면 사용 가능한 모든 방법을 사용하여 사용자의 암호를 변경해야 합니다.

사용자 위험을 해제하려면 Microsoft Entra 보안 메뉴에서 위험한 사용자 보고서로 이동합니다. '사용자' 필터를 사용하여 영향을 받는 사용자를 검색하고, 사용자를 선택합니다. 위쪽 도구 모음에서 "사용자 위험 해제" 옵션을 선택합니다. 이 작업은 보고서에서 사용자 위험 상태를 완료하고 업데이트하는 데 몇 분 정도 걸릴 수 있습니다.

Microsoft Entra ID Protection에 대한 자세한 내용은 ID 보호란?을 참조하세요.

B2B 사용자에 대해 ID 보호는 어떻게 작동하나요?

B2B 협업 사용자에 대한 위험은 홈 디렉터리에서 평가됩니다. 해당 사용자의 실시간 로그인 위험은 리소스에 액세스하려고 할 때 리소스 디렉터리에서 평가됩니다. Microsoft Entra B2B 협업을 통해 조직은 ID 보호를 사용하여 B2B 사용자에게 위험 기반 정책을 적용할 수 있습니다. 해당 정책은 두 가지 방법으로 구성됩니다:

  • 관리자는 로그인 위험을 조건으로 사용하여 조건부 액세스 정책을 구성할 수 있으며 게스트 사용자를 포함합니다.
  • 관리은 모든 앱에 적용되고 게스트 사용자를 포함하는 기본 제공 ID 보호 위험 기반 정책을 구성할 수 있습니다.

B2B 협업 사용자에 대한 ID 보호 제한 사항

홈 디렉터리에 존재하는 ID로 인해 리소스 디렉터리에서 B2B 협업 사용자에 대한 ID 보호 구현에는 제한이 있습니다. 기본 제한 사항은 다음과 같습니다:

  • 게스트 사용자가 ID 보호 사용자 위험 정책을 트리거하여 암호 재설정 을 강제로 적용하면 차단됩니다. 해당 차단은 리소스 디렉터리에서 암호를 재설정할 수 없기 때문에 발생합니다.
  • 게스트 사용자는 위험 사용자 보고서에 표시되지 않습니다. 표시되지 않는 이유는 B2B 사용자의 홈 디렉터리에서 발생하는 위험 평가 때문입니다.
  • 관리자는 리소스 디렉터리에서 위험 B2B 협업 사용자를 해제하거나 수정할 수 없습니다. 기능을 사용할 수 없는 이유는 리소스 디렉터리의 관리자가 B2B 사용자의 홈 디렉터리에 액세스할 수 없기 때문입니다.

내 디렉터리에서 위험 B2B 협업 사용자를 수정할 수 없는 이유는 무엇입니까?

B2B 사용자에 대한 위험 평가 및 수정은 홈 디렉터리에서 발생합니다. 이로 인해 게스트 사용자는 리소스 디렉터리의 위험 사용자 보고서에 표시되지 않으며, 리소스 디렉터리 관리자는 해당 사용자에 대한 보안 암호 재설정을 강제할 수 없습니다.

조직의 위험 기반 정책으로 B2B 협업 사용자가 차단된 경우 어떻게 해야 하나요?

디렉터리의 위험한 B2B 사용자가 위험 기반 정책에 의해 차단되는 경우 사용자는 홈 디렉터리에서 해당 위험을 수정해야 합니다. 사용자는 이전에 설명한 대로 홈 디렉터리에서 보안 암호 재설정을 수행하여 위험을 해결할 수 있습니다. 홈 디렉터리에서 셀프 서비스 암호 재설정을 사용하도록 설정하지 않은 경우 관리자가 위험을 수동으로 해제하거나 암호를 재설정하도록 조직의 IT 직원에게 문의해야 합니다.

B2B 협업 사용자가 위험 기반 정책의 영향을 받지 않도록 하려면 어떻게 해야 하나요?

B2B 사용자를 조직의 위험 기반 조건부 액세스 정책에서 제외하면 B2B 사용자가 위험 평가의 영향을 받지 않습니다. 해당 B2B 사용자를 제외하려면 Microsoft Entra ID에서 조직의 모든 게스트 사용자를 포함하는 그룹을 만듭니다. 그런 다음 기본 제공 ID 보호 사용자 위험 및 로그인 위험 정책 및 로그인 위험을 조건으로 사용하는 조건부 액세스 정책에 대한 제외로 이 그룹을 추가합니다.

다음 단계

Microsoft Entra B2B 협업에 대한 다음 문서를 참조하세요.