Microsoft 365용 ID 인프라 배포

  • 아티클
  • 읽는 데 5분 걸림

엔터프라이즈용 Microsoft 365에서 잘 계획되고 실행된 ID 인프라는 생산성 워크로드 및 해당 데이터에 대한 액세스를 인증된 사용자 및 디바이스로만 제한하는 등 보다 강력한 보안을 위한 길을 열어줍니다. ID 보안은 온-프레미스와 클라우드 모두에서 리소스에 액세스하려는 모든 시도가 인증되고 권한이 부여되는 제로 트러스트 배포의 핵심 요소입니다.

엔터프라이즈용 각 Microsoft 365의 ID 기능, azure Active Directory(Azure AD), 온-프레미스 및 클라우드 기반 구성 요소의 역할 및 가장 일반적인 인증 구성에 대한 자세한 내용은 ID 인프라 포스터를 참조하세요.

ID 인프라 포스터입니다.

이 두 페이지 포스터를 검토하여 엔터프라이즈용 Microsoft 365의 ID 개념 및 구성을 빠르게 확장합니다.

이 포스터를 다운로드하여 편지, 법률 또는 타블로이드(11 x 17) 형식으로 인쇄할 수 있습니다.

이 솔루션은 Microsoft 365 제로 트러스트 배포 스택을 빌드하는 첫 번째 단계입니다.

Microsoft 365 제로 트러스트 배포 스택

자세한 내용은 Microsoft 365 제로 트러스트 배포 계획을 참조하세요.

이 솔루션의 기능

이 솔루션은 Microsoft 365 테넌트에 대한 ID 인프라를 배포하여 직원에 대한 액세스 및 ID 기반 공격 방지를 제공하는 단계를 안내합니다.

Microsoft 365용 ID 인프라 배포

이 솔루션의 단계는 다음과 같습니다.

  1. ID 모델을 확인합니다.
  2. Microsoft 365 권한 있는 계정을 보호합니다.
  3. Microsoft 365 사용자 계정을 보호합니다.
  4. ID 모델을 배포합니다.

이 솔루션은 제로 트러스트 주요 원칙을 지원합니다.

  • 명시적으로 확인: 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 승인합니다.
  • 최소 권한 액세스 사용: Just-In-Time 및 Just-Enough-Access(JIT/JEA), 위험 기반 적응형 정책 및 데이터 보호를 통해 사용자 액세스를 제한합니다.
  • 위반 가정: 블라스트 반경 및 세그먼트 액세스를 최소화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협 탐지를 촉진하며 방어를 향상시키세요.

조직의 방화벽 뒤에 있는 모든 요소를 신뢰하는 기존의 인트라넷 액세스와 달리 제로 트러스트는 조직 방화벽 뒤에 있든 인터넷에 있든 관계없이 각 로그인 및 액세스가 제어되지 않는 네트워크에서 시작된 것처럼 취급합니다. 제로 트러스트에는 네트워크와 인프라, ID, 엔드포인트, 앱, 데이터에 대한 보호가 필요합니다.

Microsoft 365 기능 및 기능

Azure AD Microsoft 365 테넌트에 대한 전체 ID 관리 및 보안 기능을 제공합니다.

기능 또는 특징 설명 라이선싱
MFA(Multi-Factor Authentication) MFA를 사용하려면 사용자 암호와 Microsoft Authenticator 앱의 알림 또는 전화 통화와 같은 두 가지 형태의 확인을 제공해야 합니다. MFA는 도난당한 자격 증명을 사용하여 환경에 액세스할 수 있는 위험을 크게 줄입니다. Microsoft 365는 MFA 기반 로그인에 Azure AD Multi-Factor Authentication 서비스를 사용합니다. Microsoft 365 E3 혹은 E5
조건부 액세스 Azure AD 사용자 로그인 조건을 평가하고 조건부 액세스 정책을 사용하여 허용되는 액세스를 확인합니다. 예를 들어 이 지침에서는 중요한 데이터에 액세스하기 위해 디바이스 준수를 요구하는 조건부 액세스 정책을 만드는 방법을 보여 드립니다. 이렇게 하면 자체 디바이스 및 도난된 자격 증명을 사용하는 해커가 중요한 데이터에 액세스할 수 있는 위험이 크게 줄어듭니다. 또한 디바이스가 상태 및 보안에 대한 특정 요구 사항을 충족해야 하므로 디바이스에서 중요한 데이터를 보호합니다. Microsoft 365 E3 혹은 E5
Azure AD 그룹 조건부 액세스 정책, Intune 있는 디바이스 관리 및 조직의 파일 및 사이트에 대한 사용 권한도 사용자 계정 또는 Azure AD 그룹에 할당됩니다. 구현하는 보호 수준에 해당하는 Azure AD 그룹을 만드는 것이 좋습니다. 예를 들어, 임원진은 해커의 가치 높은 목표일 가능성이 높습니다. 따라서 이러한 직원의 사용자 계정을 Azure AD 그룹에 추가하고 액세스에 대해 더 높은 수준의 보호를 적용하는 조건부 액세스 정책 및 기타 정책에 이 그룹을 할당하는 것이 좋습니다. Microsoft 365 E3 혹은 E5
Azure AD ID 보호 조직의 ID에 영향을 주는 잠재적 취약성을 감지하고 자동화된 수정 정책을 낮음, 중간 및 높은 로그인 위험 및 사용자 위험으로 구성할 수 있습니다. 이 지침은 다단계 인증에 조건부 액세스 정책을 적용하기 위해 이 위험 평가에 의존합니다. 이 지침에는 위험 수준이 높은 활동이 계정에 대해 검색된 경우 사용자가 암호를 변경하도록 요구하는 조건부 액세스 정책도 포함되어 있습니다. Microsoft 365 E5, E5 보안 추가 기능, EMS E5 또는 Azure AD Premium P2 라이선스로 Microsoft 365 E3
SSPR(셀프 서비스 암호 재설정) 관리자가 제어할 수 있는 여러 인증 방법을 확인하여 사용자가 지원 센터 개입 없이 안전하게 암호를 재설정할 수 있도록 허용합니다. Microsoft 365 E3 혹은 E5
암호 보호 Azure AD 알려진 약한 암호와 해당 변형 및 조직과 관련된 추가 약한 용어를 검색하고 차단합니다. 기본 전역 금지 암호 목록은 Azure AD 테넌트의 모든 사용자에게 자동으로 적용됩니다. 사용자 지정 금지 암호 목록에서 추가 항목을 정의할 수 있습니다. 사용자가 암호를 변경하거나 재설정하면 해당 금지된 암호 목록은 강력한 암호를 사용하도록 확인됩니다. Microsoft 365 E3 혹은 E5

다음 단계

다음 단계를 사용하여 Microsoft 365 테넌트에 대한 ID 모델 및 인증 인프라를 배포합니다.

  1. 클라우드 ID 모델을 결정합니다.
  2. Microsoft 365 권한 있는 계정을 보호합니다.
  3. Microsoft 365 사용자 계정을 보호합니다.
  4. 클라우드 ID 모델( 클라우드 전용 또는 하이브리드)을 배포합니다.

Microsoft 365 테넌트에 사용할 ID 모델 결정

추가 Microsoft 클라우드 ID 리소스

관리

Microsoft 클라우드 ID 배포를 관리하려면 다음을 참조하세요.

Microsoft가 Microsoft 365에 대한 ID를 수행하는 방법

Microsoft의 IT 전문가가 ID와 보안 액세스를 관리하는 방법을 알아보세요.

참고

이 IT 쇼케이스 리소스는 영어로만 사용할 수 있습니다.

Contoso가 Microsoft 365에 대한 ID를 한 방법

가상이지만 대표적인 다국적 조직이 Microsoft 365 클라우드 서비스를 위한 하이브리드 ID 인프라를 배포한 방법에 대한 예제는 Contoso Corporation의 ID를 참조하세요.