2단계. Microsoft 365 권한 있는 계정 보호

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

소규모 비즈니스 지원 및 학습에 대한 모든 소규모 비즈니스 콘텐츠를 확인하세요.

정보 수집 및 피싱 공격을 포함하여 Microsoft 365 테넌트 보안 위반은 일반적으로 Microsoft 365 권한 있는 계정의 자격 증명을 손상시켜 수행됩니다. 클라우드의 보안은 귀하와 Microsoft 간의 파트너십입니다.

• Microsoft 클라우드 서비스는 신뢰와 보안을 기반으로 합니다. Microsoft는 데이터와 응용 프로그램을 보호하는 데 유용한 보안 컨트롤 및 기능을 제공합니다.

• 사용자는 데이터와 ID를 소유하며 데이터 및 ID의 보호, 온-프레미스 리소스의 보안, 사용자가 제어하는 클라우드 구성 요소의 보안은 사용자 책임입니다.

Microsoft는 organization 보호하는 기능을 제공하지만 사용하는 경우에만 유효합니다. 사용하지 않으면 공격에 취약할 수 있습니다. 권한 있는 계정을 보호하기 위해 Microsoft는 다음과 같은 자세한 지침을 제공합니다.

1. 전용, 권한 있는 클라우드 기반 계정을 만들고 필요한 경우에만 사용합니다.

2. 전용 Microsoft 365 권한 있는 계정에 대해 MFA(다단계 인증)를 구성하고 가장 강력한 형태의 보조 인증을 사용합니다.

3. 제로 트러스트 ID 및 디바이스 액세스 권장 사항을 사용하여 권한 있는 계정을 보호합니다.

참고

권한 있는 역할을 보호하려면 Microsoft Entra 역할에 대한 모범 사례를 검사 테넌트 액세스 권한을 보호합니다.

1. 전용, 권한 있는 클라우드 기반 사용자 계정을 만들고 필요한 경우에만 사용합니다.

관리자 역할이 할당된 일상적인 사용자 계정을 사용하는 대신 Microsoft Entra ID 관리자 역할이 있는 전용 사용자 계정을 만듭니다.

이 순간부터 관리자 권한이 필요한 작업에 대해서만 전용 권한 있는 계정으로 로그인합니다. 다른 모든 Microsoft 365 관리는 사용자 계정에 다른 관리 역할을 할당하여 수행해야 합니다.

참고

이렇게 하려면 일상적인 사용자 계정으로 로그아웃하고 전용 관리자 계정으로 로그인하는 추가 단계가 필요합니다. 그러나 관리자 작업에 대해서만 이 작업을 수행해야 합니다. 관리자 계정 위반 후 Microsoft 365 구독을 복구하려면 더 많은 단계가 필요합니다.

또한 실수로 Microsoft Entra ID 잠기지 않도록 긴급 액세스 계정을 만들어야 합니다.

관리자 역할의 주문형 Just-In-Time 할당을 위해 PIM(Microsoft Entra Privileged Identity Management)을 사용하여 권한 있는 계정을 추가로 보호할 수 있습니다.

2. 전용 Microsoft 365 권한 있는 계정에 대한 다단계 인증 구성

MFA(다단계 인증)에는 계정 이름 및 암호 이외의 추가 정보가 필요합니다. Microsoft 365는 다음과 같은 추가 확인 방법을 지원합니다.

• Microsoft Authenticator 앱
• 전화 통화
• 문자 메시지를 통해 전송된 임의로 생성된 확인 코드
• 스마트 카드(가상 또는 물리적)(페더레이션 인증 필요)
• 생체 인식 장치
• Oauth 토큰

참고

NIST(국립표준기술원) 표준을 준수해야 하는 조직의 경우 전화 통화 또는 문자 메시지 기반 추가 확인 방법의 사용이 제한됩니다. 자세한 내용은 여기 를 클릭하십시오.

클라우드에만 저장된 사용자 계정(클라우드 전용 ID 모델)을 사용하는 소규모 기업인 경우 각 전용 권한 계정에 대해 스마트폰으로 전송된 전화 통화 또는 문자 메시지 확인 코드를 사용하여 MFA를 구성하도록 MFA를 설정합니다 .

Microsoft 365 하이브리드 ID 모델을 사용하는 더 큰 organization 경우 더 많은 확인 옵션이 있습니다. 더 강력한 보조 인증 방법을 위한 보안 인프라가 이미 있는 경우 MFA를 설정하고 적절한 확인 방법에 대해 각 전용 권한 있는 계정을 구성합니다.

원하는 강력한 확인 방법에 대한 보안 인프라가 마련되어 있지 않고 Microsoft 365 MFA에서 작동하는 경우 Microsoft Authenticator 앱, 전화 통화 또는 중간 보안 조치로 권한 있는 계정에 대해 스마트폰으로 전송된 문자 메시지 확인 코드를 사용하여 MFA를 사용하여 전용 권한 있는 계정을 구성하는 것이 좋습니다. MFA에서 제공하는 추가 보호 없이 전용 권한 있는 계정을 그대로 두지 마세요.

자세한 내용은 Microsoft 365용 MFA를 참조하세요.

3. 제로 트러스트 ID 및 디바이스 액세스 권장 사항으로 관리자 계정 보호

Microsoft는 안전하고 생산적인 인력을 보장하기 위해 ID 및 디바이스 액세스에 대한 권장 사항 집합을 제공합니다. ID의 경우 다음 문서의 권장 사항 및 설정을 사용합니다.

• 필수 구성 요소
• 일반 ID 및 장치 액세스 정책

엔터프라이즈 조직을 위한 추가 보호

이러한 추가 방법을 사용하여 권한 있는 계정과 이를 사용하여 수행하는 구성이 가능한 한 안전한지 확인합니다.

권한 있는 액세스 워크스테이션

권한이 높은 작업의 실행이 가능한 한 안전한지 확인하려면 PAW(권한 있는 액세스 워크스테이션)를 사용합니다. PAW는 권한 있는 계정이 필요한 Microsoft 365 구성과 같은 중요한 구성 작업에만 사용되는 전용 컴퓨터입니다. 이 컴퓨터는 인터넷 검색 또는 전자 메일에 매일 사용되지 않으므로 인터넷 공격 및 위협으로부터 더 잘 보호됩니다.

PAW를 설정하는 방법에 대한 지침은 권한 있는 액세스 스토리의 일부로 디바이스 보안을 참조하세요.

Microsoft Entra 테넌트 및 관리자 계정에 Azure PIM을 사용하도록 설정하려면 PIM 구성 단계를 참조하세요.

사이버 공격자에 대한 권한 있는 액세스를 보호하기 위한 포괄적인 로드맵을 개발하려면 Microsoft Entra ID 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보안을 참조하세요.

Privileged Identity Management

권한 있는 계정에 관리자 역할이 영구적으로 할당되는 대신 PIM을 사용하여 필요할 때 관리자 역할의 주문형 Just-In-Time 할당을 사용하도록 설정할 수 있습니다.

관리자 계정은 영구 관리자에서 적격 관리자로 이동합니다. 사용자가 필요할 때까지 관리자 역할은 비활성화됩니다. 그런 다음 활성화 프로세스를 완료하여 미리 결정된 시간 동안 권한 있는 계정에 관리자 역할을 추가합니다. 시간이 만료되면 PIM은 권한 있는 계정에서 관리자 역할을 제거합니다.

PIM 및 이 프로세스를 사용하면 권한 있는 계정이 악의적인 사용자가 공격하고 사용하는 데 취약한 시간을 크게 줄일 수 있습니다.

이 기능을 사용하려면 Microsoft Entra ID Governance 또는 Microsoft Entra ID P2 구독이 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID 일반 공급 기능 비교를 참조하세요.

사용자 라이선스에 대한 자세한 내용은 Privileged Identity Management 사용하기 위한 라이선스 요구 사항을 참조하세요.

자세한 내용은 다음 항목을 참조하세요.

• Privileged Identity Management.
• Microsoft Entra ID 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보호

권한이 부여된 액세스 관리

권한 있는 액세스 관리는 테넌트에서 작업 기반 활동에 대한 Just-In-Time 액세스를 지정하는 정책을 구성하여 사용하도록 설정됩니다. 이는 중요한 데이터에 대한 고정 액세스 또는 중요한 구성 설정에 대한 액세스 권한이 있는 기존 권한 있는 관리자 계정을 사용할 수 있는 위반으로부터 organization 보호하는 데 도움이 될 수 있습니다. 예를 들어 테넌트에서 organization 사서함 설정에 액세스하고 변경하기 위해 명시적 승인이 필요한 권한 있는 액세스 관리 정책을 구성할 수 있습니다.

이 단계에서는 테넌트에서 권한 있는 액세스 관리를 사용하도록 설정하고 organization 대한 데이터 및 구성 설정에 대한 작업 기반 액세스에 대한 추가 보안을 제공하는 권한 있는 액세스 정책을 구성합니다. organization 권한 있는 액세스를 시작하는 세 가지 기본 단계가 있습니다.

• 승인자 그룹 만들기
• 권한 있는 액세스 사용
• 승인 정책 만들기

권한 있는 액세스 관리를 사용하면 organization 0개의 스탠딩 권한으로 작동하고 이러한 상임 관리 액세스로 인해 발생하는 취약성에 대한 방어 계층을 제공할 수 있습니다. 권한 있는 액세스에는 연결된 승인 정책이 정의된 모든 작업을 실행하기 위한 승인이 필요합니다. 승인 정책에 포함된 작업을 실행해야 하는 사용자는 액세스 승인을 요청하고 부여해야 합니다.

권한 있는 액세스 관리를 사용하도록 설정하려면 권한 있는 액세스 관리 시작을 참조하세요.

자세한 내용은 권한 있는 액세스 관리에 대해 알아보기를 참조하세요.

Microsoft 365 로깅을 위한 SIEM(보안 정보 및 이벤트 관리) 소프트웨어

서버에서 실행되는 SIEM 소프트웨어는 애플리케이션 및 네트워크 하드웨어에서 만든 보안 경고 및 이벤트에 대한 실시간 분석을 수행합니다. SIEM 서버가 분석 및 보고 기능에 Microsoft 365 보안 경고 및 이벤트를 포함할 수 있도록 하려면 Microsoft Entra ID SEIM에 통합합니다. Azure Log Integration 소개를 참조하세요.

다음 단계

3단계를 계속 진행하여 사용자 계정을 보호합니다.