Microsoft 365 Lighthouse 포털 보안 구성
MSP(관리 서비스 공급자)가 테넌트에 대한 액세스 권한을 위임한 경우 고객 데이터에 대한 액세스를 보호하는 것이 사이버 보안 우선 순위입니다. Microsoft 365 Lighthouse Lighthouse 포털 보안을 구성하는 데 도움이 되는 필수 및 선택적 기능이 모두 제공됩니다. Lighthouse에 액세스하려면 먼저 MFA(다단계 인증)를 사용하도록 설정된 특정 역할을 설정해야 합니다. 필요에 따라 PIM(Azure AD Privileged Identity Management) 및 조건부 액세스를 설정할 수 있습니다.
MFA(다단계 인증) 설정
블로그 게시물에서 설명한 대로 Pa$$word 중요하지 않습니다.
"암호는 중요하지 않지만 MFA는 그렇게 합니다. 연구에 따르면 MFA를 사용하는 경우 계정이 손상될 가능성이 99.9% 이상 낮습니다."
사용자가 처음으로 Lighthouse에 액세스하면 Microsoft 365 계정에 아직 구성되지 않은 경우 MFA를 설정하라는 메시지가 표시됩니다. 사용자는 필요한 MFA 설정 단계가 완료될 때까지 Lighthouse에 액세스할 수 없습니다. 인증 방법에 대한 자세한 내용은 다단계 인증에 대한 Microsoft 365 로그인 설정을 참조하세요.
역할 기반 액세스 제어 설정
RBAC(역할 기반 액세스 제어)는 사용자 역할에 따라 리소스 또는 정보에 대한 액세스 권한을 부여합니다. Lighthouse에서 고객 테넌트 데이터 및 설정에 대한 액세스는 CSP(클라우드 솔루션 공급자) 프로그램의 특정 역할로 제한됩니다. Lighthouse에서 RBAC 역할을 설정하려면 GDAP(세분화된 위임 관리자 권한)를 사용하여 사용자에 대한 세분화된 할당을 구현하는 것이 좋습니다. 테넌트가 성공적으로 온보딩되려면 DAP(위임된 관리자 권한)가 여전히 필요하지만 GDAP 전용 고객은 DAP에 대한 종속성 없이 곧 온보딩할 수 있게 됩니다. DAP 및 GDAP가 고객에게 공존하는 경우 GDAP 권한이 우선 적용됩니다.
GDAP 관계를 설정하려면 고객의 서비스를 관리하기 위한 세부적인 관리자 권한 가져오기를 참조하세요. Lighthouse를 사용하는 것이 좋습니다 역할에 대한 자세한 내용은 Microsoft 365 Lighthouse 사용 권한 개요를 참조하세요.
MSP 기술자는 DAP(위임된 관리자 권한)를 통해 관리 에이전트 또는 기술 지원팀 에이전트 역할을 사용하여 Lighthouse에 액세스할 수도 있습니다.
Lighthouse의 비고객 테넌트 관련 작업(예: 온보딩, 고객 비활성화/다시 활성화, 태그 관리, 로그 검토)의 경우 MSP 기술자는 파트너 테넌트에 할당된 역할이 있어야 합니다. 파트너 테넌트 역할에 대한 자세한 내용은 Microsoft 365 Lighthouse 권한 개요를 참조하세요.
PIM(Azure AD Privileged Identity Management) 설정
MSP는 PIM을 사용하여 보안 정보 또는 리소스에 대한 높은 권한 역할 액세스 권한이 있는 사용자 수를 최소화할 수 있습니다. PIM을 사용하면 악의적인 사용자가 리소스에 액세스하거나 권한이 부여된 사용자가 실수로 중요한 리소스에 영향을 줄 수 있습니다. 또한 MSP는 사용자에게 적시에 높은 권한 역할을 부여하여 리소스에 액세스하고, 광범위하게 변경하고, 지정된 사용자가 권한 있는 액세스로 수행하는 작업을 모니터링할 수 있습니다.
참고
Azure AD PIM을 사용하려면 파트너 테넌트에 Azure AD Premium P2 라이선스가 필요합니다.
다음 단계에서는 PIM을 사용하여 파트너 테넌트 사용자를 시간 범위 높은 권한 역할로 승격합니다.
Azure Active Directory 역할을 할당하기 위한 그룹 만들기 문서에 설명된 대로 역할 할당 가능 그룹을 만듭니다.
Azure AD – 모든 그룹으로 이동하여 새 그룹을 높은 권한 역할에 대한 보안 그룹의 구성원으로 추가합니다(예: DAP용 관리 에이전트 보안 그룹 또는 GDAP 역할에 대한 유사한 보안 그룹).
권한 있는 액세스 그룹에 대한 적격 소유자 및 구성원 할당 문서에 설명된 대로 새 그룹에 대한 권한 있는 액세스를 설정합니다.
PIM에 대한 자세한 내용은 Privileged Identity Management?
위험 기반 Azure AD 조건부 액세스 설정
MSP는 위험 기반 조건부 액세스를 사용하여 MFA를 사용하고 위험한 사용자(유출된 자격 증명 또는 Azure AD 위협 인텔리전스별)로 감지될 때 암호를 변경하여 직원이 자신의 ID를 증명하도록 할 수 있습니다. 또한 사용자는 위험한 로그인으로 검색될 때 익숙한 위치 또는 등록된 디바이스에서 로그인해야 합니다. 다른 위험한 동작으로는 악의적이거나 익명의 IP 주소 또는 비정형 또는 불가능한 이동 위치에서 로그인하거나, 비정상적인 토큰을 사용하거나, 암호 스프레이의 암호를 사용하거나, 다른 비정상적인 로그인 동작을 나타내는 것이 포함됩니다. 사용자의 위험 수준에 따라 MSP는 로그인 시 액세스를 차단하도록 선택할 수도 있습니다. 위험에 대해 자세히 알아보려면 위험이란?을 참조하세요.
참고
조건부 액세스에는 파트너 테넌트에 Azure AD Premium P2 라이선스가 필요합니다. 조건부 액세스를 설정하려면 Azure Active Directory 조건부 액세스 구성을 참조하세요.
관련 콘텐츠
암호 재설정 권한 (문서)
Microsoft 365 Lighthouse 사용 권한 개요(문서)
Microsoft 365 Lighthouse Azure Active Directory 역할 보기(문서)
Microsoft 365 Lighthouse 요구 사항(문서)
Microsoft 365 Lighthouse 개요(문서)
Microsoft 365 Lighthouse 등록(문서)
Microsoft 365 Lighthouse FAQ(문서)