Microsoft Entra ID 증가하는 공격으로부터 고객을 보호하기 위해 보안 기능을 추가하고 개선합니다. 새로운 공격 벡터가 등장함에 따라 Microsoft Entra ID 고객이 새로운 보안 위협보다 앞서 나가도록 기본적으로 보호를 사용하도록 설정하여 대응할 수 있습니다.
예를 들어, MFA 피로 공격의 증가에 대응하여 Microsoft는 고객이사용자를 방어할 수 있는
기본적으로 보안 기능을 보호하는 방법에는 두 가지가 있습니다.
- 보안 기능이 릴리스된 후 고객은 Microsoft Entra 관리 센터 또는 Graph API를 사용하여 자체 일정에 따라 변경 사항을 테스트하고 롤아웃할 수 있습니다. 새로운 공격 벡터에 대응할 수 있도록 Microsoft Entra ID는 특정 날짜에 모든 테넌트에 대해 보호를 기본적으로 사용하도록 설정할 수 있으며, 이를 사용하지 않도록 설정하는 옵션은 제공되지 않습니다. Microsoft 고객이 준비할 시간을 주기 위해 기본 보호를 미리 예약합니다. Microsoft가 기본적으로 보호를 예약하는 경우 고객은 옵트아웃할 수 없습니다.
- 보호는 Microsoft 관리 수 있습니다. 즉, Microsoft Entra ID 현재 보안 위협 환경을 기반으로 보호를 사용하거나 사용하지 않도록 설정할 수 있습니다. 고객은 Microsoft가 보호를 관리할 수 있도록 허용할지 여부를 선택할 수 있습니다. 언제든지 Microsoft 관리에서 명시적으로 Enabled 또는 Disabled 변경할 수 있습니다.
메모
중요한 보안 기능만 기본적으로 보호를 사용하도록 설정됩니다.
Microsoft Entra ID에서 사용하도록 설정된 기본 보호
숫자 일치는 현재 모든 테넌트에서 Microsoft Authenticator의 푸시 알림에 대해 선택 사항인 인증 방법에 대한 보호의 좋은 예입니다. 고객은 사용자 및 그룹에 대해 Microsoft Authenticator에서 푸시 알림에 숫자 일치를 사용하도록 선택하거나 사용하지 않도록 설정할 수 있습니다. 번호 일치는 이미 Microsoft Authenticator의 암호 없는 알림에 대한 기본 동작이며 사용자는 옵트아웃할 수 없습니다.
MFA 피로 공격이 증가함에 따라 로그인 보안에 숫자 일치가 중요합니다. 따라서 Microsoft는 Microsoft Authenticator에서 푸시 알림의 기본 동작을 변경합니다.
Microsoft 관리 설정
인증 방법 정책 설정을 사용 또는 사용 안 함으로 구성하는 것 외에도, IT 관리자는 인증 방법 정책의 일부 설정을 Microsoft에서 관리하도록구성할 수 있습니다. Microsoft 관리 설정을 사용하면 Microsoft Entra ID 기능을 자동으로 사용하거나 사용하지 않도록 설정할 수 있습니다.
Microsoft Entra ID 설정을 관리할 수 있도록 하는 옵션은 조직에서 Microsoft 기능 기본값을 관리할 수 있도록 하는 편리한 방법입니다. 조직은 Microsoft 신뢰하여 기능을 사용하도록 설정해야 하는 시기를 결정하여 보안 상태를 개선할 수 있습니다. 설정을 Microsoft 관리형(그래프 API에서 기본으로 명명된)으로 구성하면, IT 관리자는 직접 사용 중지하지 않은 보안 기능을 Microsoft가 활성화할 수 있도록 신뢰할 수 있습니다.
예를 들어 관리자는 푸시 알림에서 위치 및 애플리케이션 이름 사용하도록 설정하여 사용자가 Microsoft Authenticator로 MFA 요청을 승인할 때 더 많은 컨텍스트를 제공할 수 있습니다. 추가 컨텍스트는 명시적으로 비활성화하거나, Microsoft가 관리하도록 설정할 수도 있습니다. 현재 Microsoft에서 관리하는 위치 및 애플리케이션 이름에 대한 구성은 사용 안 함으로, 관리자가 Microsoft Entra ID를 통해 설정을 관리하도록 선택한 모든 환경에서 해당 옵션을 효과적으로 비활성화합니다.
보안 위협 환경이 시간이 지남에 따라 변화함에 따라, Microsoft는 위치 및 애플리케이션 이름에 대한 Microsoft 관리 구성을 사용으로 변경할 수 있습니다. 보안 태세를 개선하기 위해 Microsoft 사용하려는 고객의 경우 보안 기능을 Microsoft 관리로 설정하면 보안 위협보다 쉽게 앞서나갈 수 있습니다. Microsoft 현재 위협 환경을 기반으로 최상의 구성을 결정합니다.
다음 표에는 Microsoft 관리형으로 설정할 수 있는 각 설정과 해당 설정이 기본적으로 사용 또는 비활성화되어 있는지 여부가 나와 있습니다.
| 설정 | 구성 |
|---|---|
| 등록 캠페인 | 활성화됨 |
| Microsoft Authenticator 알림의 위치 | 비활성화 |
| Microsoft Authenticator 알림의 애플리케이션 이름 | 비활성화 |
| 시스템 기본 설정 인증 | 활성화됨 |
| Authenticator Lite | 활성화됨 |
| 의심스러운 활동을 보고하세요 | 비활성화 |
Microsoft 관리 등록 캠페인
등록 캠페인이 Microsoft 관리로 설정되면 Microsoft 모범 사례에 따라 테넌트에 대한 최적의 캠페인 구성을 결정합니다. Microsoft 테넌트 설정 및 범위가 지정된 사용자를 평가하여 대상 인증 방법을 결정합니다.
- 테넌트에 동기화된 패스키와 디바이스 바운드형 패스키를 포함한 모든 유형의 패스키를 허용하는 패스키(FIDO2) 프로필에 속한 등록 캠페인 범위의 사용자가 있는 경우, 대상 메서드가 패스키로 변경됩니다.
- 해당 조건을 충족하는 사용자가 없으면 대상 메서드는 Microsoft Authenticator 유지됩니다.
패스키(FIDO2)가 사용하도록 설정되어 있고 활성화된 등록 캠페인이 Microsoft 관리로 설정된 테넌트의 경우, Microsoft가 테넌트에 변경 사항을 순차적으로 배포함에 따라 캠페인 설정이 점진적으로 업데이트됩니다.
메모
등록 캠페인은 한 번에 하나의 인증 방법만 대상으로 지정할 수 있습니다. 테넌트는 Microsoft Authenticator 및 암호 키 모두에 대한 캠페인을 동시에 실행할 수 없습니다.
다음 Microsoft에서 관리하는 등록 캠페인 설정이 업데이트됩니다.
| 설정 | 이전 값 | 새 값 |
|---|---|---|
| 대상 인증 방법 | Microsoft Authenticator | Passkeys(FIDO2) |
| 다시 알림이 허용되는 날짜 | 3일 | 1일(더 이상 구성할 수 없음) |
| 다시 알림 횟수 제한 | 활성화됨 | 사용 안 함(더 이상 구성할 수 없음) |
| 사용자 대상 지정 | 음성 통화 또는 문자 메시지 사용자 | 모든 MFA(다단계 인증) 지원 사용자 |
이러한 변경 내용이 적용되면 대상 사용자는 다단계 인증을 완료한 후 로그인하는 동안 암호 등록을 받습니다. 테넌트가 패스키(FIDO2) 정책에서 특정 AAGUID(Authenticator Attestation GUID)를 대상으로 지정하는 경우, 해당 인증 방법은 Microsoft 관리 모드에서는 패스키로 업데이트되지 않습니다. 계속 사용 으로 전환하고 암호 대상 지정을 수동으로 구성할 수 있습니다.
메모
Microsoft 관리 설정이 조직의 요구 사항을 충족하지 않는 경우 등록 캠페인 상태를 Enabled로 전환하여 모든 설정을 수동으로 구성하거나, 디에이블드로 전환하여 캠페인을 해제할 수 있습니다. 예를 들어 패스키를 사용하도록 설정하되 등록 캠페인이 패스키를 대상으로 지정하지 않도록 하려면 상태를 Enabled로 전환하고 Microsoft Authenticator를 대상으로 지정합니다. 자세한 내용은 등록 캠페인 실행을 참조하세요.
위협 벡터가 변경되면 Microsoft Entra ID는 릴리스 정보 및 Tech Community같은 일반적으로 읽는 포럼에서 Microsoft 관리 설정에 대한 기본 보호를 발표할 수 있습니다.
자세한 내용은 블로그 게시물 It's Time to Hang Up on Phone Transports for Authentication(인증을 위한 전화 전송 )에서 문자 메시지 및 음성 통화 사용에서 벗어나는 방법을 설명합니다. Microsoft 관리되는 등록 캠페인을 통해 사용자는 Microsoft Authenticator 및 암호를 비롯한 최신 인증 방법을 설정할 수 있습니다.
관련 콘텐츠
- Microsoft Entra ID의 인증 방법 - Microsoft Authenticator
- 암호 사용(FIDO2)