Azure Policy 는 Azure 클라이언트에서 MFA(다단계 인증)를 곧 적용할 수 있도록 조직을 준비할 수 있는 강력한 거버넌스 도구입니다. 이 가이드에서는 조직 전체에서 다단계 인증을 자체 적용하기 위해 Azure Policy 할당을 적용하는 프로세스를 안내합니다.
Azure 포털을 통해 Azure Policy 시행 적용
1. Azure Portal에 로그인
Azure Portal로 이동합니다.
2. Azure Policy Service에 액세스
Azure 서비스에서 정책을 선택합니다. 표시되지 않으면 위쪽의 검색 창에 '정책'을 입력하고 결과에서 선택합니다.
3. 할당 범위 선택
- 정책 대시보드의 왼쪽 창에서 '할당'을 클릭합니다.
- 할당 페이지의 맨 위에서 '정책 할당'을 클릭합니다.
- 범위 섹션에서 '범위 선택'을 클릭합니다.
- 정책을 적용할 적절한 리소스 그룹, 구독 또는 관리 그룹을 선택합니다.
- '선택'을 클릭하여 선택을 확인합니다.
4. 정책 적용의 점진적 출시를 위한 선택기 구성
Note
정책 적용의 안전한 롤아웃을 사용하도록 설정하려면 Azure Policy의 리소스 선택기를 사용하여 리소스 전체에 정책 적용을 점진적으로 롤아웃하는 것이 좋습니다.
기본 사항 탭의 '리소스 선택기' 섹션에서 '확장'을 클릭합니다.
'리소스 선택기 추가'를 클릭합니다.
선택기 이름 추가
resourceLocation을 설정/해제하여 사용하도록 설정합니다.
적용하려는 몇 가지 위험 수준이 낮은 지역을 선택합니다. 정책 할당은 해당 지역의 Azure 리소스를 평가합니다.
나중에 resourceLocation 선택기를 더 추가하거나 기존 resourceLocation 선택기를 업데이트하여 더 많은 지역을 추가하도록 이 할당을 업데이트할 수 있습니다.
5. 정책 정의 선택
- '기본 사항'에서 정책 정의를 클릭합니다.
- 다단계 정책 정의를 찾아보거나 검색합니다. 그 중 2가지가 있습니다. 지금은 하나를 선택합니다.
- 목록에서 정책 정의를 선택합니다.
6. 추가 할당 세부 정보 구성
- '기본 사항'에서 정책 할당의 이름을 입력합니다. 필요에 따라 다른 사용자가 이 과제의 목적을 이해하는 데 도움이 되는 설명을 추가할 수 있습니다.
- '기본'에서 적용 모드를 사용하도록 설정해야 합니다(이 모드는 기본적으로 설정되며 작업이 필요하지 않음).
- '매개 변수' 탭으로 이동합니다. '입력 또는 검토가 필요한 매개 변수만 표시'를 선택 취소합니다. 매개 변수 값은 미리 선택된 값 'AuditAction' 또는 'Audit'(4단계에서 선택한 정의에 따라 다름)에 있어야 합니다.
- '비준수 메시지' 탭에서 사용자가 이 적용으로 인해 리소스를 삭제하지 못하도록 차단된 경우 사용자에게 표시되는 사용자 지정 메시지를 구성합니다.
샘플 텍스트: 이 오류를 해결하려면 aka.ms/setupMFA MFA를 설정합니다. MFA를 설정하고 이 오류가 계속 발생하는 경우 Entra 관리자에게 연락하여 Azure 보안 기본값을 복원합니다.
7. 할당 검토 및 만들기
- '검토 + 만들기' 탭에서 선택 항목 및 설정을 검토합니다.
- 모든 항목이 올바르게 표시되면 '만들기'를 클릭하여 정책 할당을 적용합니다.
8. 모든 지역에 정책 할당을 배포하십시오.
- 정책 할당 선택기를 업데이트하여 다른 지역의 리소스를 평가합니다.
- 정책 할당이 모든 지역의 리소스를 평가할 때까지 이 단계를 반복합니다.
9. 정책 할당의 존재 확인
- '할당' 탭에서 정책 할당이 성공적으로 만들어졌는지 확인합니다.
- 검색 창 및 범위 표시줄을 사용하여 쉽게 필터링할 수 있습니다.
정책 할당을 집행으로 업데이트합니다.
정책 할당의 '효과'를 업데이트하여 적용을 사용하도록 설정할 수 있습니다.
- 정책 할당 아래의 정책 할당으로 이동합니다. '할당 편집'을 클릭합니다.
- '기본' 탭에 'Overrides'가 표시됩니다. Click expand.
- '정책 효과 재정의 추가' 클릭
- 드롭다운 메뉴에서
Override Value을(를) 'DenyAction' 또는 'Deny'로 업데이트합니다 (4단계에서 선택한 정책 정의에 따라서). Selected Resources의 경우, 적용하려는 위험도가 낮은 몇몇 지역을 선택합니다. 정책 할당은 해당 지역의 Azure 리소스만 평가합니다.
- '검토 + 저장', '만들기'를 차례로 클릭합니다.
- 예기치 않은 영향을 확인하지 않은 경우 기존 재정의를 업데이트하여 다른 지역을 추가할 수 있습니다.
Audit Mode
이 정책 할당이 감사 모드에서 적용될 때 활동 로그에서 감사 이벤트를 검색합니다. 각 이벤트는 MFA를 사용하여 인증하지 않은 사용자가 수행한 리소스 만들기, 업데이트 또는 삭제를 나타냅니다.
Azure Portal 및 기타 지원되는 클라이언트에서 활동 로그 이벤트를 볼 수 있습니다. CLI에서 사용할 수 있는 샘플 쿼리는 다음과 같습니다.
az monitor activity-log list \ --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \ --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'
Enforcement Mode
이 정책 할당이 적용 모드에서 적용될 때 활동 로그에서 거부 이벤트를 검색합니다. 각 거부 이벤트는 MFA를 사용하여 인증하지 않은 사용자가 시도한 리소스 만들기, 업데이트 또는 삭제를 나타냅니다.
다음 섹션에서는 정책 할당이 적용 모드에서 적용되고 사용자 계정이 MFA로 인증되지 않고 리소스를 만들거나 업데이트하거나 삭제하려고 할 때 일부 선택 클라이언트의 환경을 보여 줍니다.
Note
미리 보기 기간에는 실행 중인 클라이언트 및 명령에 따라 사용자에게 표시되는 오류 메시지가 다를 수 있습니다.
Azure portal
MFA 인증 토큰 없이 만들기, 업데이트 또는 삭제 작업을 수행하려고 하면 Azure Portal에서 다음을 반환할 수 있습니다.
Azure CLI
MFA 인증 토큰 없이 만들기, 업데이트 또는 삭제 작업을 수행하려고 하면 Azure CLI가 다음을 반환할 수 있습니다.
Azure PowerShell
MFA 인증 토큰 없이 만들기, 업데이트 또는 삭제 작업을 수행하려고 하면 Azure PowerShell에서 다음을 반환할 수 있습니다.
미리 보기 기간의 제한 사항
- 경우에 따라 오류가 발생한 후 MFA를 완료하라는 메시지가 표시되지 않을 수 있습니다. 이러한 경우 작업을 다시 시도하기 전에 MFA를 사용하여 다시 인증합니다(예: Azure Portal을 통해).
- 경우에 따라 오류 메시지는 현재 위치에서 정책 할당으로 인해 작업이 차단되었음을 나타내지 않을 수 있습니다. 오류 메시지 샘플을 기록해 두면 조직에서 수신할 수 있는 오류 메시지를 숙지할 수 있습니다.