누구나 Azure를 사용하려면 안전하고 잘 관리되는 ID가 필요합니다. Microsoft Entra ID는 Azure에서 ID 및 액세스 관리의 중추입니다. 이 문서에서는 강력한 ID 기반을 설정하기 위한 필수 단계를 안내합니다. 새 테넌트를 설정하든 기존 테넌트에서 보안을 강화하든, 이러한 모범 사례는 첫날부터 클라우드 리소스에 대한 액세스를 보호하는 데 도움이 됩니다.
개별 사용자 계정 만들기
Azure에 액세스해야 하는 모든 사용자는 Microsoft Entra에 자신의 사용자 계정이 있어야 합니다. 이 설정은 책임을 보장하는 데 도움이 되며 변경 내용을 더 쉽게 추적하고 보안 정책을 적용할 수 있습니다.
사용자 지정 도메인을 추가합니다. Microsoft Entra 테넌트를 만들 때 기본 도메인(yourtenant.onmicrosoft.com)이 함께 제공됩니다. 사용자 지정 도메인(예: contoso.com)을 추가하면 사용자는 익숙한 이름으로 alex@contoso.com로그인할 수 있습니다. 사용자 지정 도메인을 추가하기 전에 계정을 만드는 경우 나중에 업데이트해야 합니다. 자세한 단계는 Microsoft Entra에서 테넌트에 사용자 지정 도메인 이름 추가를 참조하세요.
모든 사용자에 대한 고유한 계정을 만듭니다. 공유 계정을 허용하지 않습니다. 공유 계정을 사용하면 변경 내용을 추적하고 책임을 할당하기가 어렵습니다. 지침은 Microsoft Entra에서 사용자를 만들고, 초대하고, 삭제하는 방법을 참조하세요.
응급 액세스 계정을 만듭니다. 일반 로그인 방법이 실패하는 경우 테넌트에 액세스할 수 있도록 두 개의 응급 액세스 계정을 만듭니다.
ID 관리 역할 할당
Microsoft Entra는 RBAC(역할 기반 액세스 제어)를 사용하여 사용자, 역할 할당 가능 그룹 또는 서비스 주체에 역할을 할당합니다. 이러한 역할은 Microsoft Entra, Microsoft 365 관리 센터, Microsoft Defender, Microsoft Purview 등에서 수행할 수 있는 작업을 정의합니다. 여기에는 계정 만들기, 그룹 관리 및 보안 정책 구성이 포함됩니다.
기본 제공 역할을 사용하세요. Microsoft는 일반적인 작업에 대해 미리 정의된 역할을 제공합니다. 각 역할에는 특정 권한 집합이 있습니다. 예를 들어 사용자 관리자 역할은 사용자 계정을 만들고 관리할 수 있습니다. Microsoft Entra 기본 제공 역할 목록을 검토하고 필요한 역할만 할당합니다.
최소 권한에 따라 역할을 할당합니다. 사용자에게 작업을 수행하는 데 필요한 권한만 부여합니다. 누군가가 Microsoft Entra, Microsoft 365 관리 센터, Microsoft Defender 또는 Microsoft Purview를 관리할 필요가 없는 경우 역할 할당 없이 일반 사용자로 둡니다.
Just-In-Time 액세스를 사용합니다. 조직에 Microsoft Entra PIM(Privileged Identity Management)에 대한 라이선스가 있는 경우 사용자가 필요한 경우에만 제한된 시간 동안 상승된 권한을 활성화하도록 허용할 수 있습니다. 이 설정은 영구 높은 수준의 액세스 권한이 있는 사용자가 너무 많을 위험을 줄입니다.
전역 관리자 역할 액세스를 제한합니다. 전역 관리자 역할은 Microsoft Entra 테넌트에 대한 모든 권한을 줍니다. 일상적인 작업에는 이 역할을 사용하지 마세요.
정기적으로 역할 할당을 검토합니다. 할당된 역할이 있는 사용자를 확인하고 더 이상 필요하지 않은 역할을 제거합니다. 기본 제공 보고서 및 경고를 사용하여 변경 내용을 모니터링할 수 있습니다.
자세한 내용은 Microsoft Entra 역할을 위한 모범 사례를 참조하세요.
다단계 인증 구성
MFA(다단계 인증)는 손상된 자격 증명 및 무단 액세스로부터 조직을 보호하는 데 도움이 됩니다.
보안 기본값을 이해합니다. 새 Microsoft Entra 테넌트에는 보안 기본값이 자동으로 설정되어 있습니다. 이러한 설정을 사용하려면 모든 사용자가 MFA에 등록하고, 관리자가 로그인할 때마다 MFA를 수행해야 하며, 필요한 경우 최종 사용자가 MFA를 수행하도록 요구합니다.
고급 시나리오에 조건부 액세스를 사용합니다. 조직에 더 많은 유연성이 필요한 경우 사용자가 익숙하지 않은 위치에서 로그인하는 경우와 같은 특정 상황에서만 MFA를 적용하는 조건부 액세스 정책을 만들 수 있습니다. 보안 기본값 및 조건부 액세스를 동시에 사용할 수 없습니다. 조건부 액세스를 사용하려면 먼저 보안 기본값을 사용하지 않도록 설정하고 프리미엄 라이선스를 획득해야 합니다. Microsoft Entra 다단계 인증을 사용하여 보안 사용자 로그인을 참조하세요.