Microsoft Entra 일반 작업 가이드 참조

Microsoft Entra 작업 참조 가이드의 이 섹션에서는 Microsoft Entra ID의 일반 작업을 최적화하기 위해 수행해야 하는 검사 및 작업에 대해 설명합니다.

주요 운영 프로세스

주요 작업에 소유자 할당

Microsoft Entra ID를 관리하려면 롤아웃 프로젝트의 일부가 아닐 수 있는 주요 작업 및 프로세스를 지속적으로 실행해야 합니다. 환경을 최적화하기 위해 이 작업을 설정하는 것도 여전히 중요합니다. 핵심 작업과 권장 소유자는 다음과 같습니다.

목록을 검토할 때 소유자가 누락된 작업에 소유자를 할당하거나 위의 권장 사항과 일치하지 않는 소유자가 있는 작업에 대한 소유권을 조정해야 할 수 있습니다.

소유자가 추천하는 읽을거리

• Microsoft Entra ID에서 관리자 역할 할당

하이브리드 관리

최신 버전의 온-프레미스 구성 요소

가장 up-to최신 버전의 온-프레미스 구성 요소를 사용하면 환경을 더욱 간소화하는 데 도움이 될 수 있는 최신 보안 업데이트, 성능 향상 및 기능을 고객에게 제공합니다. 대부분의 구성 요소에는 업그레이드 프로세스를 자동화하는 자동 업그레이드 설정이 있습니다.

이러한 구성 요소는 다음과 같습니다.

• Microsoft Entra Connect
• Microsoft Entra 프라이빗 네트워크 커넥터
• Microsoft Entra 패스스루 인증 에이전트
• Microsoft Entra Connect Health Agents

구성 요소가 설정되지 않은 경우 가능하면 이러한 구성 요소를 업그레이드하고 자동 업그레이드 기능을 사용하는 프로세스를 정의해야 합니다. 6개월 이상 뒤에 있는 구성 요소를 찾으면 가능한 한 빨리 업그레이드해야 합니다.

하이브리드 관리 권장 읽기

• Microsoft Entra Connect: 자동 업그레이드
• Microsoft Entra 프라이빗 네트워크 커넥터 이해 | 자동 업데이트

Microsoft Entra Connect Health 경고 기준

조직은 Microsoft Entra Connect 및 AD FS의 모니터링 및 보고를 위해 Microsoft Entra Connect Health를 배포해야 합니다. Microsoft Entra Connect 및 AD FS는 수명 주기 관리 및 인증을 중단하여 중단으로 이어질 수 있는 중요한 구성 요소입니다. Microsoft Entra Connect Health는 온-프레미스 ID 인프라를 모니터링하고 인사이트를 확보하여 환경의 안정성을 보장합니다.

환경의 상태를 모니터링할 때 높은 심각도 경고와 낮은 심각도 경고를 즉시 해결해야 합니다.

Microsoft Entra Connect Health 추천 읽을거리

• Microsoft Entra Connect Health 에이전트 설치

온프레미스 에이전트 로그

일부 ID 및 액세스 관리 서비스는 하이브리드 시나리오를 사용하도록 설정하기 위해 온-프레미스 에이전트가 필요합니다. 암호 재설정, PTA(통과 인증), Microsoft Entra 애플리케이션 프록시 및 Microsoft Entra 다단계 인증 NPS 확장을 예로 들 수 있습니다. System Center Operations Manager 또는 SIEM과 같은 솔루션을 사용하여 구성 요소 에이전트 로그를 보관하고 분석하여 운영 팀이 이러한 구성 요소의 상태를 기준하고 모니터링하는 것이 핵심입니다. Infosec 운영 팀이나 지원 센터도 오류 패턴을 해결하는 방법을 이해하는 것이 중요합니다.

온-프레미스 에이전트 로그 권장 읽기

• 애플리케이션 프록시 문제 해결
• 셀프 서비스 암호 재설정 문제 해결
• Microsoft Entra 프라이빗 네트워크 커넥터 이해하기
• Microsoft Entra Connect: 패스스루 인증 문제 해결
• Microsoft Entra 다단계 인증 NPS 확장에 대한 오류 코드 문제 해결

온-프레미스 에이전트 관리

모범 사례를 채택하면 온-프레미스 에이전트의 최적 운영에 도움이 될 수 있습니다. 다음 모범 사례를 고려합니다.

• 커넥터 그룹당 여러 Microsoft Entra 프라이빗 네트워크 커넥터는 프록시 애플리케이션에 액세스할 때 단일 실패 지점을 방지하여 원활한 부하 분산 및 고가용성을 제공하는 것이 좋습니다. 현재 프로덕션 환경에서 애플리케이션을 처리하는 커넥터 그룹에 커넥터가 하나만 있는 경우 중복성을 위해 두 개 이상의 커넥터를 배포해야 합니다.
• 디버깅을 위해 프라이빗 네트워크 커넥터 그룹을 만들고 사용하는 것은 시나리오 문제 해결 및 새 온-프레미스 애플리케이션 온보딩 시 유용할 수 있습니다. 또한 커넥터 머신에 Message Analyzer 및 Fiddler와 같은 네트워킹 도구를 설치하는 것이 좋습니다.
• 인증 흐름 중에 단일 실패 지점을 방지하여 원활한 부하 분산 및 고가용성을 제공하려면 여러 통과 인증 에이전트가 권장됩니다. 중복성을 위해 두 개 이상의 통과 인증 에이전트를 배포해야 합니다.

내부 설치형 에이전트 관리 권장 도서

• Microsoft Entra 프라이빗 네트워크 커넥터 이해하기
• Microsoft Entra 통과 인증 - 빠른 시작

대규모 관리

ID 보안 점수

ID 보안 점수는 조직의 보안 상태를 정량화할 수 있는 측정값을 제공합니다. 보고된 결과를 지속적으로 검토하고 해결하고 가능한 가장 높은 점수를 획득하기 위해 노력하는 것이 핵심입니다. 점수는 다음에 도움이 됩니다.

• ID 보안 상태를 객관적으로 측정
• ID 보안 개선 계획
• 개선 사항의 성공을 검토하다

조직에 현재 ID 보안 점수의 변경 내용을 모니터링하는 프로그램이 없는 경우 계획을 구현하고 소유자를 할당하여 개선 작업을 모니터링하고 추진하는 것이 좋습니다. 조직은 가능한 한 빨리 점수 영향이 30보다 높은 개선 작업을 수정해야 합니다.

공지

Microsoft는 관리자에게 전자 메일 통신을 보내 서비스의 다양한 변경 내용, 필요한 구성 업데이트 및 관리자 개입이 필요한 오류를 알립니다. 모든 알림을 승인하고 조치를 수행할 수 있는 적절한 팀 구성원에게 알림이 전송되도록 고객이 알림 전자 메일 주소를 설정하는 것이 중요합니다. 메시지 센터에 여러 받는 사람을 추가하고 알림(Microsoft Entra Connect Health 알림 포함)을 메일 그룹 또는 공유 사서함으로 보내도록 요청하는 것이 좋습니다. 전자 메일 주소가 있는 전역 관리자 계정이 하나만 있는 경우 전자 메일 지원 계정을 두 개 이상 구성해야 합니다.

Microsoft Entra ID에는 두 개의 "보낸 사람" 주소가 있으며, o365mc@email2.microsoft.com은 메시지 센터 알림을 보내고, azure-noreply@microsoft.com은 다음과 관련된 알림을 보냅니다.

• Microsoft Entra 액세스 리뷰
• Microsoft Entra Connect 건강
• Microsoft Entra ID 프로텍션
• Microsoft Entra 권한 있는 ID 관리
• 엔터프라이즈 앱 만료 인증서 알림
• 기업 앱 배포 서비스 알림

다음 표를 참조하여 전송되는 알림 유형과 알림을 확인할 위치를 알아봅니다.

알림 권장 읽기

• 조직의 주소, 기술 담당자 등 변경

작업 노출 영역

AD FS 잠금

Microsoft Entra ID에 직접 인증하도록 애플리케이션을 구성하는 조직은 Microsoft Entra 스마트 잠금의 이점을 누릴 수 있습니다. Windows Server 2012 R2에서 AD FS를 사용하는 경우 AD FS 엑스트라넷 잠금 보호를 구현합니다. Windows Server 2016 이상에서 AD FS를 사용하는 경우 엑스트라넷 스마트 잠금을 구현합니다. 최소한 온-프레미스 Active Directory에 대한 무차별 대입 공격의 위험을 억제하기 위해 엑스트라넷 잠금 설정을 사용하는 것이 좋습니다. 그러나 Windows 2016 이상에 AD FS가 있는 경우 암호 스프레이 공격을 완화하는 데 도움이 되는 엑스트라넷 스마트 잠금을 사용하도록 설정해야 합니다.

AD FS가 Microsoft Entra 페더레이션에만 사용되는 경우 공격 노출 영역을 최소화하기 위해 해제할 수 있는 몇 가지 엔드포인트가 있습니다. 예를 들어 AD FS가 Microsoft Entra ID에만 사용되는 경우 usernamemixed 및 windowstransport에 사용하도록 설정된 엔드포인트 이외의 WS-Trust 엔드포인트를 사용하지 않도록 설정해야 합니다.

온-프레미스 ID 구성 요소가 있는 컴퓨터에 대한 액세스

조직은 온-프레미스 도메인과 동일한 방식으로 온-프레미스 하이브리드 구성 요소가 있는 컴퓨터에 대한 액세스를 잠가야 합니다. 예를 들어 백업 운영자 또는 Hyper-V 관리자는 Microsoft Entra Connect Server에 로그인하여 규칙을 변경할 수 없습니다.

Active Directory 관리 계층 모델은 환경의 모든 권한(계층 0)과 공격자가 자주 손상시키는 고위험 워크스테이션 자산 간의 버퍼 영역 집합을 사용하여 ID 시스템을 보호하도록 설계되었습니다.

계층 모델은 세 가지 수준으로 구성되며 표준 사용자 계정이 아닌 관리 계정만 포함합니다.

• 계층 0 - 환경에서 엔터프라이즈 ID를 직접 제어합니다. 계층 0에는 Active Directory 포리스트, 도메인 또는 도메인 컨트롤러 및 그 안에 있는 모든 자산에 대한 직접 또는 간접 관리 제어가 있는 계정, 그룹 및 기타 자산이 포함됩니다. 모든 계층 0 자산의 보안 민감도는 모두 효과적으로 서로를 제어하기 때문에 동일합니다.
• 계층 1 - 엔터프라이즈 서버 및 애플리케이션 제어 계층 1 자산에는 서버 운영 체제, 클라우드 서비스 및 엔터프라이즈 애플리케이션이 포함됩니다. 계층 1 관리자 계정은 이러한 자산에 호스트되는 상당한 양의 비즈니스 가치를 관리 제어할 수 있습니다. 일반적인 역할의 예로는 모든 엔터프라이즈 서비스에 영향을 미칠 수 있는 기능을 사용하여 이러한 운영 체제를 유지 관리하는 서버 관리자가 있습니다.
• 계층 2 - 사용자 워크스테이션 및 디바이스를 제어합니다. 계층 2 관리자 계정은 사용자 워크스테이션 및 디바이스에서 호스트되는 상당한 양의 비즈니스 가치를 관리 제어합니다. 예를 들어 지원 센터 및 컴퓨터 지원 관리자는 거의 모든 사용자 데이터의 무결성에 영향을 줄 수 있기 때문입니다.

도메인 컨트롤러와 동일한 방식으로 Microsoft Entra Connect, AD FS 및 SQL 서비스와 같은 온-프레미스 ID 구성 요소에 대한 액세스를 잠급니다.

요약

보안 ID 인프라에는 7가지 측면이 있습니다. 이 목록은 Microsoft Entra ID에 대한 작업을 최적화하기 위해 수행해야 하는 작업을 찾는 데 도움이 됩니다.

• 주요 작업에 소유자를 할당합니다.
• 온-프레미스 하이브리드 구성 요소에 대한 업그레이드 프로세스를 자동화합니다.
• Microsoft Entra Connect 및 AD FS의 모니터링 및 보고를 위해 Microsoft Entra Connect Health를 배포합니다.
• System Center Operations Manager 또는 SIEM 솔루션을 사용하여 구성 요소 에이전트 로그를 보관하고 분석하여 온-프레미스 하이브리드 구성 요소의 상태를 모니터링합니다.
• ID 보안 점수를 사용하여 보안 상태를 측정하여 보안 향상을 구현합니다.
• AD FS를 잠급니다.
• 온-프레미스 ID 구성 요소가 있는 컴퓨터에 대한 액세스를 잠급니다.

다음 단계

배포하지 않은 기능에 대한 구현 세부 정보는 Microsoft Entra 배포 계획을 참조하세요.