Microsoft Entra에서는 보안 권장 사항을 여러 주요 영역으로 그룹화합니다. 이 구조를 사용하면 조직에서 프로젝트를 관련 소모성 청크로 논리적으로 분할할 수 있습니다.
Tip
일부 조직에서는 이러한 권장 사항을 작성된 대로 정확하게 사용할 수 있으며, 다른 조직은 자체 비즈니스 요구 사항에 따라 수정하도록 선택할 수 있습니다. 이 지침의 초기 릴리스에서는 기존 인력 테넌트에 초점을 맞춥니다. 이러한 인력 테넌트는 직원, 내부 비즈니스 앱 및 기타 조직 리소스를 위한 것입니다.
라이선스를 사용할 수 있는 경우 다음 컨트롤을 모두 구현하는 것이 좋습니다. 이러한 패턴 및 사례는 이 솔루션 위에 빌드된 다른 리소스에 대한 기반을 제공하는 데 도움이 됩니다. 시간이 지남에 따라 이 문서에 더 많은 컨트롤이 추가됩니다.
ID 및 비밀 보호
최신 ID 표준을 구현하여 자격 증명 관련 위험을 줄입니다.
| 확인 | 최소 필수 라이선스 |
|---|---|
| 애플리케이션에 클라이언트 비밀이 구성되지 않음 | 없음(Microsoft Entra ID에 포함) |
| 서비스 주체에 연결된 인증서 또는 자격 증명이 없습니다. | 없음(Microsoft Entra ID에 포함) |
| 애플리케이션에 만료 기간이 180일보다 긴 인증서가 없습니다. | 없음(Microsoft Entra ID에 포함) |
| 애플리케이션 인증서는 정기적으로 회전해야 합니다. | 없음(Microsoft Entra ID에 포함) |
| 앱 비밀 및 인증서에 대한 표준 적용 | 없음(Microsoft Entra ID에 포함) |
| Microsoft 서비스 애플리케이션에 구성된 자격 증명이 없습니다. | 없음(Microsoft Entra ID에 포함) |
| 사용자 동의 설정이 제한됨 | 없음(Microsoft Entra ID에 포함) |
| 관리자 동의 워크플로 사용 | 없음(Microsoft Entra ID에 포함) |
| 높은 전역 관리자 대 권한 있는 사용자 비율 | 없음(Microsoft Entra ID에 포함) |
| 권한 있는 계정은 클라우드 네이티브 ID입니다. | 없음(Microsoft Entra ID에 포함) |
| 모든 권한 있는 역할 할당은 적시에 활성화되고 영구적으로 활성화되지 않습니다. | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| Passkey 인증 방법 사용 | 없음(Microsoft Entra ID에 포함) |
| 보안 키 증명이 적용됨 | 없음(Microsoft Entra ID에 포함) |
| 권한 있는 계정에는 피싱 방지 메서드가 등록되어 있습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 권한 있는 Microsoft Entra 기본 제공 역할은 피싱 방지 메서드를 적용하기 위한 조건부 액세스 정책을 대상으로 합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 관리자 역할에 대한 암호 재설정 알림 필요 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 레거시 인증 차단 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 임시 액세스 패스 사용 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 임시 액세스 패스를 단일 사용으로 제한 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 레거시 MFA 및 SSPR 정책에서 마이그레이션 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 관리자가 SSPR을 사용하지 못하도록 차단 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 셀프 서비스 암호 재설정은 보안 질문을 사용하지 않습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| SMS 및 음성 통화 인증 방법을 사용할 수 없습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| MFA 등록 보안(내 보안 정보) 페이지 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 클라우드 인증 사용 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 모든 사용자는 MFA에 등록해야 합니다. | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| 사용자에게 강력한 인증 방법이 구성되어 있습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 사용자 로그인 활동은 토큰 보호를 사용합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| Microsoft Authenticator 앱에 로그인 컨텍스트 표시 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| Microsoft Authenticator 앱 보고서 의심스러운 활동 설정이 사용하도록 설정됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 암호 만료를 사용할 수 없습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 스마트 잠금 임계값을 10 이하로 설정 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 스마트 잠금 기간은 최소 60으로 설정됩니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 금지된 암호 목록에 조직 용어 추가 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 사용자 작업을 사용하여 디바이스 조인 및 디바이스 등록을 위한 다단계 인증 필요 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 로컬 관리자 암호 솔루션이 배포됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| Entra Connect 동기화가 서비스 주체 자격 증명으로 구성됨 | 없음(Microsoft Entra ID에 포함) |
| 테넌트에서 ADAL을 사용하지 않음 | 없음(Microsoft Entra ID에 포함) |
| 레거시 Azure AD PowerShell 모듈 차단 | 없음(Microsoft Entra ID에 포함) |
| Microsoft Entra ID 보안 기본값 사용 | 없음(Microsoft Entra ID에 포함) |
테넌트 및 격리 프로덕션 시스템 보호
| 확인 | 최소 필수 라이선스 |
|---|---|
| 새 테넌트 만들기 권한은 테넌트 작성자 역할로 제한됩니다. | 없음(Microsoft Entra ID에 포함) |
| 게스트 액세스는 승인된 테넌트로 제한됩니다. | Microsoft Entra ID 무료 |
| 게스트에 높은 권한의 디렉터리 역할이 할당되지 않았습니다. | Microsoft Entra ID 무료 PIM에 대한 Microsoft Entra ID P2 또는 Microsoft ID 거버넌스 |
| 게스트는 다른 게스트를 초대할 수 없습니다. | Microsoft Entra ID 무료 |
| 게스트는 디렉터리 개체에 대한 액세스가 제한됩니다. | Microsoft Entra ID 무료 |
| 앱 인스턴스 속성 잠금은 모든 다중 테넌트 애플리케이션에 대해 구성됩니다. | Microsoft Entra ID 무료 |
| 게스트는 수명이 긴 로그인 세션이 없습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 게스트 액세스는 강력한 인증 방법으로 보호됩니다. | Microsoft Entra ID 무료 조건부 액세스에 권장되는 Microsoft Entra ID P1 |
| 사용자 흐름을 통한 게스트 셀프 서비스 등록을 사용할 수 없습니다. | Microsoft Entra ID 무료 |
| 아웃바운드 테넌트 간 액세스 설정이 구성됨 | Microsoft Entra ID 무료 조건부 액세스에 권장되는 Microsoft Entra ID P1 |
| 게스트가 테넌트에서 앱을 소유하지 않음 | 없음(Microsoft Entra ID에 포함) |
| 모든 투숙객에게 스폰서가 있습니다. | Microsoft Entra ID 무료 |
| 비활성 게스트 ID가 비활성화되거나 테넌트에서 제거됨 | Microsoft Entra ID 무료 |
| 모든 권한 관리 정책에 만료 날짜가 있습니다. | 자격 관리 및 액세스 검토를 위한 Microsoft Entra ID P2 또는 Microsoft ID 거버넌스 |
| 외부 사용자에게 적용되는 모든 권한 관리 할당 정책에는 연결된 조직이 필요합니다. | 자격 관리 및 액세스 검토를 위한 Microsoft Entra ID P2 또는 Microsoft ID 거버넌스 |
| 게스트에 적용되는 모든 권한 관리 패키지에는 할당 정책에 구성된 만료 또는 액세스 검토가 있습니다. | 자격 관리 및 액세스 검토를 위한 Microsoft Entra ID P2 또는 Microsoft ID 거버넌스 |
| Microsoft Entra 조인 디바이스에서 로컬 관리자 관리 | 없음(Microsoft Entra ID에 포함) |
네트워크 보호
네트워크 경계를 보호합니다.
| 확인 | 최소 필수 라이선스 |
|---|---|
| 명명된 위치가 구성됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 테넌트 제한 v2 정책이 구성됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
엔지니어링 시스템 보호
소프트웨어 자산을 보호하고 코드 보안을 개선합니다.
| 확인 | 최소 필수 라이선스 |
|---|---|
| 긴급 액세스 계정이 적절하게 구성됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 전역 관리자 역할 활성화는 승인 워크플로를 트리거합니다. | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| 전역 관리자가 Azure 구독에 대한 고정 액세스 권한이 없습니다. | 없음(Microsoft Entra ID에 포함) |
| 새 애플리케이션 및 서비스 주체 만들기는 권한 있는 사용자로 제한됩니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 비활성 애플리케이션에는 높은 권한이 있는 Microsoft Graph API 권한이 없습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 비활성 애플리케이션에는 높은 권한이 있는 기본 제공 역할이 없습니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 앱 등록은 안전한 리디렉션 URI를 사용합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 서비스 주체는 안전한 리디렉션 URI를 사용합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 앱 등록에는 현수 또는 중단된 도메인 리디렉션 URI가 없어야 합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 애플리케이션에 대한 리소스별 동의가 제한됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 워크로드 ID에 권한 있는 역할이 할당되지 않음 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 엔터프라이즈 애플리케이션에는 명시적 할당 또는 범위가 지정된 프로비저닝이 필요합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 사용자당 최대 디바이스 수를 10으로 제한 | 없음(Microsoft Entra ID에 포함) |
| Privileged Access 워크스테이션에 대한 조건부 액세스 정책이 구성됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
사이버 위협 모니터링 및 검색
보안 로그 및 심사 경고를 수집하고 분석합니다.
| 확인 | 최소 필수 라이선스 |
|---|---|
| 진단 설정은 모든 Microsoft Entra 로그에 대해 구성됩니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 권한 있는 역할 활성화에 모니터링 및 경고가 구성됨 | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| 권한 있는 사용자는 피싱 방지 방법으로 로그인합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 모든 고위험 사용자는 심사됩니다. | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| 모든 고위험 로그인은 심사됩니다. | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| [모든 위험한 워크로드 ID가 심사됨] | |
| 모든 사용자 로그인 활동은 강력한 인증 방법을 사용합니다. | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 우선 순위가 높은 Microsoft Entra 권장 사항이 해결됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| ID 보호 알림 사용 | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| 레거시 인증 로그인 활동 없음 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
| 모든 Microsoft Entra 권장 사항이 해결됨 | Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1) |
응답 및 수정 가속화
보안 인시던트 대응 및 인시던트 통신을 개선합니다.
| 확인 | 최소 필수 라이선스 |
|---|---|
| 위험 정책을 기반으로 하는 워크로드 ID가 구성됨 | Microsoft Entra 워크로드 ID |
| 위험 수준이 높은 로그인 제한 | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
| 위험 수준이 높은 사용자에 대한 액세스 제한 | Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2) |
관련 콘텐츠
- microsoft Entra 배포 계획
- Microsoft Entra 작업 참조 가이드