위험 수정 및 사용자 차단 해제

위험 조사를 완료한 후에는 위험한 사용자를 수정하거나 차단을 해제하기 위한 조치를 취해야 합니다. 위험 기반 정책을 설정하여 자동 수정을 사용하도록 설정하거나 사용자의 위험 상태를 수동으로 업데이트할 수 있습니다. 위험 작업 시 시간이 중요하기 때문에 신속하게 조치를 수행하는 것이 좋습니다.

이 문서에서는 위험을 자동 및 수동으로 수정하기 위한 몇 가지 옵션을 제공하고 사용자 위험으로 인해 사용자가 차단된 시나리오를 다루므로 차단을 해제하는 방법을 알 수 있습니다.

필수 조건

• Microsoft Entra ID 보호 기능에 대한 모든 권한을 사용하려면 Microsoft Entra ID P2 또는 Microsoft Entra Suite 라이선스가 필요합니다.
  • 각 라이선스 계층에 대한 자세한 기능 목록은 Microsoft Entra ID Protection이란?을 참조하세요.
• 사용자 관리자 역할은 암호를 재설정하는 데 필요한 최소 권한 역할입니다.
• 보안 운영자 역할은 사용자 위험을 해제하는 데 필요한 최소 권한 역할입니다.
• 보안 관리자 역할은 위험 기반 정책을 만들거나 편집하는 데 필요한 최소 권한 역할입니다.
• 조건부 액세스 관리자 역할은 조건부 액세스 정책을 만들거나 편집하는 데 필요한 최소 권한 역할입니다.

위험 완화 작동 원리

모든 활성 위험 검색은 사용자의 계정이 손상될 확률을 나타내는 사용자의 위험 수준 계산에 기여합니다. 위험 수준 및 테넌트의 구성에 따라 위험을 조사하고 해결해야 할 수 있습니다. 사용자가 위험 기반 정책을 설정하여 로그인 및 사용자 위험을 자체 수정하도록 허용할 수 있습니다. 사용자가 다단계 인증이나 보안 암호 변경 등 필수 액세스 제어를 통과하면 위험이 자동으로 수정됩니다.

조건이 충족되지 않는 로그인 중에 위험 기반 정책이 적용되면 사용자가 차단됩니다. 이 블록은 사용자가 필요한 단계를 수행할 수 없기 때문에 발생하므로 사용자 차단을 해제하려면 관리자 개입이 필요합니다.

위험 기반 정책은 위험 수준에 따라 구성되며 로그인 또는 사용자의 위험 수준이 구성된 수준과 일치하는 경우에만 적용됩니다. 일부 탐지가 정책이 적용될 정도로 위험을 높이지 않을 수 있으므로 관리자는 이러한 상황을 수동으로 처리해야 합니다. 관리자는 위치에서 액세스를 차단 하거나 정책에서 허용 가능한 위험을 낮추는 등 추가 조치가 필요하다고 판단할 수 있습니다.

최종 사용자 자체 해결

위험 기반 조건부 액세스 정책이 구성된 경우 사용자 위험 및 로그인 위험을 수정하는 것은 사용자를 위한 셀프 서비스 프로세스일 수 있습니다. 이 자체 수정을 통해 사용자는 지원 센터 또는 관리자에게 문의할 필요 없이 자신의 위험을 해결할 수 있습니다. IT 관리자는 위험을 수정하기 위해 어떠한 조치도 취할 필요가 없지만 자체 수정을 허용하는 정책을 구성하는 방법과 관련 보고서에 예상되는 사항을 알아야 합니다. 자세한 내용은 다음을 참조하세요.

• 위험 정책 구성 및 사용
• Microsoft Entra ID 보호 및 조건부 액세스를 사용하는 자체 수정 환경
• 모든 사용자에 대해 다단계 인증 필요
• 암호 해시 동기화 구현

로그인 위험성 스스로 수정

사용자의 로그인 위험이 위험 기반 정책에 의해 설정된 수준에 도달하면 로그인 위험을 수정하기 위해 MFA(다단계 인증)를 수행하라는 메시지가 사용자에게 표시됩니다. MFA 챌린지를 성공적으로 완료하면 로그인 위험이 수정됩니다. 사용자, 로그인 및 해당 위험 검색에 대한 위험 상태 및 위험 세부 정보는 다음과 같이 업데이트됩니다.

• 위험 상태: "위험" -> "수정됨"
• 위험 세부 정보: "-" -> "사용자가 다단계 인증을 통과했습니다."

수정되지 않은 로그인 위험은 사용자 위험에 영향을 주므로 위험 기반 정책을 적용하면 사용자가 로그인 위험을 자체 수정할 수 있으므로 사용자 위험은 영향을 받지 않습니다.

사용자 위험 자체 조치

사용자에게 SSPR(셀프 서비스 암호 재설정)을 사용하여 사용자 위험을 수정하라는 메시지가 표시되면 Microsoft Entra ID Protection 사용자 환경 문서에 표시된 대로 암호를 업데이트하라는 메시지가 표시됩니다. 암호를 업데이트하면 사용자 위험이 수정됩니다. 그러면 사용자는 새 암호로 로그인을 계속할 수 있습니다. 사용자, 로그인 및 해당 위험 검색에 대한 위험 상태 및 위험 세부 정보는 다음과 같이 업데이트됩니다.

• 위험 상태: "위험" -> "수정됨"
• 위험 세부 정보: "-" -> "사용자가 보안 암호 재설정을 수행했습니다."

클라우드 및 하이브리드 사용자에 대한 고려 사항

• 클라우드 및 하이브리드 사용자는 모두 MFA를 수행할 수 있는 경우에만 SSPR을 사용하여 보안 암호 변경을 완료할 수 있습니다. 등록하지 않은 사용자의 경우 이 옵션을 사용할 수 없습니다.
• 하이브리드 사용자는 암호 해시 동기화 및 온-프레미스 암호 변경을 허용하여 사용자 위험 재설정 설정이 사용하도록 설정된 경우 온-프레미스 또는 하이브리드 조인 Windows 디바이스에서 암호 변경을 완료할 수 있습니다.

시스템 기반 수정

경우에 따라 Microsoft Entra ID Protection은 사용자의 위험 상태를 자동으로 해제할 수도 있습니다. 위험 검색 및 해당 위험한 로그인은 ID 보호에서 더 이상 보안 위협을 초래하지 않는 것으로 식별됩니다. 이 자동 개입은 사용자가 MFA(다단계 인증)와 같은 두 번째 요소를 제공하거나 실시간 및 오프라인 평가에서 로그인이 더 이상 위험하지 않은 것으로 판단되는 경우에 발생할 수 있습니다. 이 자동 수정은 위험 모니터링의 노이즈를 줄여 주의가 필요한 항목에 집중할 수 있도록 합니다.

• 위험 상태: "위험" -> "해제됨"
• 위험 세부정보: "-" -> "Microsoft Entra ID Protection이 로그인 상태가 안전하다고 평가"

관리자 수동 문제 해결

일부 상황에서는 IT 관리자가 로그인 또는 사용자 위험을 수동으로 수정해야 합니다. 위험 기반 정책이 구성되지 않은 경우 위험 수준이 자체 수정 기준을 충족하지 않거나 시간이 본질적인 경우 다음 작업 중 하나를 수행해야 할 수 있습니다.

• 사용자의 임시 암호를 생성합니다.
• 사용자가 암호를 재설정하도록 요구합니다.
• 사용자의 위험을 해제합니다.
• 사용자가 손상되어 있는지 확인하고 계정을 보호하기 위한 조치를 취합니다.
• 사용자 차단을 해제합니다.

Microsoft Defender for Identity에서도 수정할 수 있습니다.

임시 암호 생성

임시 암호를 생성하여 즉시 ID를 안전한 상태로 되돌릴 수 있습니다. 이 방법을 사용하려면 임시 암호가 무엇인지 알아야 하므로 영향을 받는 사용자에게 문의해야 합니다. 암호는 임시 암호이므로 사용자에게 다음 로그인 시 암호를 새 암호로 변경하라는 메시지가 표시됩니다.

임시 암호를 생성하려면 다음을 수행합니다.

1. Microsoft Entra 관리 센터에 로그인합니다.

   • 사용자의 세부 정보에서 임시 암호를 생성하려면 사용자 관리자 역할이 필요합니다.
   • ID 보호에서 임시 암호를 생성하려면 보안 운영자 및 사용자 관리자 역할이 모두 필요합니다.
   • ID 보호에 액세스하려면 보안 운영자가 필요하며 암호를 재설정하려면 사용자 관리자가 필요합니다.

2. 보호>ID 보호>위험한 사용자로 이동하고 영향을 받는 사용자를 선택합니다.

   • 또는 모든 사용자>로 이동하여 영향을 받는 사용자를 선택합니다.

3. 암호 재설정을 선택합니다.

   

4. 메시지를 검토하고 암호 재설정을 다시 선택합니다.

   

5. 사용자에게 임시 암호를 제공합니다. 사용자는 다음에 로그인할 때 암호를 변경해야 합니다.

사용자, 로그인 및 해당 위험 검색에 대한 위험 상태 및 위험 세부 정보는 다음과 같이 업데이트됩니다.

• 위험 상태: "위험" -> "수정됨"
• 위험 세부 정보: "-" -> "관리자가 사용자에 대한 임시 암호를 생성했습니다."

클라우드 및 하이브리드 사용자에 대한 고려 사항

클라우드 및 하이브리드 사용자에 대한 임시 암호를 생성할 때 다음과 같은 고려 사항에 주의하세요.

• Microsoft Entra 관리 센터에서 클라우드 및 하이브리드 사용자에 대한 암호를 생성할 수 있습니다.
• 다음 설정이 있는 경우 온-프레미스 디렉터리에서 하이브리드 사용자에 대한 암호를 생성할 수 있습니다.
  • 임시 암호 동기화 섹션의 PowerShell 스크립트 를 포함하여 암호 해시 동기화를 사용하도록 설정합니다.
  • Microsoft Entra ID Protection에서 사용자 위험 설정을 다시 설정하려면 온-프레미스 암호 변경 허용을 사용하도록 설정합니다.
  • 셀프 서비스 암호 재설정을 사용하도록 설정합니다.
  • Active Directory에서 이전 글머리 기호의 모든 항목을 사용하도록 설정한 후 사용자가 다음 로그온 시 암호를 변경해야 하는 옵션만 선택합니다.

암호 재설정 필요

위험한 사용자가 위험을 수정하기 위해 암호를 재설정하도록 요구할 수 있습니다. 이러한 사용자에게 위험 기반 정책을 통해 암호를 변경하라는 메시지가 표시되지 않으므로 암호를 재설정하려면 해당 사용자에게 문의해야 합니다. 암호 재설정 방법은 사용자 유형에 따라 달라집니다.

• Microsoft Entra 가입 디바이스를 사용하는 클라우드 사용자 및 하이브리드 사용자: 성공적인 MFA 로그인 후 보안 암호 변경을 수행합니다. 사용자는 이미 MFA에 등록되어 있어야 합니다.
• 온-프레미스 또는 하이브리드 조인 Windows 디바이스를 사용하는 하이브리드 사용자: Windows 디바이스의 Ctrl-Alt-Delete 화면을 통해 보안 암호 변경을 수행합니다.
  • 사용자 위험 설정을 재설정하기 위한 온-프레미스 암호 변경 허용을 사용하도록 설정해야 합니다.
  • Active Directory 에서 다음 로그온 설정에서 사용자가 암호를 변경해야 하는 경우 다음에 로그인할 때 암호를 변경하라는 메시지가 표시됩니다. 이 옵션은 클라우드 및 하이브리드 사용자에 대한 고려 사항 섹션의 설정이 있는 경우에만 사용할 수 있습니다.

사용자, 로그인 및 해당 위험 검색에 대한 위험 상태 및 위험 세부 정보는 다음과 같이 업데이트됩니다.

• 위험 상태: "위험" -> "수정됨"
• 위험 세부 정보: "-" -> "사용자가 보안 암호 변경을 수행했습니다."

위험 해제

조사 후 로그인 또는 사용자 계정이 손상될 위험이 없는지 확인하면 위험을 해제할 수 있습니다.

1. 최소한 보안 운영자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>ID 보호>위험한 로그인 또는 위험한 사용자로 이동하고 위험한 활동을 선택합니다.
3. 위험한 로그인 해제 또는 사용자 위험 해제를 선택합니다.

이 메서드는 사용자의 기존 암호를 변경하지 않으므로 ID를 안전한 상태로 다시 가져오지 않습니다. 사용자에게 위험을 알리고 암호를 변경하도록 조언해야 할 수도 있습니다.

사용자, 로그인 및 해당 위험 검색에 대한 위험 상태 및 위험 세부 정보는 다음과 같이 업데이트됩니다.

• 위험 상태: “위험” -> “해제됨”
• 위험 세부 정보: "-" -> "관리자가 로그인 위험을 해제했습니다." 또는 "관리자가 사용자에 대한 모든 위험을 해제했습니다."

사용자 계정 탈취 확인

조사 후 로그인 또는 사용자가 위험에 처해 있는지 확인하면 계정이 손상되었는지 수동으로 확인할 수 있습니다.

1. 위험한 로그인 또는 위험한 사용자 보고서에서 이벤트 또는 사용자를 선택하고 손상됨 확인을 선택합니다.
2. 위험 기반 정책이 트리거되지 않았고 이 문서에 설명된 방법 중 하나를 사용하여 위험이 자체 수정되지 않은 경우 다음 작업 중 하나 이상을 수행합니다.
   1. 암호 재설정 요청
   2. 공격자가 암호를 재설정하거나 사용자에 대해 다단계 인증을 수행할 수 있다고 의심되는 경우 사용자를 차단합니다.
   3. 새로 고침 토큰을 취소합니다.
   4. 손상된 것으로 간주되는 모든 디바이스를 사용하지 않습니다.
   5. 지속적인 액세스 평가를 사용하는 경우 모든 액세스 토큰을 취소합니다.

사용자, 로그인 및 해당 위험 검색에 대한 위험 상태 및 위험 세부 정보는 다음과 같이 업데이트됩니다.

• 위험 상태: "위험" -> "손상된 것으로 확인됨"
• 위험 세부 정보: "-" -> "관리자가 사용자 손상 확인"

손상 확인 시 발생하는 작업에 대한 자세한 내용은 위험에 대한 피드백을 제공하는 방법을 참조하세요.

사용자 차단 해제

위험 기반 정책을 사용하여 손상된 계정으로부터 조직을 보호하기 위해 계정을 차단할 수 있습니다. 이러한 시나리오를 조사하여 사용자 차단을 해제하는 방법을 확인한 다음 사용자가 차단된 이유를 확인해야 합니다.

익숙한 위치 또는 디바이스에서 로그인

로그인 시도가 익숙하지 않은 위치 또는 디바이스에서 오는 것처럼 보이면 로그인이 의심스러운 것으로 차단되는 경우가 많습니다. 사용자는 익숙한 위치 또는 디바이스에서 로그인하여 로그인을 시도하고 차단을 해제할 수 있습니다. 로그인에 성공하면 Microsoft ID 보호에서 로그인 위험을 자동으로 수정합니다.

• 위험 상태: “위험” -> “해제됨”
• 위험 세부 정보: "-" -> "Microsoft Entra ID Protection에서 로그인 안전으로 평가"

정책에서 사용자 제외

로그인 또는 사용자 위험 정책의 현재 구성으로 인해 특정 사용자에게 문제가 발생한 것으로 생각되는 경우 정책에서 사용자를 제외할 수 있습니다. 이 정책을 적용하지 않고 이러한 사용자에게 액세스 권한을 부여하는 것이 안전한지 확인해야 합니다. 자세한 내용은 방법: 위험 정책 구성 및 활성화를 참조하세요.

사용자가 로그인할 수 있도록 위험 또는 사용자를 수동으로 해제 해야 할 수 있습니다.

정책을 사용하지 않도록 설정합니다.

정책 구성으로 인해 모든 사용자에게 문제가 발생한다고 생각되면 정책을 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 방법: 위험 정책 구성 및 활성화를 참조하세요.

정책을 해결하기 전에 로그인할 수 있도록 위험 또는 사용자를 수동으로 해제 해야 할 수 있습니다.

높은 신뢰도 위험으로 인한 자동 차단

Microsoft Entra ID Protection은 위험성이 매우 높은 로그인을 자동으로 차단합니다. 이 블록은 레거시 인증 프로토콜을 사용하거나 악의적인 시도의 속성을 표시하는 데 수행되는 로그인에서 가장 일반적으로 발생합니다. 두 시나리오 중 하나에 대해 사용자가 차단되면 50053 인증 오류가 발생합니다. 로그인 로그에는 "높은 위험 신뢰도로 인해 기본 제공 보호에 의해 로그인이 차단되었습니다."라는 블록 이유가 표시됩니다.

신뢰도가 높은 로그인 위험에 따라 계정을 차단 해제하려면 다음 옵션을 사용할 수 있습니다.

• 신뢰할 수 있는 위치 설정에 로그인하는 데 사용되는 IP를 추가합니다. 회사의 알려진 위치에서 로그인을 수행하는 경우 신뢰할 수 있는 목록에 IP를 추가할 수 있습니다. 자세한 내용은 조건부 액세스: 네트워크 할당을 참조하세요.
• 최신 인증 프로토콜 사용: 레거시 프로토콜을 사용하여 로그인을 수행하는 경우 최신 메서드로 전환하면 시도 차단이 해제됩니다.

온-프레미스 암호 재설정을 허용하여 사용자 위험 수정

조직에 하이브리드 환경이 있는 경우 온-프레미스 암호 변경을 허용하여 암호 해시 동기화로 사용자 위험을 재설정할 수 있습니다. 사용자가 이러한 시나리오에서 자체 수정 하려면 먼저 암호 해시 동기화를 사용하도록 설정해야 합니다.

• 위험한 하이브리드 사용자는 관리자 개입 없이 자체 수정할 수 있습니다. 사용자가 온-프레미스에서 암호를 변경하면 Microsoft Entra ID Protection 내에서 사용자 위험이 자동으로 수정되어 현재 사용자 위험 상태가 다시 설정됩니다.
• 조직은 하이브리드 사용자를 보호하기 위해 암호 변경이 필요한 사용자 위험 정책을 사전에 배포할 수 있습니다. 이 옵션은 복잡한 하이브리드 환경에서도 사용자 위험이 신속하게 해결되도록 보장하여 조직의 보안 태세를 강화하고 보안 관리를 간소화합니다.

이 설정을 구성하려면 다음을 수행합니다.

1. 최소한 보안 운영자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>ID 보호>설정으로 이동합니다.
3. 온-프레미스 암호 변경을 허용하여 사용자 위험을 재설정하고저장을 선택하려면 확인란을 선택합니다.

삭제된 사용자

위험이 있는 디렉터리에서 사용자가 삭제된 경우 계정이 삭제된 경우에도 해당 사용자가 위험 보고서에 계속 표시됩니다. 관리자는 디렉터리에서 삭제된 사용자의 위험을 해제할 수 없습니다. 삭제된 사용자를 제거하려면 Microsoft 지원 사례를 엽니다.

PowerShell 미리 보기

Microsoft Graph PowerShell SDK 미리 보기 모듈을 사용하면 조직은 PowerShell을 통해 위험을 관리할 수 있습니다. 미리 보기 모듈 및 샘플 코드는 Microsoft Entra GitHub 리포지토리에서 찾을 수 있습니다.

리포지토리에 포함된 Invoke-AzureADIPDismissRiskyUser.ps1 스크립트를 사용하면 조직은 디렉터리에서 모든 위험 사용자를 삭제할 수 있습니다.

관련 콘텐츠

• 높은 사용자 위험 시뮬레이션