Microsoft Entra ID Protection에 대한 질문과 대답

위험을 시뮬레이션하는 방법에 대한 가이드가 있습니다. 이 가이드에서는 다양한 유형의 위험을 시뮬레이션하는 몇 가지 옵션을 제공합니다. 조건부 액세스 WhatIf 도구를 사용하여 특정 정책이 적용되는 방법을 확인할 수도 있습니다. We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need.

사용자에게 높은 위험이 할당되었지만 아직 로그인하지 않은 경우 이 보고서에 표시되지 않습니다. 보고서는 로그인 로그만 사용하여 이 데이터를 채웁니다.

ID 보호는 올바른 자격 증명을 사용하는 경우에만 위험 검색을 생성합니다. 로그인에 잘못된 자격 증명을 사용하는 경우 자격 증명이 손상될 위험이 없습니다.

유출된 자격 증명 같은 위험 검색은 암호 해시가 있어야 검색할 수 있습니다. 암호 해시 동기화에 대한 자세한 내용은 Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화 구현을 참조하세요.

첫째, 사용 안 함 상태의 사용자 계정을 다시 사용하도록 설정할 수 있다는 것을 알아야 합니다. 비활성화된 계정의 자격 증명이 손상되고 계정을 다시 활성화하면 잘못된 행위자는 이러한 자격 증명을 사용하여 액세스 권한을 얻을 수 있습니다. ID 보호는 이 비활성화된 계정에 대한 의심스러운 활동의 위험 탐지를 생성하여 잠재적인 계정 침해에 대해 고객에게 경고합니다.

계정이 더 이상 사용되지 않고 다시 사용하도록 설정되지 않는 경우 고객은 손상을 방지하기 위해 계정을 삭제하는 것을 고려해야 합니다. 삭제된 계정에 대해서는 위험 검색이 생성되지 않습니다.

Sorting by Detection time in the Risk detections report might not always give the correct result because of a known technical constraint. To sort by Detection time, open the report in the Microsoft Entra admin center and select Download to export the data as a CSV file and sort accordingly.

Microsoft는 다음을 비롯한 다양한 위치에서 유출된 자격 증명을 찾습니다.

• 악의적인 행위자가 일반적으로 이러한 자료를 게시하는 공개 붙여넣기 사이트입니다.
• 법률 집행 기관.
• 다크 웹을 조사하는 Microsoft 내 기타 그룹.

유출된 자격 증명은 검색 후 즉시 처리되며 일반적으로 하루에 여러 일괄 처리로 처리됩니다.

Microsoft에서 공개된 새 데이터 배치를 발견할 때마다 유출된 인증 정보가 처리됩니다. 유출된 자격 증명은 중요하기 때문에 처리 직후 삭제됩니다. Only new leaked credentials found after you enable password hash synchronization (PHS) are processed against your tenant. 이전에 찾은 자격 증명 쌍에 대한 확인은 수행되지 않습니다.

유출된 자격 증명이 테넌트의 ID 보호에 표시되는 방식을 확인하려면 워크로드 ID용 GitHub에서 유출된 자격 증명을 시뮬레이션해 보세요. 자세한 내용은 Microsoft Entra ID Protection의 위험 검색 시뮬레이션을 참조하세요.

유출된 자격 증명 위험 이벤트가 표시되지 않는 경우 다음과 같은 이유로 인해 발생합니다.

• 테넌트에 대해 암호 해시 동기화를 사용할 수 없습니다.
• Microsoft는 사용자와 일치하는 유출된 자격 증명 쌍을 찾지 못했습니다.

ID 보호는 사용자가 위험한 로그인 후 MFA(다단계 인증)와 같은 두 번째 요소를 즉시 제공하는 경우 로그인 위험을 자동으로 수정합니다. 이 두 번째 요소를 제공하면 강력한 인증이 구성됩니다.

ID 보호는 로그인 시 위험 평가를 위한 두 가지 모델도 운영합니다. 첫 번째는 제한된 정보를 사용하여 로그인하는 동안 빠른 결정을 내리는 실시간 모델입니다. 두 번째는 로그인이 완료되면 다른 로그인 데이터를 사용하는 오프라인 모델입니다. 오프라인 모델은 위험 점수를 안전한 것으로 재평가할 때 위험을 닫을 수 있습니다. 이 평가는 모든 위험 수준의 실시간 및 오프라인 검색에 적용됩니다.

ID 보호는 사용자 위험 상승 없이 6개월 후에 사용자 위험이 낮은 사용자를 자동으로 보호합니다. 위험 정책이나 관리자 해고 없이는 위험성이 중간 또는 높은 위험한 사용자는 자동으로 해결되지 않습니다.

Microsoft Entra 다단계 인증을 사용하지 않는 경우 비 Microsoft MFA 공급자를 사용하는 경우 사용자 환경에서 로그인 위험이 여전히 수정될 수 있습니다. 외부 인증 방법을 사용하면 Microsoft가 아닌 MFA 공급자를 사용할 때 위험을 수정할 수 있습니다.

피싱에 강한 암호 없는 인증 배포에 대한 지침 확인: 피싱 방지 암호 없는 인증 배포 시작

이 설정은 조직의 위험 허용 오차에 따라 달라집니다. 일부 조직에서는 높은 위험을 차단하도록 선택할 수 있습니다. 매번 로그인을 적용하면 로그인 또는 MFA 피로로 이어질 수 있으므로 피싱 공격 가능성이 높아질 수 있습니다.

We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need. ID 보호에서 위험 기반 정책 통합 문서의 영향 분석을 확인할 수도 있습니다.

셀프 서비스 암호 재설정을 암호 쓰기 저장으로 사용하도록 설정한 경우 보안 암호 변경을 사용하여 사용자 위험을 자체 수정할 수 있습니다. 암호 해시 동기화만 사용하도록 설정된 경우 사용자 위험을 수정하기 위해 온-프레미스 암호 재설정 허용을 사용하도록 설정하는 것이 좋습니다.

자세한 내용은 위험을 수정하고 사용자 차단을 해제하는 방법을 참조하세요.

시스템은 모든 수정을 위해 조건부 액세스 정책에 지정된 권한 부여 컨트롤을 사용합니다. 이 정책 기반 접근 방식을 사용하면 리소스에 대한 액세스를 더 많이 제어할 수 있습니다. 사용자 위험 정책에 블록이 필요한 경우 조건부 액세스에서 이를 적용합니다. 로그인 위험 정책에 MFA가 필요한 경우 조건부 액세스는 새 MFA 챌린지를 적용합니다(기존 토큰에 대한 MFA 클레임이 없는 경우). 따라서 Alice가 다른 MFA 정책 덕분에 항상 위험한 로그인을 자동으로 수정한 경우 MFA가 필요한 위험 정책을 배포할 때 사용자 환경이 변경되지 않습니다.

Microsoft Entra ID Protection에는 다른 라이선스가 필요한 여러 기능이 있습니다. 예를 들어 Microsoft Entra ID 무료 라이선스를 사용하여 위험한 로그인 보고서에서 제한된 정보를 얻을 수 있지만 Microsoft Entra ID P2 또는 Microsoft Entra Suite 라이선스를 사용하여 이러한 보고서에 대한 모든 권한을 얻을 수 있습니다. 자세한 내용은 Microsoft Entra ID Protection 라이선스 요구 사항을 참조하세요.

Microsoft Entra ID Protection은 별도로 라이선스가 부여된 Microsoft Defender 제품의 신호도 사용합니다. 자세한 내용은 Microsoft Entra ID 보호란?을 참조하세요.

B2B 사용자에 대한 위험 평가 및 수정은 홈 디렉터리에서 발생하므로 게스트 사용자는 리소스 디렉터리의 위험한 사용자 보고서에 표시되지 않습니다. 리소스 디렉터리의 관리자는 이러한 사용자에 대해 보안 암호 재설정을 강제할 수 없습니다.

디렉터리의 위험 B2B 사용자가 위험 기반 정책에 의해 차단되는 경우 사용자는 홈 디렉터리에서 해당 위험을 수정해야 합니다. 사용자는 홈 디렉터리에서 보안 암호 재설정을 수행하여 위험을 해결할 수 있습니다. 홈 디렉터리에서 셀프 서비스 암호 재설정을 사용하도록 설정하지 않은 경우 조직의 IT 직원에게 문의하여 관리자가 수동으로 해당 위험을 해제하거나 암호를 다시 설정하도록 해야 합니다. 자세한 내용은 사용자 위험 수정을 참조하세요.

B2B 사용자를 조직의 위험 기반 조건부 액세스 정책에서 제외하면 B2B 사용자가 위험 평가의 영향을 받지 않습니다. 해당 B2B 사용자를 제외하려면 Microsoft Entra ID에서 조직의 모든 게스트 사용자를 포함하는 그룹을 만듭니다. 그런 다음, 이 그룹을 기본 제공 ID 보호 사용자 위험 및 로그인 위험 정책과 로그인 위험을 조건으로 사용하는 모든 조건부 액세스 정책에 대한 제외로 추가합니다.