사용자 환경에서 피싱에 강한 암호 없는 인증을 배포하고 운영할 때는 사용자 가상 사용자 기반 접근 방식을 사용하는 것이 좋지만, 이 방법은 현재 업계와 같은 다른 측면과 예산에 따라 달라질 수 있습니다. 이 배포 가이드는 조직의 사용자에게 적합한 방법 및 출시 계획을 확인하는 데 도움이 됩니다. 피싱 방지 암호 없는 배포 방법에는 여러 단계가 있지만 다른 단계로 넘어가기 전에 100개% 완료할 필요는 없습니다.
사용자 페르소나를 결정하십시오
관련된 사용자 페르소나를 조직을 위해 결정하세요. 이 단계는 다른 가상 사용자의 요구 사항이 다르기 때문에 프로젝트에 매우 중요합니다. Microsoft는 조직에서 다음 사용자 페르소나를 고려하고 평가할 것을 권장합니다.
| 사용자 페르소나 | 설명 |
|---|---|
| 관리자 및 규제가 높은 사용자 | |
| 비관리자 |
조직 전체에 피싱 방지 암호 없는 인증을 광범위하게 배포하는 것이 좋습니다. 먼저 사용자 페르소나 중 하나를 사용하여 배포를 시작하는 것이 좋습니다.
이러한 가상 사용자를 기준으로 사용자를 분류한 다음, 사용자를 해당 사용자 페르소나에 대한 Microsoft Entra ID 그룹에 배치하는 것이 좋습니다. 이러한 그룹은 이후 단계에서 다양한 유형의 사용자에게 자격 증명을 롤아웃하고 피싱에 강한 비밀번호 없는 자격 증명을 사용하기 시작할 때 사용됩니다.
그룹을 사용하여 조직의 새 부분을 동시에 온보딩할 수 있습니다. "완벽함을 추구하다가 중요한 것을 놓치지 말라”는 접근 방식을 취하고 보안 자격 증명을 가능한 한 많이 배포합니다. 피싱에 강한 암호 없는 자격 증명을 사용하여 로그인하는 사용자가 늘어나면 환경의 공격 노출 영역을 줄일 수 있습니다.
디바이스 준비 계획
디바이스는 성공적인 피싱 방지 암호 없는 배포의 필수적인 측면입니다. 디바이스가 피싱 방지 암호 없는 상태가 되도록 각 운영 체제의 지원되는 최신 버전으로 패치합니다. 피싱 방지 자격 증명을 사용하려면 디바이스에서 최소한 다음 버전을 실행해야 합니다.
- Windows 10 22H2(비즈니스용 Windows Hello용)
- Windows 11 22H2(암호를 사용할 때 최상의 사용자 환경용)
- macOS 13 Ventura
- iOS 17
- Android 14
이러한 버전은 기본적으로 암호, 비즈니스용 Windows Hello 및 macOS 플랫폼 자격 증명과 같은 기능과 통합됩니다. 이전 운영 체제에서는 피싱 방지 암호 없는 인증을 지원하기 위해 FIDO2 보안 키와 같은 외부 인증자가 필요할 수 있습니다.
자세한 내용은 Microsoft Entra ID에 대한 FIDO2 지원 가능성을 숙지하세요. 피싱 방지 암호 없는 통합 문서(미리 보기)를 사용하여 테넌트 내에서 디바이스 준비 상태를 이해할 수 있습니다.
피싱 방지 여정
피싱 내성 자격 증명 배포의 일환으로 사용자가 온보딩되는 방법, 이식 가능한 자격 증명 및 로컬 자격 증명을 얻는 방법 및 조직 전체에서 피싱 방지 자격 증명을 적용하는 방법을 고려해야 합니다.
계획 프로세스의 처음 세 단계를 보여 주는 
피싱 방지 자격 증명에 대한 사용자 등록
자격 증명 등록 및 부트스트랩은 피싱에 강한 암호 없는 배포 프로젝트의 첫 번째 주요 최종 사용자 연결 활동입니다. 이 섹션에서는 휴대용 및 로컬 자격 증명의 롤아웃에 대해 설명합니다.
아래 표에서는 Entra ID로 구성할 수 있는 다양한 유형의 자격 증명 및 관련 인증 방법을 찾을 수 있습니다.
| 자격 증명 | 설명 | 이점 | 인증 방법 |
|---|---|---|---|
| 휴대용. | 여러 디바이스에서 사용할 수 있습니다. 휴대용 자격 증명을 사용하여 다른 디바이스에 로그인하거나 다른 디바이스에 자격 증명을 등록할 수 있습니다. | 대부분의 사용자에게 등록할 수 있는 가장 중요한 자격 증명 유형은 여러 디바이스에서 사용할 수 있으며 많은 시나리오에서 피싱 방지 인증을 제공합니다. | |
| 현지 | 로컬 자격 증명을 사용하여 외부 하드웨어를 사용하지 않고도 디바이스에서 인증할 수 있습니다. | 로컬 자격 증명은 사용자가 Face ID 또는 비즈니스용 Windows Hello 얼굴/지문/PIN과 같은 디바이스의 잠금 해제 제스처를 사용하여 성공적으로 인증하기 위해 디바이스를 떠날 필요가 없기 때문에 뛰어난 사용자 환경을 제공합니다. |
- 새 사용자의 경우 등록 및 부트스트래핑 프로세스는 기존 엔터프라이즈 자격 증명 없이 해당 사용자를 가져오고 해당 ID를 확인합니다. 이를 첫 번째 휴대용용 자격 증명으로 부트스트랩하고 해당 휴대용용 자격 증명을 사용하여 각 컴퓨팅 디바이스에서 다른 로컬 자격 증명을 부트스트랩합니다. 등록 후 관리자는 Microsoft Entra ID의 사용자에 대해 피싱 방지 인증을 적용할 수 있습니다.
- 기존 사용자의 경우 기존 디바이스에서 피싱 방지 암호 없는 암호를 등록하거나 기존 MFA 자격 증명을 사용하여 피싱에 강한 암호 없는 자격 증명을 부트스트랩해야 합니다.
최종 목표는 두 유형의 사용자 모두에 대해 동일합니다. 대부분의 사용자에게는 이식 가능한 자격 증명이 하나 이상 있어야 하고 각 컴퓨팅 디바이스에 로컬 자격 증명이 있어야 합니다.
참고
항상 사용자에게 두 개 이상의 인증 방법을 등록하는 것이 좋습니다. 이렇게 하면 디바이스 손실 또는 도난과 같은 기본 메서드에 문제가 발생하는 경우 사용자가 백업 방법을 사용할 수 있습니다. 예를 들어 사용자가 워크스테이션에 암호를 등록하고 비즈니스용 Windows Hello와 같은 로컬 자격 증명을 사용하는 것이 좋습니다.
1단계: ID 확인
신입 사원과 같이 ID를 입증하지 못한 원격 사용자의 경우 엔터프라이즈 온보딩은 중요한 과제입니다. 적절한 ID 확인이 없으면 조직에서 의도한 사람을 온보딩하고 있는지 완전히 확신할 수 없습니다. Microsoft Entra 확인된 ID는 높은 보증 수준의 신원 확인을 제공할 수 있습니다. 조직은 IDV(ID 확인 파트너)와 협력하여 온보딩 프로세스에서 새 원격 사용자의 ID를 확인할 수 있습니다. 사용자의 정부 발급 ID를 처리한 후 IDV는 사용자의 ID를 확인하는 확인된 ID를 제공할 수 있습니다. 새 사용자는 이 ID 확인 확인 ID를 고용 조직에 제시하여 신뢰를 구축하고 조직이 올바른 사람을 등록하고 있는지 확인합니다. 조직은 Microsoft Entra 확인된 ID와 함께 Face Check를 추가하여 인증에 얼굴 매칭 계층을 추가할 수 있으며, 이를 통해 신뢰할 수 있는 사용자가 해당 순간에 신분을 입증하는 확인된 ID를 제시하고 있음을 보장합니다.
교정 프로세스를 통해 신원을 확인한 후 신입 사원에게 첫 번째 이식 가능한 자격 증명을 부트스트랩하는 데 사용할 수 있는 TAP(임시 액세스 패스)가 제공됩니다.
Microsoft Entra 확인된 ID 온보딩 및 TAP 발급을 사용하도록 설정하려면 다음 가이드를 참조하세요.
- ID 확인을 사용하여 새 원격 직원 온보딩
- Microsoft Entra 인증된 ID와 Face Check를 사용하여 대규모에서 높은 수준의 신뢰성 검증을 달성하기
- 임시 액세스 패스 정책 사용
Microsoft Entra 확인된 ID 대한 라이선스 세부 정보는 다음 링크를 참조하세요.
일부 조직에서는 사용자를 온보딩하고 첫 번째 자격 증명을 발급하는 Microsoft Entra 확인된 ID 이외의 다른 방법을 선택할 수 있습니다. Microsoft는 이러한 조직에서 여전히TAP 또는 사용자가 암호 없이 온보딩할 수 있는 다른 방법을 사용하는 것이 좋습니다. 예를 들어 Microsoft Graph API를 사용하여 FIDO2 보안 키를 프로비전할 수 있습니다.
2단계: 이식 가능한 자격 증명 부트스트랩
기존 사용자를 피싱 방지 암호 없는 자격 증명으로 부트스트랩하려면 먼저 사용자가 기존 MFA에 이미 등록되어 있는지 확인합니다. 기존의 MFA 메서드가 등록된 사용자는 피싱 방지 암호 없는 등록 정책을 대상으로 지정할 수 있습니다. 기존 MFA를 사용하여 첫 번째 휴대용용 피싱 방지 자격 증명에 등록한 다음 필요에 따라 로컬 자격 증명에 등록할 수 있습니다. TAP(임시 액세스 패스)를 사용하여 피싱 방지 인증 방법을 등록하기 위해 Microsoft Entra 확인된 ID 통합을 사용하는 것이 가장 좋습니다.
MFA가 없는 새 사용자 또는 사용자의 경우 사용자에게 TAP을 발급하는 프로세스를 진행합니다. 새 사용자에게 첫 번째 자격 증명을 제공하거나 Microsoft Entra 확인된 ID 통합을 사용하여 TAP를 발급할 수 있습니다. 사용자가 TAP을 갖게 되면 첫 번째 피싱 방지 자격 증명을 부트스트랩할 준비가 된 것입니다.
사용자의 첫 번째 암호 없는 자격 증명은 다른 컴퓨팅 디바이스에서 인증하는 데 사용할 수 있는 휴대용용 자격 증명이어야 합니다. 예를 들어 암호를 사용하여 iOS 휴대폰에서 로컬로 인증할 수 있지만 디바이스 간 인증 흐름을 사용하여 Windows PC에서 인증하는 데 사용할 수도 있습니다. 이 장치 간 기능을 사용하면 Windows용 Microsoft Entra ID 및 웹 로그인에 조인된 디바이스를 사용할 때 Windows PC에서 비즈니스용 Windows Hello를 부트스트랩하는 데 이식 가능한 암호를 사용할 수 있습니다.
다음 표에서는 다른 가상 사용자에 대해 권장되는 이식 가능한 자격 증명을 나열합니다.
| 사용자 페르소나 | 권장되는 휴대용용 자격 증명 | 대체 휴대용용 자격 증명 |
|---|---|---|
| 관리자 및 규제가 높은 사용자 | FIDO2 보안 키 | Microsoft Authenticator용 Passkey, 인증서 기반 인증(스마트 카드) |
| 다른 모든 사용자 | 동기화된 암호 | FIDO2 보안 키, Microsoft Authenticator 앱용 Passkeys |
암호 인증 자격 증명은 암호 프로필을 사용하여 특정 사용자 그룹으로 범위를 지정할 수 있습니다. 권장되는 이식 가능한 자격 증명이 선택된 각 가상 사용자에 대해 암호 프로필을 설정해야 합니다.
다음 지침을 사용하여 조직의 관련 사용자 가상 사용자에 대해 권장되는 대체 휴대용용 자격 증명을 사용하도록 설정합니다.
| 메서드 | 지침 |
|---|---|
| FIDO2 보안 키 | |
| 동기화된 암호 | |
| Microsoft Authenticator의 Passkey | |
| 스마트 카드/인증서 기반 인증(CBA) |
3단계: 로컬 자격 증명 부트스트랩
사용자가 정기적으로 작업하는 각 디바이스에는 로컬로 사용 가능한 자격 증명이 있어 사용자에게 최대한 원활한 사용자 환경을 제공하는 것이 좋습니다. 로컬로 사용 가능한 자격 증명은 사용자가 여러 디바이스를 사용할 필요가 없고 사용자가 디바이스 잠금 해제 제스처를 사용하여 인증하기 때문에 인증하는 데 필요한 시간을 줄입니다.
사용자가 이식 가능한 자격 증명을 얻은 후에는 로컬 자격 증명을 부트스트랩하는 데 사용할 수 있으므로 사용자가 소유할 수 있는 다른 장치에서 피싱 방지 자격 증명을 기본적으로 사용할 수 있습니다.
참고
디바이스를 공유하는 사용자는 이식 가능한 자격 증명만 사용해야 합니다.
아래 표를 사용하여 각 사용자 페르소나에 대해 선호되는 로컬 자격 증명 유형을 결정합니다.
| 사용자 페르소나 | 권장되는 로컬 자격 증명 - Windows | 권장되는 로컬 자격 증명 - macOS | 권장되는 로컬 자격 증명 - iOS | 권장되는 로컬 자격 증명 - Android | 권장되는 로컬 자격 증명 - Linux |
|---|---|---|---|---|---|
| 관리자 및 고도로 규제된 근로자 | 비즈니스용 Windows Hello 또는 CBA | Platform SSO Secure Enclave 키 또는 CBA | Microsoft Authenticator 또는 CBA의 Passkey | Microsoft Authenticator 또는 CBA의 Passkey | 해당 사항 없음(대신 스마트 카드 사용) |
| 비관리자 | 비즈니스용 Windows Hello | 플랫폼 싱글 사인온(SSO) 보안 엔클레이브 키 | 동기화된 암호 | 동기화된 암호 | 해당 사항 없음(휴대용 자격 증명 대신 사용) |
다음 지침을 사용하여 조직의 관련 사용자 가상 사용자에 대해 사용자 환경에서 권장되는 로컬 자격 증명을 사용하도록 설정합니다.
| 메서드 | 지침 |
|---|---|
| 비즈니스용 Windows Hello | |
| macOS용 플랫폼 자격 증명 | |
| Microsoft Authenticator의 Passkey |
페르소나별 고려 사항
각 페르소나 내에는 고유한 과제와 고려 사항이 있는 특정 역할 함수가 있을 수 있습니다. 조직 내의 특정 역할에 대한 특정 지침이 포함된 아래 표를 고려할 수 있습니다.
| 페르소나 | 역할 예제 |
|---|---|
| 관리자 | |
| 관리자가 아닌 사용자 |
피싱 방지 자격 증명의 사용을 촉진하다
이 단계에서는 사용자가 피싱 방지 자격 증명을 더 쉽게 채택할 수 있도록 하는 방법을 설명합니다. 배포 전략을 테스트하고, 롤아웃을 계획하고, 최종 사용자에게 계획을 전달해야 합니다. 그런 다음 조직 전체에서 피싱 방지 자격 증명을 적용하기 전에 보고서를 만들고 진행 상황을 모니터링할 수 있습니다.
테스트 배포 전략
Microsoft는 테스트 및 파일럿 사용자 집합을 사용하여 이전 단계에서 만든 배포 전략을 테스트하는 것이 좋습니다. 이 단계에는 다음 단계가 포함되어야 합니다:
- 테스트 사용자 및 얼리어답터 목록을 만듭니다. 이러한 사용자는 관리자뿐만 아니라 지원되는 디바이스 유형을 사용하여 다른 사용자 페르소나를 나타내야 합니다.
- Microsoft Entra ID 그룹을 만들고 테스트 사용자를 그룹에 추가합니다.
- Microsoft Entra ID에서 인증 방법 정책을 활성화하고, 테스트 그룹이 활성화한 방법에만 적용되도록 범위를 지정합니다.
- 인증 방법 활동 보고서를 사용하여 파일럿 사용자의 등록 롤아웃을 측정합니다.
- 조건부 액세스 정책을 만들어 각 운영 체제 유형에서 피싱 방지 암호 없는 자격 증명 사용을 적용하고 파일럿 그룹을 대상으로 지정합니다.
- Azure Monitor 및 통합 문서를 사용하여 적용의 성공 여부를 측정하세요.
- 출시 성공에 대한 사용자 의견을 수집합니다.
전개 전략 계획
Microsoft는 배포 준비가 가장 잘된 사용자 유형을 기반으로 사용량을 높일 것을 권장합니다. 일반적으로 관리자를 사용하여 파일럿한 다음 관리자가 아닌 사용자 그룹에 광범위하게 배포하는 것을 의미하지만 조직의 요구 사항에 따라 변경 될 수 있습니다.
다음 섹션을 사용하여 각 가상 사용자 그룹에 대한 최종 사용자 통신을 만들고, 암호 등록 기능을 범위 및 롤아웃하고, 사용자 보고 및 모니터링을 수행하여 출시 진행 상황을 추적합니다.
Phishing-Resistant 암호 없는 워크북(미리 보기)을 사용하여 준비 상태 확보하기
조직은 옵션에 따라 장기 보존, 위협 탐지 및 기타 목적을 위해 Microsoft Entra ID 로그인 로그를 Azure Monitor 로 내보내도록 선택할 수 있습니다. Microsoft는 Azure Monitor에 로그가 있는 조직이 피싱 방지 암호 없는 배포의 다양한 단계를 지원하는 데 사용할 수 있는 통합 문서 릴리스했습니다. Phishing-Resistant 비밀번호 없는 워크북은 여기에서 액세스할 수 있습니다: aka.ms/PasswordlessWorkbook. 통합 문서 제목을 선택합니다: Phishing-Resistant 암호 없는 배포(미리 보기)
통합 문서에는 두 개의 기본 섹션이 있습니다.
- 등록 준비 단계
- 적용 준비 단계
등록 준비 단계
등록 준비 단계 탭을 사용하여 테넌트에서 로그인 로그를 분석하여 등록할 준비가 된 사용자와 등록이 차단될 수 있는 사용자를 결정합니다. 예를 들어 등록 준비 단계 탭을 사용하여 iOS를 OS 플랫폼으로 선택한 다음, 준비 상태를 평가하려는 자격 증명 유형으로 Microsoft Authenticator의 암호를 선택할 수 있습니다. 그런 다음 통합 문서 시각화를 클릭하여 등록 문제가 예상되는 사용자로 필터링하고 목록을 내보낼 수 있습니다.
통합 문서의 등록 준비 단계 탭을 사용하면 다음 운영 체제 및 자격 증명에 대한 준비 상태를 평가할 수 있습니다.
- Windows
- 비즈니스용 Windows Hello
- FIDO2 보안 키
- Certificate-Based 인증/스마트 카드
- macOS
- 플랫폼 SSO 보안 인클레이브 키
- FIDO2 보안 키
- Certificate-Based 인증/스마트 카드
- iOS
- 동기화된 암호
- FIDO2 보안 키
- Microsoft Authenticator의 Passkey
- Certificate-Based 인증/스마트 카드
- Android
- 동기화된 암호
- FIDO2 보안 키
- Microsoft Authenticator의 Passkey
- Certificate-Based 인증/스마트 카드
내보낸 각 목록을 사용하여 등록 문제가 있을 수 있는 사용자를 심사합니다. 등록 문제에 대한 응답에는 디바이스 OS 버전 업그레이드, 노후화된 디바이스 교체 및 기본 설정 옵션이 실행 가능하지 않은 대체 자격 증명 선택에서 사용자를 지원하는 작업이 포함되어야 합니다. 예를 들어 조직에서 동기화된 암호를 사용할 수 없는 Android 13 사용자에게 실제 FIDO2 보안 키를 제공하도록 선택할 수 있습니다.
마찬가지로 등록 준비 보고서를 사용하여 전체 출시 전략따라 등록 커뮤니케이션 및 캠페인을 시작할 준비가 된 사용자 목록을 작성할 수 있습니다.
적용 준비 단계
사용자가 피싱 방지 전용 인증을 사용할 준비가 되면 피싱 방지 인증을 적용할 수 있습니다. 즉, 피싱 방지 자격 증명으로 MFA를 수행하여 정책의 리소스에 액세스해야 합니다.
적용 준비 단계의 첫 번째 단계는 Report-Only 모드에서 조건부 액세스 정책을 만드는 것입니다. 이 정책은 사용자/디바이스를 피싱 방지 적용 범위에 포함할 경우 액세스가 차단되었는지 여부에 대한 데이터로 로그인 로그를 채웁니다. 다음 설정을 사용하여 테넌트에 새 조건부 액세스 정책을 만듭니다.
| 설정 | 가치 |
|---|---|
| 사용자/그룹 할당 | 비상 계정을 제외한 모든 사용자 |
| 앱 할당 | 모든 리소스 |
| 권한 설정 | 인증 강도 필요 - 피싱 방지 MFA |
| 정책 활성화 | 보고서 전용 |
등록 캠페인을 시작하기 전에 롤아웃에서 가능한 한 빨리 이 정책을 만듭니다. 이렇게 하면 정책이 시행되었을 경우 차단되었을 사용자 및 로그인의 이력 데이터 세트를 확보할 수 있습니다.
다음으로 통합 문서를 사용하여 사용자/디바이스 쌍이 강제 적용 준비가 된 상태를 분석합니다. 적용할 준비가 된 사용자 목록을 다운로드하고 적용 정책따라 만든 그룹에 추가합니다. 먼저 정책 필터에서 읽기 전용 조건부 액세스 정책을 선택합니다.
이 보고서는 각 디바이스 플랫폼에서 피싱 방지 암호 없는 요구 사항을 성공적으로 통과할 수 있었던 사용자 목록을 제공합니다. 각 목록을 다운로드하고 디바이스 플랫폼에 맞는 적용 그룹에 적절한 사용자를 배치합니다.
각 적용 그룹에 대부분 또는 모든 사용자가 포함된 지점에 도달할 때까지 시간이 지남에 따라 이 프로세스를 반복합니다. 결국 테넌트에서 모든 사용자 및 디바이스 플랫폼에 적용을 제공하기 위해 보고서 전용 정책을 사용하도록 설정할 수 있어야 합니다. 이 완료된 상태에 도달하면 각 디바이스 OS에 대한 개별 적용 정책을 제거하여 필요한 조건부 액세스 정책 수를 줄일 수 있습니다.
적용할 준비가 되지 않은 사용자 조사
추가 데이터 분석 탭을 사용하여 특정 사용자가 다양한 플랫폼에서 적용할 준비가 되지 않은 이유를 조사합니다. 정책 충족되지 않음 상자를 선택하여 보고서 전용 조건부 액세스 정책에 의해 차단된 사용자 로그인으로 데이터를 필터링합니다.
이 보고서에서 제공한 데이터를 사용하여 차단된 사용자, 어떤 디바이스 운영 체제에 있는지, 어떤 유형의 클라이언트 앱을 사용 중이었는지, 어떤 리소스에 액세스하려고 했는지를 확인합니다. 이 데이터는 적용 범위로 효과적으로 이동할 수 있도록 다양한 수정 또는 등록 작업을 위해 해당 사용자를 대상으로 지정하는 데 도움이 됩니다.
최종 사용자 커뮤니케이션 계획
Microsoft는 최종 사용자를 위한 커뮤니케이션 템플릿을 제공합니다. 인증 롤아웃 자료 피싱 방지 암호 없는 인증 배포에 대해 사용자에게 알리는 사용자 지정 가능한 이메일 템플릿이 포함되어 있습니다. 다음 템플릿을 사용하여 피싱 방지 암호 없는 배포를 이해할 수 있도록 사용자와 통신합니다.
- 헬프데스크를 위한 비밀번호 키
- 패스키 곧 도입예정
- Authenticator에서 passkey 등록
- Authenticator에서 암호를 등록하라는 미리 알림
가능한 한 많은 사용자를 파악할 수 있도록 통신을 여러 번 반복해야 합니다. 예를 들어 조직에서 다음과 같은 패턴으로 다양한 단계와 타임라인을 전달하도록 선택할 수 있습니다.
- 적용 60일 후: 피싱 방지 인증 방법의 가치를 메시지로 표시하고 사용자가 사전에 등록하도록 장려
- 적용 45일 후: 메시지 반복
- 적용 30일 후: 30일 이내에 피싱 방지 적용이 시작된다는 메시지, 사용자가 사전에 등록하도록 장려
- 적용 15일 후: 메시지를 반복하고 지원 센터에 문의하는 방법을 알려주세요.
- 적용 7일 후: 메시지를 반복하고 지원 센터에 문의하는 방법을 알려주세요.
- 적용 1일 후: 적용이 24 시간 후에 발생하도록 알리고 지원 센터에 연락하는 방법을 알려주세요.
Microsoft는 전자 메일 외에 다른 채널을 통해 사용자에게 통신하는 것이 좋습니다. 다른 옵션으로는 Microsoft Teams 메시지, 소규모 회의실 포스터 및 선택한 직원이 동료에게 프로그램을 옹호하도록 교육되는 챔피언 프로그램이 포함될 수 있습니다.
보고 및 모니터링
이전에 다룬 Phishing-Resistant 암호 없는 통합 문서 사용하여 롤아웃에 대한 모니터링 및 보고를 지원합니다. 또한 아래에 설명된 보고서를 사용하거나, Phishing-Resistant 암호 없는 워크북을 사용할 수 없을 경우 이 보고서에 의존할 수 있습니다.
Microsoft Entra ID 보고서(인증 방법 활동 및 Microsoft Entra 다단계 인증에 대한 로그인 이벤트 세부 정보 등)는 채택을 측정하고 추진하는 데 도움이 되는 기술 및 비즈니스 인사이트를 제공합니다.
인증 방법 활동 대시보드에서 등록 및 사용량을 볼 수 있습니다.
- 등록에는 피싱 방지 비밀번호 없는 인증 및 기타 인증 방법을 사용할 수 있는 사용자 수가 표시됩니다. 사용자가 등록한 인증 방법과 각 방법에 대한 최근 등록을 보여 주는 그래프를 볼 수 있습니다.
- 사용법 은 로그인에 사용된 인증 방법을 보여 줍니다.
비즈니스 및 기술 애플리케이션 소유자는 조직 요구 사항에 따라 보고서를 소유하고 받아야 합니다.
- 인증 방법 등록 활동 보고서를 사용하여 피싱 방지 암호 없는 자격 증명 롤아웃을 추적합니다.
- 인증 방법 로그인 활동 보고서 및 로그인 로그를 사용하여 피싱 방지 암호 없는 자격 증명의 사용자 채택을 추적합니다.
- 로그인 활동 보고서를 사용하여 다양한 애플리케이션에 로그인하는 데 사용된 인증 방법을 추적합니다. 사용자 행을 선택합니다. 인증 세부 정보를 선택하여 인증 방법 및 해당 로그인 활동을 확인합니다.
이러한 조건이 발생하면 Microsoft Entra ID는 감사 로그에 항목을 추가합니다:
- 관리자가 인증 방법을 변경합니다.
- 사용자는 Microsoft Entra ID 내에서 자격 증명을 변경합니다.
Microsoft Entra ID는 대부분의 감사 데이터를 30일 동안 보관합니다. 감사, 트렌드 분석 및 기타 비즈니스 요구 사항을 위해 더 오래 보관하는 것이 좋습니다.
Microsoft Entra 관리 센터 또는 API의 감사 데이터에 액세스하고 분석 시스템에 다운로드합니다. 더 오래 보관해야 하는 경우 Microsoft Sentinel, Splunk 또는 Sumo Logic과 같은 보안 정보 및 이벤트 관리(SIEM) 도구에서 로그를 내보내고 사용하세요.
지원 센터 티켓 볼륨 모니터링
IT 지원팀은 배포가 얼마나 잘 진행되고 있는지에 대한 귀중한 신호를 제공할 수 있으므로 피싱 방지 암호 없는 배포를 실행할 때 지원 센터 티켓 볼륨을 추적하는 것이 좋습니다.
지원 센터 티켓 볼륨이 증가함에 따라 배포, 사용자 통신 및 적용 작업의 속도를 늦춰야 합니다. 티켓 볼륨이 감소하면 이러한 활동을 다시 늘릴 수 있습니다. 이 방법을 사용하려면 롤아웃 계획에서 유연성을 유지해야 합니다.
예를 들어 배포를 실행한 다음 특정 날짜가 아닌 날짜 범위가 있는 웨이브에서 적용할 수 있습니다.
- 6월 1일부터 15일: Wave 1 코호트 등록 배포 및 캠페인
- 6월 16일부터 30일: Wave 2 코호트 등록 배포 및 캠페인
- 7월 1일부터 15일: Wave 3 코호트 등록 배포 및 캠페인
- 7월 16일부터 31일까지: 웨이브 1 코호트 시행 활성화됨
- 8월 1일부터 15일까지: 2차 코호트 적용 활성화
- 8월 16일부터 31일까지: Wave 3 코호트 강제 적용 활성화
이러한 다양한 단계를 실행할 때 열린 지원 센터 티켓의 양에 따라 속도를 늦추고 볼륨이 가라앉으면 다시 시작해야 할 수 있습니다. 이 전략을 실행하려면 각 웨이브에 대해 Microsoft Entra ID 보안 그룹을 만들고 각 그룹을 정책에 한 번에 하나씩 추가하는 것이 좋습니다. 이 방법은 지원 팀을 압도하지 않도록 하는 데 도움이 됩니다.
로그인에 피싱 방지 방법 적용
피싱 방지 암호 없는 배포의 마지막 단계는 피싱 방지 자격 증명 사용을 적용하는 것입니다.
배포의 적용 단계를 강조 표시하는 
4단계: 리소스에 대한 피싱 저항력 강화
Microsfot Entra ID에서 피싱 저항 자격 증명을 적용하기 위해 기본 메커니즘은 조건부 액세스 인증 강점입니다. Microsoft는 사용자/디바이스 쌍 방법론에 따라 각 페르소나에 대한 강제 실행에 접근할 것을 권장합니다. 예를 들어 적용 롤아웃은 다음 패턴을 따를 수 있습니다.
- Windows 및 iOS의 관리자
- macOS 및 Android의 관리자
- Windows 및 macOS의 다른 사용자
- iOS 및 Android의 다른 사용자
테넌트에서 로그인 데이터를 사용하여 모든 사용자/디바이스 쌍의 보고서를 작성하는 것이 좋습니다. Azure Monitor 및 워크북과 같은 쿼리 도구를 사용할 수 있습니다. 최소한 이러한 범주와 일치하는 모든 사용자/디바이스 쌍을 식별해 보세요.
가능한 경우 이전에 다룬 Phishing-Resistant 암호 없는 통합 문서 사용하여 적용 단계를 지원합니다.
각 사용자에 대해 정기적으로 작업에 사용하는 운영 체제 목록을 만듭니다. 해당 사용자/디바이스 쌍에 대한 피싱 방지 로그인 적용 준비에 목록을 매핑합니다.
| OS 유형 | 적용 준비 완료 | 적용할 준비가 되지 않음 |
|---|---|---|
| 윈도우즈 | 10+ | 8.1 이전 버전, Windows Server |
| 아이폰 OS | 17+ | 16 이전 |
| 안드로이드 | 14+ | 13 또는 그 이전 |
| macOS | 13 이상(벤투라) | 12 및 그 이전 |
| VDI | 1에 따라 다름 | 1에 따라 다름 |
| 기타 | 1에 따라 다름 | 1에 따라 다름 |
1디바이스 버전이 즉시 적용할 준비가 되지 않은 각 사용자/디바이스 쌍에 대해 피싱 저항을 적용해야 하는 필요성을 해결하는 방법을 결정합니다. 이전 운영 체제, VDI(가상 데스크톱 인프라) 및 Linux와 같은 기타 운영 체제에 대해 다음 옵션을 고려합니다.
- 외부 하드웨어를 사용하여 피싱 저항 적용 – FIDO2 보안 키
- 외부 하드웨어를 사용하여 피싱 저항 적용 – 스마트 카드
- 디바이스 간 인증 흐름의 암호와 같은 원격 자격 증명을 사용하여 피싱 저항 적용
- RDP 터널 내부의 원격 자격 증명을 사용하여 피싱 저항 적용(특히 VDI의 경우)
특정 플랫폼에서 강제 시행할 준비가 된 사용자 및 페르소나를 데이터를 통해 측정하는 것이 주요 작업입니다. "출혈을 중지"하고 사용자 환경에서 발생하는 피싱 가능한 인증의 양을 줄이기 위해 적용할 준비가 된 사용자/디바이스 쌍에 대한 적용 작업을 시작합니다.
그런 다음 사용자/디바이스 쌍에 준비 작업이 필요한 다른 시나리오로 이동합니다. 사용자/디바이스 쌍 목록을 하나씩 처리하면서 모든 사용자/디바이스 쌍에 피싱 방지 인증을 적용할 때까지 진행합니다.
Microsoft Entra ID 그룹 집합을 만들어 적용을 단계적으로 시행합니다. 웨이브 기반 롤아웃 방법을 사용한 경우 이전 단계의 그룹을 다시 사용합니다.
권장 적용 조건부 액세스 정책
특정 조건부 액세스 정책을 사용하여 각 그룹을 대상으로 지정합니다. 이 방법을 사용하면 사용자/디바이스 쌍별로 적용 컨트롤을 점진적으로 롤아웃할 수 있습니다.
| 정책 | 정책의 대상 그룹 이름 | 정책 – 디바이스 플랫폼 조건 | 정책 – 제어 권한 부여 |
|---|---|---|---|
| 1 | Windows 피싱 방지용으로 암호 없는 환경에 준비된 사용자 | 윈도우즈 | 인증 강도 필요 – 피싱 방지 MFA |
| 2 | 피싱에 강하고 암호 없는 로그인을 사용할 준비가 된 macOS 사용자. | macOS | 인증 강도 필요 – 피싱 방지 MFA |
| 3 | iOS 피싱 방지 및 암호 없는 시스템에 대비된 사용자 | 아이폰 OS | 인증 강도 필요 – 피싱 방지 MFA |
| 4 | 비밀번호 없이 피싱에 저항할 준비가 된 Android 사용자 | 안드로이드 | 인증 강도 필요 – 피싱 방지 MFA |
| 5 | 기타 피싱 방지 암호 없는 준비 사용자 | Windows, macOS, iOS 또는 Android를 제외한 모든 항목 | 인증 강도 필요 – 피싱 방지 MFA |
각 사용자를 각 그룹에 추가하여 디바이스 및 운영 체제가 준비되었는지 또는 해당 유형의 디바이스가 없는지 확인합니다. 롤아웃이 끝나면 각 사용자가 그룹 중 하나에 있어야 합니다.
암호 없는 사용자의 위험에 대응
Microsoft Entra ID Protection은 조직이 ID 기반 위험을 검색, 조사 및 수정하는 데 도움이 됩니다. Microsoft Entra ID Protection은 사용자가 피싱 방지 암호 없는 자격 증명을 사용하도록 전환한 후에도 사용자에게 중요하고 유용한 검색 기능을 제공합니다. 예를 들어, 피싱에 강한 사용자에게 관련된 몇 가지 탐지로는 다음과 같은 것이 있습니다.
- 익명 IP 주소에서의 활동
- 관리자가 확인한 사용자 계정 침해
- 비정상적 토큰
- 악성 IP 주소
- Microsoft Entra 위협 인텔리전스
- 의심스러운 브라우저
- 중간에 있는 공격자
- PRT(기본 새로 고침 토큰)에 액세스하려고 할 수 있습니다.
- 그리고 기타: 위험 이벤트 유형에 매핑된 위험 감지
Microsoft는 Microsoft Entra ID Protection 고객이 피싱에 강한 암호 없는 사용자를 가장 잘 보호하기 위해 다음 조치를 취하는 것이 좋습니다.
- Microsoft Entra ID Protection 배포 지침 검토: ID 보호 배포 계획
- SIEM으로 내보내도록 위험 로그 구성
- 중간 수준의 사용자 위험을 조사하고 조치하기
- 위험 수준이 높은 사용자를 차단하도록 조건부 액세스 정책 구성
Microsoft Entra ID Protection을 배포한 후 조건부 액세스 토큰 보호를 사용하는 것이 좋습니다. 사용자가 피싱에 강한 암호 없는 자격 증명으로 로그인함에 따라 공격 및 검색이 계속 진화하고 있습니다. 예를 들어 사용자 자격 증명을 더 이상 쉽게 피싱할 수 없는 경우 공격자는 사용자 디바이스에서 토큰을 유출하려고 할 수 있습니다. 토큰 보호는 발급된 디바이스의 하드웨어에 토큰을 바인딩하여 이 위험을 완화하는 데 도움이 됩니다.
다음 단계
Microsoft Entra ID에서 피싱 방지 비밀번호 없는 인증 배포에 대한 특정 사용자 프로필 고려 사항
Microsoft Entra ID의 피싱 방지 암호 없는 인증 배포에서 원격 데스크톱 연결에 대한 고려 사항