MFA(다단계 인증)는 사용자가 여러 인증 방법을 통해 ID를 확인하도록 요구하여 RDS(원격 데스크톱 서비스)의 보안을 강화합니다. 이 추가된 보호 계층은 중요한 리소스를 보호하고 무단 액세스 위험을 줄이는 데 도움이 됩니다. 이 문서에서는 배포에 대한 계획 고려 사항과 함께 MFA를 RDS와 통합할 때의 사용자 환경, 아키텍처 구성 요소 및 보안 이점에 대한 개요를 제공합니다.
사용자 환경
데스크톱 및 애플리케이션에 연결하는 최종 사용자의 경우 환경은 원하는 리소스에 연결하는 다른 두 번째 인증 측정값과 유사합니다. 프로세스에는 일반적으로 다음이 포함됩니다.
데스크톱 또는 RemoteApp을 시작합니다.
안전한 원격 액세스를 위해 RD 게이트웨이에 연결할 경우 모바일 애플리케이션 MFA 문제가 발생합니다.
올바르게 인증하고 해당 리소스에 연결합니다.
아키텍처 구성 요소
RDS는 Windows Server의 네트워크 정책 서버 및 Microsoft Entra ID에 대한 확장과 통합할 수 있습니다. 일반적인 RDS MFA 구현에는 다음이 포함됩니다.
- RD 게이트웨이: 원격 연결의 진입점 역할을 합니다.
- NPS(네트워크 정책 서버) : 인증 요청을 처리하고 정책을 적용합니다.
- Microsoft Entra ID: 클라우드 기반 MFA 서비스를 제공합니다.
- NPS 확장: 클라우드 기반 MFA를 사용하여 온-프레미스 NPS를 브리지합니다.
자세한 내용은 NPS(네트워크 정책 서버) 확장 및 Microsoft Entra ID를 사용하여 원격 데스크톱 게이트웨이 인프라 통합을 참조하세요.
MFA 배포를 계획할 때는 다음 구성 요소를 고려해야 합니다.
- 사용자 등록: 사용자가 MFA 메서드를 등록하는 방법을 계획합니다.
- 백업 인증: 기본 디바이스를 분실한 사용자를 위한 대체 방법을 구성합니다.
- 조건부 액세스: 위치 기반 또는 디바이스 기반 정책을 구현하는 것이 좋습니다.
- 네트워크 요구 사항: 방화벽 규칙이 MFA 서비스 엔드포인트와의 통신을 허용하는지 확인합니다.
보안 혜택
원격 데스크톱 서비스를 사용하여 MFA를 구현하면 다음을 제공합니다.
- 위반 위험 감소: 암호가 손상되더라도 추가 확인을 통해 무단 액세스를 방지할 수 있습니다.
- 규정 준수 지원: 보안 원격 액세스를 위한 규정 요구 사항을 충족하는 데 도움이 됩니다.
- 중앙 집중식 관리: 클라우드 및 온-프레미스 리소스에서 통합 MFA 정책
- 감사 기능: 인증 시도 및 사용된 메서드에 대한 자세한 로깅입니다.