SC-900 : Microsoft Entra ID의 인증 기능 설명

https://learn.microsoft.com/ko-kr/training/modules/explore-authentication-capabilities/

Microsoft Entra ID의 인증 기능 설명 - Training

 

 

목차

 

Microsoft Entra ID의 인증 기능 설명

    1) 인증 방법 

    2) 다단계 인증

    3) 셀프 서비스 암호 재설정 

    4) 암호 보호 및 관리 기능

---

 

1) 인증 방법

 

ID 플랫폼은 사용자가 디바이스, 애플리케이션 또는 서비스에 로그인할 때 자격증명을 확인하거나 인증한다.

 

💡 암호

단일 단계 인증에 사용되는 경우 좋지 않음. 기억하기 쉬우면 공격받기 좋고 강력한 암호는 기억하기 어려움. 잊어버리면 생산성에 영향을 미침.

 

💡 전화

✔️ SMS 기반 인증

SSPR(셀프 서비스 암호 재설정) 또는 MS Entra 다단계 인증 과정 중 보조 인증 형식으로 SMS를 통해 본인 확인 진행함. 문자로 제공된 확인 코드를 로그인 인터페이스에 입력함.

✔️ 음성 통화 확인

SSPR(셀프 서비스 암호 재설정) 또는 MS Entra 다단계 인증 과정 중 보조 인증 형식으로 본인확인을 진행함.

✔️ OATH(Open Authentication)

TOTP(시간 제약 있는 일회성 암호) 코드 생성 방법을 지정하는 개방형 표준임. 일회성 암호 코드를 사용해 사용자를 인증할 수 있음.

 •소프트웨어 OATH 토큰은 일반적으로 애플리케이션이다. Microsft Entra ID는 앱에 입력되고 각 OTP를 생성하는 데 사용되는 비밀 키 또는 시드를 생성한다.

•OATH TOTP 하드웨어 토큰: 30/60초마다 새로고치는 코드를 표시하는 키 fob처럼 보이는 작은 하드웨어 디바이스이다. OATH TOTP 하드웨어 토큰은 일반적으로 토큰에서 사전 프로그래밍된 비밀 키 또는 시드를 제공한다. 이런 키 및  토큰과 관련된 기타 정보는 MS Entra ID에 입력된 후 최종 사용자가 사용할 수 있도록 활성화 되어야 함.

 

 

💡 암호 없는 인증

Windows hello, FIDO2, Microsoft Authennticator 앱, 인증서 기반 인증, 기본 및 보조 인증

비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용하는 생체 인식과 같은 방법

 

✔️ Windows Hello: 디바이스에 연결된 키 또는 인증서와 PIN 또는 사용자를 나타내는 항목(생체인식)의 조합이다.

✔️ FIDO2(Fast Identity Online): 사용자와 조직은 외부 보안 키 또는 디바이스의 기본 제공 플랫폼 키로 리소스에 로그인 할 수 있음. 피싱이 불가능한 표준 기반의 암호 없는 인증 방법. 일반적으로 usb 디바이스이지만, bluetooth 또는 NFC(근거리 통신) 기반 디바이스일 수도 있다. 노출되거나 추측될 수 있는 암호가 없음. 리소스에 대해 SSO 사용 가능

✔️ Microsoft Authenticator 앱: 사용자가 Microsoft에서 휴대폰 앱을 다운로드 후 계정을 등록해야 함. 계정에 로그인하려면 사용자의 이름을 입력하고 화면에 표시된 숫자를 휴대폰 숫자와 일치시킨 다음 생체 인식 또는 PIN을 사용하여 확인함.

Authenticator 앱을 소프트웨어 토큰으로 사용하여 OATH 확인 코드를 생성할 수 도 있음.

✔️ 인증서 기반 인증: CBA를 사용하면 사용자가 애플리케이션 및 브라우저 로그인을 위해 인증서 인증을 진행할 수 있도록 하거나 요구할 수 있음.근데 CBA는 암호 없는 인증의 기본 형식으로만 지원됨.

✔️ 기본 및 보조 인증: 디바이스 혹은 애플리케이션 로그인 시 일부 인증 방법을 기본 단계로 사용.

다른 인증방법은 Microsoft Entra 다단계 인증 또는 SSPR을 사용하는 경우 법적  요소로만 활용할 수 있음.

 

 

2) 다단계 인증

 

로그인 프로세스 중 사용자에게 휴대폰 코드나 지문 스캔같은 추가 형태의 본인 확인을 요청하는 메시지가 표시되는 프로세스이다. 관리자가 특정 확인 방법을 요구하거나 MyAccount에 액세스하여 인증방법을 편집 및 추가할 수 있음. 앞선 위 인증 형식들을 Microsoft Entra 다단계 인증에서 사용 가능.

 

💡 다단계 인증 작동을 위한 요구사항

✔️ 사용자가 알고 있는 사항: 일반적으로 암호, PIN 등 

✔️ 사용자가 보유하고 있는 사항:  휴대폰이나 하드웨어 키 같이 쉽게 복제할 수 없는 디바이스

✔️ 사용자 고유 사항: 사용자 생체인식 정보

 

 

3) 셀프 서비스 암호 재설정(SSPR)

 

관리자 또는 지원 센터의 개입 없이 사용자가 암호를 변경하거나 다시 설정하는 데 사용할 수 있는 Microsoft ID의

기능이다. 사용자가 SSPR에 등록하면 사용할 인증 방법을 택하라는 메시지가 표시된다. 이 중 본인 확인 질문은 SSPR 프로세스 중에만 누구인지를 확인하기 위한 보조 인증 형식으로 사용될 수 있다. 사용자가 셀프 서비스 암호 재설정을 사용해 암호 재설정을 하는 경우 on-premise Active Directory에 기록하여 저장할 수도 있다. 암호 쓰기 저장을 사용하면 온-프레미스 디바이스 및 애플리케이션에서 업데이트 된 자격 증명을 지연 없이 바로 사용할 수 있다.

 

💡 [SSPR의 장점]

IT 지원 비용 절감, 더 빠른 작업 및 생산성 증대, 관리자는 새 보안 요구 사항을 수용하도록 설정을 변경할 수 있고 로그인 상태를 중단하지 않고도 변경 사항 배포 가능, API에서 사용가능한 강력한 감사 로그가 포함되어있어 선택한 SIEM(보안 인시던트 및 이벤트 모니터링) 시스템으로 데이터를 가져올 수 있음.

 

💡 [SSPR 인증 방법]

모바일 앱 알림, 모바일 앱 코드, 이메일, 휴대폰, 사무실전화, 본인 확인 질문 등

 

 

 

4) 암호 보호 및 관리 기능

 

암호 보호는 사용자가 취약한 암호를 설정할 위험을 줄여주는 Microsoft Entra ID의 기능이다.

취약한 암호와 해당 변형을 감지하고 차단하며, 조직 관련 취약한 조건도 차단할 수 있다.

이를 사용하면 MS Entra 테넌트의 모든 사용자에게 기본 전역 금지 암호 목록이 자동으로 적용된다.

사용자 지정 금지 암호 목록에 항목을 직접 정의할 수도 있다.

 

💡  전역 금지 암호 목록

취약한 것으로 알려진 암호가 포함된 전역 금지 암호 목록은 Microsoft에서 자동으로 업데이트하고 적용한다.

전역 금지 목록은 실제 암호 스프레이 공격에서 비롯된다. 암호 유효성 검사 알고리즘에서도 패턴과 거의 일치하는 문자열을 찾는데 사용되는 스마트 유사 일치 기술을 사용한다. 취약한 수백만 개의 암호를 감지해 기업에서 사용하지 못하게 차단한다.

 

💡 사용자 지정 금지 암호 목록

관리자가 특정 비즈니스 보안 요구 사항을 지원하기 위해 지정 금지 암호 목록을 만들 수 있다.

사용자 지정 금지 암호 목록은 전역 금지 암호 목록과 결합되어 모든 암호의 변형을 차단한다.

ex) 브랜드 이름, 제품 이름, 회사 본부와 같은 위치, 회사 특정 내부 용어, 회사 고유 의미가 있는 약어 등

 

💡 암호 스프레이로부터 보호

대부분의 암호 스프레이 공격은 기업의 각 계정에 대해 알려진 가장 취약한 암호 중 일부만을 제출한다.

이 기술을 통해 공격자는 손상되기 쉬운 계정을 빠르게 검색하고 잠재적인 검색 임계값을 피할 수 있다.

Microsoft Entra 암호 보호는 전역 금지 암호 목록을 작성하는 데 사용되는 Microsoft Entra ID의 실제 보안 원격 분석 데이터를 기반으로 한다.

 

💡 하이브리드 보안

하이브리드 보안을 위해 관리자는 Microsoft Entra 암호 보호를 on-premise Active Directory 환경에 통합할 수 있다.

온프레미스 환경에 설치된 구성 요소는 MS Entra ID에서 전역 금지 암호 및 사용자 지정 암호 보호 정책을 받는다.

그러면 도메인 컨트롤러에서 이를 사용해 암호 변경 이벤트를 처리한다.

 

 

 

💯중간 점검💯