권한 있는 역할이 있는 게스트 계정

B2B collaboration은 사용자가 조직과 협업할 게스트를 초대할 수 있게 해 주는 Microsoft Entra ID 기능입니다. 이러한 게스트 계정은("외부 ID"라고도 함) 기본적으로 Microsoft의 설명대로 액세스 권한을 얻습니다.

자신의 프로필을 관리할 수 있고 자신의 비밀번호를 변경할 수 있고 다른 사용자, 그룹 및 애플리케이션에 관한 특정 정보를 가져올 수 있습니다. 하지만 게스트 사용자는 모든 디렉터리 정보를 읽을 수는 없습니다. 예를 들어 게스트 사용자는 모든 사용자, 그룹 및 기타 디렉터리 개체의 목록을 열거할 수 없습니다. 게스트를 관리자 역할에 추가하여 읽기 및 쓰기 권한 전체를 허용하는 것은 가능합니다. 게스트는 다른 게스트를 초대할 수도 있습니다.

권한 있는 역할에게는 기본적으로 상승된 권한이 있습니다. 게스트 계정에 권한 있는 역할이 할당되면 보안 위험을 초래할 수 있고 테넌트의 공격 표면이 크게 늘어납니다. 이것이 특히 우려가 되는 이유는 게스트 계정은 더 약한 보안 정책이 적용되었을 가능성이 있어 침해에 더 취약하기 때문입니다. 또한 게스트 사용자에게 권한 있는 역할을 할당하면 추적 가능성이 낮아져 활동을 모니터링하고 감사하기 어려워집니다. 최악의 상황을 가정하면, 그러한 할당은 침해를 나타낼 가능성도 있습니다. 위협 행위자가 게스트 계정을 악용해 무단 액세스 권한을 획득하고 환경 내부망을 이동하는 경우가 많기 때문입니다.

이러한 게스트 계정을 면밀하게 모니터링하고, 권한 있는 역할을 할당하지 않아야 합니다.

또한 Microsoft에서는 보안이 강화된 Microsoft Entra 구성에서 "게스트에게는 높은 권한이 있는 디렉터리 역할을 할당하지 않는" 것을 권장합니다.

테넌트를 조직 경계 밖으로 노출하지 않으려면 게스트 계정에 할당된 권한 있는 역할을 모두 철회하거나 할당 취소하십시오.

이름: 권한 있는 역할이 있는 게스트 계정

코드명: GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

심각도: High

유형: Microsoft Entra ID Indicator of Exposure