탐지

인증을 위해 관리형 장치가 필요하지 않음

MEDIUM

언어:

설명

Microsoft Entra ID는 기본적으로 모든 장치에서의 인증을 허용하기 때문에 특히 해당 장치가 침해되었거나 규정을 위반하거나 공격자가 제어하는 경우 무단 액세스와 침해를 초래할 수 있습니다.

제로 트러스트 모델에서는 인증이 장치의 상태에 좌우되기 때문에, 조직의 보안 정책을 준수하고 조직이 관리하는 장치의 액세스만 허용합니다.

CISA "Microsoft Entra ID용 M365 보안 구성 기준" MS.AAD.3.7v1정책(BOD 25-01에서 필수로 지정)에 따르면 "인증하려면 관리형 장치가 필수여야 합니다." CISA 참고 자료에 따라 이 IoE에서는 조건부 액세스 정책 중 하나 이상에 다음 설정이 포함되도록 보장합니다.

Microsoft의 권장 사항을 따르는 경우, 이 IoE에서는 조건부 액세스 정책 중 하나 이상에 같은 설정이 포함되도록 보장하고, "다단계 인증 필수"를 추가합니다. 즉, 다음과 같습니다.

솔루션

테넌트에 사용 설정된 조건부 액세스 정책(CAP)이 있어야만 비관리형 장치의 인증을 차단할 수 있습니다.

이 위험을 예방하는 방법에 관해 CISA와 Microsoft의 의견이 다릅니다.

  • CISA "Microsoft Entra ID용 M365 보안 구성 기준" MS.AAD.3.7v1 정책(BOD 25-01에서 필수로 지정)에 따르면 규정을 준수하는 장치 또는 하이브리드에 조인한 장치만 수락하게 되어 있습니다.
  • 반면 Microsoft에서는 다단계 인증도 수락합니다.

Tenable에서는 가장 안전한 접근 방식인 CISA 참고 자료를 따르도록 권장하고 있습니다. 그렇지만 이것은 또한 가장 제한이 심하기 때문에, IoE에서 제공된 옵션을 이용해 Microsoft 권장 사항으로 손쉽게 전환할 수 있습니다.

이렇게 하려면 다음과 같이 CAP를 만듭니다.

  • 이 IoE의 설명에 명시된 설정을 적용해 기존 CAP를 수정합니다.
  • 전용 CAP를 만든 다음, IoE의 설명에 언급된 사양에 따라 CAP를 구성합니다.

Microsoft 권장 사항을 따르는 경우, "모든 사용자에 대하여 규정 준수 또는 하이브리드 Azure AD 조인 장치 또는 다단계 인증 필수" CAP 템플릿을 사용하면 됩니다. 이 템플릿은 Microsoft 권장 옵션을 사용 설정할 때 IoE 기준에 모두 부합합니다. 또는 "관리자에 대하여 규정 준수 장치 또는 Microsoft Entra 하이브리드 장치 필수" 템플릿이 관리자만 대상으로 삼기 때문에 덜 제한적이지만, 이 템플릿으로는 IoE 기준에 부합하지 않습니다.

참고: "장치가 규정 준수로 표시되어야 함" 부여 제어를 사용하려면 조직에서 Intune MDM을 사용해야 합니다.

주의: Microsoft와 Tenable 모두 테넌트 전반의 계정 잠금과 원치 않는 부작용 방지를 위해 특정 계정을 조건부 액세스 정책에서 제외하도록 권장하고 있습니다. 또한 Tenable에서는 사용자 본인의 계정이 잠겨 액세스하지 못할 위험을 완화하고 적절한 계획과 변경 관리를 보장하기 위해 Microsoft "조건부 액세스 배포 계획" 설명서를 따를 것을 권장합니다. 특히 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 같은 하이브리드 ID 솔루션을 사용하는 경우, 정책을 준수할 수 없기 때문에 서비스 계정을 정책에서 제외해야 합니다. "사용자 제외" 작업을 사용하여 서비스 계정을 직접 제외하거나, "디렉터리 역할" 옵션에 체크 표시한 다음 "디렉터리 동기화 계정" 역할을 선택합니다.

지표 세부 정보

이름: 인증을 위해 관리형 장치가 필요하지 않음

코드명: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: