MFA 등록에 관리형 장치가 필요하지 않음

장치의 관리 여부나 규정 준수 상태와 관계없이, 모든 장치의 다단계 인증(MFA)을 허용하면 심각한 보안 위험이 발생합니다. 공격자가 사용자의 자격 증명을 침해하면 비관리형 장치에서 자체적인 MFA 단계를 등록할 수 있습니다. 그러면 MFA의 보호를 우회하고, 공격자가 두 번째 인증 단계에 대한 통제력을 확보해 중요한 리소스에 권한 없이 액세스할 수 있기 때문에 전체 계정을 장악할 수 있습니다.

제로 트러스트 모델은 MFA 등록과 같은 중요한 작업을 신뢰할 수 있고 규정을 준수하는 장치에서만 허용합니다. MFA 등록을 관리형 장치로만 제한하면 이 중요한 보안 기능을 사용하는 장치가 조직의 기준에 부합할 수 있습니다. 이렇게 하면 자격 증명을 도용한 공격자가 악성 MFA를 등록할 위험이 대폭 감소합니다.

CISA의 "Microsoft Entra ID의 M365 보안 구성 기준"(BOD 25-01에서 필수로 지정) MS.AAD.3.8v1 정책에서는 "MFA를 등록하려면 관리형 장치가 필수여야 한다"고 구체적으로 명시하고 있습니다.

CISA 참고 자료에 따라 이 위험 노출 지표(IoE)에서는 하나 이상의 조건부 액세스 정책을 사용 설정하여 다음 설정을 사용한 관리형 장치에만 MFA 등록을 승인하도록 합니다.

• "사용자"가 "모든 사용자"를 포함하도록 설정합니다.
• "대상 리소스"를 "사용자 작업"으로 설정하고 "보안 정보 등록"을 선택합니다.
• "부여"를 "액세스 권한 부여"로 설정하고 "장치가 규정 준수로 표시되어야 함" 및 "Microsoft Entra 하이브리드에 조인한 장치 필요" 옵션을 선택하고 하단에서 "선택한 제어 중 하나 필수"를 선택합니다.
• "정책 사용"을 "활성"으로 설정합니다("비활성" 또는 "보고 전용" 아님).

테넌트에 사용 설정된 조건부 액세스 정책(CAP)이 있어야만 비관리형 장치의 다단계 인증(MFA)을 차단할 수 있습니다.

이 위험을 완화하기 위해 CISA에서(BOD 25-01에서 필수로 지정된 "Microsoft Entra ID의 M365 보안 구성 기준" MS.AAD.3.8v1 정책을 통해) 관리형 장치란 규정을 준수하거나 하이브리드 조인된 장치라고 정의합니다.

이렇게 하려면 다음과 같이 CAP를 만듭니다.

• 이 IoE의 설명에 명시된 설정을 적용해 기존 CAP를 수정합니다.
• 전용 CAP를 만든 다음, IoE의 설명에 언급된 사양에 따라 CAP를 구성합니다.

참고: "장치가 규정 준수로 표시되어야 함" 부여 제어를 사용하려면 조직에서 Intune MDM을 사용해야 합니다.

주의: Microsoft와 Tenable 모두 테넌트 전반의 계정 잠금과 원치 않는 부작용 방지를 위해 특정 계정을 조건부 액세스 정책에서 제외하도록 권장하고 있습니다. 또한 Tenable에서는 사용자 본인의 계정이 잠겨 액세스하지 못할 위험을 완화하고 적절한 계획과 변경 관리를 보장하기 위해 Microsoft "조건부 액세스 배포 계획" 설명서를 따를 것을 권장합니다. 특히 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 같은 하이브리드 ID 솔루션을 사용하는 경우, 정책을 준수할 수 없기 때문에 서비스 계정을 정책에서 제외해야 합니다. "사용자 제외" 작업을 사용하여 서비스 계정을 직접 제외하거나, "디렉터리 역할" 옵션에 체크 표시한 다음 "디렉터리 동기화 계정" 역할을 선택합니다.

이름: MFA 등록에 관리형 장치가 필요하지 않음

코드명: MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure