권한 없는 계정의 MFA 누락

이 IoE는 Microsoft의 데이터 가용성 제한으로 인해 Microsoft Entra ID P1 또는 P2 라이선스가 없으면 작동하지 않습니다. 따라서 Entra ID Free 테넌트에서는 아무런 결과를 반환하지 않습니다.

다단계 인증(MFA)(이전의 2단계 인증(2FA))은 약한 비밀번호 또는 침해된 비밀번호에 대비해 계정에 강력한 보호​를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. 공격자가 어떤 방법으로든 사용자의 비밀번호를 획득하면 MFA가 모바일 애플리케이션의 시간 만료 코드, 실물 토큰, 생체 인식 기능 등 추가적인 단계를 요청하여 인증을 차단합니다.

이 위험 노출 지표는 계정에 MFA 방식이 등록되어 있지 않거나 사용자가 방법을 등록하지 않고 MFA를 적용하는 경우(이렇게 하면 비밀번호를 손에 넣은 공격자가 직접 MFA 방식을 등록해 보안 위험을 발생시킬 수 있음) 알림을 보냅니다. 그렇지만 조건부 액세스 정책이 동적 기준에 따라 MFA를 필요로 할 수 있으므로 이 위험 노출 지표는 Microsoft Entra ID가 MFA를 적용하는지 여부에 대해서는 보고할 수 없습니다.

Entra ID의 "인증 방법 활동" 및 "MFA 보고서" 기능을 사용할 수도 있습니다.

권한 있는 계정의 경우, 관련 IOE "권한 있는 계정의 MFA 누락"도 참조하십시오.

사용 중지된 사용자는 무시합니다. 공격자가 바로 악용할 수 없고, 사용 중지된 사용자의 MFA 상태를 잘못 보고하는 Microsoft Graph API의 한계 때문입니다.

보고된 권한 없는 사용자도 모두 MFA 방식을 등록하고 MFA를 적용​하여 비밀번호 공격에 맞서 보호를 강화해야 합니다.

Microsoft Entra ID의 경우, Microsoft에서 Require MFA for all users라는 조건부 액세스 정책 템플릿을 제공합니다. 이 정책을 사용하면 사용자가 MFA를 적용하고 나서 처음 인증하려 할 때 MFA 방식을 등록하라고 안내를 표시합니다. Microsoft 설명서 "조건부 액세스 배포 계획"을 따르는 것이 좋습니다. 특히 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 같은 하이브리드 ID 솔루션을 사용하는 경우, 조건부 액세스 정책을 준수할 수 없기 때문에 서비스 계정을 정책에서 제외해야 합니다. "사용자 제외" 작업을 사용하여 서비스 계정을 직접 제외하거나, "디렉터리 역할" 옵션에 체크 표시한 다음 "디렉터리 동기화 계정" 역할을 선택합니다.

자세한 내용은 Microsoft Entra 인증 설명서의 이 섹션에서 Microsoft Entra MFA 관련 내용을 참조하시기 바랍니다(관련 페이지도 참조).

이름: 권한 없는 계정의 MFA 누락

코드명: MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure