AD와 동기화되고 권한이 있는 Entra 계정(하이브리드)

조직에서 디렉터리 동기화(예: Microsoft Entra Connect(이전의 "Azure AD Connect") 또는 "Microsoft Entra Cloud Sync"(이전의 "Azure AD Connect Cloud Sync"))를 설정하여 사용자를 온프레미스 Active Directory에서 클라우드 Entra ID로 동기화하려 하는 경우, Entra ID의 권한 있는 역할에 하이브리드 AD 계정을 사용해야 한다고 생각할 수 있습니다. 하지만 이렇게 하면 공격자에게 전환 기회를 제공하여 공격자가 Active Directory를 침해한 다음 Entra ID에까지 악성 제어를 확대할 수 있습니다​. 공격자는 여러 가지 기법을 동원해 임의의 AD 사용자로 가장하고 이 가장을 Entra ID에도 적용합니다.

이런 이유로 Microsoft에서는 "Microsoft 365를 온프레미스 공격으로부터 보호하는 방법" 문서를 통해 이런 관행을 지양하도록 경고하고 있습니다. "Microsoft 365에 관리 권한이 있는 온프레미스 계정이 있으면 안 된다"는 점을 감안해 "온프레미스 계정에 Microsoft 365에 대한 상승된 권한이 없어야 한다"고 권장하는 것입니다.

Microsoft에서는 "Microsoft 365를 온프레미스 공격으로부터 보호하는 방법" 문서를 통해 "Entra 및 Microsoft 365 권한 있는 역할에는 클라우드 전용 계정을 사용"하도록 권장하고 있습니다. 클라우드 전용 계정은 Entra ID에서 생성되었으며 Active Directory와 동기화되지 않은 것으로, 하이브리드 계정과는 반대입니다. 모든 권한 있는 Entra 역할 지정에는 반드시 전용 클라우드 전용 계정을 사용해야 합니다.​

권한 있는 클라우드 전용 Entra 계정이 있는 사용자는 Active Directory 계정도 있는 경향이 있습니다. 이러한 사용자는 Active Directory 침해가 발생하여 AD 비밀번호가 드러날 수 있는 경우, Entra 계정을 완전히 분리할 수 있도록 AD와 Entra 계정에 각기 다른 비밀번호를 사용해야 합니다. 이러한 분리의 효과가 있으려면 별도의 비밀번호를 설정하는 것의 중요성에 대한 인식을 제고해야 합니다.

또한 보안 모범 사례에서는 권한 있는 역할에 별도의 계정을 설정하여 권한 있는 클라우드 전용 계정(다른 비밀번호 사용)을 일반적인 Entra 계정(하이브리드 계정일 수 있음)과 별도로 관리해야 한다고 권장합니다.

클라우드 전용 계정을 생성하고 계정 소유자에게 그 목적과 사용 방법을 교육하고 나면, 하이브리드 계정에서 이 위험 노출 지표가 식별한 모든 권한 있는 역할 할당을 새 클라우드 전용 계정으로 대체하십시오.

이름: AD와 동기화되고 권한이 있는 Entra 계정(하이브리드)

코드명: PRIVILEGED-AAD-ACCOUNT-SYNC-WITH-AD-HYBRID

심각도: High