M365 서비스에 액세스할 수 있는 권한 있는 Entra 계정

이메일 또는 인터넷 문서 읽기와 같은 일상적인 활동에 권한 있는 계정을 사용하면 해당 계정이 침해될 위험이 커집니다. 위협 행위자는 이메일로 보낸 피싱 문서를 통해서 또는 웹 브라우저의 드라이브 바이 다운로드 공격을 통해 환경으로 침투할 첫 액세스 권한을 확보할 때가 많습니다. 공격자가 이런 공격 방법을 이용해 관리자를 노리는 경우, Entra 인프라와 그에 속한 계정 및 리소스가 직접적으로 완전히 침해되는 심각한 결과를 초래할 수 있습니다.

이 위험 노출 지표는 Microsoft 365 애플리케이션과 서비스에 연결된 서비스 계획(예: 라이선스)이 일반 계정에만 필요한데 권한 있는 계정에 할당되었는지 검사합니다. 이 탐지 추론은 관리자에게 별도의 계정이 두 개(표준 계정 하나, 권한 있는 계정 하나) 있지 않고 계정이 한 개만 있는지 파악하는 것이 목표입니다. 이 탐지 방법을 이용하면 오탐이 생성될 가능성이 있습니다(예: 관리자에게 이미 표준 계정과 권한 있는 계정이 별개로 설정되어 있는데 두 계정에 모두 서비스 계획이 할당된 경우). 제공된 옵션을 통해 조사한 뒤 오탐이라는 사실이 확인되면 해당 발견 사항은 무시해도 됩니다. 다만, 그런 경우라고 하더라도 권한 있는 계정에서 Microsoft 365 애플리케이션과 서비스를 이용하면 해당 계정이 침해될 가능성이 커지기 때문에 권장하지 않습니다.

IoE가 인증하는 Microsoft 365 서비스는 다음과 같습니다.

• Exchange Online
• Microsoft 365 Apps
• 웹용 Office
• SharePoint Online
• Microsoft Teams
• Skype for Business Online

이 IoE는 비즈니스, 교육, 정부 기관 및 기타 버전의 Microsoft 365 서비스에 대한 다양한 서비스 계획을 고려합니다.

Entra ID에서 관리자 작업을 수행하는 사용자에게는 여러 가지 유형의 계정이 있어야 하며 일반적으로는 2개(일상적으로 사용할 표준 계정 및 관리 활동 전용인 별도의 권한 있는 계정)가 있어야 합니다. 위험이 있는 일상적인 인터넷 작업을 할 때나 신뢰할 수 없는 문서를 열 때는 권한이 없는 표준 계정을 사용해야 합니다. 꼭 필요한 필수 계획만 포함한 제한된 서비스 계획이 있는 별도의 권한 있는 계정은 관리 작업 위주로만 사용해야 합니다. 이 방식은 Microsoft에서 권장하는 대로 관리자용 계정을 분리하라는 Microsoft의 참고 자료를 따릅니다.

요약하자면, 다음과 같은 두 가지 수정 단계를 따릅니다.

1. 권한이 있는 사용자(예: 관리자)를 대상으로 별도의 관리자 계정을 만듭니다. 이것이 이 IoE의 주된 목표입니다. 권한을 일반적인 계정이 아니라 이러한 권한 있는 전용 계정에 할당합니다. 권한 있는 계정을 관리 작업에만 사용합니다. 이렇게 하는 것이 Microsoft에서 권장하고 국립 사이버 보안 기관 및 규정 준수 표준에서 필수로 규정하는 일반적인 사이버 보안 모범 사례입니다.
2. 계정을 분리한 뒤에, 제한된 서비스 계획을 권한 있는 계정에 할당했는지 확인합니다. 이러한 계정은 관리 작업만 수행해야 하므로 Microsoft 365 애플리케이션과 서비스에 액세스할 필요가 없으며, 이렇게 하면 해당 계정이 위험에 노출될 가능성을 완화하는 데도 도움이 됩니다. 이 단계를 거치면 권한 있는 계정이 이 IoE를 준수하도록 설정할 수 있습니다. 권한 있는 계정에 한하여, 관리 작업에 필요 없는 Microsoft 365 애플리케이션과 서비스에 대한 서비스 계획을 사용 중지합니다. Entra ID P1/P2와 같은 유용한 보안 라이선스는 유지하십시오. 조직의 라이선스가 무엇인지에 따라(예: Microsoft 365 E3/E5) 다른 라이선스(Entra ID P1/P2)는 그대로 유지하고 Exchange Online과 같은 일부 서비스 계획은 사용 중지합니다. Microsoft Entra ID에서 사용자 또는 그룹의 라이선스 할당 변경에 관한 Microsoft의 참고 자료를 참조하십시오.

표준 계정과 권한 있는 계정을 별도로 유지하면 다른 보안 관련 고려 사항이 발생하며, 이러한 문제에도 대처해야 합니다.

• 비밀번호 관리의 경우, 관리자에게 표준 계정과 권한 있는 계정에 서로 다른 비밀번호를 설정하도록 해야 합니다. 같은 비밀번호를 사용하면 표준 계정 자격 증명을 침해한 공격자가 권한 있는 계정으로 선회할 수 있기 때문에 계정을 분리해도 소용이 없습니다.
• 사용자가 같은 컴퓨터에서 두 계정에 액세스하지 않도록 해야 합니다. 권한 있는 작업용으로 예약된 전용 보안 장치를 제공하여 권한 있는 계정을 보호합니다. 이 개념을 가리켜 "권한 있는 액세스 워크스테이션"(PAW) 또는 "권한 있는 액세스 장치"라고 합니다. Microsoft의 권한 있는 액세스의 일부분으로 장치 보안 확보에 관한 설명서를 참조하십시오.

이름: M365 서비스에 액세스할 수 있는 권한 있는 Entra 계정

코드명: PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure