임시 액세스 패스 기능 사용으로 설정됨

LOW

설명

임시 액세스 패스(TAP)는 일시적인 인증 방법 역할을 하여 비밀번호 또는 MFA와 같은 표준 Microsoft Entra 인증에 대한 대안이 됩니다. TAP는 직원 온보딩, 비밀번호 분실 및 헬프데스크 재설정과 같은 상황에 대비하거나 패스워드리스와 같은 다른 인증 방법(예: Microsoft Authenticator, 비즈니스용 Windows Hello 또는 FIDO2 보안 키)을 구현하기 위한 부트스트랩으로 고안된 기능이며 시간 제한이 있는 암호 또는 일회용 암호를 사용합니다. 사용자는 (Azure 포털 또는 Microsoft Entra 관리자 센터를 통해) "인증 방법" 콘솔에서 설정하는 구성된 TAP 정책에 따라 이 암호를 TAP 수명 동안 활용할 수 있습니다. 이 정책은 모든 사용자에게 보편적으로 적용하거나 특정 그룹에 선택적으로 적용할 수 있습니다. 정책이 활성화되면 필수 권한을 보유한 권한이 있는 사용자가 "인증 방법" 콘솔에서 TAP를 생성할 수 있습니다. 주요 고려 사항은 다음과 같습니다.

  • TAP는 강력한 인증 방법으로 간주되므로 MFA를 우회​합니다.
  • TAP는 상승된 권한을 가진 악성 행위자가 악용하는 경우 보안 위험을 초래할 가능성이 있습니다. 이 경우 공격자는 비밀번호를 모르는 상태에서 비밀번호를 재설정하지 않고도 계정에 액세스할 수 있어​ 공격이 더욱 교묘해집니다. TAP는 사용자의 비밀번호를 대체하지 않는다​는 점을 유의해야 합니다. 따라서 백도어 TAP가 설정되고 있음에도 불구하고 공격 대상 사용자는 변함없이 평소 비밀번호 또는 기타 인증 방법을 사용해 로그인할 수 있습니다.

조직에서 TAP를 사용하는 경우, 신규 직원 또는 새로운 장치를 온보딩하는 용도로만 사용해야 합니다. 따라서 TAP를 통한 로그인은 드물게, 철저한 감독 하에 이루어져야 합니다.

이 정상 기능은 의도적으로 사용으로 설정할 수 있고 테넌트 내에서 현재 활성 상태입니다. 이런 경우 공격 표면 확장에 유의하면서 옵션에서 테넌트를 예외로 추가할 수 있습니다. 반면 이 기능을 사용하고 있지 않을 때에는 사용 중지하여 잠재적 공격 표면을 최소한으로 줄이는 것이 좋습니다.

솔루션

이 기능을 사용하면 Microsoft에서 권장하는 대로 패스워드리스 인증 방법을 부트스트랩할 수 있습니다. 조직에서 이 기능을 이런 용도로 사용하는 경우, 테넌트 ID를 이 위험 노출 지표의 제외 목록에 추가해야 합니다. 공격 표면을 더 줄이려면 기본 설정인 "모든 사용자"를 더 제한된 하위 집합으로 변경하여 임시 액세스 패스를 생성할 자격에 부합하는 사용자 또는 그룹의 범위를 좁히는 것이 좋습니다.

하지만 조직에서 현재 TAP를 사용하지 않는다면 다음 절차에 따라 기능을 사용 중지하는 것이 더 안전합니다.

  • "Microsoft Entra 관리자 센터"에 로그인합니다.
  • "보호" > "인증 방법" > "정책"으로 이동합니다.
  • 사용 가능한 인증 방법 목록에서 "임시 액세스 패스"를 선택합니다.
  • "사용" 토글을 "끄기"로 전환하여 기능을 사용 중지합니다.

지표 세부 정보

이름: 임시 액세스 패스 기능 사용으로 설정됨

코드명: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: