Office 365 전역 관리자 계정 보호

참고:  사용자 언어로 가능한 한 빨리 가장 최신의 도움말 콘텐츠를 제공하고자 합니다. 이 페이지는 자동화를 통해 번역되었으며 문법 오류나 부정확한 설명을 포함할 수 있습니다. 이 목적은 콘텐츠가 사용자에게 유용하다는 것입니다. 이 페이지 하단의 정보가 도움이 되었다면 알려주세요. 쉽게 참조할 수 있는 영어 문서 가 여기 있습니다.

요약: Office 365 구독 전역 관리자 계정 손상 기반 공격 으로부터 보호 합니다.

정보 수집, 피싱 공격 등 Office 365 구독의 보안 침해는 일반적으로 Office 365 전역 관리자 계정의 자격 증명 손상에 의해 수행됩니다. 클라우드의 보안은 사용자와 Microsoft 간의 파트너 관계입니다.

  • Microsoft 클라우드 서비스는 신뢰와 보안을 기반으로 합니다. Microsoft는 데이터와 응용 프로그램을 보호하는 데 유용한 보안 컨트롤 및 기능을 제공합니다.

  • 사용자는 데이터와 ID를 소유하며 데이터 및 ID의 보호, 온-프레미스 리소스의 보안, 사용자가 제어하는 클라우드 구성 요소의 보안은 사용자 책임입니다.

Microsoft 조직을 보호 하는 기능을 제공 하지만 사용 하는 경우에 적용 됩니다. 해당 사용 하지 않는 경우 공격에 될 수 있습니다. 전역 관리자 계정을 보호 하기 위해 Microsoft 자세한 지침을 하기 위해 다음과 같습니다.

  1. 전용 Office 365 전역 관리자 계정을 만들고 필요한 경우에만 사용합니다.

  2. 전용 Office 365 전역 관리자 계정에 대해 다단계 인증을 구성하고 가장 강력한 형태의 보조 인증을 사용합니다.

  3. 설정 및 Office 365 클라우드 App 보안 의심 스러운 전역 관리자 계정 활동에 대 한 모니터링을 구성 합니다.

참고: 이 문서는 전역 관리자 계정에 초점을 둔, 수도 있지만 고려해 야 추가 여부 데이터 eDiscovery 관리자나 보안 또는 규정 준수와 같은 사용자의 구독에 액세스할 수 있는 광범위 한 권한이 있는 계정 관리자 계정 같은 방법으로 보호 해야 합니다.

1 단계입니다. 전용된 Office 365 전역 관리자 계정을 만들고 필요한 경우에 사용

전역 관리자 권한이 필요한 사용자 계정에 역할을 지정 하는 등의 수가 비교적 적은 관리 작업을 있습니다. 따라서 전역 관리자 역할이 할당 된 일상적인 사용자 계정을 사용 하지 않고이 단계를 수행 합니다.

  1. 전역 관리자 역할이 할당 된 사용자 계정 설정을 확인 합니다. Microsoft Azure Active Directory 모듈에 대 한 Windows PowerShell 명령 프롬프트에이 명령을 사용 하 여이 수행할 수 있습니다.

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. 전역 관리자 역할이 할당된 사용자 계정으로 Office 365 구독에 로그인합니다.

  3. 최대 다섯 개까지 전용 전역 관리자가 사용자 계정 및 하나 이상 만듭니다. 사용 하 여 강력한 암호 적어도 12 문자 깁니다. 자세한 내용은 강력한 암호 만들기 를 참조 하세요. 안전한 위치에 새 계정에 대 한 암호를 저장 합니다.

  4. 새 전용 전역 관리자 사용자 계정에 각각 전역 관리자 역할을 할당합니다.

  5. Office 365에서 로그아웃합니다.

  6. 새 전용 전역 관리자 사용자 계정 중 하나로 로그인합니다.

  7. 1단계에서 전역 관리자 역할이 할당된 기존의 각 사용자 계정에 대해 다음을 실행합니다.

    • 전역 관리자 역할을 제거합니다.

    • 해당 사용자의 작업 역할 및 책임에 적합 한 계정에 관리자 역할을 지정 합니다. Office 365의 다양 한 관리자 역할에 대 한 자세한 내용은 Office 365에 대 한 관리자 역할을 참조 하십시오.

  8. Office 365에서 로그아웃합니다.

결과 다음과 같아야 합니다.

  • 전역 관리자 역할이 구독에만 사용자 계정을 전역 관리자 전용된 계정의 새 설정 됩니다. 다음 PowerShell 명령을 사용 하 여이 확인 합니다.

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • 구독을 관리하는 다른 모든 일상적인 사용자 계정에는 해당 업무와 관련된 관리자 역할이 할당되어 있습니다.

이 순간부터 전역 관리자 권한이 필요한 작업에 대해서만 전용 전역 관리자 계정으로 로그인합니다. 다른 모든 Office 365 관리는 사용자 계정에 다른 관리 역할을 할당해서 수행해야 합니다.

참고: 물론, 이렇게 하려면 일상적인 사용자 계정에서 로그아웃하고 전용 전역 관리자 계정으로 로그인하는 추가 단계가 필요합니다. 하지만 전역 관리자 작업에 대해서만 가끔 수행하면 됩니다. 전역 관리자 계정 위반 후에 Office 365 구독을 복구하려면 훨씬 더 많은 단계가 필요합니다.

2 단계입니다. 전용된 Office 365 전역 관리자 계정에 대 한 다단계 인증을 구성 하 고 보조 인증의 강력한 형태 사용

다단계 인증 (MFA) 전역 관리자 계정에 대 한 계정 이름 및 암호 외에도 추가 정보가 필요합니다. Office 365 이러한 인증 방법을 지원합니다.

  • 전화 통화

  • 임의로 생성된 암호

  • 스마트 카드(가상 또는 실제)

  • 생체 인식 장치

클라우드 (클라우드 id 모델)에 저장 된 사용자 계정을 사용 하는 소규모 기업을 인 경우 전화 또는 스마트 전화로 전송 하려면 텍스트 메시지 확인 코드를 사용 하 여 MFA를 구성 하려면 다음이 단계를 사용:

  1. MFA 사용.

  2. Office 365에 대해 2단계 인증을 설정하여 전화 통화 또는 문자 메시지를 확인 방법으로 사용하도록 각 전용 전역 관리자 계정을 구성합니다.

Office 365 하이브리드 id 모델을 사용 하는 대규모 조직의 경우 다른 확인 옵션 해야 합니다. 강력한 보조 인증 방법에 대 한 보안 인프라에 이미 있는 경우 다음이 단계를 사용 합니다.

  1. MFA 사용.

  2. Office 365에 대해 2단계 인증을 설정하여 각 전용 전역 관리자 계정에 대해 적절한 확인 방법을 구성합니다.

원하는 강력한 확인 방법에 대 한 보안 인프라 위치 및 Office 365 MFA 용 작동에 없는 경우 좋습니다 MFA와 전용된 전역 관리자 계정을 구성 하는 전화 또는 텍스트 메시지를 사용 하 여 확인 코드 중간 보안 조치로 전역 관리자 계정에 대 한 스마트 전화로 전송 합니다. MFA에서 제공 하는 추가 보호 없이 전용된 전역 관리자 계정을 두지 마십시오.

자세한 내용은 Office 365 배포에 대 한 다단계 인증에 대 한 계획을 참고 합니다.

MFA와 PowerShell을 사용하여 Office 365 서비스에 연결하려면 이 문서를 참조하세요.

3 단계입니다. 의심 스러운 전역 관리자 계정 활동에 대 한 모니터링

Office 365 클라우드 App 보안 구독에서 의심 스러운 동작의 알림이 표시 하는 정책을 만들 수 있습니다. 클라우드 앱 보안 Office 365 E5 제공 되지만 별도 서비스를 사용할 수도 있습니다. 예를 들어, Office 365 E5 없는 경우 전역 관리자, 보안 관리자 및 규정 준수 관리자 역할 할당 된 사용자 계정에 대 한 개별 클라우드 App 보안 라이선스를 구입할 수 있습니다.

Office 365 구독에 클라우드 App 보안 있는 경우 다음이 단계를 사용 합니다.

  1. 보안 관리자 또는 규정 준수 관리자 역할이 할당 된 계정으로 Office 365 포털에 로그인 합니다.

  2. Office 365 클라우드 App 보안을 설정합니다.

  3. 권한이 있는 관리 활동 비정상적인 패턴의 전자 메일 알림이 표시 되도록 전자 특이 탐지 정책 검토 합니다.

사용자 계정에 보안 관리자 역할을 추가 하려면 전역 관리자 전용된 계정과 MFA를 사용 하 여 Office 365 PowerShell에 연결 을 사용자 계정의 사용자 계정 이름에서 입력 한 다음 이러한 명령을 실행 합니다.

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

사용자 계정에 규정 준수 관리자 역할을 추가 하려면 사용자 계정의 사용자 계정 이름 입력 하 고 이러한 명령을 실행 합니다.

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

엔터프라이즈 조직에 대 한 추가 보호

전역 관리자 계정 및이 사용 하 여 수행 하는 구성 되어 있는지 확인 하려면 이러한 추가 메서드를 사용 하는 1-3 단계를 최대한 안전 됩니다.

액세스 권한을된 워크스테이션 (발)

권한이 높은 작업의 실행 최대한 안전한 지 확인 하려면 한 발을 사용 합니다. 한 발 전역 관리자 계정을 해야 하는 Office 365 구성 등 중요 한 구성 작업을 위한만 사용 되는 전용된 컴퓨터입니다. 이 컴퓨터 인터넷 검색 또는 전자 메일에 대 한 매일 사용 되지 않으므로, 더 나은 인터넷 공격 및 위협 으로부터 보호 됩니다.

한 발을 설정 하는 방법에 대 한 지침을 http://aka.ms/cyberpaw을 참조 하십시오.

Azure AD 권한이 부여 된 Id 관리 (PIM)

전역 관리자 역할 할당 영구적으로 전역 관리자 계정에 발생 하는 것 보다 Azure AD PIM 필요는 전역 관리자 역할의 주문형, 적시에 과제를 사용 하도록 설정 하려면 사용할 수 있습니다.

전역 관리자 계정이 영구 관리 하 고, 대신 자격이 있는 관리자 되 됩니다. 필요한 다른 사용자가 될 때까지 전역 관리자 역할 활성화 되지 않았습니다. 그런 다음 정해진 시간에 대 한 전역 관리자 역할 전역 관리자 계정에 추가 하려면 정품 인증 프로세스를 완료 합니다. 시간 만료 되 면 PIM 전역 관리자 계정에서 전역 관리자 역할을 제거 합니다.

PIM을 사용 하 여이 과정은 크게 전역 관리자 계정을 취약 공격 및 악의적인 사용자가 사용할 수 있는 시간 감소 합니다.

자세한 내용은 Azure AD 권한 구성 Id 관리를 참조 합니다.

참고: PIM은 Azure Active Directory Premium p 2 Enterprise 이동성 + 보안 (EMS) E5에 포함 된, 함께 사용할 수 또는 전역 관리자 계정에 대 한 개별 라이선스를 구입할 수 있습니다.

Office 365 로깅에 대 한 보안 정보 및 이벤트 관리 (SIEM) 소프트웨어

서버에서 실행 SIEM 소프트웨어 보안 경고를 표시 한 네트워크 하드웨어, 응용 프로그램에서 만든 이벤트의 실시간 분석을 수행 합니다. 분석 및 보고 기능에서 Office 365 보안 경고를 표시 하 고 이벤트를 포함 하려면 SIEM 서버를 허용 하려면 SIEM 시스템에서 이러한 통합 합니다.

다음 단계

Office 365에 대 한 보안 모범 사례를 참조 합니다.

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×