안녕하세요 여러분.

오늘의 소식을 한시 빨리 전하고 싶어서 얼마나 흥분이 되는지 모릅니다! 방금 전에 표준 기반 FIDO2 호환 장치를 사용하여 사용자 이름이나 암호 없이 Microsoft 계정에 안전하게 로그인하는 기능을 활성화했습니다! FIDO2는 모바일 환경과 데스크톱 환경에서 표준 기반 장치를 사용하여 간편하게 온라인 서비스의 인증을 받을 수 있도록 지원합니다. 이 기능은 현재 미국에서 이용할 수 있으며, 앞으로 몇 주에 걸쳐서 전 세계에 배포됩니다.

편리한 사용, 강력한 보안, 광범위한 업계 지원이 결합된 이 기능은 가정과 직장에서 실로 혁신적인 경험을 선사할 것입니다. 매월 8억 명이 넘는 사용자들이 Microsoft 계정을 사용하여 Outlook, Office, OneDrive, Bing, Skype, Xbox Live에서 일과 여가를 위해 새로운 것을 만들고, 사람들과 소통하고, 데이터를 공유하고 있습니다. 새롭게 활성화된 기능은 이들의 사용자 경험을 간소화하고 보안을 한층 강화할 것입니다.

오늘부터 FIDO2 장치 또는 Windows Hello를 사용하여 Microsoft Edge 브라우저에서 Microsoft 계정에 로그인할 수 있습니다.

아래의 짧은 동영상을 통해 자세히 알아보세요.

Microsoft는 암호를 없애고 사용자들이 위협으로부터 데이터와 계정을 보호할 수 있도록 지원하기 위해 끊임없이 노력해 왔습니다. Microsoft는 FIDO(Fast Identity Online) 얼라이언스와 W3C(World Wide Web Consortium)의 멤버로서 다양한 파트너들과 협력하여 차세대 인증을 위한 개방형 표준을 개발해 왔는데요. Microsoft가 WebAuthn 및 FIDO2 사양을 사용하여 암호 없는 인증을 지원하는 최초의 포춘 500 기업이 되었다는 자랑스러운 사실을 알려 드립니다. 뿐만 아니라 Microsoft Edge는 주요 브라우저 중에서 가장 다양한 인증자를 지원합니다.

아래에서 작동 방식과 시작하는 방법을 알아보세요.

시작

FIDO2 보안 키를 사용하여 Microsoft 계정에 로그인하려면 다음을 수행합니다.

1. Windows 10 2018년 10월로 업데이트합니다.
2. Microsoft Edge에서 Microsoft 계정 페이지로 이동하고 평소처럼 로그인합니다.
3. 보안> 추가 보안 옵션을 선택하면 Windows Hello 및 보안 키 아래에 보안 키를 설정하는 지침이 표시됩니다. (보안 키는 including Yubico, Feitian Technologies를 비롯해 FIDO2 표준을 지원하는 당사 파트너에게서 구입할 수 있습니다.*)
4. 다음번에 로그인할 때 추가 옵션 > 보안 키 사용을 클릭하거나 사용자 이름을 입력합니다. 이렇게 하면 보안 키를 사용하여 로그인하라는 메시지가 표시됩니다.

Windows Hello를 사용하여 Microsoft 계정으로 로그인하는 방법은 다음과 같습니다.

1. Windows 10 2018년 10월로 업데이트합니다.
2. Windows Hello를 설정해야 합니다. Windows Hello를 이미 설정했다면 다음 단계로 넘어갑니다.
3. 다음번에 Microsoft Edge에서 로그인할 때 추가 옵션 > Windows Hello 또는 보안 키 사용을 클릭하거나 사용자 이름을 입력합니다. 이렇게 하면 Windows Hello 또는 보안 키를 사용하여 로그인하라는 메시지가 표시됩니다.

도움이 더 필요하면 설정하는 방법이 안내된 자세한 도움말 문서를 살펴보세요.

*Microsoft는 FIDO2 사양의 선택적 기능 중 몇몇 기능이 보안에 반드시 필요하다고 판단하고 있습니다. 따라서 해당 기능이 구현된 키만 작동합니다. 자세한 내용은 Microsoft 호환 보안 키란?을 참조하세요.

작동 방식

Microsoft는 이 기능을 지원하기 위해 당사 서비스에 WebAuthn 및 FIDO2 CTAP2 사양을 구현했습니다.

FIDO2는 암호와 달리 공개/개인 키 암호화를 사용하여 사용자 자격 증명을 보호합니다. 사용자가 FIDO2 자격 증명을 만들고 등록하면 장치(PC 또는 FIDO2 장치)에서 해당 장치에 개인 키와 공개 키를 생성합니다. 개인 키는 장치에 안전하게 저장되고, 생체 인식이나 PIN과 같은 로컬 제스처를 사용하여 잠금이 해제된 경우에만 사용 가능합니다. 이때 생체 인식 또는 PIN 데이터는 장치를 벗어나지 않습니다. 개인 키가 장치에 저장되는 시점에 공개 키는 클라우드에 있는 Microsoft 계정 시스템으로 전송되어 사용자 계정에 등록됩니다.

이후 사용자가 로그인하면 Microsoft 계정 시스템에서 사용자의 PC 또는 FIDO2 장치에 nonce를 제공합니다. nonce를 받은 PC 또는 장치는 개인 키를 사용하여 nonce에 서명합니다. 서명된 nonce와 메타데이터가 다시 Microsoft 계정 시스템으로 전송되고, 여기서 공개 키를 사용하여 확인됩니다. 서명된 메타데이터(이 메타데이터는 WebAuthn 및 FIDO2 사양에 명시된 바를 따름)는 현재 사용자가 있는지 여부와 같은 정보를 제공하고 로컬 제스처를 통해 인증을 확인합니다. 이러한 과정 덕분에 Windows Hello 및 FIDO2 장치를 사용한 인증은 ‘피싱’이 가능하지 않으며 맬웨어에 의해 도난될 위험도 매우 낮습니다.

Windows Hello 및 FIDO2 장치는 이것을 어떻게 구현할까요? 사용 중인 Windows 10 장치의 기능에 따라 Secure Enclave 또는 소프트웨어 TPM(신뢰할 수 있는 플랫폼 모듈)이 내장되어 있습니다. Secure Enclave는 하드웨어 TPM이라고도 합니다. TPM에는 개인 키가 저장되며, 잠금을 해제하려면 사용자의 얼굴, 지문 또는 PIN이 필요합니다. 이와 마찬가지로, FIDO2 장치는 보안 키처럼 작은 외장 장치로, 개인 키가 저장되며 잠금을 해제하려면 생체 인식 또는 PIN이 필요한 자체 Secure Enclave가 내장되어 있습니다. 두 가지 옵션 모두 등록된 장치와 생체 인식 또는 PIN이 모두 있어야 성공적으로 로그인되는 2단계 인증을 사용합니다.

기술적인 구현 방식에 대해 자세히 설명하고 있는 Identity Standards 블로그 기사를 읽어 보세요.

향후 계획

암호 사용을 줄이고 나아가 암호를 없애기 위한 노력의 일환으로 많은 것들을 준비하고 있습니다. 지금은 Azure Active Directory에서 회사 및 학교 계정으로 로그인할 때와 동일하게 브라우저에서 보안 키를 사용하는 로그인 경험을 만들고 있습니다. 기업 고객은 이 경험을 내년 초에 미리 보기를 통해 만나보실 수 있을 것입니다. 이때 직원들에게 Windows 10 및 클라우드에 로그인하기 위해 각자 계정의 자체 보안 키를 설정하도록 허용할 수 있습니다.

앞으로 WebAuthn 및 FIDO2 표준을 지원하는 브라우저와 플랫폼이 점점 더 늘어나면 여러분이 지금 Microsoft Edge와 Windows에서 사용하는 암호 없는 경험을 모든 곳에서 사용할 수 있게 되지 않을까요?

내년 초에 자세한 소식과 함께 돌아올 때까지 기다려 주세요!

감사합니다.
Alex Simons (@Twitter: @Alex_A_Simons)
프로그램 관리 부문 수석 부사장
Microsoft Identity Division

The post 보안 키 또는 Windows Hello를 사용하여 Microsoft 계정의 암호 없는 로그인 안전하게 보호하기 appeared first on Microsoft 365 Blog.

Microsoft Identity Division의 모든 직원은 매일 회사에 올 때 Microsoft 고객이 직원, 파트너 및 고객의 생산성을 높이고 엔터프라이즈 리소스 액세스를 안전하게 관리하기가 더 용이하도록 지원하는 데 마음을 모읍니다.

그래서 저는 Microsoft가 최근 2018 Gartner Peer Insights Customers’ Choice for Access Management, Worldwide로 선정되었음을 알게 되었을 때 아주 기뻤습니다.

Gartner는 발표에서 “Gartner Peer Insights Customers’ Choice는 입증된 최종 사용자 전문가가 리뷰의 수와 전반적인 사용자 평점을 모두 고려하여 이 시장의 공급업체를 인정하는 것”이라고 설명했습니다. Gartner는 공정한 평가를 위해 높은 고객 만족도를 고려하여 공급업체를 선정하는 엄격한 기준을 유지하고 있습니다.

여기서 인정을 받는 것은 아주 고무적인 일입니다. Microsoft가 고객에게 긍정적인 영향을 미치고 있으며 고객이 올해 Microsoft가 Azure AD(Azure Active Directory)에 추가한 혁신의 가치를 인정한다는 것을 보여 주는 강력한 검증입니다.

이러한 인정을 받으려면 공급업체는 50개 이상의 게시된 리뷰와 전체적으로 평균 4.2 이상의 별 등급을 받아야 합니다.

Microsoft 고객이 쓴 리뷰에서 인용문을 몇 개 소개합니다.

“Azure AD는 대부분의 ID 및 액세스 문제를 해결하는 단일 솔루션으로 빠르게 자리 잡고 있습니다.”
– 운송 업계의 엔터프라이즈 보안 설계자. 전체 리뷰 읽기

“Azure Active Directory는 비약적으로 발전하여 높은 가용성으로 어디에서나 제공되는 디렉터리 서비스가 되고 있습니다.”
– 서비스 업계의 CTO(최고 기술 책임자). 전체 리뷰 읽기

“[Microsoft]는 여러 에이전시의 요구를 충족하고 레거시 응용 프로그램과 새로 개발한 응용 프로그램의 통합 및 SSO를 계속해서 추진할 로드맵을 제시하는 ID 솔루션을 구현하는 데 있어 훌륭한 파트너였습니다. 또 SaaS 응용 프로그램 인증 및 액세스의 표준도 설정할 수 있었습니다.”
– 정부 업계의 기술 이사. 전체 리뷰 읽기

더 많은 Microsoft 리뷰를 읽어 보세요.

현재 89개 국가의 9만 개 이상의 조직이 Azure AD Premium을 사용하며, Microsoft는 매일 80억 건이 넘는 인증을 관리하고 있습니다. Microsoft 엔지니어링 팀은 더 높은 안정성과 확장 가능성 및 더 만족스러운 서비스를 제공하기 위해 밤낮으로 노력하고 있으며, 따라서 Customers’ Choice로 선정된 것은 아주 고무적인 일입니다. 많은 고객이 Microsoft의 ID 서비스를 통해 이루어 내는 훌륭한 결과를 보면서 아주 기뻤습니다.

저는 Azure AD를 위해 일하는 모두를 대신하여 이런 상을 주신 데 대해 고객께 고마운 마음을 표현하고 싶습니다! Customers’ Choice로 선정되는 데 기여한 경험과 신뢰를 기반으로 더욱 발전하겠습니다!

Gartner Peer Insights Customers’ Choice 로고는 Gartner, Inc. 및/또는 계열사의 상표 및 서비스 표시이며 허가를 받고 이 문서에 사용되었습니다. All rights reserved. Gartner Peer Insights Customers’ Choice 수상자는 여기서 추가로 설명한 것처럼 개별 최종 사용자 고객의 고유한 경험을 기반으로 한 주관적인 의견, Gartner Peer Insights에 게시된 리뷰의 수, 시장 내 특정 공급업체의 전체 평점으로 결정되며, 어떤 식으로도 Gartner 또는 계열사의 견해를 나타내려는 의도는 없습니다.

감사합니다.

Alex Simons(@Twitter: @Alex_A_Simons)
프로그램 관리 부문 수석 부사장
Microsoft Identity Division

The post Microsoft가 2018 Gartner Peer Insights Customers’ Choice for Access Management로 선정됨 appeared first on Microsoft 365 Blog.

오늘은 좋은 소식을 여러분과 함께 나누고 싶습니다. Microsoft가 비전의 완성도와 액세스 관리 시장에서의 실행 능력을 바탕으로 2018년 Gartner Magic Quadrant 전 세계 액세스 관리 부문에서 2년 연속 Leaders Quadrant에 선정되었습니다. 여기에서 무료로 제공되는 보고서 복사본을 통해 이유를 확인해 볼 수 있습니다.

Gartner에 따르면 Leaders에 선정된 업체는 기술이나 방법론, 전달 수단에 관한 예상 요구 사항에 대해 확실한 실행의 증거를 보여주었습니다. 관련된 제품 또는 인접한 제품 모음에서 액세스 관리가 특정 역할을 수행하는 방식에 관한 증거도 보여주었습니다.

Leaders Quadrant에서 비전의 완성도가 가장 높은 리더

Microsoft는 2년 연속으로 Leaders Quadrant에서 비전의 완성도가 가장 높은 리더로 선정되었습니다. 또한 Microsoft의 실행 능력 향상은 현재 상태의 기업을 지원하면서 향후 ID 요구에 기업이 대비할 수 있도록 전략을 실행하는 것이 매우 중요함을 보여주는 것이라고 생각합니다.

Microsoft에서는 세계 최고 수준의 ID 및 액세스 관리 솔루션에 요구되는 중요한 기능인 ID에 대한 조건부 액세스 정책과 위협 방지를 위해 노력하고 있습니다. Microsoft는 Windows 10, Office 365, EMS로 구성된, 다양한 기능을 갖춘 에코시스템의 일부로, 여러 제품의 보안 정책을 통합하여 전체 사용자 환경에 대한 가시성과 제어 기능을 제공하기 위해 노력해왔습니다. 또한, 올해에는 고객의 인사이트와 피드백을 받아 환경을 개선하고 손쉽게 사용자의 모든 ID를 한 곳에 모을 수 있도록 했습니다. Microsoft는 여러분의 직원, 파트너, 고객을 위한 혁신적이고 포괄적인 ID 및 액세스 관리 솔루션을 제공하기 위해 최선을 다하고 있습니다.

고객 및 파트너의 조언과 지원이 없었다면 Microsoft가 이 분야의 리더 자리를 지키지 못했을 것입니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

중요:

위 그림은 Gartner, Inc.에서 발표한 리서치 문서의 일부분이므로 전체 문서 맥락에서 평가해야 합니다. Gartner 문서는 요청 시 Microsoft에서 제공해드립니다.

Gartner는 자사에서 발표하는 연구 결과에서 언급된 업체, 제품 또는 서비스를 보증하지 않으며, 기술 사용자들이 평점이 가장 높거나 그 밖의 평가를 받은 업체만을 선정하도록 조언하지 않습니다. Gartner에서 발행하는 연구 결과는 Gartner 연구 조직의 의견으로 구성되며, 사실에 대한 진술로 해석될 수 없습니다. Gartner는 본 연구 결과와 관련하여 상품성, 특정 목적에의 적합성에 대한 보증을 비롯해 일체의 명시적 또는 묵시적 보증을 부인합니다.

The post 비전 및 실행: Gartner MQ 액세스 관리 부문 리더로 또다시 선정된 Microsoft appeared first on Microsoft 365 Blog.

암호를 사용하는 한, 우리는 암호를 추측해 본 적이 있습니다. 이 블로그에서는 최근 들어 훨씬 더 자주 발생하는 일반적인 공격과 이를 방어하기 위한 몇 가지 모범 사례에 대해 이야기하겠습니다. 이 공격을 흔히 암호 스프레이라고 합니다.

암호 스프레이 공격에서 공격자는 다양한 계정 및 서비스에서 가장 흔히 사용되는 암호를 시도하여 자신이 찾은 암호로 보호되는 자산에 액세스합니다. 일반적으로 이러한 자산에는 다양한 조직 ID 공급자가 포함됩니다. 예를 들어 공격자는 일반적으로 사용 가능한 도구 키트(예: Mailsniper)를 사용하여 일부 조직의 모든 사용자를 열거한 후 이 모든 계정에 “P@$$w0rd” 및 “Password1”을 시도합니다. 다음과 같은 공격을 예로 들겠습니다.

이 공격 패턴은 대부분의 검색 기술을 회피합니다. 왜냐하면 개별 사용자나 회사의 시점에서 볼 때 공격은 단순히 단일 로그인 실패처럼 보이기 때문입니다.

이것은 공격자에게 숫자 게임입니다. 공격자는 일부 아주 흔한 암호가 실제로 사용되고 있음을 알고 있습니다. 이러한 가장 흔한 암호가 차지하는 비율은 계정의 0.5~1.0%뿐이지만, 공격자가 수천 개의 계정을 공격하면 그중 몇 번은 성공하며 이 정도로 충분히 효율적입니다.

공격한 계정을 사용하여 전자 메일에서 데이터를 가져오거나, 연락처 정보를 수집하거나, 피싱 링크를 전송하거나, 암호 스프레이 대상 그룹을 확장합니다. 공격자는 이러한 최초 대상이 누구인지에 대해서는 별로 신경을 쓰지 않습니다. 공격에 일부 성공하여 이를 활용할 수 있으면 됩니다.

좋은 소식은 Microsoft가 이런 공격을 무력화하는 다양한 도구를 이미 구현하여 제공하고 있을 뿐 아니라 앞으로도 더 많은 기능을 제공한다는 점입니다. 블로그를 계속 읽어, 암호 스프레이 공격을 중지하기 위해 현재 및 앞으로 몇 개월 내에 할 수 있는 일을 확인하세요.

암호 스프레이 공격을 중단하는 손쉬운 4단계

1단계: 클라우드 인증 사용

클라우드에서 매일 수십억 건에 달하는 Microsoft 시스템 로그인이 확인됩니다. Microsoft는 보안 검색 알고리즘을 통해 공격이 발생할 때 이를 검색하고 차단할 수 있습니다. 이는 클라우드에서 구동하는 실시간 검색 및 보호 시스템이므로 클라우드에서 Azure AD 인증(통과 인증 포함)을 수행할 때만 사용 가능합니다.

스마트 잠금

Microsoft는 클라우드에서 스마트 잠금을 사용하여 유효 사용자처럼 보이는 로그인 시도와 공격자일 수도 있는 로그인 시도를 구별합니다. 공격자가 진입하지 못하게 잠그고 유효 사용자가 계속해서 계정을 사용할 수 있게 허용할 수 있습니다. 이렇게 하면 사용자에 대한 서비스 거부 공격을 방지하고 열성적인 암호 스프레이 공격을 중지합니다. 이 기능은 라이선스 수준 로그인이든 모든 Microsoft 계정 로그인이든 상관없이 모든 Azure AD 로그인에 적용됩니다.

ADFS(Active Directory Federation Services)를 사용 중인 테넌트는 2018년 3월부터 Windows Server 2016의 ADFS에서 스마트 잠금을 기본적으로 사용할 수 있습니다. Windows 업데이트를 통해 제공되는 이 기능을 받아 보세요.

IP 잠금

IP 잠금은 수십억 건의 로그인을 분석함으로써 각 IP 주소에서 전송되어 Microsoft의 시스템에 도달하는 트래픽의 품질을 평가하는 방식으로 작동합니다. 이 분석에서 IP 잠금은 악의적으로 활동하는 IP 주소를 찾아 이러한 로그인을 실시간으로 차단합니다.

공격 시뮬레이션

현재 공개 미리 보기로 사용 가능한 공격 시뮬레이터는 Office 365 위협 인텔리전스의 일부이며, 고객은 이 시뮬레이터를 사용하여 자체 최종 사용자에게 시뮬레이션 공격을 개시하여 공격 발생 시 사용자의 행동 방식을 확인한 후 정책을 업데이트하고 암호 스프레이 공격 같은 위협으로부터 조직을 보호할 적절한 보안 도구를 마련할 수 있습니다.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 클라우드 인증을 사용 중인 경우는 보호됩니다.
2. ADFS 또는 다른 하이브리드 시나리오를 사용 중인 경우는 2018년 3월 ADFS 업그레이드를 통해 스마트 잠금을 구합니다.
3. 공격 시뮬레이터를 사용하여 보안 태세를 사전에 평가하고 조정합니다.

2단계: 다단계 인증 사용

암호는 계정에 액세스하는 열쇠지만, 성공적인 암호 스프레이 공격에서 공격자는 올바른 암호를 추측했습니다. 이런 공격을 막으려면 계정 소유자와 공격자를 구별할 수 있도록 암호 이상의 무언가를 사용해야 합니다. 이를 위한 3가지 방법은 다음과 같습니다.

위험 기반 다단계 인증

Azure AD ID 보호는 위에서 말한 로그인 데이터를 사용하고 고급 기계 학습 및 알고리즘 검색을 추가하여 시스템에 진입하는 모든 로그인에 위험 점수를 매깁니다. 이를 통해 엔터프라이즈 고객은 사용자나 세션에 위험이 검색된 경우에만 사용자에게 두 번째 단계를 사용해 인증하도록 만드는 정책을 ID 보호에서 작성할 수 있습니다. 이런 방식은 사용자에게 주는 부담을 줄이고 공격자의 진입 경로를 차단합니다. 여기에서 Azure AD ID 보호에 대해 자세히 알아보세요.

상시 다단계 인증

보안을 더욱 강화하기 위해 Azure MFA를 사용하여 클라우드 인증과 ADFS에서 사용자에게 항상 다단계 인증을 요구할 수 있습니다. 이렇게 하면 최종 사용자에게 자체 디바이스를 항상 가지고 있도록 요구하고 다단계 인증을 더 자주 수행하도록 요구하는 동시에 엔터프라이즈에 최대한의 보안을 제공합니다. 이를 조직의 모든 관리자에게 사용하도록 해야 합니다. 여기에서 Azure Multi-Factor Authentication에 대해 자세히 알아보고 ADFS용으로 Azure MFA를 구성하는 방법을 확인하세요.

Azure MFA를 기본 인증으로

ADFS 2016에서는 암호 없는 인증을 위한 기본 인증으로 Azure MFA를 사용할 수 있습니다. 이는 암호 스프레이 공격 및 암호 도난 공격으로부터 보호할 수 있는 훌륭한 도구입니다. 암호가 없으면 추측할 수도 없으니까요. 다양한 폼 팩터를 가진 모든 유형의 디바이스에 아주 효과가 있는 방법입니다. 뿐만 아니라, Azure MFA에서 OTP의 유효성 검증을 거친 후에만 암호를 두 번째 단계로 사용할 수도 있습니다. 암호를 두 번째 단계로 사용하는 방법에 대해서는 여기에서 자세히 알아보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 조직의 모든 관리자에게, 특히 구독 소유자 및 테넌트 관리자에게 상시 다단계 인증을 설정하게 하는 것이 좋습니다. 지금 바로 이렇게 하실 것을 강력히 권합니다.
2. 이외의 다른 사용자를 위한 최고의 환경을 위해 위험 기반 다단계 인증을 권장합니다. 이 인증은 Azure AD Premium P2 라이선스에 포함되어 있습니다.
3. 또는 클라우드 인증 및 ADFS에 Azure MFA를 사용합니다.
4. ADFS를 Windows Server 2016의 ADFS로 업그레이드하여 특히 모든 엑스트라넷 액세스에 대해 Azure MFA를 기본 인증으로 사용합니다.

3단계: 모두를 위한 더 좋은 암호

위에서 설명한 모든 사항에도 불구하고, 암호 스프레이를 방어하는 핵심 구성 요소는 모든 사용자가 추측하기 어려운 암호를 사용하는 것입니다. 많은 경우, 사용자는 추측이 어려운 암호를 만드는 방법을 잘 모릅니다. Microsoft는 다음과 같은 도구를 통해 이를 지원합니다.

금지된 암호

Azure AD에서 모든 암호 변경 및 재설정은 금지된 암호 검사기의 확인을 거칩니다. 새 암호가 제출되면 암호에 절대 사용해서는 안 되는(그리고 l33t-sp3@k 철자법이 효과가 없는) 단어의 목록과 대조하여 유사 항목 일치 검사가 진행됩니다. 유사 항목이 발견되면 새 암호가 거부되고, 사용자는 추측하기 더 어려운 암호를 선택하라는 요구를 받습니다. Microsoft는 가장 흔히 공격을 받는 암호의 목록을 작성하고 자주 업데이트합니다.

사용자 지정 금지된 암호

금지된 암호를 더 효과적으로 만들기 위해 Microsoft는 테넌트에서 금지된 암호 목록을 사용자 지정할 수 있게 만들 예정입니다. 관리자는 잘 알려진 직원이나 창립자, 제품, 위치, 지역 아이콘 등 조직에서 흔히 사용되는 단어를 선택하여 이 단어를 사용자 암호에 사용하는 것을 방지할 수 있습니다. 이 목록은 전역 목록에 더하여 적용되므로, 이 목록과 전역 목록 중에서 선택할 필요가 없습니다. 이 기능은 현재 제한된 미리 보기 상태이며 올해 배포할 예정입니다.

온-프레미스 변경에 금지된 암호

이번 봄에 Microsoft는 엔터프라이즈 관리자가 하이브리드 Azure AD-Active Directory 환경에서 암호를 금지할 수 있도록 지원하는 도구를 출시합니다. 금지된 암호 목록이 클라우드에서 온-프레미스 환경으로 동기화되고 에이전트를 사용해 모든 도메인 컨트롤러에 적용됩니다. 그러면 사용자가 클라우드나 온-프레미스 등 어느 위치에서든 암호를 변경할 때 관리자는 추측하기 더 어려운 새 암호인지 손쉽게 확인할 수 있습니다. 이 기능은 2018년 2월에 제한된 미리 보기로 시작되었으며 올해 GA로 전환될 예정입니다.

암호에 대한 사고 방식 변화

좋은 암호를 만드는 조건에 대해 흔히 가지고 있는 생각 중 상당 부분이 잘못되었습니다. 일반적으로 수학적으로 효과가 있는 무언가가 실제로 예측 가능한 사용자 행동으로 이어집니다. 예를 들어 특정 문자 형식과 정기적인 암호 변경을 모두 요구하면 특정 암호 패턴이 생깁니다. 자세한 내용은 Microsoft 암호 지침 백서를 읽어 보세요. PTA 또는 ADFS와 함께 Active Directory를 사용 중인 경우 암호 정책을 업데이트하세요. 클라우드에서 관리되는 계정을 사용 중인 경우 만료하지 않는 암호를 설정하는 것도 고려해 보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. Microsoft 금지된 암호 도구가 출시되면 이 도구를 온-프레미스에 설치하여 사용자가 더 나은 암호를 생성하도록 지원합니다.
2. 암호 정책을 검토하고 사용자가 계절 패턴을 사용하여 암호를 만들지 않도록 만료 없는 암호를 설정할 것을 고려합니다.

4단계: ADFS 및 Active Directory의 더 많은 멋진 기능

ADFS 및 Active Directory에서 하이브리드 인증을 사용 중인 경우 암호 스프레이 공격에 대항하여 환경을 보호하기 위해 취할 수 있는 더 많은 조치가 있습니다.

첫 단계로, ADFS 2.0 또는 Windows Server 2012를 실행 중인 조직은 최대한 빨리 Windows Server 2016의 ADFS로 이전할 계획을 세웁니다. 최신 버전은 더 빨리 업데이트되어 엑스트라넷 잠금과 같은 풍부한 기능을 포함하게 됩니다. Windows Server 2012R2에서 2016으로 업그레이드하기가 아주 쉬워졌다는 점을 기억하세요.

엑스트라넷에서 레거시 인증 차단

레거시 인증 프로토콜은 MFA를 적용할 수 없으므로, 가장 좋은 접근 방식은 엑스트라넷에서 레거시 인증을 차단하는 것입니다. 그러면 암호 스프레이 공격자가 MFA 없는 이 프로토콜의 특징을 악용할 수 없게 됩니다.

ADFS 웹 응용 프로그램 프록시 엑스트라넷 잠금 사용

ADFS 웹 응용 프로그램 프록시에 엑스트라넷 잠금이 없는 경우 최대한 빨리 사용 설정하여 잠재적인 무차별 암호 대입 공격(brute force attack)에서 사용자를 보호해야 합니다.

ADFS용 Azure AD Connect Health 배포

Azure AD Connect Health는 잘못된 사용자 이름/암호 요청을 발견하기 위해 ADFS 로그에 기록된 IP 주소를 캡처하고, 다양한 시나리오에 대한 추가 보고를 제공하며, 기술 지원 사례를 여는 엔지니어를 지원하는 더 많은 인사이트를 제공합니다.

배포하려면 최신 버전의 ADFS용 Azure AD Connect Health 에이전트를 모든 ADFS 서버(2.6.491.0)에 다운로드합니다. ADFS 서버는 Windows Server 2012 R2(KB 3134222 설치 포함) 또는 Windows Server 2016을 실행해야 합니다.

암호에 기반하지 않은 액세스 방법 사용

암호가 없다면 암호를 추측할 수 없습니다. 암호에 기반하지 않은 인증 방법은 ADFS 및 웹 응용 프로그램 프록시에 사용할 수 있습니다.

1. 인증서 기반 인증은 사용자 이름/암호 끝점이 방화벽에서 완전히 차단되도록 합니다. ADFS의 인증서 기반 인증에 대해 자세히 알아보세요.
2. Azure MFA는 위에서 언급한 것처럼 클라우드 인증과 ADFS 2012 R2 및 2016에서 두 번째 단계로 사용할 수 있습니다. 하지만 ADFS 2016에서 기본 단계로도 사용하여 암호 스프레이의 가능성을 완전히 중단할 수 있습니다. ADFS에서 Azure MFA를 구성하는 방법을 여기에서 알아보세요.
3. Windows 10에서 사용할 수 있으며 Windows Server 2016의 ADFS에서 지원되는 비즈니스용 Windows Hello는 사용자와 디바이스에 모두 연결되어 있는 강력한 암호화 키를 기반으로 완전히 암호 없는 액세스(예: 엑스트라넷에서 액세스)를 가능하게 합니다. 이 기능은 Azure AD에 가입되었거나 Hybrid Azure AD에 가입된 회사 관리 디바이스 및 개인 디바이스에 사용할 수 있으며 설정 앱에서 “회사 또는 학교 계정 추가”를 통해 사용 설정할 수 있습니다. 비즈니스용 Windows Hello에 대해 자세히 알아보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 더 빠른 업데이트를 위해 ADFS 2016으로 업그레이드합니다.
2. 엑스트라넷에서 레거시 인증을 차단합니다.
3. 모든 ADFS 서버에서 ADFS용 Azure AD Connect Health 에이전트를 배포합니다.
4. Azure MFA, 인증서, 비즈니스용 Windows Hello와 같은 암호 없는 기본 인증 방법을 사용할 것을 고려합니다.

추가 사항: Microsoft 계정 보호

Microsoft 계정 사용자인 경우:

• 이미 보호되고 있으므로 안심하세요! Microsoft 계정에는 또한 스마트 잠금, IP 잠금, 위험 기반 2단계 인증, 금지된 암호 등이 포함되어 있습니다.
• 하지만 2분 정도 시간을 내서 Microsoft 계정 보안 페이지로 이동하여 “보안 정보 업데이트”를 선택한 후 위험 시반 2단계 인증에 사용되는 보안 정보를 검토하세요.
• 여기로 이동하여 상시 2단계 인증을 켜서 가능한 최고의 보안을 계정에 제공할 수도 있습니다.

최고의 방어는 이 블로그의 권장 사항을 준수하는 것

암호 스프레이는 인터넷에서 암호를 사용하는 모든 서비스에게 심각한 위협입니다. 하지만 이 블로그에 나온 조치를 취하면 이 공격 벡터에 대항하여 최대한으로 보호받을 수 있습니다. 그리고 많은 종류의 공격이 비슷한 특성을 공유하고 있으므로, 이 조치는 좋은 보호 제안 사항입니다. 고객의 보안은 항상 Microsoft의 최고의 우선 순위이며, Microsoft는 암호 스프레이 및 다른 모든 유형의 공격을 막는 새로운 고급 보호를 개발하기 위해 끊임없이 노력하고 있습니다. 위에서 제안한 조치를 지금 수행하고 인터넷의 공격자로부터 방어할 수 있는 새 도구를 자주 확인하세요.

이 정보가 유용하기를 바랍니다. 늘 그렇듯이, 여러분의 피드백이나 제안을 기다리고 있습니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

The post Azure AD 및 ADFS 모범 사례: 암호 스프레이 공격에 대항한 방어 appeared first on Microsoft 365 Blog.

오늘의 게시물이 제가 느낀 것만큼 흥미로운 글이 되기를 바랍니다. 약간 생각해 가며 읽으면 좋은 이번 게시물은 디지털 ID의 미래에 대한 흥미로운 비전을 소개합니다.

지난 12개월에 걸쳐 Microsoft는 개인 정보 보호, 보안, 제어를 개선할 수 있도록 처음부터 설계한 ID인 새로운 유형의 디지털 ID를 만들기 위해 블록체인(및 다른 분산 원장 기술)을 사용할 일련의 아이디어를 배양하는 데 투자했습니다. 이 과정에서 형성한 새로운 파트너십과 습득하게 된 내용에 대해 상당히 기대하고 있습니다. 오늘은 Microsoft의 생각과 방향을 공유하는 기회를 가지고 싶습니다. 이 블로그는 시리즈의 일부로서 ID2020 이니셔티브 참여를 발표한 블로그 게시물(Peggy Johnson)의 후속입니다. Peggy의 게시물을 아직 읽지 않았다면 먼저 읽어 보시는 것이 좋습니다.

제 팀에서 이러한 아이디어 배양을 이끄는 PM인 Ankur Patel에게 분산형 디지털 ID에 대한 논의를 열어 줄 것을 요청했습니다. Ankur의 게시물에서는 알게 된 일부 핵심 사항 및 이러한 사항에 기반하여 Microsoft가 앞으로 이 분야 투자를 촉진하기 위해 사용 중인 몇 가지 원칙을 주로 공유하고 있습니다.

늘 그렇듯이, 여러분의 피드백과 제안을 기다리고 있습니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

———-

안녕하세요. 저는 Microsoft Identity Division에서 일하는 Ankur Patel입니다. 블록체인/분산 원장 기반의 분산형 ID를 배양하기 위한 Microsoft의 노력을 바탕으로 알게 된 사항과 향후 방향을 공유할 기회를 가지게 되어 영광입니다.

현재의 상황

많은 사람들이 매일 경험하는 대로, 세계는 지금 하나의 통합된 최신 생활 방식 속에서 디지털과 물리적 현실의 구분이 흐려지는 글로벌 디지털 혁신을 겪고 있습니다. 새로운 이 세계는 디지털 ID를 위한 새 모델이 필요합니다. 즉, 물리적 세계와 디지털 세계에서 개인 정보 보호 및 보안을 향상하는 모델입니다.

Microsoft의 클라우드 ID 시스템은 이미 수천에 달하는 개발자와 조직 및 수십억의 사용자가 일하고 즐기고 더 많은 일을 완수할 수 있도록 지원하고 있습니다. 하지만 모두의 역량을 강화하기 위해 Microsoft가 할 수 있는 일이 훨씬 더 많이 남아 있습니다. Microsoft는 신뢰할 수 있는 ID를 보유하지 않고 현재 일상을 살아 가는 수십억 명의 사람들이 모두 공유는 자녀 교육, 삶의 질 향상, 비즈니스 시작 등과 같은 꿈을 최종적으로 실현할 수 있는 세계를 열망하고 있습니다.

이 비전을 성취하려면 개인이 디지털 ID의 모든 요소를 소유하고 제어하는 것이 아주 중요하다고 생각합니다. 수많은 앱 및 서비스와 관련하여 포괄적 합의를 수락하고 ID 데이터를 다수의 공급자에 분산해 둬서는 안 됩니다. 개인은 ID 데이터를 저장하고 이 데이터에 대한 액세스를 쉽게 제어할 수 있는 암호화된 안전한 디지털 허브가 필요합니다.

우리 각자는 디지털 ID의 모든 요소를 비공개로 안전하게 저장하는 디지털 ID를 소유해야 합니다.  이 자체 소유 ID는 사용하기 쉬워야 하며 ID 데이터 액세스 및 사용 방법을 완전히 제어할 수 있어야 합니다.

이런 종류의 독립 소유 디지털 ID를 사용할 수 있게 하는 것은 어떤 회사나 조직보다도 거대한 일이라는 것을 Microsoft는 잘 알고 있습니다. 따라서 차세대 디지털 ID 기반 환경을 공개하기 위해 고객, 파트너 및 커뮤니티와의 면밀한 협력하에 노력하고 있으며 이 영역에서 크게 기여하고 있는 많은 업계 사람들과 파트너십을 통해 일할 수 있어서 기쁘게 생각합니다.

알게 된 내용

이런 목적을 위해 지금 Microsoft는 분산형 ID 배양에서 알게 된 내용을 바탕으로 최고의 의견을 공유하려고 합니다. (이러한 ID 생성은 모든 사람이 디지털 ID를 소유 및 제어하도록 촉진하는 동시에 더 풍부한 환경을 지원하고, 신뢰를 향상하고, 마찰을 줄이는 것을 겨냥한 노력입니다.)

1. ID 소유 및 제어. 오늘날 사용자는 수많은 앱 및 서비스에서 자신의 제어를 뛰어넘는 수집, 사용, 보존 등이 처리되도록 포괄적 합의를 수락합니다. 데이터 침해 및 ID 도용이 더욱 정교해지고 그 빈도가 높아지고 있어, 사용자는 ID 소유권을 가지는 방법이 필요합니다. 분산형 저장소 시스템, 합의 프로토콜, 블록체인 및 새로 떠오르는 다양한 표준을 검토한 결과 Microsoft는 블록체인 기술 및 프로토콜이 DID(분산형 ID)를 지원하는 데 적합하다고 생각합니다.
2. 설계부터 고려하여 처음부터 구축한 개인 정보 보호.
   오늘날 앱과 서비스 및 조직은 ID에 바인딩된 데이터의 제어에 의존하는 편리하고 예측 가능한 맞춤형 환경을 제공합니다. 사용자 개인 정보 및 제어를 존중하는 동시에 사용자의 데이터와 상호 작용할 수 있는 암호화된 보안 디지털 허브(ID 허브)가 필요합니다.
3. 신뢰는 개인이 획득하고 커뮤니티가 구축하는 것.
   기존의 ID 시스템은 주로 인증 및 액세스 관리에 주력합니다. 자체 소유 ID 시스템은 신뢰성뿐만 아니라 커뮤니티가 신뢰를 구축할 수 있는 방법에도 집중합니다. 분산형 시스템에서 신뢰는 ID의 패싯을 증명하는 데 도움을 주는 입증(다른 엔터티가 지지하는 주장)에 기반합니다.
4. 사용자를 중심으로 구축한 앱 및 서비스.
   현재 가장 많이 사용되는 앱과 서비스는 사용자의 개인 식별 정보(PII)에 액세스할 권한을 획득하여 사용자에 맞게 개인 설정된 환경을 제공하는 유형입니다. DID 및 ID 허브는 이러한 정보를 사용자를 대신해 제어하는 대신 직접 처리함으로써 법적/규정 준수 위험을 줄이면서도 개발자가 보다 세부적인 일련의 입증에 액세스할 수 있도록 지원할 수 있습니다.
5. 상호 운용성 있는 개방형 기반.
   모두가 액세스할 수 있는 강력한 분산형 ID 에코시스템을 만들려면 표준 오픈 소스 기술, 프로토콜, 참조 구현 등에 기반하여 구축해야 합니다. 지난 한 해 동안 Microsoft는 이 과제를 해결하기 위한 유사한 동기를 가진 개인 및 조직과 함께 DIF(Decentralized Identity Foundation)에 참여했습니다. Microsoft는 공동 작업을 통해 다음과 같은 주요 구성 요소를 개발하고 있습니다.
   

• Decentralized Identifiers(DID) – 분산형 ID의 상태를 설명하기 위한 일반적인 문서 형식을 정의하는 W3C 사양
  
• ID 허브 – 메시지/의도 릴레이, 입증 처리, ID별 컴퓨팅 끝점 등을 제공하는 암호화된 ID 데이터 저장소 
  
• 범용 DID 확인자 – 블록체인에서 DID를 확인하는 서버 
  
• 확인할 수 있는 자격 증명 – DID 기반 입증을 인코딩하기 위한 문서 형식을 정의하는 W3C 사양   
  

6. 세계적 규모 지원.
   다양한 사용자, 조직, 디바이스로 이루어진 거대한 세계를 지원하려면 기본 기술이 기존 시스템과 동등한 규모와 성능을 제공할 수 있어야 합니다. 일부 퍼블릭 블록체인(일부 예: Bitcoin[BTC], Ethereum, Litecoin)은 DID를 루팅하고, DPKI 운영을 기록하고, 입증을 앵커링하는 견고한 기반을 제공합니다. 일부 블록체인 커뮤니티는 온-체인 트랜잭션 용량을 높였지만(예: 블록 크기 증가), 이러한 접근 방식은 일반적으로 네트워크의 분산 상태를 저하시키며 세계적인 규모의 시스템에서 생성되는 초당 수백만 트랜잭션에 도달할 수 없습니다. 이런 기술적인 장애를 극복하기 위해 Microsoft는 세계적인 규모를 획득하는 동시에 세계적 수준의 DID 시스템의 특성을 보존할 수 있도록 이러한 퍼블릭 블록체인 위에서 실행되는 분산형 Layer 2 프로토콜을 위해 공동으로 작업하고 있습니다.
   
7. 모두가 액세스 가능.
   현재 블록체인 에코시스템은 대체로 여전히 얼리어답터로서 시간과 노력 그리고 에너지를 키 관리 및 디바이스 보안에 기꺼이 투자하고 있습니다. 이런 태도는 일반적인 사람들이 취할 것으로 기대할 수 없는 것입니다. 복구, 순환, 보안 액세스 등과 같은 주요 관리 과제를 직관적이고 아주 간단하게 만들어야 합니다.
   

다음 단계

새 시스템과 획기적인 아이디어는 고안 단계에서 합당하게 느껴지는 경우가 많습니다. 모든 선이 연결되고, 가정에 확고한 기반이 있는 것처럼 보입니다. 하지만 제품 및 엔지니어링 팀은 실제 구축 과정에서 가장 많이 배웁니다.

현재 Microsoft Authenticator 앱은 이미 매일 수백만 명이 ID 증명에 사용하고 있습니다. 다음 단계로, Microsoft는 Microsoft Authenticator에 분산형 ID 지원을 추가하여 분산형 ID를 실험할 것입니다. 동의를 얻는 경우 Microsoft Authenticator는 ID 데이터 및 암호화 키를 관리하는 사용자 에이전트의 역할을 할 수 있을 것입니다. 이 설계에서는 ID만 온-체인 루팅됩니다. ID 데이터는 이 암호화 키를 사용해 오프-체인 ID 허브에 암호화되어 저장되며, 이 ID 허브는 Microsoft가 볼 수 없습니다.

Microsoft가 이 기능을 추가하고 나면, 앱 및 서비스는 세분화된 동의를 요청하여 일반적인 메시징 경로를 사용하는 사용자의 데이터와 상호 작용할 수 있을 것입니다. 처음에는 블록체인에서 DID 구현의 일부 그룹을 지원한 다음 향후에 그룹을 추가할 것입니다.

향후 전망

Microsoft는 겸허한 태도와 기대를 가지고 이 거대한 과제를 해결하기 위해 나섰지만 혼자서는 성취할 수 없다는 것도 알고 있습니다. 제휴 파트너와 Decentralized Identity Foundation 구성원뿐 아니라 다양한 디자이너, 정책 작성자, 비즈니스 파트너, 하드웨어 및 소프트웨어 제작자로 이루어진 Microsoft 에코시스템에게도 지원과 의견을 구하고 있습니다. 가장 중요한 것은 여러분, 즉 고객의 피드백입니다. 이 첫 번째 시나리오 집합을 테스트하기 시작하는 단계에서 의견이 필요합니다.

분산형 ID를 위한 Microsoft의 노력에 대해 이야기하는 첫 번째 게시물입니다. 예정된 이후 게시물에서는 개념 증명에 대한 정보와 위에서 소개한 주요 영역의 기술 세부 정보를 공유하겠습니다.

이 야심찬 계획에 여러분의 참여를 기대합니다!

주요 리소스:

• 팔로우: @AzureAD(Twitter)
  
• DIF(Decentralized Identity Foundation)에 참여하기
  
• W3C Credentials Community Group에 참여하기
  

감사합니다.

Ankur Patel(@_AnkurPatel)

수석 프로그램 관리자

Microsoft Identity Division

The post 분산형 디지털 ID 및 블록체인: 우리가 예상하는 미래 appeared first on Microsoft 365 Blog.

Azure AD CA(조건부 액세스)는 크게 성공하고 있습니다. 전 세계의 조직은 이를 사용하여 응용 프로그램 액세스의 보안과 규정 준수를 보장하고 있습니다. 조건부 액세스는 이제 매월 1만 개가 넘는 조직과 1천만 명이 넘는 활성 사용자를 보호하는 데 사용되고 있습니다! Microsoft 고객이 이를 도입해 사용하는 속도는 놀라울 정도입니다!

조건부 액세스의 사용자 영향에 대해 많은 피드백을 받았습니다. 특히 이 정도로 큰 기능이 손가락 끝에서 결정되므로, CA 정책이 다양한 로그인 조건에서 사용자에게 어떻게 영향을 주는지를 확인할 방법이 필요합니다.

Microsoft는 고객의 말에 귀를 기울였으며 조건부 액세스를 위한 “What If” 도구의 공개 미리 보기를 오늘 발표하게 되어 기쁩니다. What If 도구를 활용하면 지정하는 조건에서 사용자 로그인에 미치는 정책의 영향을 이해할 수 있습니다. 어떤 일이 벌어졌는지 사용자에게 들을 때까지 기다리는 대신 간단히 What If 도구를 사용하면 됩니다.

시작

이 도구를 사용해 볼 준비가 되셨나요? 다음 단계를 따르면 됩니다.

• Azure AD 조건부 액세스로 이동
• What If 클릭

• 테스트할 사용자 선택

• [선택 사항] 앱, IP 주소, 디바이스 플랫폼, 클라이언트 앱, 로그인 위험(필요한 경우) 선택
• “What If”를 클릭하고 사용자 로그인에 영향을 미칠 정책 보기

답을 찾으려는 질문이 “적용될 정책”이 아니라 “정책이 적용되지 않는 이유”인 경우가 가끔 있습니다. 이 도구를 통해 이것도 확인할 수 있습니다! “적용되지 않는 정책” 탭으로 전환하면 정책 이름 및 더 중요하게, 정책이 적용되지 않는 이유를 볼 수 있습니다. 멋진 기능이죠?

What If 도구에 대한 자세한 내용

의견 보내기

이제 막 시작되었습니다. 이 분야에서 더 많은 혁신을 제공하기 위해 Microsoft는 이미 노력 중입니다. 늘 그렇듯이, 이 미리 보기에 대한 여러분의 피드백과 제안을 기다리고 있습니다. Azure AD 조건부 액세스에 대한 어떤 내용도 좋습니다. What If 도구와 관련하여 고객이 참여해 주실 짧은 설문 조사도 준비했습니다.

활발한 의견 참여를 기다립니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

The post 공개 미리 보기: Azure AD 조건부 액세스 정책을 위한 “What If” 도구 appeared first on Microsoft 365 Blog.

블로그를 팔로우하는 분이라면 Microsoft가 온-프레미스 디렉터리 또는 IAM 솔루션을 Azure AD에 연결하는 다양한 옵션을 지원한다는 것을 아실 것입니다. 실제로 업계에서 Microsoft만큼 많은 옵션을 고객에게 제공하는 회사는 없습니다.

따라서 고객이 저에게 가장 많이 하는 질문 중 하나가 저의 추천 옵션이 무엇인지 묻는 것이라는 점이 그리 놀랍지 않습니다. 이런 질문에 저는 늘 많이 생각한 후 답변하죠. 지난 6년 넘게 ID 산업에서 일하면서 저는 모든 조직이 다르며 배포 속도, 보안 태세, 투자 능력, 네트워크 아키텍처, 회사 문화, 규정 준수 요구 사항, 작업 환경 등의 측면에서 서로 다른 목표와 요구 사항을 가지고 있음을 알게 되었습니다. 이런 이유로 인해 Microsoft는 다양한 옵션을 제공하기 위해 투자해 왔으며, 고객은 요구에 가장 부합하는 옵션을 선택할 수 있습니다. (물론, 저만의 의견이 없다는 뜻은 아닙니다. 저의 조직이라면 당연히 Microsoft의 새로운 통과 인증 기능과 Azure AD Connect 동기화를 사용하고 싶을 것입니다.  이 두 기능은 모두 신속하게 배포할 수 있고 유지 관리 비용이 낮습니다. 하지만 이것은 한 개인의 의견일 뿐입니다!)

저나 다른 누군가가 무엇을 추천할지에 대해 걱정하며 많은 시간을 소요하는 대신, 고객이 실제로 무엇을 사용 중인지 살펴보는 것은 어떨까요? 이를 검토하는 것이 가장 좋은 출발점인 것 같습니다.

Azure AD Momentum

Azure AD의 전반적인 사용에 대해 몇 가지 수치를 공유하는 것으로 시작하겠습니다. 아래의 수치가 가진 심도 있는 맥락을 이해할 수 있을 것입니다. Azure AD 전반에서 Microsoft의 기본적인 클라우드 기반 ID 서비스를 사용하며 Azure AD Premium의 성장을 가속화하는 강력한 증가세가 지속적으로 나타나고 있습니다.

제가 가장 주목하는 추세는 타사 응용 프로그램과 함께 Azure AD를 사용하는 경우가 크게 늘고 있는 것입니다. 매월 사용되는 타사 응용 프로그램이 30만 개가 넘으며, 수많은 조직이 기본 클라우드 ID 플랫폼으로 Azure AD를 채택하고 있습니다.

Azure AD에 사용자 동기화

대부분의 Azure AD 테넌트는 온-프레미스 AD를 Azure AD에 동기화하지 않는 소규모 조직입니다. 비교적 규모가 큰 조직은 거의 항상 동기화하며, 동기화하는 조직은 Azure AD 내의 9억 5천만 사용자 계정 중 50% 이상에 상당합니다.

다음은 조직이 사용자를 Azure AD에 동기화하는 방법에 대한 최신 데이터입니다.

• 18만 개가 넘는 테넌트가 온-프레미스 Windows Server Active Directory를 Azure AD에 동기화합니다.
• 17만 개가 넘는 테넌트가 이를 위해 Azure AD Connect를 사용합니다.
• 소수의 고객이 다른 솔루션을 사용합니다.
  • 7%가 Microsoft의 레거시 DirSync 또는 Azure AD Sync 도구를 사용합니다.
  • 1.9%가 Microsoft Identity Manager 또는 Forefront Identity Manager를 사용합니다.
  • 1% 미만이 사용자 지정 또는 타사 솔루션을 사용합니다.

Azure AD를 사용한 인증

인증에 대한 지난번 블로그에서 제가 공유한 데이터는 인증 볼륨에 기반한 것이었습니다. 이 수치를 전체적인 맥락에서 이해하기 어려웠으며 활성 사용자 수에 더 관심이 있다는 피드백에 따라, 이 업데이트에서는 MAU(월간 활성 사용자)에 기반하여 수치를 공유하겠습니다.

10월 31일 기준으로 Azure AD 월간 활성 사용자 수는 1억 5200만이 약간 넘었습니다. 이 활성 사용자 중

• 55%가 페더레이션 제품 또는 서비스를 사용하여 인증됩니다.
• 24%가 암호 해시 동기화로 인증됩니다.
• 21%가 클라우드 전용 사용자입니다.
• Azure AD 통과 인증은 불과 1개월 전에 GA로 전환되었지만 이미 월간 활성 사용자가 50만이 넘고, 이 수치는 매월 50%의 성장을 보이고 있습니다!

더 깊이 살펴보면 다음과 같은 흥미로운 데이터를 확인할 수 있습니다.

• 전체 활성 사용자 중 46%가 AD Federation Services로 인증됩니다.
• 전체 활성 사용자 중 2% 정도가 Ping 페더레이션을 사용하여 인증됩니다. Ping은 가장 빨리 성장하고 있으며 가장 많이 사용되는 타사 옵션입니다.
• 전체 활성 사용자 중 2%가 Centrify, Okta, OneAuth 같은 타사 IDaaS 서비스를 사용하여 인증됩니다.
• 전체 활성 사용자 중 1%가 Ping 페더레이션 외에 타사 페더레이션 서버를 사용하여 인증됩니다.

결론 주요 사항

흥미로운 일부 데이터와 몇 가지 추세를 다음과 같이 정리합니다.

1. Azure AD Connect는 Windows Server AD와 Azure AD 사이에 동기화하는 표준 방식이 되었습니다. 동기화 테넌트 중 90% 이상이 이 방식을 사용합니다.
2. Azure AD 암호 해시 동기화는 Microsoft 고객에게 아주 인기 있는 옵션이 되었습니다(월간 활성 사용자 수천만 명).
3. 갈수록 더 큰 규모의 엔터프라이즈가 Azure AD를 사용하기 시작하면서, Ping 페더레이션은 점점 더 많이 사용하는 옵션이 되었습니다. 이러한 대규모 고객에게 Ping과 Microsoft의 파트너십이 진정으로 효과가 있었습니다.
4. 다른 IDaaS 공급업체는 모든 언론 보도와 마케팅 광고에도 불구하고 여전히 Azure AD/Office365 비즈니스의 아주 작은 부분을 차지합니다.
5. Microsoft의 새로운 통과 인증 옵션은 불과 1개월 전에 GA로 전환되었지만 이미 MAU가 50만이 넘으며 순조롭게 출발했습니다! 현재 추세가 지속된다면 다음 6개월~1년 중 언젠가는 이 옵션을 사용하는 고유 사용자의 수가 다른 IDaaS 공급업체를 모두 합한 경우보다 많을 것입니다.

요약

지난번과 마찬가지로, 이 수치는 상당히 분명히 상황을 보여 줍니다. Microsoft는 고객이 다양한 타사 옵션을 사용할 수 있도록 Azure AD를 개방형 표준 기반으로 설계했습니다. 대다수의 고객이 Microsoft의 “상용 기성품” ID 솔루션이 요구 사항을 충족한다고 합니다. 그리고 그 수는 계속 늘어나고 있습니다.

또한, 이 데이터는 Microsoft가 Azure AD Connect를 통해 제공한 단순도가 큰 영향을 미치고 있음을 보여 주기도 합니다. 이 솔루션은 광범위하게 채택되고 있으며 Windows Server AD와 Azure AD/Office 365를 연결하는 옵션 중 확실히 가장 빨리 성장하고 있습니다.

이 블로그 게시물이 유용하고 흥미로웠기를 바랍니다! 늘 그렇듯이, 여러분의 피드백이나 제안을 기다리고 있습니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

The post 조직이 온-프레미스 ID를 Azure AD에 연결하는 방법 appeared first on Microsoft 365 Blog.

Azure AD의 B2B 공동 작업 기능을 기반으로 Microsoft Teams에서 게스트 액세스를 사용할 수 있게 되었음을 발표하게 되어 기쁩니다!

Azure Active Directory가 오랫동안 지원해 온 엔터프라이즈급 보호와 사용 용이성으로 이제 Teams에서 채팅, 앱 및 파일 공유 등의 상호 작용을 위해 파트너 공동 작업을 사용할 수 있습니다.

이제 Azure Active Directory 계정을 가진 조직 내의 모든 사람을 Microsoft Teams에 게스트 사용자로 초대할 수 있습니다!

고객은 이미 Azure AD의 B2B 기능을 사용하여 8백만 개가 넘는 게스트 사용자를 만들었으며, 이는 시작에 불과합니다. Microsoft는 이러한 여세를 지속하기 위해 Microsoft Teams 지원 추가를 원하는 고객의 최우선 요청 사항을 반영하여 이 새 기능을 지원합니다. 지금 사용해 보시기 바랍니다!

바로 Teams에 로그인하고 함께 작업할 파트너를 초대하세요.

언제나처럼, 피드백 및 제안 사항이 있거나 논의할 내용이 있으면 저희에게 연락해 주세요. 기다리고 있겠습니다!

감사합니다.

Alex Simons (@Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

추가: Microsoft는 회사 또는 소비자 전자 메일 계정을 가진 외부 사용자를 위한 지원을 포함하여 더 많은 Azure AD 기능을 Teams에 추가하기 위해 이미 노력하고 있습니다. 곧 제공될 더 많은 소식을 기대해 주세요!

The post Microsoft Teams Azure AD B2B 공동 작업 appeared first on Microsoft 365 Blog.

오늘은 좋은 소식을 여러분과 함께 나누고 싶습니다. Gartner가 발표한 2017 Magic Quadrant for Access Management(AM MQ)에서 Microsoft가 비전의 완성도와 실행 능력을 인정받아 리더로 선정되었습니다.

AM MQ는 중단된 IDaaS MQ와 별개인 새로운 MQ로서, 이번에 처음 발표되었습니다. Azure Active Directory가 이 보고서에서 평가한 제품입니다.

Gartner 2017 Magic Quadrant for Access Management

Microsoft는 Gartner와 협력하여 이 보고서의 무료 사본을 제공합니다. 여기에서 확인하실 수 있습니다.

Microsoft가 기쁘게도 리더로 선정된 것은 Microsoft Intelligent Security Graph 기반의 세계적인 수준의 ID 보호를 통해 직원, 파트너 및 고객을 위해 완벽한 ID 및 액세스 관리 솔루션을 제공하는 Microsoft의 비전을 인정받은 것이라고 생각합니다. 

그리고 Gartner의 분석은 ID 및 액세스 관리 분야를 위한 Microsoft의 노력에 대해 많은 것을 말해 준다고 생각합니다. 더욱 중요한 것은, Gartner의 분석은 Microsoft의 고객과 구현 파트너에 대해 많은 것을 말해 줄 뿐 아니라 Microsoft와 협력하면서 요구에 부합하고 클라우드 기술 기반으로 점차 발전해 가는 세계에서 성공을 지원할 수 있는 제품 및 서비스를 구축하기 위해 매일 시간과 에너지를 공유해 온 ISV 파트너에 대해서도 많은 것을 말해 줍니다.

Microsoft는 계속해서 혁신적인 기능을 제공함으로써 ID 및 액세스 관리 분야의 고객 요구를 충족하고 Gartner AM MQ에서 Microsoft가 인정받는 리더의 위치를 더욱 향상할 것을 약속합니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

The post Azure AD, Gartner 2017 Magic Quadrant for Access Management에서 리더로 선정! appeared first on Microsoft 365 Blog.