랩: Azure AD ID 보호 구현 및 유효성 검사

Azure VM에 대한 원격 데스크톱 세션에서 수행하는 연습 2의 단계를 제외하고, 이 랩의 모든 과제는 Azure 포털에서 수행합니다.

랩 파일:

Labfiles\Module_10\Azure_AD_Identity_Protection\az-101-04b_azuredeploy.json
Labfiles\Module_10\Azure_AD_Identity_Protection\az-101-04b_azuredeploy.parameters.json

시나리오

Adatum Corporation은 ID 보호를 위해 Azure AD Premium 기능을 활용하려고 합니다.

목표

이 과정을 완료하면 다음과 같은 역량을 갖추게 됩니다:

Azure Resource Manager 템플릿을 사용하여 Azure VM 배포
Azure MFA 구현
Azure AD ID 보호 구현

연습 0: 랩 환경 준비

이 연습의 주요 작업은 다음과 같습니다:

Azure Resource Manager 템플릿을 사용하여 Azure VM 배포

작업 1: Azure Resource Manager 템플릿을 사용하여 Azure VM 배포

랩 가상 머신에서 Microsoft Edge를 시작하고 http://portal.azure.com 에서 Azure 포털을 찾아보고 이 랩에서 사용하려는 Azure 구독에서 소유자 역할이 있는 Microsoft 계정을 사용하여 로그인합니다.
Azure 포털에서 리소스 만들기 블레이드로 이동합니다.
리소스 만들기 블레이드가 뜨면, Azure 마켓플레이스에서 Template deployment를 검색합니다. 그리고 Template deployment (deploy using custom templates)를 선택합니다.
만들기를 클릭합니다.
사용자 지정 배포 블레이드에서 편집기에서 사용자 고유의 템플릿을 빌드합니다. 를 선택합니다.
템플릿 편집 블레이드에서 템플릿 파일인 Labfiles\Module_10\Azure_AD_Identity_Protection\az-101-04b_azuredeploy.json 을 로드합니다.
템플릿을 저장하고 사용자 지정 배포 블레이드로 돌아갑니다.
사용자 지정 배포 블레이드에서 매개 변수 편집 블레이드로 이동합니다.
편집 매개 변수 블레이드에서 매개 변수 파일 Labfiles\Module_10\Azure_AD_Identity_Protection\az-101-04b_azuredeploy.parameters.json을 로드합니다.
매개 변수를 저장하고 사용자 지정 배포 블레이드로 돌아갑니다.
사용자 지정 배포 블레이드에서 다음을 사용하여 템플릿 배포를 시작합니다.
- 구독: 이 랩에서 사용 중인 구독의 이름
- 리소스 그룹: az1010401b-RG 이름으로 새로 만들기
- 위치: 랩 위치에 가장 가까운 Azure 지역의 이름 및 Azure VM을 프로비전할 수 있는 위치
- Vm Size: Standard_D2s_v3
- Vm Name: az1010401b-vm1
- Admin Username: Student
- Admin Password: Pa55w.rd1234
- Virtual Network Name: az1010401b-vnet1
참고: Azure VM을 프로비전할 수 있는 Azure 지역을 확인하려면 https://azure.microsoft.com/ko-kr/regions/offers/참고하십시오.

참고: 배포가 완료될 때까지 기다리지 말고 다음 연습으로 진행합니다. 이 랩의 마지막 연습에서 이 배포에 포함된 가상 머신를 사용합니다.

결과: 이 연습을 완료한 후 이 랩의 다음 연습에서 사용할 Azure VM az1010401b-vm1 의 템플릿 배포를 시작했습니다.

연습 1: Azure MFA 구현

이 연습의 주요 작업은 다음과 같습니다:

새 Azure AD 테넌트 만들기
Azure AD Premium v2 평가판 활성화
Azure AD 사용자 및 그룹 만들기
Azure AD Premium v2 라이선스를 Azure AD 사용자에게 할당합니다
사기 경고, 신뢰할 수 있는 IP 및 앱 암호를 포함한 Azure MFA 설정 구성
MFA 구성 유효성 검사

작업 1: 새 Azure AD 테넌트 만들기

Azure 포털에서 리소스 만들기 블레이드로 이동합니다.
리소스 만들기 블레이드가 뜨면, Azure 마켓플레이스에서 Azure Active Directory를 검색하십시오.
검색 결과 목록을 사용하여 디렉터리 만들기 블레이드로 이동합니다.
디렉터리 만들기 블레이드 에서 다음 설정을 사용하여 새 AzureAD 테넌트를 만듭니다:

조직 이름: AdatumLab101-4b
초기 도메인 이름: 문자와 숫자의 조합으로 구성된 고유한 이름입니다.
국가/지역: 미국

참고: 초기 도메인 이름 텍스트 상자의 녹색 확인 표시는 입력 한 도메인 이름이 유효하고 고유한지 여부를 나타냅니다.

작업 2: Azure AD Premium v2 평가판 활성화

Azure 포털에서 디렉터리 + 구독 필터를 새로 만든 AzureAD 테넌트에 설정합니다.

참고: 디렉터리 + 구독 필터는 Azure 포털의 도구 모음에서 클라우드 셸 아이콘의 오른쪽에 나타납니다

참고: AdatumLab101-4b 항목이 디렉터리 + 구독 필터 목록에 나타나지 않으면 브라우저 창을 새로 고쳐야 할 수 있습니다.
Azure 포털에서 AdatumLab101-4b - 개요 블레이드로 이동합니다.
AdatumLab101-4b - 개요 블레이드에서 라이선스 - 개요 블레이드로 이동합니다.
라이선스 - 개요 블레이드에서 모든 제품 블레이드로 이동합니다.
라이선스 - 모든 제품 블레이드에서 + 사용/구매를 클릭하여 활성화 블레이드로 이동한 후 Azure AD Premium P2 무료 평가판을 활성화합니다.

작업 3: Azure AD 사용자 및 그룹을 만듭니다.

Azure 포털에서 AdatumLab101-4b Azure AD 테넌트의 사용자 - 모든 사용자 블레이드로 이동합니다.
사용자 - 모든 사용자 블레이드에서 다음 설정을 사용하여 새 사용자를 만듭니다:
- 이름: aaduser1
- 사용자 이름: aaduser1@<DNS 도메인 이름>.onmicrosoft.com <DNS 도메인 이름>은 이 연습의 첫 번째 작업에서 지정한 초기 도메인 이름을 나타냅니다.
참고: 이 사용자 이름을 기록해 둡니다. 이 랩에서 나중에 필요할 것입니다.
- 작업 정보: 기본값
- 속성: 기본값
- 그룹: 0개 그룹 선택됨
- 디렉터리 역할: 사용자
- 암호: 암호 표시 확인란을 선택하고 암호 텍스트 상자에 나타나는 문자열을 기록합니다. 나중에 이 랩에서 필요할 것입니다.
사용자 - 모든 사용자 블레이드에서 다음 설정을 사용하여 새 사용자를 만듭니다:
- 이름: aaduser2
- 사용자 이름: aaduser2@<DNS 도메인 이름>.onmicrosoft.com <DNS 도메인 이름>은 이 연습의 첫 번째 작업에서 지정한 초기 도메인 이름을 나타냅니다.
참고: 이 사용자 이름을 기록해 둡니다. 이 랩에서 나중에 필요할 것입니다.
- 작업 정보: 기본값
- 속성: 기본값
- 그룹: 0개 그룹 선택됨
- 디렉터리 역할: 사용자
- 암호: 암호 표시 확인란을 선택하고 암호 텍스트 상자에 나타나는 문자열을 기록합니다. 나중에 이 랩에서 필요할 것입니다.

작업 4: Azure AD Premium v2 라이선스를 Azure AD 사용자에게 할당합니다

참고: Azure AD Premium v2 라이선스를 Azure AD 사용자에게 할당하려면 먼저 위치 특성을 설정해야 합니다.

사용자 - 모든 사용자 블레이드에서 aaduser1 - 프로필 블레이드로 이동한 다음 사용 위치를 미국으로 설정합니다.
aaduser1 - 프로필 블레이드에서 aaduser1 - 라이선스 블레이드로 이동하여 모든 라이선스 옵션이 활성화된 Azure AD Premium P2 라이선스를 사용자에게 할당합니다.
사용자 - 모든 사용자 블레이드로 돌아가서, aaduser2 - 프로필 블레이드로 이동한 다음 사용 위치를 미국으로 설정합니다.
aaduser2 - 프로필 블레이드에서 aaduser2 - 라이선스 블레이드로 이동하여 모든 라이선스 옵션이 활성화된 Azure AD Premium P2 라이선스를 사용자에게 할당합니다.
사용자- 모든 사용자 블레이드로 돌아가서 사용자 계정의 프로필 항목으로 이동한 다음 사용 위치 를 미국으로 설정합니다.
사용자 계정의 라이선스 블레이드로 이동하여 모든 라이선스 옵션이 활성화 된 Azure AD Premium P2 라이선스를 할당합니다.
포털에서 로그아웃하고 이 실습에 사용하는 것과 동일한 계정을 사용하여 다시 로그인합니다.

참고: 라이선스 할당이 적용되기 위해서는 이 단계가 필요합니다.

작업 5: Azure MFA 설정을 구성합니다.

Azure 포털에서 AdatumLab101-4b Azure AD 테넌트의 사용자 - 모든 사용자 블레이드로 이동합니다.
AdatumLab101-4b Azure AD 테넌트의 사용자 - 모든 사용자 블레이드에서 Multi-Factor Authentication 링크를 사용하여 다단계 인증 포털을 엽니다.
다단계 인증 포털에서 서비스 설정 탭으로 이동하고, 설정을 검토하고, 확인 옵션에서 휴대폰에 문자 메시지 전송, 모바일 앱을 통한 알림, 모바일 앱 또는 하드웨어 토큰의 확인 코드가 활성화 되어있는지 확인합니다.
다단계 인증 포털에서 사용자 탭으로 전환하고 aaduser1 항목을 선택하여 MULTI-FACTOR AUTH 상태를 사용으로 설정합니다.
다단계 인증 포털에서 aaduser1의 다단계 인증 상태가 사용으로 변경되었으며 사용자 항목을 다시 선택하면 적용으로 변경할 수 있습니다.

참고: 사용자 상태를 사용 상태에서 적용됨 상태로 변경하면 Azure MFA를 지원하지 않는 레거시 Azure AD 통합 앱에만 영향을 미치며, 상태가 적용됨으로 변경된 후에는 앱 암호를 사용해야 합니다.
다단계 인증 포털에서 aaduser1 항목을 선택한 후 사용자 설정 관리 창을 클릭하고 다음을 포함한 옵션을 검토합니다:
- 선택한 사용자가 연락 방법을 다시 제공해야 함
- 선택한 사용자가 생성한 기존의 모든 앱 암호 삭제
- 모든 저장된 디바이스에서 다단계 인증 복원
사용자 설정을 변경하지 말고 Azure 포털로 돌아옵니다.
AdatumLab101-4b Azure AD 테넌트의 사용자 - 모든 사용자 블레이드를 AdatumLab101-4b - 개요 블레이드로 이동합니다.
AdatumLab101-4b - 개요 블레이드에서 Multi-Factor Authentication 블레이드로 이동합니다.

참고: 먼저 Azure Active Directory 테넨트 블레이드의 네비게이터에서 보안을 클릭해야 할 수 있습니다.
Multi-Factor Authentication - 시작 블레이드에서 Multi-Factor Authentication - 사기 행위 경고 블레이드로 이동하여 다음 설정을 구성합니다:
- 사용자가 사기 경고를 제출할 수 있도록 허용: 설정
- 사기 행위를 보고하는 사용자 자동 차단: 설정
- 초기 인사말 중 사기 행위를 보고할 코드: 0

작업 6: MFA 구성 유효성 검사

새 InPrivate Microsoft Edge 창을 엽니다.
새 브라우저 창에서 Azure 포털로 이동하고 aaduser1 사용자 계정을 사용하여 로그인 합니다. 메시지가 표시되면 암호를 새 값으로 변경합니다.

참고: 이 실습의 앞에서 설명한 대로 AzureAD 테넌트 DNS 도메인 이름을 포함하여 aaduser1 사용자 계정의 정규화된 이름을 제공해야 합니다.
자세한 정보 필요 메시지가 표시되면 다음을 클릭하여 추가 보안 인증 페이지로 이동합니다.
추가 보안 인증 페이지의 1단계: 문의할 방법 알아보기에서 다음 옵션 중 하나를 설정한다:
- 인증 전화
- 모바일 앱
인증 전화 옵션을 선택하고 방법을 문자 메시지로 내게 코드 보내기로 선택합니다.
인증을 완료하고 자동으로 생성된 앱 암호를 입력합니다.
메시지가 표시되면 aaduser1 계정을 만들 때 생성된 암호에서 암호를 변경합니다.
Azure 포털에 성공적으로 로그인했는지 확인합니다.
aaduser1 로 로그아웃하고 InPrivate 브라우저 창을 닫습니다.

연습 2: Azure AD ID 보호 구현:

이 연습의 주요 작업은 다음과 같습니다:

Azure AD ID 보호 사용
사용자 위험 정책 구성
로그인 위험 정책 구성
위험 이벤트를 시뮬레이션하여 Azure AD ID 보호 구성의 유효성 검사

작업 1: Azure AD ID 보호 사용

랩 가상 머신에서 Microsoft Edge를 시작하고 http://portal.azure.com의 Azure 포털을 탐색하고 AdatumLab101-4b Azure AD 테넌트를 만드는데 사용한 Microsoft 계정을 사용하여 로그인합니다.

참고: AdatumLab101-4b Azure AD 테넌트에 로그인되어 있는지 확인합니다. 디렉터리 + 구독 필터를 사용하여 Azure AD 테넌트 간에 전환할 수 있습니다.
Azure 포털에서 리소스 만들기 블레이드로 이동합니다.
1. 리소스 만들기 블레이드가 뜨면, Azure 마켓플레이스에서 Azure Active Directory를 검색하십시오.
검색 결과 목록에서 Azure AD Identity Protection를 선택하고 AdatumLab101-4b Azure AD 테넌트와 연결된 Azure AD Identity Protection의 인스턴스를 만듭니다.
Azure 포털에서 모든 서비스 블레이드로 이동 한 다음 검색 필터를 사용하여 Azure AD Identity Protection 블레이드로 이동합니다.

작업 2: 사용자 위험 정책 구성

Azure AD Identity Protection - 개요 블레이드에서 Azure AD Identity Protection - 사용자 위험 정책 블레이드로 이동합니다.
Azure AD Identity Protection - 사용자 위험 정책 블레이드에서 다음 설정으로 사용자 위험 수정 정책을 구성합니다:
- 할당:
  - 사용자: 모든 사용자 (테넌트가 잠기지 않도록 현재 관리자 계정을 제외해야 합니다.)
  - 조건:
    - 사용자 위험: 낮음 이상
- 컨트롤:
  - 액세스: 액세스 허용
  - 암호 변경 필요
- 정책 적용: 켜기

작업 3: 로그인 위험 정책 구성

Azure AD Identity Protection - 사용자 위험 정책 블레이드에서 Azure AD Identity Protection - 로그인 위험 정책 블레이드로 이동합니다.
Azure AD Identity Protection - 로그인 위험 정책 블레이드에서 다음 설정으로 로그인 위험 수정 정책을 구성합니다:
- 할당:
  - 사용자: 모든 사용자
  - 조건:
    - 사용자 위험: 중간 이상
- 컨트롤:
  - 액세스: 액세스 허용
  - 암호 변경 필요
- 정책 적용: 켜기

작업 4: 위험 이벤트를 시뮬레이션하여 Azure AD ID 보호 구성의 유효성 검사

참고: 이 작업을 시작하기 전에 연습 0에서 시작한 템플릿 배포가 완료되었는지 확인합니다.

Azure 포털에서 az1010401b-vm1 블레이드로 이동합니다.
az1010401b-vm1 블레이드에서원격 데스크톱 세션을 통해 Azure VM에 연결하고 로그인하라는 메시지가 표시되면 다음 자격 증명을 제공합니다.
- 관리자 사용자 이름: Student
- 관리자 암호: Pa55w.rd1234
원격 데스크톱 세션의 서버 관리자에서 로컬 서버를 클릭 한 다음 IE 보안 강화 구성을 클릭하십시오.
Internet Explorer 보안 강화 구성 대화 상자에서 두 옵션을 모두 끄기로 설정하고 확인을 클릭하십시오.
원격 데스크톱 세션 내에서 InPrivate Internet Explorer 창을 엽니다.
새 브라우저 창에서 https://www.torproject.org/projects/torbrowser.html.en에서 ToR 브라우저 프로젝트로 이동하여 ToR 브라우저를 다운로드하고 기본 옵션으로 설치합니다.
설치가 완료되면 ToR 브라우저를 시작하고 초기 페이지에서 연결 옵션을 사용하고 https://myapps.microsoft.com에서 응용 프로그램 액세스 패널로 이동합니다.
메시지가 표시되면 이전 연습에서 만든 aaduser2 계정으로 로그인합니다.
로그인이 차단되었음 이라는 메시지가 표시됩니다. 이 계정은 ToR 브라우저 사용과 관련된 로그인 위험이 증가하여 필요한 MFA가 구성되지 않았기 때문에 이 문제가 예상됩니다.
다른 계정으로 로그아웃 및 로그인을 사용하여 이전 연습에서 다단계 인증을 위해 만들고 구성한 aaduser1 계정으로 로그인합니다.
이번에는 의심스러운 활동 감지 메시지가 표시됩니다. 이 계정은 다중 요소 인증으로 구성되므로 다시 한 번 이 문제가 예상됩니다. ToR 브라우저 사용과 관련된 로그인 위험이 증가하는 것을 고려하면 이전 작업에서 구성한 로그인 위험 정책에 따라 다단계 인증을 사용해야 합니다.
확인 옵션을 사용하여 텍스트 또는 통화를 통해 신원을 확인 할지 여부를 지정합니다.
확인을 완료하고 응용프로그램 액세스 패널에 성공적으로 로그인 되었는지 확인합니다.
aaduser1를 로그아웃하고 ToR 브라우저 창을 닫습니다.
인터넷 익스플로러를 시작하고 http://portal.azure.com 에서 Azure 포털을 탐색하고 AdatumLab101-4b Azure AD 테넌트를 만드는 데 사용한 Microsoft 계정을 사용하여 로그인합니다.
Azure 포털에서 Azure AD Identity Protection - 위험 검색(위험 탐지) 블레이드로 이동하여 익명 IP 주소에서 로그인 을 나타내는 항목이 있음을 확인합니다.
Azure Azure AD Identity Protection - 위험 검색(위험 탐지) 블레이드에서 Azure AD Identity Protection - 위험한 사용자(위험 플래그가 지정된 사용자)로 이동 및 aaduser2를 나타내는 항목을 적어둡니다.

결과: 이 연습을 완료한 후 위험 이벤트를 시뮬레이션하여 Azure AD ID 보호, 구성된 사용자 위험 정책 및 로그인 위험 정책을 활성화하고 유효성을 검사한 Azure AD ID 보호 구성을 활성화했습니다.

연습 3: 랩 리소스 삭제

작업 1: Cloud Shell 열기

Azure 포털 상단에서 Cloud Shell 아이콘을 클릭하여 Cloud Shell 창을 엽니다.
Cloud Shell 인터페이스에서 Bash를 선택합니다.
Cloud Shell 명령 프롬프트에서 다음 명령을 입력하고 Enter를 눌러 이 랩에서 생성한 모든 리소스 그룹을 나열합니다.
```
az group list --query "[?starts_with(name,'az1010')].name" --output tsv
```
출력된 결과가 이 랩에서 생성한 리소스 그룹만 포함되어 있는지 확인합니다. 이 그룹은 다음 작업에서 삭제됩니다.

작업 2: 리소스 그룹 삭제하기

Cloud Shell 명령 프롬프트에서 다음 명령을 입력하고 Enter를 눌러 이 랩에서 생성한 모든 리소스 그룹을 삭제합니다.
```
az group list --query "[?starts_with(name,'az1010')].name" --output tsv | xargs -L1 bash -c 'az group delete --name $0 --no-wait --yes'
```
Cloud Shell 명령 프롬프트를 닫습니다.

결과: 이 연습을 완료한 후 이 랩에서 사용된 리소스 그룹을 제거했습니다.