버라이즌 보고서에 따르면, 데이터 침해의 대부분은 특히 이메일 서버에서의 취약한 자격 증명으로 가능해집니다. 악의적인 주체들은 자격 증명을 훔치기 위해 사회 공학, 자격 증명 낚시 및 무차별 공격과 같은 방법을 사용합니다.
Office 로그인의 보안을 강화하고 데이터 침해를 예방하기 위해, 마이크로소프트는 현대적인 인증 방법을 도입했습니다. 이 방법은 온라인 Office 365 리소스에 연결할 때 추가적인 사용자 인증과 승인이 필요합니다.
현대적인 인증은 그 중요한 이점으로 인해, 2017년 이후에 생성된 모든 Office 365 테넌트에서 기본적으로 활성화되어 있습니다. 이는 Office 365 앱 및 서비스에 대한 유일한 로그인 방법입니다. 그러나 하이브리드 온프레미스-클라우드 Office 배포에서는 이전 Office 클라이언트 버전에 대해 현대적인 인증을 수동으로 활성화하고 가능한 경우 기본 인증을 비활성화해야 합니다.
본 블로그는 하이브리드 Office 배포에 대한 기본 및 현대적인 인증 방법에 대한 간단한 개요를 제공하며 Office 365에서 현대적인 인증을 활성화하는 단계를 제공합니다.
현대적인 인증 대 기본 인증
2022년 말 예정된 기본 인증 폐지까지, Microsoft는 Exchange 및 Skype for Business의 하이브리드 배포를 위해 두 가지 유형의 인증을 제공할 것입니다: 기본 인증과 현대적 인증입니다. 클라이언트를 사용하여 SharePoint Online에 연결하는 경우에는 현대적 인증과 Microsoft 온라인 로그인 어시스턴트만 사용할 수 있습니다.
이 두 가지 인증 방법은 보호 기능 면에서 크게 다릅니다. 올해 나중에 기본 인증이 폐지되더라도, 두 가지 옵션 간의 차이를 이해하는 것이 중요합니다.
기본 인증이란 무엇인가요?
기본 인증은 사용자 이름과 암호만 사용하여 Office 365 애플리케이션에 연결하는 과정입니다. 이메일 클라이언트에서 사용자 이름과 암호를 입력하면 이러한 정보가 검증 및 인증을 위해 Exchange Online으로 전송되어 클라우드 서비스에 연결됩니다.
이는 더 이상 자격 증명 위협에 대한 충분한 보호를 제공할 수 없는 구식 방법입니다. 기본 인증의 주요 취약성 중 하나는 응용 프로그램이 사용자 자격 증명을 장치에 저장한다는 점으로, 이는 암호를 도난하려는 해커들에게 더 많은 기회를 제공합니다. 또한, 조건부 액세스 및 다중 인증 (MFA)과 같은 Microsoft의 식별 및 액세스 관리 기능 중 많은 기능이 이 Office 365 레거시 인증과 함께 사용할 수 없습니다.
현대적 인증이란 무엇인가요?
현대 인증은 Microsoft Office 클라우드 리소스에 액세스하기 위한 다양한 인증 및 인가 방법의 결합입니다. 현대 인증은 Active Directory 인증 라이브러리 (ADAL) 및 OAuth 2.0을 기반으로 합니다.
- Active Directory 인증 라이브러리는 응용 프로그램이 보안 토큰을 통해 보호된 리소스에 액세스하기 위한 인증 도구입니다. ADAL을 사용하면 사용자는 또한 사용 가능한 Office 365 리소스에 대한 원활한 액세스를 위한 단일 로그온 (SSO)을 제공받습니다.
- OAuth 2.0은 사용자가 액세스 토큰을 사용하여 클라이언트 앱을 통해 리소스에 액세스할 수 있도록 하는 인가 프로토콜입니다. 이 프레임워크는 액세스 위임을 포함하며 따라서 사용자 자격 증명은 리소스 서버와 공유되지 않습니다.
현대 인증 프레임워크는 클라이언트 앱에서 Microsoft 365 리소스에 로그인하는 사용자에게 추가 보안 계층을 추가합니다. 또한이 프레임워크는 다중 요소 인증 (MFA)의 활성화 및 조건부 액세스 정책의 사용을 허용합니다.
Office 365에서 현대 인증 활성화하는 방법
2017년 8월 이전에 만들어진 Microsoft 테넌트의 경우, Office 365에서 현대 인증을 활성화하는 다양한 방법이 있습니다. :
Microsoft 365 관리 센터 사용
관리 센터를 통해 Office 365에서 현대 인증을 활성화하려면 :
- Microsoft 365 관리 센터에 로그인하십시오.
왼쪽 탐색 창에서 설정 을 확장한 다음Org 설정 을 클릭합니다. - 왼쪽 탐색 창에서 설정을 확장하고 조직 설정을 클릭합니다.
- 서비스 아래에서 현대 인증을 선택합니다.
- Windows용 Outlook 2013 이후 버전에 대한 현대 인증 사용(권장) 체크박스를 선택합니다.
- 저장을 클릭합니다.
Exchange Online PowerShell 사용
Exchange Online PowerShell을 사용하여 현대 인증을 사용하도록 설정하려면 다음 단계를 따르세요:
- Exchange Online PowerShell에 연결.
- Outlook 2013 이상 클라이언트에 대해 다음 명령을 실행합니다:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - 변경이 성공적이고 현대 인증이 사용하도록 설정되었는지 이 명령으로 확인합니다:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
기본 인증 방법을 사용하지 않도록 설정하지는 않지만 O365 레거시 인증을 사용하도록 Outlook 2013 이상을 강제할 수 있다는 점에 유의하세요. 다음 명령을 실행하면 됩니다:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Office 365 기본 인증 비활성화
Office 365에서 현대 인증을 사용하도록 설정한 후 이제 기본 인증 프로토콜을 비활성화할 수 있습니다. 그러나 누구도 기본 인증을 통해 이점을 얻지 않는지 확인해야 합니다. 기본 인증을 사용하는 사용자가 있는지 확인하려면 다음 단계를 따르세요:
- 당신의 Microsoft Azure 계정을 여세요.
- Azure Active Directory에 접근하세요.
- 왼쪽 탐색 창에서 Sign-in logs를 선택하세요.
- Date range를 Last 7 days 이상으로 변경하세요.
- Add filters를 클릭하세요.
- Client app을 선택한 후 Apply를 클릭하세요.
- 새로 생성된 필터 Client app를 클릭하세요.
- Legacy Authentication Clients 아래의 모든 상자에 체크를 하세요.
- Apply를 클릭하세요.
이 목록은 해당 사용자 및 애플리케이션과 함께 모든 로그인 이벤트를 포함합니다. 기본 인증을 사용하지 않도록 설정하기 전에 이러한 모든 애플리케이션을 최신 인증 프로토콜로 마이그레이션하여 손실되지 않도록 할 수 있습니다.
O365 레거시 인증을 사용하지 않도록 설정하려면:
- Microsoft 365 admin center에 접근하세요.
- 왼쪽 탐색 창에서 Settings를 확장하고 Org settings를 클릭하세요.
- Services 아래에서 Modern authentication를 선택하세요.
- Allow access to basic authentication protocols 아래의 모든 체크박스의 선택을 취소하세요.
- Save를 클릭하세요.
Outlook Modern Authentication
최신 Outlook 버전은 기본적으로 현대적인 인증을 지원하지만, 이를 예전 클라이언트에 추가하려면 수동 설정이 필요합니다. Outlook의 다른 버전은 현대적인 인증을 활성화하기 위해 다양한 요구 사항을 가집니다.
- Outlook 2010 이하: 현대적인 인증은 지원되지 않으며 이 기능을 이용하려면 Outlook을 업그레이드해야 합니다.
- Outlook 2013: 현대적인 인증을 지원하지만 기본적으로 켜져 있지 않으며, 이를 활성화 한 후 Outlook에게 강제로 사용하도록 해야 합니다.
- Outlook 2016 이상 + Outlook 365: 현대적인 인증을 지원하며 기본적으로 켜져 있습니다.
아래 표는 각 버전의 요구 사항을 요약했습니다.
| Outlook 버전 | 현대 인증 | EnableADAL reg 키 | 현대 인증 강제 |
| Outlook 2010 | 지원되지 않음 | 없음 | 없음 |
| Outlook 2013 | 지원됨 | 필요함 | 필요함 |
| Outlook 2016 | 지원됨 | 필요하지 않음 | 필요하지 않음 |
| Outlook 2019 | 지원됨 | 필요하지 않음 | 필요하지 않음 |
| Outlook 365 | 지원됨 | 필요하지 않음 | 필요하지 않음 |
Outlook 2013의 현대적인 인증
앞에서 언급한 바와 같이, Outlook 2013은 현대적인 인증을 지원하지만 기본적으로 기본 인증을 사용합니다. 현대적인 인증을 수동으로 켜실 수 있습니다.
Windows 레지스트리에 다음 키를 추가해야 합니다:
| 레지스트리 키 | 유형 | 값 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
이 키를 설정한 후, Microsoft는 Outlook 2013이 기본 인증으로 되돌아가지 않도록 현대적 인증을 강제 사용하도록 다음 레지스트리 키를 추가하는 것을 권장합니다:
| 레지스트리 키 | 유형 | 값 |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Outlook 2016 이상의 현대적 인증
Outlook 2016에서는 현대적 인증이 기본적으로 활성화되어 있지만, 다음 레지스트리 키를 사용하여 현대적 인증을 강제하는 것이 좋습니다:
| 레지스트리 키 | 유형 | 값 |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Skype for Business 현대적 인증
2017년 8월 1일 이전에 생성된 모든 Microsoft 테넌트에 대해 현대적 인증이 기본적으로 꺼져 있으므로 수동으로 켜야 합니다. Outlook과 마찬가지로 Skype for Business에서도 다음 레지스트리 키를 사용하여 현대적 인증을 활성화할 수 있습니다:
| 레지스트리 키 | 유형 | 값 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
결론
마이크로소프트는 O365의 레거시 인증을 단순한 자격 증명 세트로는 필요한 보안 보호를 보장할 수 없기 때문에 단계적으로 폐지하고 있습니다. 다행히도 다른 보안 조치가 있으며, Office 365의 현대적 인증을 활성화하는 것이 권장됩니다. 활성화하면 다중 요소 인증(MFA)을 활성화하고 사용자에 대한 권한을 정의하고 특정 애플리케이션에 대한 액세스를 제한할 수 있습니다.
그럼에도 불구하고, 제3자의 포괄적인 백업 솔루션이 Office 365 환경에 최적의 보호를 보장합니다. NAKIVO Backup & Replication과 같은 완전한 데이터 보호 솔루션에는 조직의 Microsoft 365 데이터를 보호하는 데 필요한 모든 도구가 포함되어 있습니다.
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/