Azure AD 사용자가 익명 IP 주소를 사용하여 인터넷에서 Azure AD에 연결할 때 사용자에게 암호를 변경하라는 메시지 자동으로 표시될 수 있게 가능
사용자 ID와 관련하여 탐지된 의심스러운 작업에 대한 자동 응답 구성 가능
신원 기반 위험 감지 및 치료를 자동화합니다.
포털의 데이터를 사용하여 위험을 조사합니다.
위험 감지 데이터를 SIEM으로 내보낼 수 있습니다.
Azure Privileged Identity Management
조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있는 Azure AD의 서비스
시간 기반 및 승인 기반 역할 활성화를 제공하여 사용자가 관심 있는 리소스에 대한 액세스 권한이 과도하거나 불 필요하거나, 잘못 사용되는 위험을 완화할 수 있도록 지원.
주요 기능
Azure AD 및 Azure 리소스에 대한 적시 액세스 권한 제공
시작 및 종료 날짜를 사용하여 리소스에 시간 제한 액세스 할당
권한 있는 역할을 활성화하려면 승인 필요
역할을 활성화하기 위해 다단계 인증 적용
권한 있는 역할이 활성화되면 알림 가져오기
액세스 검토를 수행하여 사용자에게 여전히 역할이 필요한지 확인
내부 또는 외부 감사를 위한 감사 기록 다운로드
Azure AD Connect
password has synchronization을 위해서는 staging mode가 반드시 disabled상태여야 한다 Azure AD Connect 서버가 준비 모드인 경우 password hash sync가 일시적으로 비활성화 된다 Azure AD Connect는 하이브리드 ID 목표를 충족하고 달성하기 위해 설계된 MS 도구 이며 다음과 같은 특징을 갖는다
Password has synchronization: 사내 AD 암호의 해시를 Azure AD와 동기화하는 로그인 방법
Pass-through authentication: 사용자가 사내 및 클라우드에서 동일한 암호를 사용할 수 있지만 연합 환경의 추가 인프라가 필요하지 않은 로그인 방법
Federation Integration: Azure AD Connect의 선택 사항. 사내 AD FS 인프라를 사용하여 하이브리드 환경을 구성하는데 사용할 수 있음
Synhronization: 사용자, 그룹 및 기타 개체 생성을 담당. 사내 사용자 및 그룹의 ID 정보가 클라우드와 일치하는지 확인. 암호 해시도 포함 됨
Health Monitoring: 강력한 모니터링 제공. Azure 포털에서 이 활동을 볼 수 있는 central location 제공
multi-factor authentication service setting
2단계 검증의 보안은 layered approach에 있다 여러 인증 factor를 손상시키는 것은 공격자들에게는 중요한 도전이다 비밀번호를 알 더라도 추가 authentication method 없이는 접근 불가능 함 이는 다음 authentication methods중 2개 이상을 요구한다
Something you know (typically a pwd)
Something you have (a trusted device that is not easily duplicated, like a phone)
Something you are (biometrics)
가능한 멀티 인증 요소
Call to phone
Text message to phone
Notification through. mobile app
Verification code from mobile app or hardware token
Inivite Guest
기본적으로 디렉토리에 있는 모든 사용자 및 게스트는 admin role이 없더라도 guest를 초대할 수 있으
외부 협업 설정(External coolaboration settings)을 통해 조직의 다양한 유형의 사용자에 대해 게스트 초대장을 켜거나 끌 수 있습니다.