설명
참조:
https://docs.microsoft.com/en-us/azure/role-based-access-control/role-locationments-portal
https://docs.microsoft.com/en-us/azure/active-directory/roles/permissions-reference
항목 1, Contoso, Ltd
개요
Contoso, Ltd는 런던과 시애틀의 몬트리올 사무실에 본사를 두고 있는 컨설팅 회사입니다.
Contoso에는 Fabrikam, Inc라는 회사와 파트너십이 있습니다. Fabcricam에는 fabrikam.com이라는 Azure AD(Azure Active Diretory) 테넌트가 있습니다.
기존 환경
Contoso의 온-프레미스 네트워크에는 contos.com이라는 Active Directory 도메인이 포함되어 있습니다. 도메인에는 Contoso_Resources라는 OU(조직 단위)가 포함되어 있습니다. Contoso_Resources OU에는 모든 사용자와 컴퓨터가 포함됩니다.
Contoso.com Active Directory 도메인에는 다음 표에 표시된 사용자가 포함되어 있습니다.
Microsoft 365/Azure 환경
Contoso에는 다음과 같은 관련 라이선스가 있는 Contoso.com이라는 Azure AD 테넌트가 있습니다.
* 마이크로소프트 오피스 365 엔터프라이즈 E5
* 엔터프라이즈 모빌리티 + 보안
* 윈도우 10 엔터프라이즈 E5
* 프로젝트 계획 3
Azure AD Connect는 Azure AD와 AD DS(Active Directory Domain Serverless) 간에 구성됩니다. Contoso 리소스 OU만 동기화됩니다.
헬프 데스크 관리자는 정기적으로 Microsoft 365 관리 센터를 사용하여 사용자 설정을 관리합니다.
사용자 관리자는 현재 Microsoft 365 관리 센터를 사용하여 라이선스를 수동으로 할당합니다. 모든 사용자에게는 다음 예외 외에 모든 라이선스가 할당되어 있습니다.
런던 사무실의 사용자에게는 라이선스를 수동으로 할당할 수 있는 Microsoft 365 관리 센터가 있습니다. 모든 사용자에게는 다음 예외를 제외하고 라이선스가 할당되어 있습니다.
* 런던 사무실의 사용자에게는 Microsoft 365 전화 시스템 라이선스가 할당되지 않았습니다.
* 시애틀 사무실의 사용자에게는 Yammer Enterprise 라이선스가 할당되지 않았습니다.
Contoso.com에서는 보안 기본값이 비활성화되어 있습니다.
Contoso는 Azure AD PIM(Privileged Identity Management)을 사용하여 관리자 역할을 프로젝트합니다.
문제 설명
Contoso는 다음과 같은 문제를 식별합니다.
* 현재 모든 헬프 데스크 관리자는 전체 Microsoft 365 테넌트에서 사용자 라이선스를 관리할 수 있습니다.
* 사용자 관리자는 각 Contoso 사무실에 대해 서로 다른 라이선스 요구 사항을 수동으로 구성하는 것이 지루하다고 보고합니다.
* 헬프 데스크 관리자는 필수 Microsoft 365 서비스 및 앱에 대한 내부 및 게스트 액세스를 프로비저닝하는 데 너무 많은 시간을 소비합니다.
* 현재 헬프데스크 관리자는 정당성이나 승인 없이 사용자 관리자 역할을 사용하여 작업을 수행할 수 있습니다.
* Azure AD에서 로그 노드를 선택하면 Log Analytics 통합이 활성화되지 않았다는 오류 메시지가 나타납니다.
계획된 변경
Contoso는 다음 변경 사항을 구현할 계획입니다.
셀프 서비스 암호 재설정(SSPR)을 구현합니다. 테넌트에 추가된 새 사용자에 대해 Azure Monitor-단순화 라이선스 할당을 사용하여 Azure 감사 활동 로그를 분석합니다. 공동 마케팅 캠페인을 통해 Fabrikam 사용자와 협력하세요. 활성화하려면 정당성과 승인이 필요하도록 사용자 관리자 역할을 구성합니다.
App1이라는 사용자 지정 LOB(기간 업무) Azure 웹앱을 구현합니다. App1은 인터넷에서 액세스할 수 있으며 Azure AD 계정을 사용하여 인증됩니다.
마케팅 부서의 신규 사용자의 경우 자동화된 승인 워크플로를 구현하여 Microsoft SharePoint Online 사이트, 그룹 및 앱에 대한 액세스를 제공합니다.
Contoso는 Corporation이라는 회사를 인수할 계획입니다. 100명의 새로운 A Datum 사용자가 Adatum이라는 Active Directory OU에 생성됩니다. 사용자는 런던과 시애틀에 위치하게 됩니다.
기술 요구 사항
Contoso는 다음과 같은 기술 요구 사항을 식별합니다.
* AH 사용자는 AD DS에서 contoso.com Azure AD 테넌트로 동기화되어야 합니다.
* App1에는 https://contoso.com/auth-response를 가리키는 리디렉션 URI가 있어야 합니다.
* 신규 사용자에 대한 라이선스 할당은 사용자의 위치에 따라 자동으로 할당되어야 합니다.
* Fabrikam 사용자는 최대 90일 동안 마케팅 부서의 SharePoint 사이트에 액세스할 수 있어야 합니다.
* Azure AD에서 수행되는 관리 작업은 감사되어야 합니다. 감사 로그는 1년 동안 보관되어야 합니다.
* 헬프데스크 관리자는 해당 사무실의 사용자에 대해서만 라이선스를 관리할 수 있어야 합니다.
* 이용자의 신원이 침해될 가능성이 있는 경우 반드시 비밀번호를 변경하여야 합니다.
주제 1, Litware, Inc
개요
Litware, Inc.는 Fabrikam, Inc.라는 자회사가 있는 제약 회사입니다. Litware는 보스턴과 시애틀에 사무실이 있지만 미국 전역에 직원이 있습니다. 직원들은 VPN 연결을 사용하여 두 사무실 중 하나에 원격으로 연결합니다.
신원 환경
네트워크에는 litware.com이라는 Azure AD(Azure Active Directory) 테넌트에 연결된 litware.com이라는 Active Directory 포리스트가 포함되어 있습니다. Azure AD Connect는 통과 인증을 사용하며 암호 해시 동기화가 비활성화되어 있습니다.
Litware.com에는 모든 응용 프로그램 개발을 감독하는 User1이라는 사용자가 포함되어 있습니다. Litware는 Azure AD 애플리케이션 프록시를 구현합니다.
Fabrikam에는 fabrikam.com이라는 Azure AD 테넌트가 있습니다. Fabrikam의 사용자는 litware.com 테넌트의 게스트 계정을 사용하여 litware.com의 리소스에 액세스합니다.
클라우드 환경
Litware의 모든 사용자는 Microsoft 365 Enterprise E5 라이선스를 보유하고 있습니다. Microsoft Cloud App Security에 기본 제공되는 모든 변칙 검색 정책이 활성화됩니다.
Litware에는 litware.com Azure AD 테넌트와 연결된 Azure 구독이 있습니다. 구독에는 Azure Active Directory 커넥터와 Office 365 커넥터를 사용하는 Azure Sentinel 인스턴스가 포함되어 있습니다.
Azure Sentinel은 현재 Azure AD 로그인 로그 및 감사 로그를 수집합니다.
온프레미스 환경
온프레미스 네트워크에는 다음 표에 표시된 서버가 포함되어 있습니다.
두 Litware 사무실 모두 인터넷에 직접 연결됩니다. 두 사무실 모두 사이트 간 VPN 연결을 사용하여 Azure 구독의 가상 네트워크에 연결됩니다. 모든 온프레미스 도메인 컨트롤러는 인터넷에 액세스할 수 없습니다.
위임 요건
Litware는 다음과 같은 위임 요구 사항을 식별합니다.
* Azure AD PIM(Privileged Identity Management)을 사용하여 권한 있는 역할 관리를 위임합니다.
* 권한이 없는 사용자가 litware.com Azure AD 테넌트에 애플리케이션을 등록하는 것을 방지합니다.
* ID 거버넌스를 위해 맞춤형 카탈로그 및 맞춤형 프로그램을 사용하세요.
* User1이 Azure AD에서 엔터프라이즈 애플리케이션을 만들 수 있는지 확인하세요. 최소 권한의 원칙을 사용하십시오.
라이센스 요구 사항
Litware는 최근 litware.com Active Directory 포리스트에 LWLicenses라는 사용자 정의 사용자 속성을 추가했습니다.
Litware는 LWLicenses 특성 값을 수정하여 Azure AD 라이선스 할당을 관리하려고 합니다. LWLicenses에 적절한 값이 있는 사용자는 적절한 라이선스가 할당된 Microsoft 365 그룹에 자동으로 추가되어야 합니다.
관리 요구 사항
Litware는 Litware에 대한 모든 Azure AD 사용자 계정을 포함하지만 모든 Azure AD 게스트 계정을 제외하는 LWGroup1이라는 그룹을 만들려고 합니다.
인증 요구 사항
Litware는 다음과 같은 인증 요구 사항을 식별합니다.
* 모든 Litware 사용자에 대해 다단계 인증(MFA)을 구현합니다.
* Litware의 Boston 사무실에서 Azure AD에 인증하기 위해 MFA를 사용하는 사용자를 면제합니다.
* litware.com 포리스트에 대해 금지된 비밀번호 목록을 구현하십시오.
* 온프레미스 애플리케이션에 액세스할 때 MFA를 적용합니다.
* 외부로 유출된 자격 증명을 자동으로 감지하고 교정합니다.
액세스 요구 사항
Litware는 Litware에 대한 모든 Azure AD 사용자 계정을 포함하지만 모든 Azure AD 게스트 계정을 제외하는 LWGroup1이라는 그룹을 만들려고 합니다.
모니터링 요구 사항
Litware는 Azure Sentinel의 Fusion 규칙을 사용하여 의심스러운 Azure AD 로그인과 그에 따른 비정상적인 Microsoft Office 365 활동의 조합을 포함하는 다단계를 감지하려고 합니다.
