본문 바로가기
인공지능,프로그래밍/MS Azure

Azure 104 연습 문제 3

AI 마을1 2025. 4. 12. 13:43

문제 11.

귀사의 Azure 솔루션은 사용자가 사무실에 없을 때 다단계 인증(MFA)을 사용합니다.
사용 모델로 사용자별 인증 옵션이 구성되어 있습니다.
소규모 비즈니스 인수 및 다른 회사의 Azure Active Directory(Azure AD)에 새 직원을 추가한 후,
이 소규모 비즈니스에서 온보딩한 새 직원도 다단계 인증을 사용해야 하며,
이를 위해 사용 모델에 사용자별 사용 설정을 지정해야 한다는 통보를 받았습니다.

 

문제에 제시된 해결책은 Azure CLI를 통해 기존 사용 모델을 구성하는 것입니다.
이 해결책이 목표를 충족합니까?
 
답변: 아니요

 

해설: 기존 MFA 공급자의 사용 모델을 변경하는 것은 불가능합니다.
새 공급자를 생성하고 새 공급자의 활성화 자격 증명을 사용하여 기존 서버를 다시 활성화해야 합니다 .
Azure 용어: 다단계 인증(MFA), Azure Active Directory(Azure AD), Azure CLI, MFA 공급자.
 

 

문제 12.
문제 11과 정확히 동일하지만 이번에는 Azure Portal을 통해 기존 사용 모델을 재구성하는 것이 해결책입니다.
이 해결책이 목표를 충족합니까?
 
답변: 아니요
 
해설: 문제 11의 해설 참조.
기존 MFA 공급자의 사용 모델을 변경하는 것은 불가능합니다.
새 공급자를 생성하고 새 공급자의 활성화 자격 증명을 사용하여 기존 서버를 다시 활성화해야 합니다 .
Azure 용어: 다단계 인증(MFA), Azure Active Directory(Azure AD), Azure Portal, MFA 공급자.
 
문제 13.
문제 11과 동일하지만 다른 해결책입니다.
해결책은 사용 모델을 사용자별 인증에서 사용자별 사용으로 변경하는 것입니다.
이 해결책이 목표를 충족합니까?
 
답변: 아니요
 
해설: 문제 11의 해설 참조. MFA 공급자를 생성한 후에는 사용 모델을 변경할 수 없습니다 .
Azure 용어: 다단계 인증(MFA), Azure Active Directory(Azure AD), MFA 공급자.
 
문제 14.
해결책을 읽어보겠습니다.
기존 다단계 인증 공급자 데이터의 백업을 사용하여 새 다단계 인증 공급자를 생성하고
새 공급자의 활성화 자격 증명을 사용하여 기존 서버를 다시 활성화하는 것입니다.
이 해결책이 목표를 충족합니까?
 
답변:
 
해설: MFA 공급자를 생성한 후에는 사용 모델을 변경할 수 없습니다 .
따라서 새 MFA 공급자를 생성하고 해당 자격 증명으로 서버를 다시 활성화하는 것이 올바른 해결책입니다 .
Azure 용어: 다단계 인증(MFA), MFA 공급자.
 
 
문제 15. 
기존 가상 머신을 기반으로 Azure Resource Manager(ARM) 템플릿을 다운로드합니다.
이제 이 템플릿은 100개의 가상 머신을 배포하는 데 사용됩니다.
관리자 암호를 참조하도록 템플릿을 수정해야 하며,
암호가 일반 텍스트로 저장되지 않도록 해야 합니다.
암호를 저장하기 위해 무엇을 생성해야 합니까?
 
A. Azure Storage 계정 및 액세스 정책
B. Azure Key Vault 및 액세스 정책
C. Azure AD ID 보호 및 Azure Policy
D. Recovery Services 자격 증명 모음 및 백업 정책
 
 
 
답변: B. Azure Key Vault 및 액세스 정책
해설: Azure Key Vault는 비밀, 키 및 인증서를 관리하는 데 도움이 됩니다.
ARM 템플릿에서 암호를 안전하게 저장하고 일반 텍스트로 저장되지 않도록 하려면
Azure Key Vault가 적절한 서비스입니다 .
Azure 용어: Azure Resource Manager(ARM) 템플릿, 가상 머신, Azure Key Vault, 액세스 정책.
 

 

 
문제 16.
귀사에는 여러 부서가 있으며 각 부서에는 여러 가상 머신이 있습니다.
회사에는 rg1이라는 리소스 그룹을 포함하는 Azure 구독이 있습니다.
이제 모든 가상 머신이 rg1에 있으며 각 가상 머신을 해당 부서와 연결하려고 합니다. 어떻게 해야 합니까?
 
A. 각 부서에 Azure 관리 그룹 생성
B. 각 부서에 리소스 그룹 생성
C. 가상 머신에 태그 할당
D. 가상 머신의 설정 수정
 
답변: C. 가상 머신에 태그 할당
해설: Azure 태그는 조직과 관련된 설정에 따라 리소스를 식별하는 데 도움이 되는 키-값 쌍입니다 .
각 부서에 따라 가상 머신에 태그를 할당하는 것이 가상 머신을 연결하는 가장 좋은 방법입니다.
Azure 용어: Azure 구독, 리소스 그룹, 가상 머신, Azure 태그.
 

 

문제 17 ...
귀사에는 Azure Active Directory 구독이 있습니다.
이제 Azure AD 조건부 액세스 정책을 구현하려고 합니다.
정책은 글로벌 관리자 그룹의 구성원이 신뢰할 수 없는 위치에서
Azure AD에 연결할 때 다단계 인증과 Azure AD 조인 장치를 사용하도록 구성되어야 합니다.
제시된 해결책은 다단계 인증 페이지에 액세스하여 사용자 설정을 변경하는 것입니다. 이 해결책이 목표를 충족합니까?
 

 

 
답변: 아니요

 

해설: 사용자 설정을 변경하기 위해 다단계 인증 페이지에 액세스하는 것은 지정된 요구 사항으로
Azure AD 조건부 액세스 정책을 구성하는 올바른 방법이 아닙니다.
조건부 액세스 정책 자체를 구성해야 합니다 .
Accessing the multiactor authentication page to alter user settings
is not the correct way to configure an Azure AD Conditional Access policy with the specified requirements.
You need to configure the Conditional Access policy itself
 

 

 
문제 18
문제 17과 정확히 동일합니다. 해결책을 읽어보겠습니다.
Azure Portal에 액세스하여 Azure AD 조건부 액세스 정책의 세션 제어를 변경하는 것입니다.
이 해결책이 목표를 충족합니까?
 

 

답변: 아니요
 
해설: Azure AD 조건부 액세스 정책의 세션 제어를 변경하면
일부 측면을 해결할 수 있지만 신뢰할 수 없는 위치에서 연결할 때
다단계 인증Azure AD 조인 장치에 대한 요구 사항을 완전히 적용하지 못할 수 있습니다.

 

허가 제어를 구성해야 합니다 .
Azure 용어: Azure Active Directory(Azure AD), Azure Portal, Azure AD 조건부 액세스 정책, 세션 제어, 다단계 인증.
 
 
문제 19
문제 17과 정확히 동일합니다. 해결책을 읽어보겠습니다.
Azure Portal에 액세스하여 Azure AD 조건부 액세스 정책의 허가 제어를 변경하는 것입니다.

(It says that you access the Azure portal to alter the grant control of the Azure AD Conditional Access policy.)

이 해결책이 목표를 충족합니까?
 
답변:
해설: Azure AD 조건부 액세스 정책허가 제어를 구성하면 다단계 인증
Azure AD 조인 장치 요구와 같은 액세스 권한 부여 요구 사항을 정의할 수 있습니다 .

Configuring the grant control of the Azure AD Conditional Access policy

allows you to define the requirements for granting access,

such as requiring multiactor authentication and an Azure AD joined device

 
 

 

문제 20...
Microsoft 365 테넌트와 contoso.com이라는 Azure Active Directory 테넌트가 있습니다.
이제 사용자 one, user two 및 user three의 세 명의 사용자에게
Library 1이라는 임시 Microsoft SharePoint 문서 라이브러리에 대한 액세스 권한을 부여하려고 합니다.
이제 사용자를 위한 그룹을 만들어야 합니다.
솔루션은 그룹이 180일 후에 자동으로 삭제되도록 해야 합니다.
 
A. 할당된 멤버십 유형을 사용하는 Office 365 그룹
B. 할당된 멤버십 유형을 사용하는 보안 그룹
C. 동적 사용자 멤버십 유형을 사용하는 Office 365 그룹
D. 동적 사용자 멤버십 유형을 사용하는 보안 그룹
E. 동적 장치 멤버십 유형을 사용하는 보안 그룹
 

 

답변:
A. 할당된 멤버십 유형을 사용하는 Office 365 그룹
C. 동적 사용자 멤버십 유형을 사용하는 Office 365 그룹. (참고: 비디오에서는 EP2에서도 A와 C가 모두 정답으로 언급되었으며, 이 반복은 개념을 강화합니다. 일정 기간 후 자동 삭제는 Microsoft 365 그룹의 기능입니다.)
해설: Office 365 그룹은 180일과 같이 지정된 기간 후에 자동으로 삭제되도록 만료 정책을 구성할 수 있습니다.
그룹 멤버십을 관리하려는 방식에 따라 할당된 멤버십동적 사용자 멤버십 모두
Office 365 그룹에 대한 유효한 옵션입니다 .

Azure 용어: Microsoft 365 테넌트, Azure Active Directory 테넌트, Microsoft SharePoint, Office 365 그룹, 할당된 멤버십 유형, 동적 사용자 멤버십 유형.

 

다단계 인증(MFA)

모든 사용자에 대해 다단계 인증 필요

  1.  

Microsoft의 ID 보안 책임자인 Alex Weinert가 블로그 게시물 Your Pa$$word doesn't matter에서 언급했듯이

암호는 중요하지 않지만 MFA는 중요합니다! Microsoft의 연구에 따르면, MFA를 사용하는 경우 계정이 손상될 가능성이 99.9% 이상 줄어듭니다.

 

인증 강도

이 문서의 지침은 조직이 인증 강점을 사용하여 환경에 대한 MFA 정책을 만드는 데 도움이 됩니다.

Microsoft Entra ID는 다음과 같은 세 가지 기본 제공 인증 강도를 제공합니다.

  • 이 문서에서 권장되는 다단계 인증 강도 (덜 제한적)
  • 암호 없는 MFA 강도
  • 피싱 방지 MFA 강도(가장 제한적)

기본 제공된 강도 중 하나를 사용하거나 필요한 인증 방법에 따라 사용자 지정 인증 강도를 만들 수 있습니다.

외부 사용자 시나리오의 경우 리소스 테넌트가 허용할 수 있는 MFA 인증 방법은 사용자가 홈 테넌트에서 MFA를 완료하는지 또는 리소스 테넌트에서 MFA를 완료하는지에 따라 달라집니다. 자세한 내용은 외부 사용자의 인증 강도를 참조 하세요.

사용자 제외

조건부 액세스 정책은 강력한 도구이므로 정책에서 다음 계정을 제외하는 것이 좋습니다.

  • 정책 구성 오류로 인한 잠금 방지를 위한 비상 액세스 또는 긴급 계정 드물게 모든 관리자가 잠긴다면, 비상 접근 관리 계정을 사용하여 로그인한 후, 액세스를 복구하기 위한 단계를 수행할 수 있습니다.
    • 자세한 내용은 Microsoft Entra ID에서 긴급 액세스 계정 관리 문서를 참조하세요.
  • 서비스 계정 및서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에게 연결되지 않은 비대화형 계정입니다. 일반적으로 애플리케이션에 대한 프로그래매틱 액세스를 허용하는 백 엔드 서비스에서 사용하지만 관리 목적으로 시스템에 로그인할 때도 사용합니다. 서비스 주체가 수행한 호출은 사용자에 적용된 조건부 액세스 정책에 의해 차단되지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
    • 조직에서 스크립트 또는 코드에 이러한 계정을 사용 중인 경우 이를 관리 ID로 바꾸는 것이 좋습니다.

템플릿 배포

조직은 아래에 설명된 단계를 사용하거나 조건부 액세스 템플릿을 사용하여 이 정책을 배포할 수 있습니다.

조건부 액세스 정책 만들기

모든 사용자가 다단계 인증을 수행하도록 요구하는 조건부 액세스 정책을 만들기 위해, 앱 제외 없이 인증 강도 정책을(를) 사용하는 단계는 다음과 같습니다:

 경고 : 외부 인증 방법 현재 인증 강도와 호환되지 않습니다. 다단계 인증을 요구하는 제어를 사용해야 합니다.

  1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>조건부 액세스>정책으로 이동합니다.
  3. 새 정책을 선택합니다.
  4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
  5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
    1. 포함에서 모든 사용자를 선택합니다.
    2. 항목에서제외:
      1. 사용자 및 그룹 선택
        1. 조직의 긴급 접근 권한 또는 비상 계정을 선택합니다.
        2. Microsoft Entra Connect 또는 Microsoft Entra Connect 클라우드 동기화와 같은 하이브리드 ID 솔루션을 사용하는 경우 디렉터리 역할을 선택한 다음, 디렉터리 동기화 계정
      2. 게스트 사용자 특정 정책을 사용하여 대상을 지정하는 경우 게스트 사용자를 제외하도록 선택할 수 있습니다.
  6. 대상 리소스>리소스 (이전의 클라우드 앱)>에는, 모든 리소스 (이전의 '모든 클라우드 앱')을 선택합니다. 팁 : Microsoft는 모든 조직에서 모든 사용자, 앱 제외 없이 모든 리소스를 대상으로 하고 다단계 인증이 필요한 기준 조건부 액세스 정책을 만드는 것이 좋습니다.
  7. 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
    1. 인증 강도 필요를 선택한 다음, 목록에서 기본 제공 다단계 인증 강도를 선택합니다.
    2. 선택을 고릅니다.
  8. 설정을 확인하고 정책 사용 보고 전용으로 설정합니다.
  9. 만들기를 선택하여 정책을 활성화합니다.

관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.

명명된 위치

조직은 조건부 액세스 정책에 명명된 위치라고 하는 알려진 네트워크 위치를 통합하도록 선택할 수 있습니다. 이러한 명명된 위치에는 본사 위치에 대한 것과 같은 신뢰할 수 있는 IP 네트워크가 포함될 수 있습니다. 명명된 위치 구성에 관한 자세한 내용은 Microsoft Entra 조건부 액세스의 위치 조건이란? 문서를 참조하세요.

위의 예제 정책에서 조직은 회사 네트워크에서 클라우드 앱에 액세스할 때 다단계 인증을 요구하지 않도록 선택할 수 있습니다. 이 경우 정책에 다음 구성을 추가할 수 있습니다.

  1. 할당에서 네트워크를 선택합니다.
    1. 를 구성합니다.
    2. 네트워크 또는 위치를 포함합니다.
    3. 신뢰할 수 있는 모든 네트워크 및 위치를 제외 합니다.
  2. 정책 변경 내용을 저장합니다.

 

 

조건부 액세스 정책 템플릿

 

조건부 액세스 템플릿은 Microsoft 권장 사항에 따라 새 정책을 배포하는 편리한 방법을 제공합니다. 이러한 템플릿은 다양한 고객 유형 및 위치에서 일반적으로 사용되는 정책에 따라 최대한으로 보호할 수 있도록 설계되었습니다.

템플릿 범주

조건부 액세스 정책 템플릿은 다음 범주로 구성됩니다.

  • 안전한 파운데이션
  • 제로 트러스트
  • 원격 작업
  • 관리자 보호
  • 새로운 위협

Microsoft는 이러한 정책을 모든 조직의 기반으로 권장합니다. 이러한 정책은 그룹으로 배포하는 것이 좋습니다.

  • 관리자에 대해 다단계 인증 필요
  • 보안 정보 등록 보호
  • 레거시 인증 차단
  • Microsoft 관리 포털에 액세스하는 관리자에게 다단계 인증 요구
  • 모든 사용자에 대해 다단계 인증 필요
  • Azure 관리에 다단계 인증 필요
  • 모든 사용자에 대해 호환 디바이스나 Microsoft Entra 하이브리드 조인된 디바이스 또는 다단계 인증 필요
  • 규격 디바이스 필요

Microsoft Entra 관리 센터>보호>조건부 액세스>템플릿에서 새 정책 만들기에서 이러한 템플릿을 찾습니다. 각 범주의 모든 정책 템플릿을 보려면 자세히를 선택합니다.

 중요

조건부 액세스 템플릿 정책은 템플릿에서 정책을 만드는 사용자만 제외합니다. 조직이 다른 계정을 제외해야 하는 경우 정책을 만든 후에 수정할 수 있습니다. 이러한 정책은 Microsoft Entra 관리 센터>보호>조건부 액세스>정책에서 확인할 수 있습니다. 정책을 선택하여 편집기를 열고 제외할 사용자 및 그룹을 편집하여 제외하려는 계정을 선택합니다.

기본적으로 각 정책은 보고 전용 모드에서 만들어지므로 조직에서는 각 정책을 설정하기 전에 사용량을 테스트하고 모니터링하여 의도한 결과를 확인하는 것이 좋습니다.

조직은 개별 정책 템플릿을 선택하고 다음을 수행할 수 있습니다.

  • 정책 설정의 요약을 봅니다.
  • 편집하여 조직의 요구 사항에 따라 사용자 지정합니다.
  • 프로그래밍 워크플로에서 사용할 JSON 정의를 내보냅니다.
    • 이러한 JSON 정의는 정책 파일 업로드 옵션을 사용하여 기본 조건부 액세스 정책 페이지에서 편집한 다음, 가져올 수 있습니다.

기타 일반적인 정책

  • 디바이스 등록을 위해 다단계 인증 요구
  • 위치별 액세스 차단
  • 특정 앱을 제외한 액세스 차단

사용자 제외

조건부 액세스 정책은 강력한 도구이므로 정책에서 다음 계정을 제외하는 것이 좋습니다.

  • 정책 잘못된 구성으로 인한 잠금을 방지하는 비상 액세스 또는 비상 접근 허용 계정 희귀한 상황에서 모든 관리자가 계정 잠금 상태가 되면, 비상 접근 관리자 계정을 사용하여 로그인하고 접근 권한을 복구하기 위한 조치를 취할 수 있습니다.
    • 자세한 내용은 Microsoft Entra ID에서 긴급 액세스 계정 관리 문서를 참조하세요.
  • 서비스 계정 및서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에게 연결되지 않은 비대화형 계정입니다. 일반적으로 애플리케이션에 대한 프로그래매틱 액세스를 허용하는 백 엔드 서비스에서 사용하지만 관리 목적으로 시스템에 로그인할 때도 사용합니다. 서비스 주체가 수행한 호출은 사용자 대상으로 지정된 조건부 액세스 정책에 의해 차단되지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
    • 조직에서 스크립트 또는 코드에 이러한 계정을 사용 중인 경우 이를 관리 ID로 바꾸는 것이 좋습니다.

'인공지능,프로그래밍 > MS Azure' 카테고리의 다른 글

Azure 104 연습 문제 5  (0) 2025.04.13
Azure 104 연습 문제 4  (2) 2025.04.12
Azure 104 연습 문제 2  (0) 2025.04.12
MS Azure에서 Contributor의 의미  (0) 2025.04.12
AZ 104 연습 문제 1  (1) 2025.04.12

'인공지능,프로그래밍/MS Azure' Related Articles

티스토리툴바