2026년 4월은 Microsoft Entra ID를 위해 중요한 달이었으며, 세 가지 전략적 기둥에 걸쳐 11개의 기능이 일반 공급에 도달했습니다: 인증서 기반 인증, Global Secure Access, 그리고 ID 거버넌스. 이것은 단순한 루틴 업데이트가 아닙니다. 향후 12-18개월 동안 Microsoft가 ID와 보안 플랫폼을 가져가는 방향을 알려주는 조정된 릴리스 세트입니다.
무엇이 바뀌었는지, 무엇을 의미하는지, 조직이 그에 대해 무엇을 해야 하는지를 알려드립니다.
세 가지 전략적 기둥
이 11개의 릴리스는 세 가지 명확한 초점 영역 주위에 모여 있습니다:
1. 인증서 기반 인증 — 패스워드리스가 현실로
Microsoft는 4월에 CBA와 관련된 세 가지 움직임을 통해 틈새 역량에서 주류 인증 전략으로 변환했습니다:
- iOS에서 세 번째 시스템 선호 MFA 옵션으로서의 CBA — CBA는 이제 iOS에서 시스템 선호 MFA 방법 목록의 세 번째 순위에 있습니다. 생체 인식과 하드웨어 토큰 뒤, 패스워드 앞입니다. CBA 인증서를 가진 사용자가 간소화된, 패스워드- 및 MFA-프롬프트-프리 경험을 받는다는 의미입니다.
- 인증 기관 스코핑 — 테넌트 관리자가 이제 특정 CA를 정의된 사용자 그룹으로 제한할 수 있습니다. 세밀한 정책 시행을 가능하게 합니다. 임상 직원은 내부 CA에서 인증서를 받고, 계약자는 외부 발급자를 사용합니다.
- 이슈어 힌트 — 사용자가 조직에 대해 신뢰되고 유효한 인증서만 선택하라는 프롬프트를 받아, 로그인 혼란과 인증서 선택 오류를 줄입니다.
영향: CBA가 규모에 맞춘 엔터프라이즈 배포를 위해 성숙 임계값을 넘었습니다. 조직이 CBA를 파일럿하거나 고려 중이었다면, 2026년 4월이 마지막 의미 있는 차단 요인을 제거합니다. 더 나은 모바일 지원, CA 수준 세분성, 향상된 UX.
2. Global Secure Access — SSE 플랫폼 성숙
세 가지 GSA 기능이 GA에 도달했으며, Microsoft가 Secure Service Edge (SSE) 시장에서 경쟁하겠다는 의지를 확인합니다:
- GSA iOS 클라이언트 — 이제 GA. 기존 Microsoft Defender for Endpoint (MDE)를 활용하여 Microsoft 365, 인터넷, 비공인 접근을 위해 Microsoft SSE를 통해 트래픽을 라우팅. 새 에이전트 불필요.
- 파일 유형별 네트워크 콘텐츠 필터링 — GenAI와 SaaS 앱으로의 파일 전송을 모니터링하고 통제하여, 네트워크 수준에서 미승인 데이터 반출을 방지.
- 원격 네트워크를 위한 GSA Cloud Firewall — GSA 원격 네트워크를 통해 지사에서 나가는 모든 인터넷 트래픽에 대한 5-튜플 필터링(소스 IP, 목적지 IP, 프로토콜, 소스 포트, 목적지 포트).
영향: GSA가 Zscaler와 Netskope 같은 독립형 SSE 솔루션의 진정한 대안이 되고 있습니다. iOS 클라이언트는 마지막 주요 엔드포인트 간극을 제거하고, 네트워크 계층 통제가 보안 팀을 밤새게 하는 GenAI 데이터 유출 우려를 다룹니다.
3. ID 거버넌스 — 가시성, 시행, 투명성
네 개의 릴리스가 Microsoft의 ID 거버넌스 스토리를 강화합니다:
- My Access 승인자 가시성 — 요청자가 이제 My Access 포털에서 승인자 이름과 이메일 주소를 볼 수 있어, 자격 관리 워크플로에서 “이것을 누가 승인했나?” 모호성을 제거.
- 모든 PIM 활성화에서 Conditional Access — PIM 역할 활성화에 CA 정책(MFA 등) 시행이 이제 GA. 가장 민감한 접근 부여가 루틴 인증 요구사항을 우회할 수 있었던 간극을 닫습니다.
- 라이선스 사용 페이지 — 기능 사용을 라이선스 유형(P1, P2, Suite)에 매핑하여 보여주는 새 대시보드로, 조직이 정확히 어떤 기능을 사용 중인지, 과도하게 라이선싱되었는지 이해하도록 돕습니다.
- 구성 가능한 토큰 수명 정책 — 애플리케이션 또는 서비스 주체 수준에서 액세스 토큰, ID 토큰, SAML 토큰 수명을 커스터마이즈.
영향: 컴플라이언스 함의가 있는 운영 효율성 승리입니다. PIM + CA 시행은 특히 중요합니다. 규제 산업에서 모든 권한 있는 접근 부여는 다른 로그인과 같은 인증 통제를 통과해야 합니다.
4. 보너스: 소셜 ID 제공자 + Entra External ID
Entra External ID의 Native Authentication SDK를 통한 Google, Facebook, Apple의 소셜 ID 제공자로서의 추가는 고객 대면 ID 스토리를 완성합니다. B2C와 B2B 고객 포털을 위해 계정 생성의 마찰을 제거합니다.
조직이 해야 할 것
즉시 행동(이번 달)
- My Access 승인자 가시성 활성화 — 멤버에 대해 기본적으로 켜져 있습니다. 롤아웃을 위한 조치는 필요 없지만, 게스트 시나리오를 위해 비활성화하려면 접근 패키지 구성을 감사하세요.
- CBA 준비 검토 — PKI와 인증서를 지원하는 디바이스가 있다면, CBA 파일럿 계획을 시작하세요. CA 스코핑 기능은 조직 전체 헌신 없이 특정 사용자 그룹에 CBA를 배포할 수 있게 합니다.
- GSA iOS 클라이언트 테스트 — MDE를 사용하고 iOS 사용자가 기업 자원에 접근한다면, 테스트 그룹에서 GSA iOS 클라이언트를 검증하세요.
전략적(이번 분기)
- PIM 활성화에 CA 시행 — 이것이 가장 높은 영향의 거버넌스 변경입니다. PIM 활성화 역할을 위한 Conditional Access 정책을 구성하세요. Tier 0(전역 관리자) 역할로 시작해 확장.
- 토큰 수명 정책 평가 — 현재 토큰 수명 기본값을 보안 요구사항에 대해 검토. 구성 가능한 정책을 통해 민감한 앱을 위해 액세스 토큰을 조이면서 저위험 워크로드를 위해 사용자 경험을 부드럽게 유지.
- 라이선스 사용 감사 — 새 라이선스 사용 페이지를 사용해 과소 활용된 Entra ID P2 또는 Suite 라이선스를 식별하고 테넌트를 적정화.
장기(향후 6-12개월)
- CBA 롤아웃 전략 개발 — CA 스코핑, 이슈어 힌트, iOS 지원이 모두 GA로, CBA가 프로덕션 준비되었습니다. 하드웨어 인증서 인프라에 맞춘 단계적 롤아웃을 계획.
- SSE 대체로서의 GSA 평가 — 갱신 시 SSE 벤더를 평가 중이라면, 베이크오프에 GSA를 포함. MDE와 네이티브 Entra ID Conditional Access와의 긴밀한 통합이 의미 있는 아키텍처 우위입니다.
바뀌지 않은 것
- 기본 인증 은퇴 타임라인은 변경 없이 유지(SAP SuccessFactors의 경우 2026년 11월).
- Entra Connect Sync 수명 종료 계획은 여전히 초기 알림 단계(2026년 7월 이후).
- 기존 CBA 배포 패턴은 계속 작동 — 주요 변경 사항 없음.
더 큰 그림
이 11개의 릴리스를 살펴보면, 명확한 패턴이 나타납니다: Microsoft는 별도의 제품이 아닌 통합 ID + 네트워크 + 거버넌스 플랫폼을 구축하고 있습니다. CBA가 인증 계층을 연결합니다. GSA가 네트워크 계층을 연결합니다. PIM + CA 시행이 거버넌스 계층을 연결합니다. 토큰 수명과 라이선스 사용 기능이 운영 계층을 연결합니다.
이것이 단순한 디렉터리 서비스가 아닌 플랫폼으로서의 Entra ID 뒤에 있는 아키텍처 비전입니다. Microsoft 생태계에 이미 투자한 조직에게 통합 혜택이 상당합니다. 더 적은 포인트 제품, 더 긴밀한 통합, ID 보안을 위한 단일 통제 평면.
Microsoft Entra ID 변경을 탐색하는 데 도움이 필요하신가요?
Big Hat Group은 조직이 Microsoft Entra ID 환경을 설계, 배포, 관리하도록 돕습니다. CBA 롤아웃을 계획하든, Global Secure Access를 평가하든, Entra ID 라이선싱을 최적화하든, 도울 수 있습니다.
Big Hat Group은 ID 보안, Microsoft Entra ID, 최신 엔드포인트 관리를 전문으로 하는 Microsoft 파트너입니다.