MFA 및 SSPR 정책 설정을 Microsoft Entra ID에 대한 인증 방법 정책으로 마이그레이션하는 방법
MFA(다단계 인증) 및 SSPR(셀프 서비스 암호 재설정)을 별도로 제어하는 Microsoft Entra ID 레거시 정책 설정을 인증 방법 정책을 사용하여 통합 관리로 마이그레이션할 수 있습니다.
사용자 고유의 일정에 따라 정책 설정을 마이그레이션하면 프로세스를 완전히 되돌릴 수 있습니다. 인증 방법 정책에서 사용자 및 그룹에 대한 인증 방법을 보다 정확하게 구성하는 동안 테넌트 차원의 MFA 및 SSPR 정책을 계속 사용할 수 있습니다. 인증 방법 정책에서 모든 인증 방법을 함께 관리할 준비가 될 때마다 마이그레이션을 완료합니다.
마이그레이션 중에 이러한 정책이 함께 작동하는 방법에 대한 자세한 내용은 Microsoft Entra ID에 대한 인증 방법 관리를 참조하세요.
시작하기 전에
먼저 사용자가 사용할 수 있는 각 인증 방법에 대한 기존 정책 설정을 감사합니다. 마이그레이션 중에 롤백하는 경우 다음 각 정책의 인증 방법 설정에 대한 레코드를 원할 수 있습니다.
- MFA 정책
- SSPR 정책(사용되는 경우)
- 인증 방법 정책(사용되는 경우)
SSPR을 사용하지 않고 아직 인증 방법 정책을 사용하지 않는 경우 MFA 정책에서 설정만 가져와야 합니다.
레거시 MFA 정책 검토
먼저 레거시 MFA 정책에서 사용할 수 있는 방법을 문서화합니다. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다. ID>사용자>모든 사용자>사용자별 MFA>서비스 설정으로 이동하여 설정을 확인합니다. 이러한 설정은 테넌트 전체에 적용되므로 사용자 또는 그룹 정보가 필요하지 않습니다.
각 방법에 대해 테넌트에서 사용하도록 설정되었는지 여부를 확인합니다. 다음 표에서는 레거시 MFA 정책에서 사용할 수 있는 방법과 인증 방법 정책의 해당 방법을 나열합니다.
| 다단계 인증 정책 | 인증 방법 정책 |
|---|---|
| 휴대폰에 전화 걸기 | 음성 통화 |
| 휴대폰에 문자 메시지 전송 | SMS |
| 모바일 앱을 통한 알림 | Microsoft Authenticator |
| 모바일 앱 또는 하드웨어 토큰의 확인 코드 | 타사 소프트웨어 OATH 토큰 하드웨어 OATH 토큰 Microsoft Authenticator |
레거시 SSPR 정책 검토
레거시 SSPR 정책에서 사용할 수 있는 인증 방법을 가져오려면 ID>사용자>암호 재설정>인증 방법으로 이동합니다. 다음 표에서는 레거시 SSPR 정책에서 사용 가능한 방법과 인증 방법 정책의 해당 방법을 나열합니다.
SSPR 범위에 속하는 사용자(모든 사용자, 특정 그룹 또는 사용자 없음) 및 사용할 수 있는 인증 방법을 기록합니다. 보안 질문은 아직 인증 방법 정책에서 관리할 수 없지만 나중에 기록해야 합니다.
| SSPR 인증 방법 | 인증 방법 정책 |
|---|---|
| 모바일 앱 알림 | Microsoft Authenticator |
| 모바일 앱 코드 | Microsoft Authenticator 소프트웨어 OATH 토큰 |
| 전자 메일 | 전자 메일 OTP |
| 휴대폰 | 음성 통화 SMS |
| 사무실 전화 | 음성 통화 |
| 본인 확인 질문 | 아직 사용할 수 없음, 나중에 사용할 수 있는 질문 복사 |
인증 방법 정책
인증 방법 정책의 설정을 확인하려면 적어도 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인하고 보호>인증 방법>정책으로 이동합니다. 새 테넌트는 기본적으로 모든 방법이 해제되어 있습니다. 레거시 정책 설정을 기존 설정과 병합할 필요가 없으므로 마이그레이션이 더 쉬워집니다.
- 최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>인증 방법>으로 이동합니다.
인증 방법 정책에는 FIDO2 보안 키, 임시 액세스 패스, Microsoft Entra 인증서 기반 인증과 같이 레거시 정책에서 사용할 수 없는 다른 방법이 있습니다. 이러한 방법은 마이그레이션을 범위에 속하지 않으며 이미 구성한 경우 변경할 필요가 없습니다.
인증 방법 정책에서 다른 방법을 사용하도록 설정한 경우 해당 방법을 사용할 수 있거나 사용할 수 없는 사용자 및 그룹을 적어 둡니다. 해당 방법을 사용하는 방법을 제어하는 구성 매개 변수를 기록해 둡니다. 예를 들어 푸시 알림의 위치를 제공하도록 Microsoft Authenticator를 구성할 수 있습니다. 각 방법과 연결된 유사한 구성 매개 변수가 사용하도록 설정된 사용자 및 그룹을 기록합니다.
마이그레이션 시작
현재 사용 중인 정책에서 사용 가능한 인증 방법을 캡처한 후 마이그레이션을 시작할 수 있습니다. 인증 방법 정책을 열고 마이그레이션 관리를 선택한 다음, 진행 중인 마이그레이션을 선택합니다.
로그인 및 암호 재설정 시나리오 모두에 새 정책을 적용하기 때문에 변경하기 전에 이 옵션을 설정하는 것이 좋습니다.
다음 단계는 감사와 일치하도록 인증 방법 정책을 업데이트하는 것입니다. 각 방법을 하나씩 검토하려고 합니다. 테넌트가 레거시 MFA 정책만 사용하고 SSPR은 사용하지 않는 경우 업데이트는 간단합니다. 모든 사용자에 대해 각 방법을 사용하도록 설정하면 기존 정책과 정확하게 일치시킬 수 있습니다.
테넌트가 MFA와 SSPR을 모두 사용하는 경우 각 방법을 고려해야 합니다.
- 두 레거시 정책에서 방법을 사용하도록 설정한 경우 인증 방법 정책의 모든 사용자에 대해 해당 방법을 사용하도록 설정합니다.
- 두 레거시 정책에서 방법이 해제되어 있으면 인증 방법 정책의 모든 사용자에 대해서도 해제한 상태로 둡니다.
- 방법이 하나의 정책에서만 사용하도록 설정된 경우 모든 상황에서 사용할 수 있는지 여부를 결정해야 합니다.
정책이 일치하는 경우 현재 상태를 쉽게 일치시킬 수 있습니다. 불일치가 있는 경우 방법을 모두 사용하거나 사용하지 않도록 설정할지 여부를 결정해야 합니다. 예를 들어 모바일 앱을 통한 알림이 MFA에 대한 푸시 알림을 허용하도록 설정된 경우를 가정해 보겠습니다. 레거시 SSPR 정책에서 모바일 앱 알림 방법이 사용하도록 설정되지 않습니다. 이 경우 레거시 정책은 MFA에 대한 푸시 알림을 허용하지만 SSPR은 허용하지 않습니다.
그런 다음, 인증 방법 정책에서 SSPR 및 MFA 모두에 대해 Microsoft Authenticator를 사용하도록 설정할지, 아니면 사용하지 않도록 설정할지 여부를 선택해야 합니다(Microsoft Authenticator를 사용하도록 설정하는 것이 좋음).
인증 방법 정책에서는 모든 사용자 외에도 사용자 그룹에 대해 방법을 사용하도록 설정하는 옵션이 있으며, 지정된 방법을 사용할 수 없도록 사용자 그룹을 제외할 수도 있습니다. 즉, 사용자가 어떤 방법을 사용할 수 있는지 제어할 수 있는 유연성이 많습니다. 예를 들어 모든 사용자에 대해 Microsoft Authenticator를 사용하도록 설정하고 SMS 및 음성 통화를 이러한 방법이 필요한 20명의 사용자로 구성된 1개 그룹으로 제한할 수 있습니다.
인증 방법 정책에서 각 방법을 업데이트할 때 일부 방법에는 해당 방법을 사용하는 방법을 제어할 수 있는 구성 가능한 매개 변수가 있습니다. 예를 들어 음성 통화를 인증 방법으로 사용하도록 설정하는 경우 사무실 전화와 휴대폰 또는 모바일만 허용하도록 선택할 수 있습니다. 프로세스를 단계별로 진행하여 감사에서 각 인증 방법을 구성합니다.
기존 정책과 일치시킬 필요가 없습니다. 사용하도록 설정된 방법을 검토하고 테넌트의 보안 및 유용성을 최대화하는 새 정책을 선택할 수 있는 좋은 기회입니다. 이미 사용 중인 사용자에 대해 방법을 사용하지 않도록 설정하면 해당 사용자가 새 인증 방법을 등록하고 이전에 등록된 방법을 사용하지 못하도록 할 수 있습니다.
다음 섹션에서는 각 방법에 대한 특정 마이그레이션 지침을 다룹니다.
이메일로 일회용 암호 보내기
메일로 일회용 암호 보내기에 대한 두 가지 컨트롤이 있습니다.
구성의 사용 및 대상 섹션에서 포함 및 제외를 사용하여 대상을 지정하는 것은 암호 재설정 시 사용할 테넌트 멤버에 대해 메일 OTP를 사용하도록 설정하는 데 사용됩니다.
B2B 사용자의 로그인에 대한 메일 OTP 사용을 제어하는 구성 섹션에는 별도의 외부 사용자가 메일 OTP를 사용하도록 허용하는 컨트롤이 있습니다. 이 컨트롤을 사용하도록 설정하면 인증 방법을 사용하지 않도록 설정할 수 없습니다.
Microsoft Authenticator
레거시 MFA 정책에서 모바일 앱을 통한 알림을 사용하도록 설정한 경우 인증 방법 정책에서 모든 사용자에 대해 Microsoft Authenticator를 사용하도록 설정합니다. 푸시 알림 또는 암호 없는 인증을 허용하려면 인증 모드를 모두로 설정합니다.
레거시 MFA 정책에서 모바일 앱 또는 하드웨어 토큰의 확인 코드를 사용하도록 설정한 경우 Microsoft Authenticator OTP 사용 허용을 예로 설정합니다.
SMS 및 음성 통화
레거시 MFA 정책에는 SMS 및 전화 통화에 대한 별도의 컨트롤이 있습니다. 그러나 SMS 및 음성 통화 모두에 휴대폰을 사용할 수 있는 휴대 전화 컨트롤도 있습니다. 사무실 전화에 대한 또 다른 컨트롤을 사용하면 음성 통화에만 사무실 전화를 사용할 수 있습니다.
인증 방법 정책에는 레거시 MFA 정책과 일치하는 SMS 및 음성 호출에 대한 컨트롤이 있습니다. 테넌트가 SSPR을 사용하고 휴대폰이 사용하도록 설정된 경우 인증 방법 정책에서 SMS 및 음성 통화를 모두 사용하도록 설정해야 합니다. 테넌트가 SSPR을 사용하고 사무실 전화가 사용하도록 설정된 경우 인증 방법 정책에서 음성 통화를 사용하도록 설정하고 사무실 전화 옵션을 사용하도록 설정해야 합니다.
참고 항목
로그인에 사용 옵션은 SMS 설정에서 기본적으로 활성화됩니다. 이 옵션을 사용하면 SMS 로그인이 가능합니다. 사용자에 대해 SMS 로그인을 사용하도록 설정하면 테넌트 간 동기화에서 건너뛰게 됩니다. 테넌트 간 동기화를 사용하거나 SMS 로그인을 사용하도록 설정하지 않으려면 대상 사용자에 대해 SMS 로그인을 사용하지 않도록 설정합니다.
OATH 토큰
레거시 MFA 및 SSPR 정책의 OATH 토큰 컨트롤에는 Microsoft Authenticator 앱, 타사 소프트웨어 OATH TOTP 코드 생성기 앱, 하드웨어 OATH 토큰과 같은 세 가지 유형의 OATH 토큰을 사용할 수 있는 단일 컨트롤이었습니다.
인증 방법 정책에는 OATH 토큰의 각 유형에 대해 별도의 컨트롤이 있는 세분화된 컨트롤이 있습니다. Microsoft Authenticator의 OTP 사용은 정책의 Microsoft Authenticator 섹션에서 Microsoft Authenticator OTP 사용 허용 컨트롤을 통해 제어됩니다. 타사 앱은 정책의 타사 소프트웨어 OATH 토큰 섹션에서 제어됩니다. 하드웨어 OATH 토큰은 정책의 하드웨어 OATH 토큰 섹션에 의해 제어됩니다.
본인 확인 질문
보안 질문에 대한 컨트롤이 곧 제공될 예정입니다. 본인 확인 질문을 사용 중이고 사용하지 않도록 설정하지 않으려면 새 컨트롤을 사용할 수 있을 때까지 레거시 SSPR 정책에서 사용하도록 설정된 상태로 유지해야 합니다. 다음 섹션에서 설명한 대로 보안 질문을 사용하도록 설정하여 마이그레이션을 완료할 수 있습니다.
마이그레이션 완료
인증 방법 정책을 업데이트한 후 레거시 MFA 및 SSPR 정책을 살펴보고 각 인증 방법을 하나씩 제거합니다. 각 방법에 대한 변경 내용을 테스트하고 유효성을 검사합니다.
MFA 및 SSPR이 예상대로 작동하고 레거시 MFA 및 SSPR 정책이 더 이상 필요하지 않은 경우 마이그레이션 프로세스를 마이그레이션 완료로 변경할 수 있습니다. 이 모드에서 Microsoft Entra는 인증 방법 정책만 따릅니다. SSPR 정책의 보안 질문을 제외하고 마이그레이션 완료가 설정된 경우 레거시 정책을 변경할 수 없습니다. 어떤 이유로 레거시 정책으로 돌아가야 하는 경우 언제든지 마이그레이션 상태를 진행 중인 마이그레이션으로 다시 바꿀 수 있습니다.
