Microsoft Entra ID에 대한 인증 방법 관리
Microsoft Entra ID를 사용하면 다양한 인증 방법을 사용하여 다양한 로그인 시나리오를 지원할 수 있습니다. 관리자는 사용자 환경 및 보안 목표를 충족하도록 각 방법을 구체적으로 구성할 수 있습니다. 이 항목에서는 Microsoft Entra ID에 대한 인증 방법을 관리하는 방식과 구성 옵션이 사용자 로그인 및 암호 재설정 시나리오에 미치는 영향에 대해 설명합니다.
인증 방법 정책
인증 방법 정책은 암호 없는 인증과 같은 최신 방법을 포함하여 인증 방법을 관리하는 데 권장되는 방식입니다. 인증 정책 관리자는 이 정책을 편집하여 모든 사용자 또는 특정 그룹에 대해 인증 방법을 사용할 수 있습니다.
인증 방법 정책에서 사용하도록 설정된 방법은 일반적으로 인증 및 암호 재설정 시나리오 모두에 대해 Microsoft Entra ID의 모든 위치에서 사용할 수 있습니다. 예외는 FIDO2 및 비즈니스용 Windows Hello와 같은 일부 방법은 본질적으로 인증에 사용하도록 제한되고 다른 방법은 보안 질문과 같은 암호 재설정에 사용하도록 제한된다는 것입니다. 지정된 인증 시나리오에서 사용할 수 있는 방법을 더 잘 제어하려면 인증 강도 기능을 사용하는 것이 좋습니다.
또한 대부분의 방법에는 해당 방법을 사용할 수 있는 방식을 보다 정확하게 제어하기 위한 구성 매개 변수가 있습니다. 예를 들어, 음성 통화를 사용하도록 설정하면 휴대폰 외에 사무실 전화를 사용할지 여부도 지정할 수 있습니다.
또는 Microsoft Authenticator를 사용하여 암호 없는 인증을 사용하도록 설정한다고 가정해 보겠습니다. 사용자 로그인 위치 또는 로그인 중인 앱 이름 표시와 같은 추가 매개 변수를 설정할 수 있습니다. 이러한 옵션은 사용자가 로그인할 때 더 많은 컨텍스트를 제공하고 실수로 MFA 승인을 방지하는 데 도움이 됩니다.
인증 방법 정책을 관리하려면 적어도 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인하고 보호>인증 방법>정책으로 이동합니다.
통합 등록 환경만 인증 방법 정책을 인식합니다. 인증 방법 정책 범위에 있지만 통합 등록 환경이 아닌 사용자에게는 올바른 등록 방법이 표시되지 않습니다.
레거시 MFA 및 SSPR 정책
다단계 인증 설정 및 암호 재설정 설정에 있는 두 개의 다른 정책은 테넌트의 모든 사용자에 대해 일부 인증 방법을 관리하는 레거시 방식을 제공합니다. 사용하도록 설정된 인증 방법을 사용하는 사람이나 방법을 사용할 수 있는 방식을 제어할 수 없습니다. 이러한 정책을 관리하려면 전역 관리자가 필요합니다.
Important
2023년 3월에 레거시 다단계 인증 및 SSPR(셀프 서비스 암호 재설정) 정책에서 인증 방법을 관리하는 방법을 사용 중단한다고 발표했습니다. 2025년 9월 30일부터 이러한 레거시 MFA 및 SSPR 정책에서 인증 방법을 관리할 수 없습니다. 고객은 수동 마이그레이션 컨트롤을 사용하여 사용 중단 날짜까지 인증 방법 정책으로 마이그레이션하는 것이 좋습니다.
레거시 MFA 정책을 관리하려면 보안>다단계 인증>추가 클라우드 기반 다단계 인증 설정을 선택합니다.
SSPR(셀프 서비스 암호 재설정)에 대한 인증 방법을 관리하려면 암호 재설정>인증 방법을 클릭합니다. 이 정책의 휴대폰 옵션을 사용하면 음성 통화나 문자 메시지를 휴대폰으로 보낼 수 있습니다. 사무실 전화 옵션은 음성 통화만 허용합니다.
정책이 함께 작동하는 방식
정책 간에 설정이 동기화되지 않으므로 관리자가 각 정책을 독립적으로 관리할 수 있습니다. Microsoft Entra ID는 모든 정책의 설정을 존중하므로 모든 정책에서 인증 방법을 사용하도록 설정된 사용자는 해당 방법을 등록하고 사용할 수 있습니다. 사용자가 방법을 사용하지 못하도록 하려면 모든 정책에서 사용하지 않도록 설정해야 합니다.
Accounting 그룹에 속한 사용자가 Microsoft Authenticator를 등록하려는 예를 살펴보겠습니다. 등록 프로세스는 먼저 인증 방법 정책을 확인합니다. 계정 그룹이 Microsoft Authenticator에 대해 사용하도록 설정된 경우 사용자가 등록할 수 있습니다.
그렇지 않은 경우 등록 프로세스에서 레거시 MFA 정책을 확인합니다. 해당 정책에서 다음 설정 중 하나가 MFA에 대해 사용하도록 설정된 경우 모든 사용자가 Microsoft Authenticator를 등록할 수 있습니다.
- 모바일 앱을 통한 알림
- 모바일 앱 또는 하드웨어 토큰의 확인 코드
사용자가 이러한 정책 중 하나를 기반으로 Microsoft Authenticator를 등록할 수 없는 경우 등록 프로세스에서 레거시 SSPR 정책을 확인합니다. 해당 정책에서도 사용자가 SSPR에 대해 사용하도록 설정되고 다음 설정 중 하나가 사용하도록 설정된 경우 사용자는 Microsoft Authenticator를 등록할 수 있습니다.
- 모바일 앱 알림
- 모바일 앱 코드
SSPR용 휴대폰을 사용하는 사용자의 경우 정책 간의 독립적인 제어가 로그인 동작에 영향을 미칠 수 있습니다. 다른 정책에는 문자 메시지 및 음성 통화에 대한 별도의 옵션이 있지만 SSPR용 휴대폰에서는 두 옵션을 모두 사용할 수 있습니다. 따라서 SSPR용 휴대폰을 사용하는 사람은 다른 정책에서 음성 통화를 허용하지 않는 경우에도 암호 재설정을 위해 음성 통화를 사용할 수 있습니다.
마찬가지로 그룹에 대해 음성 통화를 사용하도록 설정했다고 가정해 보겠습니다. 사용하도록 설정하면 그룹 멤버가 아닌 사용자도 음성 통화로 로그인할 수 있습니다. 이 경우 해당 사용자는 레거시 SSPR 정책에서 휴대폰 또는 레거시 MFA 정책에서 휴대폰에 전화 걸기를 사용할 수 있습니다.
정책 간 마이그레이션
인증 방법 정책은 모든 인증 방법의 통합 관리를 위한 마이그레이션 경로를 제공합니다. 모든 사용자에게 적용되지 않는 한 각 인증 방법 정책에 필요한 사용자 그룹이 정의되었다고 가정하고 인증 방법 정책에서 원하는 모든 메서드를 사용하도록 설정할 수 있습니다. 이 사용자가 관리 작업을 그룹화한 후에는 레거시 MFA 및 SSPR 정책의 메서드를 사용하지 않도록 설정할 수 있습니다. 마이그레이션에는 원하는 속도로 이동하고 전환 중에 로그인 또는 SSPR 문제를 방지할 수 있는 세 가지 설정이 있습니다. 마이그레이션이 완료되면 단일 위치에서 로그인 및 SSPR 모두에 대한 인증 방법에 대한 제어를 중앙 집중화하고 레거시 MFA 및 SSPR 정책은 사용하지 않도록 설정됩니다.
참고 항목
보안 질문은 레거시 SSPR 정책을 사용하여 현재만 사용할 수 있습니다. 앞으로 인증 방법 정책에서 제공할 예정입니다. 본인 확인 질문을 사용 중이고 사용하지 않도록 설정하지 않으려면 향후 새 컨트롤을 사용할 수 있을 때까지 레거시 SSPR 정책에서 사용하도록 설정된 상태로 유지해야 합니다. 나머지 인증 방법을 마이그레이션하고 레거시 SSPR 정책에서 보안 질문을 계속 관리할 수 있습니다.
마이그레이션 옵션을 보려면 인증 방법 정책을 열고 마이그레이션 관리를 클릭합니다.
다음 표는 각 옵션에 대해 설명합니다.
| 옵션 | 설명 |
|---|---|
| 사전 마이그레이션 | 인증 방법 정책은 인증에만 사용됩니다. 레거시 정책 설정이 적용됩니다. |
| 마이그레이션 진행 중 | 인증 방법 정책은 인증 및 SSPR에 사용됩니다. 레거시 정책 설정이 적용됩니다. |
| 마이그레이션 완료 | 인증 및 SSPR에는 인증 방법 정책만 사용됩니다. 레거시 정책 설정은 무시됩니다. |
테넌트는 테넌트의 현재 상태에 따라 기본적으로 사전 마이그레이션 또는 마이그레이션 진행 중으로 설정됩니다. 마이그레이션 전부터 시작하는 경우 언제든지 모든 상태로 이동할 수 있습니다. 진행 중인 마이그레이션을 시작한 경우 언제든지 진행 중인 마이그레이션과 Microsoft Complete 간에 이동할 수 있지만 마이그레이션 전으로 이동할 수는 없습니다. 마이그레이션 완료로 이동한 다음 마이그레이션 상태로 롤백하도록 선택하면 제품의 성능을 평가할 수 있도록 이유를 묻습니다.
참고 항목
모든 인증 방법이 완전히 마이그레이션된 후 레거시 SSPR 정책의 다음 요소는 활성 상태로 유지됩니다.
- 초기화에 필요한 방법 수 제어: 관리자는 사용자가 SSPR을 수행하기 전에 확인해야 하는 인증 방법 수를 계속 변경할 수 있습니다.
- SSPR 관리자 정책: 관리자는 레거시 SSPR 관리자 정책에 나열된 방법 또는 인증 방법 정책에서 사용할 수 있는 방법을 계속 등록하고 사용할 수 있습니다.
앞으로 이 두 기능은 모두 인증 방법 정책과 통합될 것입니다.
알려진 문제 및 제한 사항
- 최근 업데이트에서 개별 사용자를 대상으로 하는 기능을 제거했습니다. 이전에 대상으로 지정된 사용자는 정책에 남아 있지만 대상 그룹으로 이동하는 것이 좋습니다.
- FIDO2 인증 방법 정책의 대상이 그룹이고 전체 인증 방법 정책에 구성된 그룹이 20개가 넘는 경우 일부 사용자는 FIDO2 보안 키 등록에 실패할 수 있습니다. 당사는 정책 크기 제한을 늘리기 위해 노력하고 있으며, 그 동안 그룹 대상 수를 20개 이하로 제한하는 것이 좋습니다.