인증자에 대한 다단계 인증 푸시 알림에서 숫자 일치가 작동하는 방법 - 인증 방법 정책
이 항목에서는 Microsoft Authenticator 푸시 알림의 숫자 일치가 사용자 로그인 보안을 개선시키는 방법을 다룹니다. 번호 일치는 Authenticator의 기존 2단계 알림에 대한 주요 보안 업그레이드입니다.
2023년 5월 8일부터 모든 OTP 푸시 알림에 대해 숫자 일치가 사용하도록 설정됩니다. 관련 서비스가 배포되면 인증자 푸시 알림이 사용하도록 설정된 전 세계 사용자의 승인 요청에서 일치하는 숫자가 표시되기 시작합니다. 모바일 앱을 통한 알림이 사용하도록 설정된 경우 인증 방법 정책이나 레거시 다단계 인증 정책에서 사용자가 인증자 푸시 알림을 사용하도록 설정할 수 있습니다.
숫자 일치 시나리오
숫자 일치는 다음 시나리오에서 사용할 수 있습니다. 사용하도록 설정하면 모든 시나리오에서 숫자 일치를 지원합니다.
Apple Watch 또는 Android 착용식 컴퓨터 디바이스에 대한 푸시 알림에는 숫자 일치가 지원되지 않습니다. 착용식 컴퓨터 디바이스 사용자는 숫자 일치가 사용되는 경우 휴대폰을 사용하여 알림을 승인해야 합니다.
Multi-Factor Authentication
사용자가 인증자를 사용하여 MFA 푸시 알림에 응답하면 숫자가 표시됩니다. 승인을 완료하려면 해당 번호를 앱에 입력해야 합니다. MFA 설정 방법에 대한 자세한 내용은 자습서: Microsoft Entra 다단계 인증으로 사용자 로그인 이벤트 보안을 참조하세요.
SSPR
인증자를 사용한 SSPR(셀프 서비스 암호 재설정)에서는 인증자를 사용할 때 숫자 일치가 필요합니다. 셀프 서비스 암호를 재설정하는 동안 로그인 페이지에는 사용자가 인증자 알림에 입력해야 하는 숫자가 표시됩니다. SSPR을 설정하는 방법에 대한 자세한 내용은 자습서: 사용자가 계정 잠금을 해제하거나 암호를 재설정할 수 있도록 설정을 참조하세요.
결합 등록
인증자와 통합 등록하려면 번호 일치가 필요합니다. 사용자가 인증자 설정을 위해 통합 등록을 진행하는 경우, 계정을 추가하려면 사용자가 알림을 승인해야 합니다. 이 알림에는 인증자 알림에 입력해야 하는 숫자가 표시됩니다. 결합 등록을 설정하는 방법에 대한 자세한 내용은 결합 보안 정보 등록 사용을 참조하세요.
AD FS 어댑터
AD FS 어댑터는 지원되는 Windows Server 버전에서 숫자 일치가 필요합니다. 이전 버전에서는 업그레이드할 때까지 사용자에게 계속 승인/거부 환경이 표시되고 일치하는 숫자가 표시되지 않습니다. AD FS 어댑터는 다음 표의 업데이트 중 하나를 설치한 후에만 숫자 일치를 지원합니다. AD FS 어댑터를 설정하는 방법에 대한 자세한 내용은 Windows Server에서 AD FS와 작동하도록 Azure Multi-Factor Authentication 서버 구성을 참조하세요.
참고 항목
패치가 적용되지 않은 버전의 Windows Server는 번호 일치를 지원하지 않습니다. 이러한 업데이트가 적용되지 않으면 사용자에게 계속 승인/거부 환경이 표시되고 숫자 일치가 표시되지 않습니다.
| 버전 | 업데이트 |
|---|---|
| Windows Server 2022 | 2021년 11월 9일 - KB5007205(OS 빌드 20348.350) |
| Windows Server 2019 | 2021년 11월 9일 - KB5007206(OS 빌드 17763.2300) |
| Windows Server 2016 | 2021년 10월 12일—KB5006669(OS 빌드 14393.4704) |
NPS 확장
NPS는 숫자 일치를 지원하지 않지만 최신 NPS 확장은 Microsoft Authenticator, 기타 소프트웨어 토큰 및 하드웨어 FOB에서 사용할 수 있는 TOTP(시간 제약이 있는 일회용 암호)와 같은 TOTP 방법을 지원합니다. TOTP 로그인은 대체 승인/거부 환경보다 더 나은 보안을 제공합니다. 최신 버전의 NPS 확장을 실행해야 합니다.
NPS 확장 버전 1.2.2216.1 이상을 사용하여 RADIUS 연결을 수행하는 사용자에게는 승인/거부 대신 TOTP 방법으로 로그인하라는 메시지가 표시됩니다. 이 동작을 보려면 사용자에게 TOTP 인증 방법이 등록되어 있어야 합니다. TOTP 방법이 등록되어 있지 않으면 사용자에게 승인/거부가 계속 표시됩니다.
이러한 이전 버전의 NPS 확장을 실행하는 조직은 사용자가 TOTP를 입력하도록 요구하도록 레지스트리를 수정할 수 있습니다.
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
참고 항목
1.0.1.40 이전의 NPS 확장 버전은 숫자 일치에서 적용되는 TOTP를 지원하지 않습니다. 이러한 버전은 계속해서 사용자에게 승인/거부를 표시합니다.
푸시 알림에서 승인/거부 옵션을 재정의하고 대신 TOTP를 요구하는 레지스트리 항목을 만들려면:
- NPS 서버에서 레지스트리 편집기를 엽니다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa로 이동합니다.
- 다음 문자열/값 쌍을 만듭니다.
- 이름: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- 값 = TRUE
- NPS 서비스를 다시 시작합니다.
추가:
TOTP를 수행하는 사용자는 Authenticator를 인증 방법으로 등록하거나 몇 가지 다른 하드웨어 또는 소프트웨어 OATH 토큰이 있어야 합니다. OTP 메서드를 사용할 수 없는 사용자는 1.2.2216.1 이전 버전의 NPS 확장을 사용하는 경우 푸시 알림으로 승인/거부 옵션이 항상 표시됩니다.
NPS 확장이 설치된 NPS 서버는 PAP 프로토콜을 사용하도록 구성해야 합니다. 자세한 내용은 사용자가 이용할 수 있는 인증 방법 확인을 참조하세요.
Important
MSCHAPv2는 TOTP를 지원하지 않습니다. NPS 서버가 PAP를 사용하도록 구성되지 않은 경우 이벤트 뷰어에서 NPS 확장 서버의 AuthZOptCh 로그에 있는 이벤트로 인해 사용자 권한 부여가 실패합니다.
Azure MFA용 NPS 확장: 사용자 npstesting_ap에 대한 인증 확장에서 요청된 챌린지입니다. PAP를 지원하도록 NPS 서버를 구성할 수 있습니다. PAP가 옵션이 아닌 경우 승인/거부 푸시 알림으로 대체되도록 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE를 설정할 수 있습니다.
조직에서 원격 데스크톱 게이트웨이를 사용하고 사용자가 인증자 푸시 알림과 함께 TOTP 코드에 등록된 경우 사용자는 Microsoft Entra 다단계 인증 질문을 충족할 수 없으며 원격 데스크톱 게이트웨이 로그인이 실패합니다. 이 경우 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE를 설정하여 OTP를 사용한 푸시 알림을 승인/거부로 대체할 수 있습니다.
FAQ
번호 일치를 옵트아웃할 수 있나요?
아니요, 사용자는 OTP 푸시 알림에서 숫자 일치를 옵트아웃할 수 없습니다.
관련 서비스는 2023년 5월 8일 이후에 이러한 변경 내용을 배포하기 시작하고 사용자는 승인 요청에서 숫자 일치를 확인할 수 있습니다. 서비스가 배포되면 일부의 경우 번호 일치를 볼 수 있는 반면, 그렇지 않은 경우도 있습니다. 모든 사용자에 대해 일관된 동작을 보장하려면 Authenticator 푸시 알림에 대해 숫자 일치를 미리 사용하도록 설정하는 것이 좋습니다.
인증자 푸시 알림이 기본 인증 방법으로 설정된 경우에만 숫자 일치가 적용되나요?
예. 사용자가 다른 기본 인증 방법을 사용하는 경우 기본 로그인은 변경되지 않습니다. 기본 방법이 인증자 푸시 알림인 경우 숫자가 일치합니다. 기본 방법이 인증자 또는 다른 공급자의 TOTP와 같은 다른 방법인 경우에는 변경 내용이 없습니다.
기본 방법에 관계없이 인증자 푸시 알림으로 로그인하라는 메시지가 표시되는 모든 사용자에게는 숫자 일치가 표시됩니다. 다른 방법을 묻는 메시지가 표시되면 변경 내용이 표시되지 않습니다.
인증 방법 정책에 지정되지 않았지만 레거시 MFA 테넌트 전체 정책에서 모바일 앱을 통해 알림에 대해 사용하도록 설정된 사용자는 어떻게 되나요?
레거시 MFA 정책에서 MFA 푸시 알림을 사용하도록 설정한 사용자는 레거시 MFA 정책에서 모바일 앱을 통한 알림을 사용하도록 설정한 경우 숫자 일치도 볼 수 있습니다. 인증 방법 정책에서 인증자가 사용하도록 설정되어 있는지 여부에 관계없이 사용자는 일치하는 숫자를 볼 수 있습니다.
MFA 서버에서 숫자 일치가 지원되나요?
아니요. 숫자 일치는 MFA 서버에 지원되는 기능이 아니므로 적용되지 않습니다(사용되지 않음).
사용자가 이전 버전의 Authenticator를 실행하면 어떻게 되나요?
사용자가 숫자 일치를 지원하지 않는 이전 버전의 인증자를 실행하는 경우 인증이 작동하지 않습니다. 사용자가 로그인에 사용하려면 최신 버전의 OTP로 업그레이드해야 합니다.
일치 요청이 표시된 후 사용자가 모바일 iOS 디바이스에서 숫자를 다시 확인하려면 어떻게 해야 하나요?
모바일 iOS 브로커 흐름 중에 2초 지연 후 숫자 일치 요청이 숫자 위에 표시됩니다. 숫자를 다시 확인하려면 숫자 다시 표시를 클릭합니다. 이 작업은 모바일 iOS 브로커 흐름에서만 발생합니다.
Apple Watch에서는 인증자가 지원되나요?
2023년 1월 iOS용 Authenticator 릴리스에는 Authenticator 보안 기능과 호환되지 않기 때문에 watchOS용 도우미 앱이 없습니다. Apple Watch에서는 인증자를 설치하거나 사용할 수 없습니다. 따라서 Apple Watch에서 OTP를 삭제하고 다른 디바이스에서 OTP를 사용하여 로그인하는 것이 좋습니다.