Share via

등록 캠페인을 실행하여 Microsoft Authenticator를 설정하는 방법

  • 아티클

로그인하는 동안 Microsoft Authenticator를 설치하도록 사용자를 유도할 수 있습니다. 사용자는 일반 로그인을 통해 평소처럼 다단계 인증을 수행하게 됩니다. 그런 다음, Microsoft Authenticator를 설치하라는 메시지가 표시됩니다. 사용자 또는 그룹을 포함하거나 제외하여 앱을 설치하도록 유도할 대상을 제어할 수 있습니다. 그러면 대상 캠페인을 통해 덜 안전한 인증 방법에서 Authenticator 앱으로 사용자를 이동할 수 있습니다.

사용자가 연기할 수 있는 일 수 또는 "다시 알림"을 정의할 수도 있습니다. 사용자가 지금은 건너뛰기를 탭하여 앱 설치를 연기하면, 다시 알림 기간이 경과한 후 다음 MFA 시도에서 유도 문구가 표시됩니다. 사용자가 무기한 또는 최대 세 번 다시 알림을 할 수 있는지 여부를 결정할 수 있습니다(그 후에는 등록해야 함).

참고 항목

사용자가 일반 로그인을 진행하면 사용자에게 인증자를 설정하라는 메시지가 표시되기 전에 보안 정보 등록을 관리하는 조건부 액세스 정책이 적용됩니다. 예를 들어, 조건부 액세스 정책에서 보안 정보 업데이트가 내부 네트워크에서만 발생할 수 있도록 요구하는 경우 사용자가 내부 네트워크에 있지 않으면 인증자를 설정하라는 메시지가 표시되지 않습니다.

필수 조건

  • 조직은 Microsoft Entra 다단계 인증을 사용하도록 설정해야 합니다. 모든 버전의 Microsoft Entra ID에는 Microsoft Entra 다단계 인증이 포함됩니다. 등록 캠페인에는 기타 라이선스가 필요하지 않습니다.
  • 사용자는 자신의 계정에 푸시 알림을 위해 Authenticator 앱을 아직 설정할 수 없습니다.
  • 관리자는 다음 정책 중 하나를 통해 사용자가 Authenticator 앱을 사용하도록 설정해야 합니다.
    • MFA 등록 정책: 사용자가 모바일 앱을 통한 알림을 사용하도록 설정해야 합니다.
    • 인증 방법 정책: 사용자가 Authenticator 앱을 사용하도록 설정하고 인증 모드를 모두 또는 푸시로 설정해야 합니다. 정책이 암호 없음으로 설정된 경우에는 사용자가 유도 대상이 될 수 없습니다. 인증 모드를 설정하는 방법에 대한 자세한 내용은 Microsoft Authenticator로 암호 없는 로그인 사용을 참조하세요.

사용자 환경

  1. 먼저 Microsoft Entra MFA(다단계 인증)를 사용하여 성공적으로 인증해야 합니다.

  2. Authenticator 푸시 알림을 사용하도록 설정하고 아직 설정하지 않은 경우 로그인 환경을 개선하기 위해 Authenticator를 설정하라는 메시지가 표시됩니다.

    참고 항목

    암호 없는 암호 없는 암호 키, 셀프 서비스 암호 재설정 또는 보안 기본값과 같은 다른 보안 기능도 설치하라는 메시지를 표시할 수 있습니다.

    다단계 인증의 스크린샷

  3. 다음을 탭하고 Authenticator 앱 설정을 단계별로 실행합니다.

  4. 먼저 앱을 다운로드합니다.

    Microsoft Authenticator 다운로드 스크린샷

    1. Authenticator 앱을 설정하는 방법을 참조하세요.

      Microsoft Authenticator의 스크린샷

    2. QR 코드를 스캔합니다.

      QR 코드의 스크린샷

    3. ID를 확인합니다.

      ID 확인 화면의 스크린샷.

    4. 디바이스에서 테스트 알림을 승인합니다.

      테스트 알림의 스크린샷

    5. 이제 인증자 앱이 성공적으로 설정되었습니다.

      설치 완료 스크린샷

  5. Authenticator 앱을 설치하지 않으려면 지금 건너뛰기를 탭하여 관리자가 설정할 수 있는 최대 14일 동안 프롬프트를 다시 알림할 수 있습니다. 무료 및 평가판 구독을 사용하는 사용자는 프롬프트를 최대 3번까지 다시 알림할 수 있습니다.

    다시 알림 옵션의 스크린샷

Microsoft Entra 관리 센터를 통해 등록 캠페인 정책 사용

Microsoft Entra 관리 센터에서 등록 캠페인을 사용하도록 설정하려면 다음 단계를 완료합니다.

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>인증 방법>등록 캠페인으로 이동하여 편집을 클릭합니다.

  3. 상태:

    • 모든 사용자에 대해 등록 캠페인을 사용하도록 설정하려면 사용 설정됨을 선택합니다.
    • Microsoft 관리를 선택하여 음성 통화 또는 문자 메시지 사용자에 대해서만 등록 캠페인을 사용하도록 설정합니다. Microsoft 관리 설정을 사용하면 Microsoft에서 기본값을 설정할 수 있습니다. 자세한 내용은 Microsoft Entra ID에서 인증 방법 보호를 참조하세요.

    등록 캠페인 상태가 사용 또는 Microsoft 관리로 설정된 경우 제한된 수의 다시 알림을 사용하여 최종 사용자에 대한 환경을 구성할 수 있습니다.

    • 제한된 수의 다시 알림이 사용하도록 설정된 경우 사용자는 인터럽트 프롬프트를 3번 건너뛸 수 있으며, 그 후에는 Authenticator를 등록해야 합니다.
    • 제한된 수의 다시 알림이 사용 안 함인 경우 사용자는 무제한으로 다시 알림을 사용하고 Authenticator 등록을 방지할 수 있습니다.

    다시 알림에 허용되는 일수는 두 개의 연속적인 인터럽트 프롬프트 사이의 기간을 설정합니다. 예를 들어 3일로 설정된 경우 등록을 건너뛴 사용자는 3일이 지날 때까지 메시지가 다시 표시되지 않습니다.

    등록 캠페인을 사용하도록 설정하는 스크린샷.

  4. 등록 캠페인에서 제외할 사용자 또는 그룹을 선택한 다음 저장을 클릭합니다.

그래프 탐색기를 사용하여 등록 캠페인 정책 사용

Microsoft Entra 관리 센터를 사용하는 것 외에도 Graph Explorer를 사용하여 등록 캠페인 정책을 사용하도록 설정할 수도 있습니다. 등록 캠페인 정책을 사용하도록 설정하려면 그래프 API를 사용하는 인증 방법 정책을 사용해야 합니다. 전역 관리자인증 정책 관리자가 정책을 업데이트할 수 있습니다.

Graph Explorer를 사용하여 정책을 구성하려면:

  1. Graph Explorer에 로그인하고, Policy.Read.AllPolicy.ReadWrite.AuthenticationMethod 사용 권한에 동의했는지 확인합니다.

    권한 패널을 열려면:

    Graph Explorer의 스크린샷

  2. 인증 방법 정책을 검색합니다.

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  3. 정책의 registrationEnforcement 및 authenticationMethodsRegistrationCampaign 섹션을 업데이트하여 사용자 또는 그룹에 대한 유도를 사용하도록 설정합니다.

    API 응답의 스크린샷

    정책을 업데이트하려면 업데이트된 registrationEnforcement 섹션만 사용하여 인증 방법 정책에서 PATCH를 수행합니다.

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

다음 표에서는 authenticationMethodsRegistrationCampaign 속성을 보여 줍니다.

이름 사용 가능한 값: 설명
snoozeDurationInDays 범위: 0~14 사용자가 다시 조금 이동되기 전의 일수를 정의합니다.
값이 0이면 사용자가 MFA를 시도할 때마다 유도 문구가 표시됩니다.
기본값: 1일
enforceRegistrationAfterAllowedSnoozes "true"
"false"		 사용자가 3개의 다시 알림 후 설정을 수행해야 하는지 여부를 지정합니다.
true인 경우 사용자가 등록해야 합니다.
false인 경우 사용자는 무기한으로 다시 알림을 설정할 수 있습니다.
기본값: true
상태 "enabled"
"disabled"
"default"		 기능을 사용하거나 사용하지 않도록 설정할 수 있습니다.
기본값은 구성이 명시적으로 설정되지 않은 경우 사용되며 이 설정에 대해서는 Microsoft Entra ID 기본값을 사용합니다. 기본 상태는 모든 테넌트에서 음성 통화 및 문자 메시지 사용자에 대해 사용하도록 설정됩니다.
필요에 따라 상태를 사용(모든 사용자에 대해) 또는 사용 안 함으로 변경합니다.
excludeTargets 해당 없음 이 기능을 생략할 여러 사용자 및 그룹을 제외할 수 있습니다. 제외된 그룹과 포함된 그룹에 모두 있는 사용자는 기능에서 제외됩니다.
includeTargets 해당 없음 이 기능의 대상이 될 여러 사용자 및 그룹을 포함할 수 있습니다.

다음 표에서는 includeTargets 속성을 보여 줍니다.

이름 사용 가능한 값: 설명
targetType "user"
"group"		 대상으로 지정된 엔터티의 종류입니다.
ID GUID 식별자 대상으로 지정된 사용자 또는 그룹의 ID입니다.
targetedAuthenticationMethod "microsoftAuthenticator" 인증 방법 사용자에게 등록하라는 메시지가 표시됩니다. 유일하게 허용되는 값은 "microsoftAuthenticator"입니다.

다음 표에서는 excludeTargets 속성을 보여 줍니다.

이름 사용 가능한 값: 설명
targetType "user"
"group"		 대상으로 지정된 엔터티의 종류입니다.
ID 문자열 대상으로 지정된 사용자 또는 그룹의 ID입니다.

예제

다음은 시작하는 데 사용할 수 있는 몇 가지 샘플 JSON입니다.

  • 모든 사용자 포함

    테넌트에 모든 사용자를 포함하려면 다음 JSON 예를 사용자 및 그룹의 관련 GUID로 업데이트합니다. 그런 다음 Graph 탐색기에 붙여넣고 엔드포인트에서 PATCH를 실행합니다.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • 특정 사용자 또는 사용자 그룹 포함

    테넌트에 특정 사용자 또는 그룹을 포함하려면 다음 JSON 예를 사용자 및 그룹의 관련 GUID로 업데이트합니다. 그런 다음, JSON을 Graph Explorer에 붙여넣고 엔드포인트에서 PATCH를 실행합니다.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 1,
          "enforceRegistrationAfterAllowedSnoozes": true,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }
}

  • 특정 사용자 또는 그룹 포함 및 제외

    테넌트에 특정 사용자 또는 그룹을 포함하고 제외하려면 사용자 및 그룹의 관련 GUID로 다음 JSON 예를 업데이트합니다. 그런 다음 Graph 탐색기에 붙여넣고 엔드포인트에서 PATCH를 실행합니다.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

JSON에 삽입할 사용자의 GUID 식별

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 관리 블레이드에서 사용자를 탭합니다.

  3. 사용자 페이지에서 대상으로 지정할 특정 사용자를 식별합니다.

  4. 특정 사용자를 탭하면 사용자의 GUID인 개체 ID가 표시됩니다.

    사용자 개체 ID

JSON에 삽입할 그룹의 GUID 식별

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 관리 블레이드에서 그룹을 탭합니다.

  3. 그룹 페이지에서 대상으로 지정할 특정 그룹을 식별합니다.

  4. 그룹을 탭하여 개체 ID를 가져옵니다.

    그룹 유도

제한 사항

Android 또는 iOS를 실행하는 모바일 디바이스에는 유도 문구가 표시되지 않습니다.

자주 묻는 질문

MFA 서버에 등록 캠페인을 사용할 수 있나요?

아니요, 등록 캠페인은 Microsoft Entra 다단계 인증을 사용하는 사용자만 사용할 수 있습니다.

애플리케이션 내에서 사용자를 조금 이동시킬 수 있나요?

예, 특정 애플리케이션에서 포함된 브라우저 보기를 지원합니다. Windows 설정에 포함된 기본 환경 또는 브라우저 보기에서 사용자를 이동하지 않습니다.

모바일 디바이스에서 사용자를 살짝 밀 수 있나요?

등록 캠페인은 모바일 디바이스에서 사용할 수 없습니다.

캠페인이 얼마 동안 실행되나요?

원하는 기간만큼 캠페인을 사용하도록 설정할 수 있습니다. 캠페인 실행을 중단하려는 경우 언제든지 관리 센터 또는 API를 사용하여 캠페인을 사용하지 않도록 설정합니다.

사용자 그룹마다 다시 알림 기간이 다를 수 있나요?

아니요. 프롬프트의 다시 알림 기간은 테넌트 전체의 설정이며 범위의 모든 그룹에 적용됩니다.

사용자가 암호 없는 휴대폰 로그인을 설정하도록 유도할 수 있나요?

이 기능은 관리자가 암호 없는 휴대폰 로그인이 아닌 Authenticator 앱을 사용하여 사용자가 MFA를 설정할 수 있도록 하는 것을 목표로 합니다.

타사 인증 앱으로 로그인하는 사용자에게 조금 이동이 표시되나요?

예. 사용자가 등록 캠페인에 대해 사용하도록 설정되어 있고 푸시 알림을 위해 Microsoft Authenticator가 설정되어 있지 않은 경우 사용자에게 Authenticator를 설정하라는 메시지가 표시됩니다.

TOTP 코드용으로만 Authenticator를 설치한 사용자에게 유도 문구가 표시되나요?

예. 사용자가 등록 캠페인에 대해 사용하도록 설정되어 있고 Authenticator 앱이 푸시 알림에 대해 설정되지 않은 경우 사용자는 Authenticator를 사용하여 푸시 알림을 설정하라는 메시지가 표시됩니다.

사용자가 MFA 등록을 방금 마친 경우 동일한 로그인 세션에서 유도 문구가 표시되나요?

아니요. 좋은 사용자 환경을 제공하기 위해, 다른 인증 방법을 등록한 동일한 세션에서는 사용자에게 Authenticator 설치 유도 문구가 표시되지 않습니다.

또 다른 인증 방법을 등록하도록 사용자를 유도할 수 있나요?

아니요. 현재 이 기능은 Authenticator 앱을 설치하도록 사용자를 유도하는 것만을 목표로 합니다.

다시 알림 옵션을 숨기고 사용자가 Authenticator 앱을 설치하도록 강제할 수 있는 방법이 있나요?

사용자가 앱 설정을 최대 세 번 연기할 수 있도록 제한된 수의 다시 알림 수를 사용으로 설정한 다음 설치해야 합니다.

내가 Microsoft Entra 다단계 인증을 사용하지 않는 경우 내 사용자에게 유도 문구가 표시되나요?

아니요. 유도 문구는 Microsoft Entra 다단계 인증 서비스를 사용하여 MFA를 수행하는 사용자에게만 작동합니다.

내 테넌트의 게스트/B2B 사용자를 유도할 수 있나요?

예. 정책을 사용하여 유도에 대한 범위가 지정된 경우 가능합니다.

사용자가 브라우저를 닫으면 어떻게 되나요?

다시 알림과 같습니다. 사용자가 세 번 다시 알림을 설정한 후 설정이 필요한 경우 사용자가 다음에 로그인할 때 메시지가 표시됩니다.

"보안 정보 등록"에 대한 조건부 액세스 정책이 있을 때 일부 사용자에게 조금 이동이 표시되지 않는 이유는 무엇인가요?

사용자가 보안 정보 등록 페이지에 대한 액세스를 차단하는 조건부 액세스 정책의 범위에 있는 경우 조금 이동이 표시되지 않습니다.

로그인하는 동안 사용자에게 ToU(사용 약관) 화면이 표시되면 사용자에게 조금 이동이 표시되나요?

사용자가 로그인하는 동안 ToU(사용 약관) 화면이 표시되면 알림이 표시되지 않습니다.

조건부 액세스 사용자 지정 컨트롤을 로그인에 적용할 때 사용자에게 알림이 표시되나요?

조건부 액세스 사용자 지정 컨트롤 설정으로 인해 로그인 중에 사용자가 리디렉션되는 경우에는 조금 이동이 표시되지 않습니다.

MFA에 사용할 수 있는 방법으로 SMS 및 음성을 중단할 계획이 있나요?

아니요, 그런 계획은 없습니다.

다음 단계

Microsoft Authenticator로 암호 없는 로그인을 사용하도록 설정