Microsoft Entra SSPR(셀프 서비스 암호 재설정)에 대한 사용자 인증 연락처 정보 미리 채우기

  • 아티클

Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하려면 사용자에 대한 인증 정보가 있어야 합니다. 대부분의 조직에서는 사용자가 MFA에 대한 정보를 수집하는 동안 인증 데이터를 직접 등록하도록 합니다. 일부 조직에서는 AD DS(Active Directory Domain Services)에 이미 있는 인증 데이터의 동기화를 통해 이 프로세스를 부트스트랩하는 것을 선호합니다. 이 동기화된 데이터는 사용자 개입 없이 Microsoft Entra ID 및 SSPR에 제공됩니다. 사용자가 암호를 변경하거나 다시 설정해야 할 때 이전에 등록된 연락처 정보가 없는 경우에도 이 작업을 수행할 수 있습니다.

다음 요구 사항을 충족하는 경우 인증 연락처 정보를 미리 채울 수 있습니다.

  • 온-프레미스 디렉터리에 데이터가 올바른 형식으로 저장되어 있습니다.
  • Microsoft Entra 테넌트용 Microsoft Entra Connect를 구성했습니다.

전화 번호는 +1 4251234567과 같은 +국가 번호 전화 번호 형식이어야 합니다.

참고 항목

국가 번호와 전화 번호 사이에 공백이 필요합니다.

암호 재설정은 내선 번호를 지원하지 않습니다. +1 4251234567X12345 형식에서도 전화를 걸기 전에 내선 번호가 제거됩니다.

채워진 필드

Microsoft Entra Connect에서 기본 설정을 사용할 경우, SSPR에 대한 인증 연락처 정보를 채우기 위해 다음 매핑이 만들어집니다.

온-프레미스 Active Directory Microsoft Entra ID
telephoneNumber 사무실 전화
mobile 휴대폰

사용자가 자신의 휴대폰 번호를 확인하면 Microsoft Entra ID에서 인증 연락처 정보 아래의 전화 필드도 해당 번호로 채워집니다.

인증 연락처 정보

Microsoft Entra 관리 센터에서 Microsoft Entra 사용자에 대한 인증 방법 페이지에서 전역 관리자는 인증 연락처 정보를 수동으로 설정할 수 있습니다. 다음 예제 스크린샷에 표시된 대로 사용할 수 있는 인증 방법 섹션 또는 +인증 방법 추가에서 기존 방법을 검토할 수 있습니다.

Screenshot of how to manage authentication methods

이 인증 연락처 정보에는 다음 고려 사항이 적용됩니다.

  • 전화 필드가 채워지고 휴대폰이 SSPR 정책에서 활성화되는 경우 사용자는 암호 재설정 등록 페이지와 암호 재설정 워크플로 중 해당 번호를 볼 수 있습니다.
  • 이메일 필드가 채워지고 이메일이 SSPR 정책에서 활성화되는 경우 사용자는 암호 재설정 등록 페이지와 암호 재설정 워크플로 중 해당 이메일을 볼 수 있습니다.

보안 질문 및 답변

본인 확인 질문과 답변은 Microsoft Entra 테넌트에 안전하게 저장되며 사용자가 내 보안 정보의 결합된 등록 환경을 통해서만 액세스할 수 있습니다. 관리자는 다른 사용자의 질문과 답변 내용을 보거나, 설정하거나, 수정할 수 없습니다.

사용자가 등록하면 어떻게 되나요?

사용자가 등록하면 등록 페이지에서 다음 필드를 설정합니다.

  • 인증 전화
  • 인증 메일
  • 본인 확인 질문 및 답변

관리자가 휴대폰 또는 대체 메일에 값을 입력하면 서비스에 등록하지 않은 사용자도 해당 값을 사용하여 자신의 암호를 즉시 재설정할 수 있습니다.

또한, 사용자는 처음으로 등록할 때 해당 값을 보고, 원하는 경우 값을 변경할 수도 있습니다. 등록을 완료한 후에는 인증 전화인증 이메일 필드에 해당하는 값이 유지됩니다.

PowerShell을 사용하여 인증 데이터 설정 및 읽기

PowerShell을 사용하여 다음 필드를 설정할 수 있습니다.

  • 대체 메일
  • 휴대폰
  • 사무실 전화
    • 온-프레미스 디렉터리와 동기화하지 않는 경우에만 설정할 수 있습니다.

Microsoft Graph PowerShell을 사용하여 Microsoft Entra ID와 상호 작용하거나 Microsoft Graph REST API를 사용하여 인증 방법을 관리할 수 있습니다.

Microsoft Graph PowerShell 사용

먼저 Microsoft Graph PowerShell 모듈을 다운로드하여 설치합니다.

Install-Module을 지원하는 최신 버전의 PowerShell에서 빠르게 설치하려면 다음 명령을 실행합니다. 첫 줄에서는 모듈이 이미 설치되어 있는지 확인합니다.

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

모듈을 설치한 후 다음 단계를 사용하여 각 필드를 구성합니다.

Microsoft Graph PowerShell을 사용하여 인증 데이터 설정

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Microsoft Graph PowerShell을 사용하여 인증 데이터 읽기

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

다음 단계

사용자에 대한 인증 연락처 정보가 미리 채워져 있으면 다음 자습서를 완료하여 셀프 서비스 암호 재설정을 사용하도록 설정합니다.

Microsoft Entra SSPR(셀프 서비스 암호 재설정) 사용