자습서: Azure AD Multi-Factor Authentication을 사용하여 사용자 로그인 이벤트 보호

MFA(Multi-Factor Authentication)는 로그인 이벤트 중에 사용자에게 추가 식별 형식을 묻는 메시지가 표시되는 프로세스입니다. 예를 들어, 프롬프트는 휴대폰에서 코드를 입력하거나 지문 검사를 제공하는 것일 수 있습니다. 두 번째 형태의 식별을 요구하는 경우 이러한 추가 요소는 공격자가 쉽게 얻거나 복제할 수 있는 것이 아니기 때문에 보안이 향상됩니다.

Azure AD Multi-Factor Authentication 및 조건부 액세스 정책은 특정 로그인 이벤트 중에 사용자에게 MFA를 요구할 수 있는 유연성을 제공합니다. MFA에 대한 개요는 테넌트에서 다단계 인증을 구성하고 시행하는 방법 비디오를 시청하는 것이 좋습니다.

중요

이 자습서에서는 관리자에게 Azure AD Multi-Factor Authentication을 사용하도록 설정하는 방법을 보여줍니다.

IT 팀이 Azure AD Multi-Factor Authentication을 사용하는 기능을 사용하도록 설정하지 않았거나 로그인하는 동안 문제가 발생한 경우 추가 지원을 받으려면 기술 지원팀에 문의하세요.

이 자습서에서는 다음 방법에 대해 알아봅니다.

  • Azure AD Multi-Factor Authentication을 사용자 그룹에 사용하도록 설정하는 조건부 액세스 정책 만들기
  • MFA를 요청하는 정책 조건 구성
  • 다단계 인증을 구성하고 사용자로 사용하는 방법을 테스트합니다.

사전 요구 사항

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

  • Azure AD Premium P1 또는 평가판 라이선스가 활성화된 작동 중인 Azure AD 테넌트.

  • 조건부 액세스 관리자, 보안 관리자 또는 전역 관리자 권한이 있는 계정. 일부 MFA 설정은 인증 정책 관리자가 관리할 수도 있습니다. 자세한 내용은 인증 정책 관리자를 참조하세요.

  • 알고 있는 암호를 사용하는 비관리자 계정입니다. 이 자습서에서는 testuser라는 계정을 만들었습니다. 이 자습서에서는 Azure AD Multi-Factor Authentication을 구성하고 사용하는 최종 사용자 경험을 테스트합니다.

  • 관리자가 아닌 사용자가 멤버인 그룹. 이 자습서에서는 MFA-Test-Group이라는 그룹을 만들었습니다. 이 자습서에서는 이 그룹에 Azure AD Multi-Factor Authentication을 사용하도록 설정합니다.

조건부 액세스 정책 만들기

Azure AD Multi-Factor Authentication을 사용하도록 설정하고 이를 사용하는 데 권장되는 방법은 조건부 액세스 정책을 사용하는 것입니다. 조건부 액세스를 사용하면 이벤트 로그인에 반응하고 사용자에게 애플리케이션 또는 서비스에 대한 액세스 권한을 부여하기 전에 추가 작업을 요청하는 정책을 만들고 정의할 수 있습니다.

조건부 액세스를 적용하여 로그인 프로세스를 보호하는 방법에 대한 개략적인 다이어그램

조건부 액세스 정책은 특정 사용자, 그룹 및 앱에 적용할 수 있습니다. 목표는 조직을 보호하는 동시에 필요한 사용자에게 적절한 수준의 액세스를 제공하는 것입니다.

이 자습서에서는 사용자가 Azure Portal에 로그인할 때 MFA를 묻는 기본 조건부 액세스 정책을 만듭니다. 이 시리즈의 이후 자습서에서는 위험 기반 조건부 액세스 정책을 사용하여 Azure AD Multi-Factor Authentication을 구성합니다.

먼저 다음과 같이 조건부 액세스 정책을 만들고 사용자의 테스트 그룹을 할당합니다.

  1. 전역 관리자 권한이 있는 계정을 사용하여 Azure Portal에 로그인합니다.

  2. Azure Active Directory를 검색하고 선택합니다. 그런 다음, 왼쪽 메뉴에서 보안을 선택합니다.

  3. 조건부 액세스를 선택하고 + 새 정책을 선택한 다음, 새 정책 만들기를 선택합니다.

    '새 정책'을 선택한 다음, '새 정책 만들기'를 선택하는 조건부 액세스의 스크린샷.

  4. 정책 이름(예: MFA 파일럿)을 입력합니다.

  5. Assignments에서Users or workload identities 아래의 현재 값을 선택합니다.

    '사용자 또는 워크로드 ID'에서 현재 값을 선택하는 조건부 액세스 페이지의 스크린샷.

  6. What does this policy apply to?아래에서Users and groups을 선택합니다.

  7. Include에서 Select users and groups를 선택한 후, User and groups을 선택합니다.

    사용자 및 그룹을 지정하는 옵션을 선택하는 새 정책을 만들기 위한 페이지의 스크린샷.

    아직 할당된 것이 없기 때문에 사용자 및 그룹 목록(다음 단계에 표시됨)이 자동으로 열립니다.

  8. Azure AD 그룹(예: MFA-Test-Group)을 찾아서 선택한 다음, 선택을 선택합니다.

    MFA 문자로 필터링된 결과와 'MFA-Test-Group'이 선택된 사용자 및 그룹 목록의 스크린샷.

정책을 적용할 그룹을 선택했습니다. 다음 섹션에서는 정책을 적용할 조건을 구성합니다.

다단계 인증 조건 구성

조건부 액세스 정책이 생성되고 테스트 사용자 그룹이 할당되었으므로 정책을 트리거하는 클라우드 앱 또는 작업을 정의해야합니다. 이러한 클라우드 앱 또는 작업은 다단계 인증을 요청하는 것과 같은 추가 처리가 필요하다고 결정하는 시나리오입니다. 예를 들어 재무 애플리케이션에 대한 액세스 또는 관리 도구 사용에 추가 인증 프롬프트가 필요하다고 결정할 수 있습니다.

다단계 인증이 필요한 앱 구성

이 자습서에서는 사용자가 Azure Portal에 로그인할 때 다단계 인증을 요구하도록 조건부 액세스 정책을 구성합니다.

  1. 클라우드 앱 또는 작업Cloud apps or actions 아래의 현재 값을 선택하고, what this policy applies to 아래의 Cloud apps를 선택합니다.

  2. Include아래의Select apps를 클릭합니다.

    아직 선택된 앱이 없기 때문에 앱 목록(다음 단계에 표시됨)이 자동으로 열립니다.

    조건부 액세스 정책을 모든 클라우드 앱 또는 앱 선택에 적용하도록 선택할 수 있습니다. 유연성을 제공하기 위해 정책에서 특정 앱을 제외할 수도 있습니다.

  3. 사용할 수 있는 로그인 이벤트 목록을 찾습니다. 사용할 수 있는 로그인 이벤트 목록을 찾습니다. 이 자습서에서는 정책이 Azure Portal에 로그인 이벤트에 적용되도록 Microsoft Azure Management 를 선택합니다 그런 다음 Select를 클릭합니다. 그런 다음, 선택을 선택합니다.

    새 정책을 적용할 앱인 Microsoft Azure Management를 선택하는 조건부 액세스 페이지의 스크린샷.

액세스에 대한 다단계 인증 구성

다음으로, 액세스 제어를 구성합니다. 액세스 제어를 사용하면 사용자에게 액세스 권한을 부여하기 위한 요구 사항을 정의할 수 있습니다. 승인된 클라이언트 앱 또는 Azure AD에 하이브리드 조인된 디바이스를 사용하는 데 필요할 수 있습니다.

이 자습서에서는 Azure Portal에 로그인하는 동안 다단계 인증을 요구하도록 액세스 제어를 구성합니다.

  1. Access controls에서 Grant 아래의 현재 값을 선택한 후, Grant access를 선택합니다.

    '권한 부여'를 선택한 다음, '액세스 권한 부여'를 선택하는 조건부 액세스 페이지의 스크린샷.

  2. Require multi-factor authentication을 선택한 다음 Select를 클릭합니다.

    '다단계 인증 필요'를 선택하는 액세스 권한을 부여하는 옵션의 스크린샷.

정책 활성화

구성이 사용자에게 미치는 영향을 확인하려면 조건부 액세스 정책을 보고서 전용으로 설정하거나, 지금 정책을 사용하지 않으려면 끄기로 설정할 수 있습니다. 이 자습서에서 사용자 테스트 그룹을 대상으로 하므로 정책을 사용하도록 설정한 다음, Azure AD Multi-Factor Authentication을 테스트해보겠습니다.

  1. 정책 사용에서 켜기를 선택합니다.

    정책을 사용할지 여부를 지정하는 웹 페이지 아래쪽에 있는 컨트롤의 스크린샷.

  2. 조건부 액세스 정책을 적용하려면 만들기를 선택합니다.

Azure AD Multi-Factor Authentication 테스트

조건부 액세스 정책 및 Azure AD Multi-Factor Authentication이 작동되는지 확인해 보겠습니다.

먼저 다음과 같이 MFA를 요구하지 않는 리소스에 로그인합니다.

  1. InPrivate 또는 incognito 모드에서 새 브라우저 창을 열고 https://account.activedirectory.windowsazure.com으로 이동합니다.

    브라우저의 비공개 모드를 사용하면 기존 자격 증명이 이 로그인 이벤트에 영향을 주지 않습니다.

  2. 관리자가 아닌 테스트 사용자(예: testuser) 권한으로 로그인합니다. 사용자 계정의 도메인 이름 및 @을 포함해야 합니다.

    이 계정으로 처음 로그인하는 경우 암호를 변경하라는 메시지가 표시됩니다. 그러나 다단계 인증을 구성하거나 사용하라는 메시지는 표시되지 않습니다.

  3. 브라우저 창을 닫습니다.

Azure Portal에 대한 추가 인증을 요구하도록 조건부 액세스 정책을 구성했습니다. 해당 구성 때문에 Azure AD Multi-Factor Authentication을 사용하거나 아직 수행하지 않은 경우 방법을 구성하라는 메시지가 표시됩니다. Azure Portal에 로그인하여 이 새 요구 사항을 테스트합니다.

  1. InPrivate 또는 incognito 모드에서 새 브라우저 창을 열고 https://portal.azure.com으로 이동합니다.

  2. 관리자가 아닌 테스트 사용자(예: testuser) 권한으로 로그인합니다. 사용자 계정의 도메인 이름 및 @을 포함해야 합니다.

    Azure AD Multi-Factor Authentication을 등록하고 사용해야 합니다.

    '추가 정보가 필요합니다.'라는 메시지가 표시됩니다. 이 사용자에 대한 다단계 인증 방법을 구성하라는 프롬프트입니다.

  3. 다음을 선택하여 프로세서를 시작합니다.

    인증을 위해 인증 전화, 사무실 전화 또는 모바일 앱을 구성하도록 선택할 수 있습니다. 인증 전화는 문자 메시지 및 전화 통화를 지원하고, 사무실 전화는 내선 번호가 있는 전화를 지원하며, 모바일 앱은 모바일 앱을 사용하여 인증 알림 수신 또는 인증 코드 생성을 지원합니다.

    '추가 보안 확인'이라고 표시되는 프롬프트입니다. 이 사용자에 대한 다단계 인증 방법을 구성하라는 프롬프트입니다. 인증 전화, 사무실 전화 또는 모바일 앱 방법으로 선택할 수 있습니다.

  4. 선택한 다단계 인증 방법을 구성하려면 화면의 지침을 완료합니다.

  5. 브라우저 창을 닫고 https://portal.azure.com에서 다시 로그인하여 구성한 인증 방법을 테스트합니다. 예를 들어 인증을 위해 모바일 앱을 구성한 경우 다음과 같은 프롬프트가 표시되어야 합니다.

    로그인하려면 브라우저의 프롬프트에 따라 다단계 인증을 위해 등록한 디바이스의 프롬프트를 따릅니다.

  6. 브라우저 창을 닫습니다.

리소스 정리

이 자습서의 일부로 구성한 조건부 액세스 정책을 더 이상 사용하지 않으려면 다음 단계를 사용하여 정책을 삭제합니다.

  1. Azure Portal에 로그인합니다.

  2. Azure Active Directory를 검색하여 선택한 다음, 왼쪽 메뉴에서 보안을 선택합니다.

  3. 조건부 액세스를 선택한 다음, 만든 정책(예: MFA 파일럿)을 선택합니다.

  4. 삭제를 선택한 다음, 정책 삭제를 확인합니다.

    열려 있는 조건부 액세스 정책을 삭제하려면 정책 이름 아래에 있는 삭제를 선택합니다.

다음 단계

이 자습서에서는 선택한 사용자 그룹에 조건부 액세스 정책을 사용하여 Azure AD Multi-Factor Authentication을 사용하도록 설정했습니다. 구체적으로 다음 작업 방법을 알아보았습니다.

  • Azure AD Multi-Factor Authentication을 Azure AD 사용자 그룹에 사용하도록 설정하는 조건부 액세스 정책을 만듭니다.
  • 다단계 인증을 요청하는 정책 조건을 구성합니다.
  • 다단계 인증을 구성하고 사용자로 사용하는 방법을 테스트합니다.