이메일 일회용 암호 인증

  • 아티클

이메일 일회용 암호 기능은 Microsoft Entra ID, Microsoft 계정(MSA), 소셜 ID 공급자 등의 다른 방법으로 인증할 수 없는 B2B 협업 사용자를 인증하는 방법입니다. B2B 게스트 사용자가 초대를 사용하거나 공유 리소스에 로그인하려고 하면 이메일 주소로 전송되는 임시 암호를 요청할 수 있습니다. 그런 다음, 이 암호를 입력하여 로그인을 계속합니다.

이메일 일회용 암호의 개요를 보여주는 다이어그램.

Important

  • 이제 이메일 일회용 암호 기능은 모든 새 테넌트 및 명시적으로 해제하지 않은 기존 테넌트에 대해 기본적으로 설정됩니다. 이 기능은 게스트 사용자에게 원활한 대체 인증 방법을 제공합니다. 이 기능을 사용하지 않으려면 사용하지 않도록 설정할 수 있습니다. 이 경우 사용자에게 Microsoft 계정을 대신 만들라는 메시지가 표시됩니다.

참고 항목

현재는 조건부 액세스를 통해 일회용 암호 계정에 인증 강도 정책을 적용할 수 없습니다. 대신 조건부 액세스 권한 부여 컨트롤 'MFA 필요'를 사용합니다. 자세한 내용은 외부 ID에 대한 인증 및 조건부 액세스 페이지의 외부 사용자 에 대한 인증 강도 정책을 참조하세요.

로그인 엔드포인트

이제 메일 일회용 암호 게스트 사용자는 공통 엔드포인트(즉, 테넌트 컨텍스트를 포함하지 않는 일반 앱 URL)를 사용하여 다중 테넌트 또는 Microsoft 자사 앱에 로그인할 수 있습니다. 로그인 프로세스 중에 게스트 사용자는 로그인 옵션을 선택한 다음, 조직에 로그인을 선택합니다. 그런 다음, 사용자는 조직의 이름을 입력하고 일회용 암호를 사용하여 계속 로그인합니다.

이메일 일회용 암호 게스트 사용자는 테넌트 정보가 포함된 애플리케이션 엔드포인트를 사용할 수도 있습니다. 예를 들면 다음과 같습니다.

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

테넌트 정보(예: https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>)를 포함하여 이메일 일회용 암호 게스트 사용자에게 애플리케이션 또는 리소스에 대한 직접 링크를 제공할 수도 있습니다.

참고 항목

이메일 일회용 암호 게스트 사용자는 로그인 옵션을 선택하지 않고도 공용 엔드포인트에서 직접 Microsoft Teams에 로그인할 수 있습니다. Microsoft Teams에 로그인하는 과정에서 게스트 사용자는 일회용 암호를 보낼 링크를 선택할 수 있습니다.

일회성 암호 게스트 사용자를 위한 사용자 환경

이메일 일회용 암호를 사용하도록 설정하면 특정 조건을 충족하는 새로 초대된 사용자는 일회용 암호 인증을 사용합니다. 이메일 일회용 암호 이전에 초대를 사용한 게스트 사용자는 동일한 인증 방법을 계속 사용합니다.

일회성 암호 인증을 사용하면 게스트 사용자가 직접 링크를 클릭하거나 초대 메일을 사용하여 초대를 사용할 수 있습니다. 두 경우 모두 코드가 게스트 사용자의 메일 주소로 전송된다는 메시지가 브라우저에 표시됩니다. 게스트 사용자가 코드 보내기를 선택합니다.

코드 보내기 단추를 보여주는 스크린샷.

암호가 사용자의 메일 주소로 전송됩니다. 사용자가 메일에서 암호를 검색하고 브라우저 창에 입력합니다.

코드 입력 페이지를 보여주는 스크린샷.

이제 게스트 사용자가 인증되었고 공유 리소스를 보거나 로그인을 계속할 수 있습니다.

참고 항목

일회성 암호는 30분 동안 유효합니다. 30분이 지나면 특정 일회성 암호가 더 이상 유효하지 않고 사용자는 새 암호를 요청해야 합니다. 사용자 세션은 24시간 후에 만료됩니다. 해당 시간이 지나면 게스트 사용자는 리소스에 액세스할 때 새 암호를 받습니다. 특히 게스트 사용자가 회사를 떠나거나 더 이상 액세스할 필요가 없는 경우 세션 만료로 보안을 강화합니다.

게스트 사용자가 일회성 암호를 얻을 때는 언제인가요?

게스트 사용자가 초대를 사용하거나 공유된 리소스의 링크를 사용할 때 일회성 암호를 받는 경우는 다음과 같습니다.

  • Microsoft Entra 계정이 없습니다.
  • Microsoft 계정이 없습니다.
  • 초대 테넌트는 소셜(예: Google) 또는 기타 ID 공급자와 페더레이션을 설정하지 않습니다.
  • 다른 인증 방법이나 암호 지원 계정이 없습니다.
  • 이메일 일회용 암호를 사용하도록 설정합니다.

초대할 때 초대를 받는 사용자가 일회성 암호 인증을 사용할 것이라는 표시는 없습니다. 그러나 게스트 사용자가 로그인할 때 다른 인증 방법을 사용할 수 없다면 일회성 암호 인증이 대체 방법이 됩니다.

참고 항목

사용자가 일회성 암호를 사용하고 나중에 MSA, Microsoft Entra 계정 또는 기타 페더레이션 계정을 얻을 경우 일회성 암호를 사용하여 계속 인증됩니다. 사용자의 인증 방법을 업데이트하려는 경우 상환 상태를 다시 설정할 수 있습니다.

예시

게스트 사용자 nicole@firstupconsultants.com이 Google 페더레이션이 설정되지 않은 Fabrikam에 초대되었습니다. Nicole은 Microsoft 계정이 없습니다. 인증을 위해 일회용 암호를 받게 됩니다.

이메일 일회용 암호 사용 또는 사용 안 함

이제 이메일 일회용 암호 기능은 모든 새 테넌트 및 명시적으로 해제하지 않은 기존 테넌트에 대해 기본적으로 설정됩니다. 이 기능은 게스트 사용자에게 원활한 대체 인증 방법을 제공합니다. 이 기능을 사용하지 않으려면 사용하지 않도록 설정할 수 있습니다. 이 경우 사용자에게 Microsoft 계정을 만들라는 메시지가 표시됩니다.

참고 항목

  • Microsoft Graph API에서 emailAuthenticationMethodConfiguration 리소스 종류를 사용하여 이메일 일회용 암호 설정을 구성할 수도 있습니다.
  • 테넌트에서 이메일 일회용 암호 기능을 사용하도록 설정하고 이 기능을 끄면 일회용 암호를 사용한 게스트 사용자는 로그인할 수 없습니다. 다른 인증 방법을 사용하여 다시 로그인 할 수 있도록 상환 상태를 다시 설정할 수 있습니다.

이메일 일회용 암호를 사용 또는 사용하지 않으려면

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. 최소한 보안 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>외부 ID>모든 ID 공급자로 이동합니다.

  3. 구성된 ID 공급자 목록에서 이메일 일회용 암호를 선택합니다.

  4. 게스트용 이메일 일회용 암호 아래에서 다음 중 하나를 선택합니다.

    • : 토글은 기능이 명시적으로 해제되지 않은 한 기본적으로 로 설정됩니다. 기능을 사용하려면 가 선택되어 있는지 확인합니다.
    • 아니요: 이메일 일회용 암호 기능을 사용하지 않으려면 아니요를 선택합니다.

이메일 일회용 암호 토글을 보여주는 스크린샷.

  1. 저장을 선택합니다.

자주 묻는 질문

이메일 일회용 암호를 사용하도록 설정한 경우 내 기존 게스트 사용자는 어떻게 되나요?

기존 사용자가 이미 사용 지점을 지났으므로 이메일 일회용 암호를 사용하도록 설정한 경우 기존 게스트 사용자는 영향을 받지 않습니다. 이메일 일회용 암호를 사용하도록 설정하면 새 게스트 사용자가 테넌트에 사용되고 있는 추가 사용 프로세스 활동에만 영향을 미칩니다.

이메일 일회용 암호를 사용할 수 없는 경우 사용자 환경은 어떻게 되나요?

이메일 일회용 암호 기능을 사용하지 않도록 설정한 경우 사용자에게 Microsoft 계정을 만들라는 메시지가 표시됩니다.

또한 이메일 일회용 암호를 사용할 수 없는 경우 사용자가 직접 애플리케이션 링크를 사용할 때 사용자가 사전에 디렉터리에 추가되지 않은 경우 로그인 오류가 표시될 수 있습니다.

다른 사용 프로세스 경로에 대한 자세한 내용은 B2B 협업 초대 사용을 참조하세요.

"계정이 없나요? 지금 만드세요!” 옵션이 사라지나요?

아니요. 전자 메일 확인 사용자에 대한 셀프 서비스 등록과 혼동되는 외부 ID의 컨텍스트에서 셀프 서비스 등록을 쉽게 얻을 수 있지만 두 가지 다른 기능입니다. 더 이상 사용되지 않는 관리되지 않는("바이럴") 기능은 이메일로 확인된 사용자의 셀프 서비스 등록이므로, 게스트가 관리되지 않는 Microsoft Entra 계정을 만들게 됩니다. 그러나 외부 ID에 대한 셀프 서비스 등록은 계속 사용할 수 있으므로 게스트가 다양한 ID 공급자를 사용하여 조직에 등록하게 됩니다. 

기존 MSA(Microsoft 계정)를 사용하여 실행하도록 Microsoft에서 권장하는 작업은 무엇인가요?

ID 공급자 설정(현재 사용할 수 없음)에서 Microsoft 계정을 사용하지 않도록 설정할 수 있는 기능을 지원할 경우 Microsoft 계정을 사용하지 않도록 설정하고 이메일 일회용 암호를 사용하도록 설정하는 것이 좋습니다. 그런 다음 이메일 일회용 암호 인증을 사용하여 다시 사용하고 이메일 일회용 암호를 사용하여 향후 로그인할 수 있도록 Microsoft 계정을 사용하여 기존 게스트의 사용 상태를 초기화해야 합니다.

기본적으로 이메일 일회용 암호를 사용하도록 설정하는 변경 내용과 관련해서는 Microsoft Entra B2B와의 SharePoint 및 OneDrive 통합이 포함되지 않나요?

아니요, 기본적으로 이메일 일회용 암호를 사용하도록 설정하는 변경 내용의 전역 롤아웃에는 기본적으로 Microsoft Entra B2B와의 SharePoint 및 OneDrive 통합 사용이 포함되지 않습니다. 보안 협업을 위해 SharePoint 및 OneDrive와 Microsoft Entra B2B의 통합을 사용하거나 사용하지 않도록 설정하는 방법을 알아보려면 Microsoft Entra B2B와 SharePoint 및 OneDrive 통합을 참조하세요.

다음 단계

외부 ID용 ID 공급자 및 게스트 사용자에 대한 상환 상태 다시 설정하는 방법에 대해 알아봅니다.