자격 증명 관리를 사용하여 복원력 빌드

토큰 요청의 Microsoft Entra ID에 자격 증명이 제공되면 유효성 검사에 사용할 수 있어야 하는 여러 종속성이 있을 수 있습니다. 첫 번째 인증 요소는 Microsoft Entra 인증을 사용하며 경우에 따라 온-프레미스 인프라와 같은 외부(비 Entra ID) 종속성을 사용합니다. 하이브리드 인증 아키텍처에 대한 자세한 내용은 하이브리드 인프라에서 복원력 빌드를 참조하세요.

가장 안전하고 복원력이 있는 자격 증명 전략은 암호 없는 인증을 사용하는 것입니다. 비즈니스용 Windows Hello 및 Passkey(FIDO 2.0) 보안 키는 다른 MFA 메서드보다 종속성이 적습니다. macOS 사용자의 경우 고객은 macOS용 플랫폼 자격 증명을 사용하도록 설정할 수 있습니다. 이러한 방법을 구현하면 사용자는 강력한 암호 없는 피싱 방지 MFA(Multi-Factor Authentication)를 수행할 수 있습니다.

팁

이러한 인증 방법 배포에 대한 비디오 시리즈의 자세한 내용은 Microsoft Entra ID의 피싱 방지 인증을 참조하세요.

두 번째 단계를 구현하는 경우 두 번째 단계의 종속성은 첫 번째 단계의 종속성에 추가됩니다. 예를 들어 첫 번째 단계가 PTA(통화 인증)를 통하고 두 번째 단계가 SMS인 경우 종속성은 다음과 같습니다.

• Microsoft Entra 인증 서비스
• Microsoft Entra 다단계 인증 서비스
• 온-프레미스 인프라
• 전화 통신 사업자
• 사용자의 디바이스(그림 없음)

자격 증명 전략은 각 인증 유형의 종속성을 고려해야 하며 단일 실패 지점까지 방지하는 방법을 프로비전해야 합니다.

인증 방법에는 서로 다른 종속성이 있기 때문에 사용자가 두 번째 단계 옵션에 가능한 한 많이 등록할 수 있도록 하는 것이 좋습니다. 가능하면 서로 다른 종속성을 사용하여 두 번째 단계를 포함해야 합니다. 예를 들어 음성 통화와 SMS가 두 번째 단계로 동일한 종속성을 공유하므로 이를 유일한 옵션으로 사용해도 위험을 완화할 수 없습니다.

두 번째 단계의 경우 TOTP(시간 기반 일회용 암호) 또는 OAuth 하드웨어 토큰을 사용하는 Microsoft Authenticator 앱 또는 다른 인증 앱에는 최소한의 종속성이 있으므로 복원력이 향상됩니다.

외부(비 Entra) 종속성에 대한 추가 세부 정보

인증 방법	외부(비 Entra) 종속성	추가 정보
CBA(인증서 기반 인증)	대부분의 경우(구성에 따라) CBA는 해지 검사가 필요합니다. 그러면 CDP(CRL 배포 지점)에 대한 외부 종속성이 추가됩니다.	인증서 해지 프로세스 이해
PTA(통과 인증)	PTA는 온-프레미스 에이전트를 사용하여 암호 인증을 처리합니다.	Microsoft Entra 통과 인증은 어떻게 작동하나요?
페더레이션	페더레이션 서버는 온라인이어야 하며 인증 시도를 처리할 수 있어야 합니다.	Azure에서 Azure Traffic Manager를 사용하여 고가용성 교차 지리적 AD FS 배포
EAM(외부 인증 방법)	EAM은 고객이 외부 MFA 공급자를 사용할 수 있는 경로를 제공합니다.	Microsoft Entra ID에서 외부 인증 방법 관리(프리뷰)

여러 자격 증명은 복원력에 어떤 도움이 되나요?

여러 자격 증명 유형을 프로비저닝하면 사용자의 기본 설정 및 환경 제약 조건을 수용할 수 있는 옵션이 제공됩니다. 따라서 사용자에게 다단계 인증에 대한 메시지가 표시되는 대화형 인증은 요청 시 특정 종속성을 사용할 수 없어도 복원 가능합니다. 다단계 인증에 대한 재인증 프롬프트를 최적화할 수 있습니다.

위에서 설명한 개별 사용자 복원력 외에도 회사에서는 잘못된 구성, 자연 재해 또는 온-프레미스 페더레이션 서비스(특히 다단계 인증에 사용되는 경우)에 대한 엔터프라이즈 수준의 리소스 중단으로 이어지는 운영 오류와 같은 대규모 중단 사태에 대비한 계획을 세워야 합니다.

복원력 있는 자격 증명을 어떻게 구현하나요?

• 암호 없는 자격 증명을 배포합니다. 종속성을 줄이면서 보안을 강화하려면 비즈니스용 Windows Hello, Passkeys(Authenticator Passkey 로그인 및 FIDO2 보안 키 모두) 및 CBA(인증서 기반 인증)와 같은 피싱 방지 방법을 선호합니다.
• 두 번째 단계로 Microsoft Authenticator 앱을 배포합니다.
• 페더레이션에서 클라우드 인증으로 마이그레이션하여 페더레이션 ID 공급자에 대한 의존도를 제거합니다.
• Windows Server Active Directory에서 동기화되는 하이브리드 계정에 암호 해시 동기화를 설정합니다. 이 옵션은 AD FS(Active Directory Federation Services)와 같은 페더레이션 서비스와 함께 사용하도록 설정할 수 있으며 페더레이션 서비스가 실패할 경우 대체 서비스를 제공합니다.
• 다단계 인증 방법의 사용을 분석하여 사용자 환경을 개선합니다.
• 복원력 있는 액세스 제어 전략 구현

다음 단계

관리자 및 설계자를 위한 복원력 리소스

• 디바이스 상태를 사용하여 복원력 빌드
• CAE(연속 액세스 평가)를 사용하여 복원력 빌드
• 외부 사용자 인증에서 복원력 빌드
• 하이브리드 인증에서 복원력 빌드
• 애플리케이션 프록시를 사용하여 애플리케이션 액세스에서 복원력 빌드

개발자를 위한 복원력 리소스

• 애플리케이션에서 IAM 복원력 빌드
• CIAM 시스템에서 복원력 빌드