이 문서에서는 MICROSOFT Entra CBA(인증서 기반 인증)의 작동 방식에 대한 질문과 대답을 다룹니다. 업데이트된 콘텐츠를 다시 확인합니다.
사용자 이름을 입력한 후 인증서를 사용하여 Microsoft Entra ID에 로그인하는 옵션이 표시되지 않는 이유는 무엇인가요?
관리자는 테넌트에 대해 CBA를 켜서 사용자가 사용할 수 있는 인증서를 사용하여 로그인 옵션을 설정해야 합니다. 자세한 내용은 3단계: 인증 바인딩 정책 구성을 참조하세요.
사용자 로그인이 실패하면 어디에서 더 많은 진단 정보를 얻을 수 있나요?
오류 페이지에서 테넌트 관리자에게 도움이 되는 자세한 내용을 보려면 자세히 를 선택합니다. 테넌트 관리자는 로그인 로그를 확인하여 오류를 조사할 수 있습니다. 예를 들어 사용자 인증서가 해지되고 CRL(인증 해지 목록)에 있는 경우 의도한 대로 인증이 실패합니다.
Microsoft Entra CBA를 켜려면 어떻게 해야 할까요?
- 적어도 인증 정책 관리자 역할이 할당된 Microsoft Entra 관리 센터에 로그인합니다.
- Entra ID>인증 방법>정책으로 이동합니다.
- 인증서 기반 인증 정책을 선택합니다.
- 사용 및 대상 탭에서 [사용]을 선택합니다.
Microsoft Entra CBA는 무료 기능인가요?
Microsoft Entra CBA는 무료 기능입니다.
Microsoft Entra ID의 모든 버전에는 Microsoft Entra CBA가 포함됩니다.
각 Microsoft Entra Edition의 기능에 대한 자세한 내용은 Microsoft Entra 가격 책정을 참조하세요.
Microsoft Entra CBA는 userPrincipalName 대신 사용자 이름으로 대체 ID를 지원하나요?
아니요. 현재 대체 전자 메일과 같은 비 UPN 값을 사용하여 로그인하는 것은 지원되지 않습니다.
인증 기관에 대해 둘 이상의 CRL 배포 지점을 가질 수 있나요?
아니요, CA(인증 기관)당 하나의 CRL 배포 지점(CDP)만 지원됩니다.
CDP에 HTTP가 아닌 URL을 사용할 수 있나요?
아니요. CDP는 HTTP URL만 지원합니다.
CA에 대한 CRL을 찾으려면 어떻게 하나요? 또는 "AADSTS2205015: CRL(인증서 해지 목록) 서명 유효성 검사 실패" 오류를 해결하려면 어떻게 해야 하나요?
CRL을 다운로드하고 CA 인증서와 CRL 정보를 비교하여 추가하려는 CA에 대해 값이 crlDistributionPoint 유효한지 확인합니다. CA의 SKI(발급자 주체 키 식별자)를 CRL(CA 발급자 SKI == CRL AKI)의 AKI(기관 키 식별자)와 일치시켜 해당 CA에 CRL을 구성할 수 있습니다.
다음 표와 그림에서는 CA 인증서의 정보를 다운로드한 CRL의 특성에 매핑하는 방법을 보여줍니다.
| CA 인증서 정보 | = | 다운로드한 CRL 정보 |
|---|---|---|
| 주제 | = | 발급자 |
| SKI(주체 키 식별자) | = | 권한 키 식별자(KeyID) |
CA 구성의 유효성을 검사하려면 어떻게 해야 하나요?
신뢰 저장소의 인증 기관 구성으로 인해 Microsoft Entra에서 인증 기관 신뢰 체인의 유효성을 검사할 수 있는지 확인해야 합니다. 또한 구성된 CDP(인증 기관 CRL 배포 지점)에서 CRL(인증서 해지 목록)을 성공적으로 획득해야 합니다. 이 작업을 지원하려면 MSIdentity Tools PowerShell 모듈을 설치하고 Test-MsIdCBATrustStoreConfiguration을 실행하는 것이 좋습니다. 이 PowerShell cmdlet은 Microsoft Entra 테넌트 인증 기관 구성을 검토하고 일반적인 잘못된 구성 문제에 대한 오류/경고를 표시합니다.
인증 방법 정책의 변경 내용이 즉시 적용되나요?
정책이 캐시됩니다. 정책 업데이트 후 변경 내용을 적용하는 데 최대 1시간이 걸릴 수 있습니다.
실패한 후 CBA 옵션이 표시되는 이유는 무엇인가요?
인증 방법 정책은 항상 사용자에게 사용 가능한 모든 인증 방법을 표시하므로 원하는 방법을 사용하여 로그인을 다시 시도할 수 있습니다.
Microsoft Entra ID는 로그인의 성공 또는 실패에 따라 사용 가능한 메서드를 숨기지 않습니다.
CBA 루프가 실패한 이유는 무엇인가요?
브라우저는 인증서 선택기가 나타난 후 인증서를 캐시합니다. 사용자가 인증을 다시 시도하면 캐시된 인증서가 자동으로 사용됩니다. 사용자는 브라우저를 닫은 다음 새 세션을 다시 열어 CBA를 다시 시도해야 합니다.
단일 요소 인증서를 사용할 때 다른 인증 방법을 등록하는 ID 증명이 옵션으로 표시되지 않는 이유는 무엇인가요?
사용자가 인증 방법 정책의 CBA 범위에 있는 경우 사용자는 MFA(다단계 인증)를 수행할 수 있는 것으로 간주됩니다. 이 정책 요구 사항은 사용자가 인증의 일부로 ID 증명을 사용하여 사용 가능한 다른 방법을 등록할 수 없음을 의미합니다.
단일 요소 인증서를 사용하여 MFA를 완료하려면 어떻게 해야 하나요?
MFA를 얻기 위해 단일 요소 CBA를 지원합니다. 암호 없는 전화 로그인이 있는 CBA 단일 요소와 FIDO2를 사용하는 CBA 단일 요소는 단일 요소 인증서를 사용하여 MFA를 가져오는 데 지원되는 두 가지 조합입니다.
자세한 내용은 단일 요소 인증서가 있는 MFA를 참조하세요.
certificateUserIds 업데이트는 기존 값이므로 실패합니다. 관리자가 동일한 값을 가진 모든 사용자 개체를 쿼리하려면 어떻게 해야 할까요?
테넌트 관리자는 Microsoft Graph 쿼리를 실행하여 특정 certificateUserIds 값을 가진 모든 사용자를 찾을 수 있습니다. 자세한 내용은 그래프 쿼리를 참조certificateUserIds하세요.
예를 들어 이 명령은 값 bob@contoso.com 이 다음과 같은 모든 사용자 개체를 반환합니다.certificateUserIds
GET https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')
Microsoft Surface Hub에서 Microsoft Entra CBA를 사용할 수 있나요?
예. CBA는 스마트 카드와 스마트 카드 판독기의 대부분의 조합에 대해 기본으로 작동합니다. 스마트 카드와 스마트 카드 판독기 조합에 다른 드라이버가 필요한 경우 Surface Hub에서 조합 스마트 카드와 스마트 카드 판독기를 사용하려면 먼저 드라이버를 설치해야 합니다.
관련 콘텐츠
여기서 질문에 대한 답변이 없는 경우 다음 관련 문서를 참조하세요.