QR 코드 인증 방법을 사용하면 일선 작업자가 공유 디바이스의 앱에서 효율적으로 로그인할 수 있습니다. 사용자는 제공된 고유한 QR 코드를 사용하고 PIN을 입력하여 로그인할 수 있으므로 복잡한 사용자 이름과 암호를 입력할 필요가 없습니다. 현재 QR 코드 인증은 iOS/iPadOS 또는 Android를 실행하는 모바일 디바이스에서만 지원됩니다.
QR 코드 인증 방법을 사용하도록 설정하기 전에 일선 작업자의 회사 또는 가정용 액세스에 보안 제어를 사용하는 모범 사례를 검토합니다. 자세한 내용은 일선 근로자를 보호하기 위한 모범 사례를 참조하세요.
QR 코드 인증이란?
QR 코드 인증은 주로 일선 작업자를 위해 설계된 간단한 인증 방법입니다. 고유한 QR 코드와 숫자 PIN으로 구성됩니다. QR 코드는 식별자로 사용되며 사용자에게 고유합니다. Microsoft Entra 관리 센터, 내 직원 또는 Microsoft Graph를 사용하여 다운로드하고 인쇄할 수 있습니다. 편의를 위해 QR 코드를 배지 또는 기타 웨어러블 항목에 첨부할 수 있습니다.
인증 관리자는 사용자에게 임시 PIN을 제공한 다음, 로그인하는 동안 변경합니다. 사용자만 PIN을 알고 있습니다. QR 코드에만 바인딩됩니다. 사용자 이름 또는 전화 번호와 같은 다른 사용자 식별자와 함께 사용할 수 없습니다. QR 코드 인증은 PIN(사용자가 아는 것)이 자격 증명인 단일 요소 메서드입니다.
QR 코드 인증의 이점
| 이익 | 설명 |
|---|---|
| 더 쉽고 빠르게 로그인 | 일선 작업자는 교대 근무 기간 내내 공유 디바이스에 여러 번 로그인하기 위해 복잡한 사용자 이름 또는 암호를 입력할 필요가 없습니다. |
| 저렴하다 | QR 코드를 인쇄하는 데 하드웨어 키보다 비용이 적게 들기 때문에 임시 일선 작업자가 있는 조직에는 막대한 비용이 들 수 있습니다. |
PIN 속성
인증 정책 관리자가 PIN을 만들거나 다시 설정할 때 적용되는 정책은 다음과 같습니다.
| 정책 | 가치 |
|---|---|
| 허용되는 문자 | 숫자(0-9) |
| 허용되지 않는 문자 | - 영문 문자(A-Z, a-z) - 기호 (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>) - 유니코드 문자 - 빈 공간 |
| PIN 길이 | 8-20자리 숫자 |
| PIN 복잡성 | 반복 및 일반적인 시퀀스를 방지하기 위해 적용됩니다. 다음 패턴이 검사됩니다. - 0123456789 또는 9876543210 포함하지 마세요. - 121212 또는 123123 또는 342342 같은 PIN에서 2-3자리의 시퀀스를 반복하지 마세요. PIN에 허용되지 않는 문자가 포함되거나 최소 PIN 길이보다 작은 경우 잘못된 PIN 오류가 나타납니다. |
QR 코드 인증을 사용하여 구현하는 모범 보안 사례
QR 코드 인증 방법을 단일 요소 인증(지식 요소)이므로 사용하도록 설정하는 경우 다음 조치를 사용하는 것이 좋습니다.
- QR 코드 인증은 주로 FLW(일선 작업자)를 위한 것이며 IW(정보 근로자)가 아닙니다. IW용 피싱 방지 인증 또는 MFA를 사용하는 것이 좋습니다.
- 테넌트의 모든 사용자에 대해 QR 코드 인증을 사용하도록 설정하지 마세요. 이 인증 방법을 사용하는 대상 사용자에 대해서만 사용하도록 설정합니다. 예를 들어 일선 작업자를 위한 그룹을 만들고 Microsoft Entra 인증 방법 정책에서만 QR 코드 인증을 사용하도록 설정합니다.
- QR 코드 인증을 조건부 액세스 정책과 다른 보안 계층으로 결합합니다. 규정 준수 디바이스, 네트워크 내 액세스, 특정 애플리케이션 허용 및 공유 디바이스 모드와 같은 정책을 권장합니다.
- 사용자가 저장소 또는 작업 공간 네트워크 외부에서 리소스에 액세스할 때 피싱 방지 인증 또는 MFA를 적용합니다.
- 손실되거나 도난당한 QR 코드를 대체합니다.
- 로그인 위험 기반 조건부 액세스 정책을 적용하여 액세스를 차단합니다.
인증 방법 정책의 QR 코드 구성
인증 정책 관리자는 Microsoft Entra 관리 센터의 인증 방법에서 QR 코드를 사용하도록 설정할 수 있습니다. QR 코드 인증은 기본적으로 사용하지 않도록 설정됩니다.
QR 코드에 대한 인증 방법 정책에서 다음을 구성할 수 있습니다.
PIN 길이: 8-20자리
표준 QR 코드의 수명: 1-395일 기본값은 365일입니다. 인증 정책 관리자는 사용자에 대한 표준 QR 코드를 추가할 때 기본값을 변경할 수 있습니다.
예를 들어 관리자는 인증 방법 정책에서 값을 30일로 설정할 수 있습니다. 해당 테넌트에 있는 모든 사용자에 대해 표준 QR 코드의 기본 만료는 30일입니다. 관리자는 특정 사용자에 대한 표준 QR 코드의 기본 수명을 변경할 수 있습니다.
이 스크린샷에서 PIN 길이는 기본값인 8자리로 설정됩니다. 표준 QR 코드의 수명은 200일로 줄어듭니다.
QR 코드 인증 방법의 기능 세부 정보
인증 정책 관리자가 사용자에 대한 QR 코드 인증 방법을 추가하면 표준 QR 코드 및 PIN이 생성됩니다. 임시 QR 코드를 만들려면 QR 코드 인증 방법을 편집해야 합니다.
임시 QR 코드는 사용자가 표준 QR 코드로 배지를 가져오는 것을 잊어버린 경우에 도움이 됩니다. 그것은 12 시간까지 짧은 수명을 가지고 있습니다. 사용자에 대한 QR 코드 인증 방법이 삭제되면 기존 QR 코드 및 PIN으로 로그인할 수 없습니다.
PIN은 QR 코드 인증 방법에 유효하기 때문에 표준 및 임시 QR 코드 모두에서 작동합니다. 인증 정책 관리자는 사용자 지정 PIN을 제공하거나 QR 코드 인증 방법을 만들 때 PIN을 생성할 수 있습니다. 임시 PIN을 생성할 때만 복사할 수 있습니다. 그런 다음 PIN은 노출을 방지하기 위해 마스킹됩니다.
표준 QR 코드, 임시 QR 코드 및 QR 코드 인증 방법에 대한 PIN에 대한 유용성 상태는 서로 관련이 없습니다. 예를 들어 활성 QR 코드 인증 방법에는 삭제되거나 만료된 표준 QR 코드와 활성 임시 QR 코드가 있을 수 있습니다. 지정된 시점에 단일 활성 표준 QR 코드와 단일 활성 임시 QR 코드만 있을 수 있습니다.
다음 표에서는 표준 QR 코드, 임시 QR 코드 및 PIN의 상태에 대한 조합 예제를 나열합니다. 인증에 성공하려면 활성 QR 코드와 활성 PIN이 필요합니다.
| 표준 QR 코드 | 임시 QR 코드 | QR 코드 인증 방법에 대한 PIN |
|---|---|---|
| 활동적인 | 존재하지 않음 | 임시 또는 사용자가 업데이트한 |
| 활동적인 | 활동적인 | 임시 또는 사용자가 업데이트한 |
| 삭제 | 존재하지 않음 | 임시 또는 사용자가 업데이트한 |
| 만료 | 활동적인 | 임시 또는 사용자가 업데이트한 |
| 만료 | 만료 | 임시 또는 사용자가 업데이트한 |
QR 코드를 관리하는 방법에 대한 자세한 내용은 Microsoft Entra ID(미리 보기)에서 QR 코드 인증 방법을 사용하도록 설정하는 방법을 참조하세요.
QR 코드 인증을 사용한 사용자 로그인 환경
사용자는 웹 로그인 환경 또는 최적화된 앱 로그인 환경을 사용하여 QR 코드로 로그인할 수 있습니다.
모바일 웹 로그인 환경
Microsoft의 웹 브라우저 로그인 환경(login.microsoft.com)을 사용하여 사용자를 인증할 수 있습니다. 사용자는QR 코드로> 로그인 > 로그인을 클릭할 수 있습니다.
모바일 앱 로그인 환경
MSAL(Microsoft 인증 라이브러리)을 사용하여 로그인 페이지에서 QR 코드를 옵션으로 추가하여 앱에 대한 로그인을 최적화할 수 있습니다. 그런 다음 사용자는 두 번의 클릭으로 QR 코드를 스캔할 수 있습니다. 이 최적화된 로그인 환경은 BlueFletch 및 Jamf 앱 시작 관리자에서 사용할 수 있습니다.
로그인 환경을 최적화하는 방법에 대한 자세한 내용은 다음을 참조하세요.
현재 릴리스에서 지원되지 않는 사용자 시나리오
- 사용자에 대한 셀프 서비스 PIN 재설정
- QR 코드 및 PIN 대량 프로비전
- 바코드 스캐너로 QR 코드 검색
- QR 코드 인증이 데스크톱 앱 또는 브라우저에서 작동하지 않음
- 로그인을 위한 사용자 지정 테넌트 엔드포인트
- 계정 잠금 임계값, 기간 또는 PIN 복잡성을 정의하는 구성 가능한 PIN 보호 정책
알려진 문제
사용자에 대해 QR 코드 인증을 사용하도록 설정하는 경우 사용자가 처음으로 QR 코드로 로그인하기 전에 기존 인증 방법으로 로그인해야 합니다. 그렇지 않으면 잘못된 QR 코드 오류가 표시됩니다.
다음은 그 예입니다.
- 사용자에 대해 QR 코드 인증을 사용하도록 설정합니다.
- 사용자는 자신의 암호 또는 다른 로그인 방법으로 로그인해야 합니다.
- 후속 로그인의 경우 QR 코드로 로그인할 수 있습니다.
캐시된 사용자 인증 방법 정책은 사용자가 다시 인증될 때까지 업데이트되지 않으므로 사용자는 다른 방법으로 로그인해야 합니다.