인증 강도는 리소스에 액세스하기 위한 인증 방법의 조합을 지정하는 Microsoft Entra 조건부 액세스 제어입니다. 관리자는 요구 사항에 정확하게 맞게 최대 15개의 사용자 지정 인증 강점을 만들 수 있습니다.
필수 조건
- 조건부 액세스를 사용하려면 테넌트에 Microsoft Entra ID P1 라이선스가 있어야 합니다. 이 라이선스가 없는 경우 평가판을 시작할 수 있습니다.
사용자 지정 인증 강도 만들기
Microsoft Entra 관리 센터에 최소한 보안 관리자로 로그인합니다.
Entra ID>인증 방법>인증 강도로 이동하십시오.
새 인증 강도 선택합니다.
이름에 대해 새 인증 강도에 대한 설명이 포함된 이름을 제공합니다.
설명의 경우 선택적 설명을 제공할 수 있습니다.
피싱 방지 MFA, 암호 없는 MFA 및 임시 액세스 패스와 같이 허용하려는 사용 가능한 메서드를 선택합니다.
다음을 선택하고 정책 구성을 검토합니다.
사용자 지정 인증 강도 업데이트 및 삭제
사용자 지정 인증 강도를 편집할 수 있습니다. 조건부 액세스 정책이 해당 인증 강도를 참조하는 경우 삭제할 수 없으며 편집 내용을 확인해야 합니다.
조건부 액세스 정책이 인증 강도를 참조하는지 확인하려면 조건부 액세스 정책 열로 이동합니다.
패스키(FIDO2)에 대한 고급 설정 구성
AAGUID(Authenticator Attestation GUID)에 따라 암호(FIDO2)의 사용을 제한할 수 있습니다. 이 기능을 사용하여 리소스에 액세스하기 위해 특정 제조업체의 FIDO2 보안 키를 요구할 수 있습니다.
사용자 지정 인증 강도를 만든 후 Passkeys(FIDO2)>고급 옵션을 선택합니다.
AAGUID 추가 옆에 있는 더하기 기호(+)를 선택하고 AAGUID 값을 복사한 다음 저장을 선택합니다.
인증서 기반 인증에 대한 고급 옵션 구성
인증 바인딩 정책에서 인증서 발급자 또는 OID(정책 개체 식별자)에 따라 시스템에 인증서가 단일 요소 또는 다단계 인증 보호 수준에 바인딩되는지 여부를 구성할 수 있습니다. 조건부 액세스 인증 강도 정책에 따라 특정 리소스에 대해 단일 요소 또는 다단계 인증 인증서를 요구할 수도 있습니다.
인증 강도에 대한 고급 옵션을 사용하면 특정 인증서 발급자 또는 정책 OID를 요구하여 애플리케이션에 대한 로그인을 추가로 제한할 수 있습니다.
예를 들어 Contoso라는 조직이 세 가지 유형의 다단계 인증서를 사용하는 직원에게 스마트 카드를 발급한다고 가정합니다. 한 인증서는 기밀 허가를 위한 것이고, 다른 하나는 비밀 허가를 위한 것이며, 세 번째는 일급 비밀 통관용입니다. 각 인증서는 발급자 또는 정책 OID와 같은 인증서의 속성으로 구분됩니다. Contoso는 적절한 다단계 인증서가 있는 사용자만 각 분류에 대한 데이터에 액세스할 수 있도록 합니다.
다음 섹션에서는 Microsoft Entra 관리 센터 및 Microsoft Graph를 사용하여 CBA(인증서 기반 인증)에 대한 고급 옵션을 구성하는 방법을 보여 줍니다.
Microsoft Entra 관리 센터
Microsoft Entra 관리 센터에 관리자 권한으로 로그인합니다.
Entra ID>인증 방법>인증 강도로 이동하십시오.
새 인증 강도 선택합니다.
이름에 대해 새 인증 강도에 대한 설명이 포함된 이름을 제공합니다.
설명의 경우 선택적 설명을 제공할 수 있습니다.
인증서 기반 인증(단일 요소 또는 다단계)에 대한 옵션 아래에서 고급 옵션을 선택합니다.
인증서 발급자를 선택하거나 입력하고 허용되는 정책 OID를 입력합니다.
테넌트의 인증 기관 드롭다운 목록에서 인증서 발급자를 선택하여 인증서 발급자를 구성할 수 있습니다. 테넌트의 모든 인증 기관이 드롭다운 목록에 표시되며, 단일 인증 또는 다중 인증을 사용할 수 있습니다.
사용하려는 인증서가 테넌트 내의 인증 기관에 업로드되지 않는 시나리오의 경우 SubjectkeyIdentifier 상자의 다른 인증서 발급자에 인증서 발급자를 입력할 수 있습니다. 이러한 예 중 하나는 사용자가 홈 테넌트에서 인증할 수 있고 인증 강도가 리소스 테넌트에 적용되는 외부 사용자 시나리오입니다.
이러한 조건은 다음과 같습니다.
- 두 특성(인증서 발급자 및 정책 OID)을 모두 구성하는 경우 사용자는 인증 강도를 충족하기 위해 하나 이상의 발급자와 목록 의 정책 OID 중 하나가 있는 인증서를 사용해야 합니다.
- 인증서 발급자 특성만 구성하는 경우 사용자는 인증 강도를 충족하기 위해 발급자 중 하나 이상이 있는 인증서를 사용해야 합니다.
- 정책 OID 특성만 구성하는 경우 사용자는 인증 강도를 충족하기 위해 정책 OID 중 하나 이상이 있는 인증서를 사용해야 합니다.
메모
인증 강도에 대해 최대 5개의 발급자와 5개의 OID를 구성할 수 있습니다.
다음을 선택하여 구성을 검토한 다음 만들기를 선택합니다.
마이크로소프트 그래프
인증서에 사용하여 combinationConfigurations 새 조건부 액세스 인증 강도 정책을 만들려면 다음 코드를 사용합니다.
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
기존 정책에 새 combinationConfiguration 정보를 추가하려면 다음 코드를 사용합니다.
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
제한 사항 이해
Passkey에 대한 고급 옵션(FIDO2)
암호 키에 대한 고급 옵션(FIDO2)은 홈 테넌트 및 리소스 테넌트가 다른 Microsoft 클라우드에 있는 외부 사용자에게는 지원되지 않습니다.
인증서 기반 인증에 대한 고급 옵션
사용자는 각 브라우저 세션에서 하나의 인증서만 사용할 수 있습니다. 사용자가 인증서를 사용하여 로그인하면 세션 기간 동안 브라우저에 캐시됩니다. 인증 강도 요구 사항을 충족하지 않는 경우 사용자에게 다른 인증서를 선택하라는 메시지가 표시되지 않습니다. 사용자는 로그아웃하고 다시 로그인하여 세션을 다시 시작한 다음 관련 인증서를 선택해야 합니다.
인증 기관 및 사용자 인증서는 X.509 v3 표준을 준수해야 합니다. 특히 발급자 SKI(주체 키 식별자)에 CBA 제한을 적용하려면 인증서에 유효한 AKI(기관 키 식별자)가 필요합니다.
메모
인증서가 준수하지 않으면 사용자 인증이 성공하지만 인증 강도 정책에 대한 발급자 SKI 제한을 충족하지 못할 수 있습니다.
로그인 시 Microsoft Entra ID는 사용자 인증서의 처음 5개 정책 OID를 고려하고 인증 강도 정책에 구성된 정책 OID와 비교합니다. 사용자 인증서에 5개 이상의 정책 OID가 있는 경우 Microsoft Entra ID는 인증 강도 요구 사항과 일치하는 처음 5개의 정책 OID(어휘 순서)를 고려합니다.
비즈니스 간 사용자의 경우 Contoso가 다른 조직(Fabrikam)의 사용자를 테넌트에 초대하는 예제를 살펴보겠습니다. 이 경우 Contoso는 리소스 테넌트이고 Fabrikam은 홈 테넌트입니다. 액세스는 테넌트 간 액세스 설정에 따라 달라집니다.
- 테넌트 간 액세스 설정이 Off인 경우 Contoso는 홈 테넌트가 수행한 MFA를 허용하지 않습니다. 리소스 테넌트에 대한 인증서 기반 인증은 지원되지 않습니다.
- 테넌트 간 액세스 설정이 켜지면 Fabrikam 및 Contoso 테넌트는 동일한 Microsoft 클라우드(Azure 상용 클라우드 플랫폼 또는 미국 정부용 Azure 클라우드 플랫폼)에 있습니다. 또한 Contoso는 홈 테넌트에서 수행된 MFA를 신뢰합니다. 이 경우 다음을 수행합니다.
- 관리자는 사용자 지정 인증 강도 정책의 SubjectkeyIdentifier 설정에서 정책 OID 또는 기타 인증서 발급자를 사용하여 특정 리소스에 대한 액세스를 제한할 수 있습니다.
- 관리자는 사용자 지정 인증 강도 정책에서 SubjectkeyIdentifier별 다른 인증서 발급자 설정을 사용하여 특정 리소스에 대한 액세스를 제한할 수 있습니다.
- 테넌트 간 액세스 설정이 켜지면 Fabrikam 및 Contoso가 동일한 Microsoft 클라우드에 있지 않습니다. 예를 들어 Fabrikam의 테넌트는 Azure 상용 클라우드 플랫폼에 있고 Contoso의 테넌트는 미국 정부용 Azure 클라우드 플랫폼에 있습니다. 관리자는 사용자 지정 인증 강도 정책에서 발급자 ID 또는 정책 OID를 사용하여 특정 리소스에 대한 액세스를 제한할 수 없습니다.
인증 강도에 대한 고급 옵션 문제 해결
사용자는 자신의 암호(FIDO2)를 사용하여 로그인할 수 없습니다.
조건부 액세스 관리자는 특정 보안 키에 대한 액세스를 제한할 수 있습니다. 사용자가 사용할 수 없는 키로 로그인하려고 하면 "여기에서 가져올 수 없습니다." 메시지가 나타납니다. 사용자는 세션을 다시 시작하고 다른 암호(FIDO2)로 로그인해야 합니다.
인증서 발급자 또는 정책 OID를 확인해야 합니다.
개인 인증서 속성이 인증 강도에 대한 고급 옵션의 구성과 일치하는지 확인할 수 있습니다.
사용자의 디바이스에서 관리자 권한으로 로그인합니다.
실행을 선택하고 certmgr.msc를 입력한 다음 Enter 키를 선택합니다.
개인>인증서를 선택하고 인증서를 마우스 오른쪽 단추로 클릭한 다음 세부 정보 탭으로 이동합니다.
