Android 디바이스의 Microsoft Entra 인증서 기반 인증
Microsoft Entra 인증서 기반 인증은 디바이스에 프로비전된 인증서뿐만 아니라 YubiKeys와 같은 외부 보안 키에서도 지원됩니다.
필수 조건
- Android 버전은 Android 5.0(Lollipop) 이상이어야 합니다.
- 최신 MSAL 라이브러리 또는 Microsoft Authenticator가 있는 Microsoft 자사 앱은 CBA를 수행할 수 있습니다.
- 최신 MSAL 라이브러리를 사용하거나 Microsoft Authenticator와 통합된 타사 애플리케이션은 CBA를 수행할 수 있습니다.
디바이스 내 인증서를 사용하는 CBA
고객은 선택한 MDM(모바일 디바이스 관리)을 사용하여 디바이스에서 인증서를 프로비전할 수 있습니다. 최종 사용자는 먼저 MDM에 디바이스를 등록하고 디바이스에서 프로비전된 인증서를 가져와야 합니다. 디바이스에서 인증서가 프로비전되면 사용자는 CBA를 사용하여 인증할 수 있습니다.
Android의 Microsoft 앱에서 YubiKey를 테스트하는 단계:
- Outlook을 엽니다.
- 계정 추가를 선택하고 UPN(사용자 계정 이름)을 입력합니다.
- 계속을 클릭합니다.
- 인증서 또는 스마트 카드 사용을 선택합니다.
- 대화 상자에서 디바이스의 인증서를 선택합니다**.**
- 인증서 선택기가 나타납니다.
- 사용자 계정과 연결된 인증서를 선택합니다. 계속을 클릭합니다.
- 인증에 성공하면 사용자가 Outlook 리소스에 액세스할 수 있습니다.
하드웨어 보안 키에 인증서가 있는 CBA
프라이빗 키 액세스를 보호하기 위해 PIN과 함께 하드웨어 보안 키와 같은 인증서를 외부 디바이스에서 프로비전할 수 있습니다. Microsoft Entra ID는 YubiKey로 CBA를 지원합니다.
하드웨어 보안 키에 대한 인증서의 이점
인증서가 있는 보안 키:
- 보안 키의 로밍 특성이 있어 사용자가 다른 디바이스에서 동일한 인증서를 사용할 수 있습니다.
- PIN으로 하드웨어를 보호하여 피싱을 방지합니다.
- 인증서의 프라이빗 키에 액세스하기 위한 두 번째 요소로 PIN을 사용하여 다단계 인증을 제공합니다.
- 별도의 디바이스에 MFA를 설치해야 하는 업계 요구 사항을 충족합니다.
- FIDO2(Fast Identity Online 2) 키를 포함하는 여러 자격 증명을 저장할 수 있는 향후 언어 교정에 도움이 됩니다.
YubiKey를 사용하는 Android 모바일의 Microsoft Entra CBA
Android는 인증서로 스마트 카드 또는 보안 키를 지원할 수 있는 미들웨어 애플리케이션이 필요합니다. Microsoft Entra CBA로 YubiKeys를 지원하기 위해 YubiKey Android SDK가 최신 MSAL(Microsoft 인증 라이브러리)를 통해 활용할 수 있는 Microsoft 브로커 코드에 통합되었습니다.
Android 모바일에서 YubiKey가 포함된 Microsoft Entra CBA는 최신 MSAL을 사용하여 사용하도록 설정되므로 Android 지원에는 YubiKey Authenticator 앱이 필요하지 않습니다.
Android의 Microsoft 앱에서 YubiKey를 테스트하는 단계:
- Microsoft Authenticator를 설치합니다.
- YubiKey에 USB-C가 있는 경우 Outlook을 열고 YubiKey를 연결합니다.
- 계정 추가를 선택하고 UPN(사용자 계정 이름)을 입력합니다.
- 계속을 클릭하고 YubiKey에 액세스할 수 있는 권한을 요청하면 [확인]을 클릭합니다.
- 인증서 또는 스마트 카드 사용을 선택합니다.
- NFC 사용 유비키를 사용하는 경우 장치 뒷면에 Yubikey를 유지합니다.
- 사용자 지정 인증서 선택기가 나타납니다.
- 사용자 계정과 연결된 인증서를 선택하고 계속을 클릭합니다.
- PIN을 입력하여 YubiKey에 액세스하고 잠금 해제를 선택합니다.
- NFC에서 Yubikey를 사용하는 경우 휴대폰 뒷면에 Yubikey를 다시 길게 눌러 PIN의 유효성을 검사합니다.
- 인증에 성공하면 Outlook에 액세스할 수 있습니다.
참고 항목
원활한 CBA 흐름을 위해 애플리케이션이 열리자마자 YubiKey를 연결하고, 인증서 또는 스마트 카드 사용 링크를 선택하기 전에 YubiKey의 동의 대화 상자에 동의합니다. 단일 연결만 경험하려면 사용자가 로그인 시작 시 한 번만 수행해야 하는 NFC 대신 USB를 사용하여 YubiKey에 연결하도록 하는 것이 좋습니다.
Exchange ActiveSync 클라이언트에 대한 지원
Android 5.0(Lollipop) 이상의 특정 Exchange ActiveSync 애플리케이션은 지원됩니다. 이메일 애플리케이션이 Microsoft Entra CBA를 지원하는지 확인하려면 애플리케이션 개발자에게 문의하세요.
지원되는 Entra 사용 사례
Microsoft 모바일 애플리케이션 지원
| 애플리케이션 | 지원 |
|---|---|
| Azure Information Protection 앱 | ✅ |
| 회사 포털 | ✅ |
| Microsoft Teams | ✅ |
| Office(모바일) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| 비즈니스용 Skype | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
| 프로필 로그인이 있는 Edge 브라우저 | ✅ |
| 관리되는 홈 화면 | ✅ |
브라우저
| 운영 체제 | 디바이스의 Chrome 인증서 | Chrome 스마트 카드/보안 키 | 디바이스의 Safari 인증서 | Safari 스마트 카드/보안 키 | 디바이스의 Edge 인증서 | Edge 스마트 카드/보안 키 |
|---|---|---|---|---|---|---|
| Android | ✅ | ❌ | 해당 없음 | 사용 불가 | ✅ | ❌ |
참고 항목
브라우저로서의 Edge는 지원되지 않지만 프로필(계정 로그인용)로서의 Edge는 Android에서 CBA를 지원하는 MSAL 앱입니다.
운영 체제
| 운영 체제 | 디바이스의 인증서/파생 PIV | 스마트 카드/보안 키 |
|---|---|---|
| Android | ✅ | 지원되는 공급업체만 |
보안 키 공급자
| Provider | Android |
|---|---|
| YubiKey | ✅ |
하드웨어 보안 키에서 인증서 문제 해결
사용자에게 Android 디바이스와 YubiKey 모두에 인증서가 있는 경우 어떻게 되나요?
- Android 디바이스와 YubiKey 모두에 인증서가 있는 경우 사용자가 인증서 또는 스마트 카드 사용을 클릭하기 전에 YubiKey가 연결되어 있으면 사용자에게 YubiKey의 인증서가 표시됩니다.
- 사용자가 인증서 또는 스마트 카드 사용을 클릭하기 전에 YubiKey가 연결되어 있지 않으면 사용자에게 장치 또는 실제 스마트 카드의 인증서 중에서 선택하라는 메시지가 표시됩니다. 사용자가 디바이스의 인증서를 선택하면 디바이스에 인증서가 표시됩니다. 사용자가 물리적 스마트 카드의 인증서를 선택하는 경우 YubiKey를 뒤쪽에 연결하거나 길게 누르면 사용자에게 YubiKey의 인증서가 표시됩니다.
PIN을 3번 잘못 입력하면 내 YubiKey가 잠깁니다. 수정 방법
- 사용자에게 PIN 시도가 너무 수행되었음을 알리는 대화 상자가 표시됩니다. 이 대화 상자는 인증서 또는 스마트 카드 사용을 선택하는 후속 시도 중에도 나타납니다.
- 사용자는 관리자에게 문의하여 YubiKey PIN을 다시 설정해야 합니다.
Microsoft Authenticator를 설치했지만 여전히 YubiKey로 인증서 기반 인증을 수행하는 옵션이 표시되지 않습니다.
Microsoft Authenticator를 설치하기 전에 회사 포털을 제거하고 Microsoft Authenticator 설치 후 회사 포털을 설치합니다.
Microsoft Entra CBA는 NFC를 통해 YubiKey를 지원하나요?
Entra CBA는 USB 및 NFC와 함께 YubiKey 사용을 지원합니다.
CBA가 실패하면 오류 페이지의 '다른 로그인 방법' 링크에서 CBA 옵션을 다시 클릭하면 실패합니다.
이 문제는 인증서 캐싱으로 인해 발생합니다. 해결 방법으로 취소를 클릭하고 로그인 흐름을 다시 시작하면 사용자가 새 인증서를 선택하고 성공적으로 로그인할 수 있습니다.
YubiKey를 사용하는 Microsoft Entra CBA가 실패합니다. 문제를 디버그하는 데 도움이 되는 정보는 무엇인가요?
- Microsoft Authenticator 앱을 열고 오른쪽 위 모서리에 있는 점 3개 아이콘을 클릭하고 피드백 보내기를 선택합니다.
- 문제가 있나요?를 클릭합니다.
- 옵션 선택에서 계정 추가 또는 로그인을 선택합니다.
- 추가하려는 세부 정보를 설명합니다.
- 오른쪽 위 모서리에서 보내기 화살표를 클릭합니다. 표시되는 대화 상자에 제공된 코드를 확인합니다.