Microsoft는 고객에게 최고 수준의 보안을 제공하기 위해 최선을 다하고 있습니다. 사용할 수 있는 가장 효과적인 보안 조치 중 하나는 MFA(다단계 인증)입니다. Microsoft의 연구에 따르면 MFA는 계정 손상 공격의% 99.2개 이상을 차단할 수 있습니다.
따라서 2024년부터 모든 Azure 로그인 시도에 대해 필수 MFA를 적용합니다. 이 요구 사항에 대한 자세한 배경 정보는 블로그 게시물을 참조하세요. 이 항목에서는 영향을 받는 애플리케이션 및 계정, 적용이 테넌트에 롤아웃되는 방법 및 기타 일반적인 질문과 답변에 대해 설명합니다.
중요합니다
필수 MFA를 배포한 후 사용자가 Azure 및 기타 관리 포털에 로그인할 수 없는 경우 전역 관리자는 스크립트를 실행하여 MFA 요구 사항을 연기하고 사용자가 로그인할 수 있도록 허용할 수 있습니다. 자세한 내용은 Azure Portal, Microsoft Entra 관리 센터 또는 Microsoft Intune 관리 센터에 대한 필수 MFA(다단계 인증) 요구 사항을 롤아웃한 후 사용자가 로그인할 수 없는 테넌트에 대한 적용을 연기하는 방법을 참조하세요.
조직에서 이미 MFA를 적용하거나 FIDO2(암호 없는 암호 또는 암호 키)와 같은 더 강력한 방법으로 로그인하는 경우 사용자에게는 변경 사항이 없습니다. MFA가 사용하도록 설정되어 있는지 확인하려면 사용자가 필수 MFA에 대해 설정되어 있는지 확인하는 방법을 참조하세요.
적용 범위
적용 범위에는 적용이 계획된 시기, MFA를 적용하려는 애플리케이션, 범위를 벗어난 애플리케이션 및 필수 MFA 요구 사항이 있는 계정이 포함됩니다.
적용 단계
메모
2단계 적용 날짜가 2025년 9월 1일로 변경되었습니다.
애플리케이션에 대한 MFA 적용은 두 단계로 롤아웃됩니다.
1단계에서 MFA를 적용하는 애플리케이션
2024년 10월부터 Azure Portal, Microsoft Entra 관리 센터 및 Microsoft Intune 관리 센터에 로그인하여 CRUD(만들기, 읽기, 업데이트 또는 삭제) 작업을 수행하는 계정에 MFA가 필요합니다. 이 정책은 전 세계 모든 테넌트에게 점진적으로 적용될 예정입니다. 2025년 2월부터 Microsoft 365 관리 센터 로그인을 위한 MFA 적용이 점차 강화됩니다. 1단계는 Azure CLI, Azure PowerShell, Azure 모바일 앱 또는 IaC 도구와 같은 다른 Azure 클라이언트에 영향을 주지 않습니다.
2단계에서 MFA를 적용하는 애플리케이션
2025년 9월 1일부터 Azure CLI, Azure PowerShell, Azure 모바일 앱, IaC 도구 및 REST API 엔드포인트에 로그인하여 만들기, 업데이트 또는 삭제 작업을 수행하는 계정에 대해 MFA 적용이 점진적으로 시작됩니다. 읽기 작업에는 MFA가 필요하지 않습니다.
일부 고객은 Microsoft Entra ID의 사용자 계정을 서비스 계정으로 사용할 수 있습니다. 이러한 사용자 기반 서비스 계정을 마이그레이션하여 워크로드 ID를 사용하여 클라우드 기반 서비스 계정을 보호하는 것이 좋습니다.
애플리케이션
다음 표에서는 Azure에 대해 영향을 받는 앱, 앱 ID 및 URL을 나열합니다.
| 애플리케이션 이름 | 앱 아이디 | 적용 시작 |
|---|---|---|
| Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Microsoft Entra 관리 센터 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Microsoft Intune 관리 센터 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Azure 명령줄 인터페이스(Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 2025년 9월 1일 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 2025년 9월 1일 |
| Azure 모바일 앱 | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 2025년 9월 1일 |
| IaC(Infrastructure as Code) 도구 | Azure CLI 또는 Azure PowerShell ID 사용 | 2025년 9월 1일 |
| REST API(컨트롤 플레인) | 해당 없음(N/A) | 2025년 9월 1일 |
| Azure SDK | 해당 없음(N/A) | 2025년 9월 1일 |
다음 표에서는 Microsoft 365에 대해 영향을 받는 앱 및 URL을 나열합니다.
| 애플리케이션 이름 | URL | 적용 시작 |
|---|---|---|
| Microsoft 365 관리 센터 | https://portal.office.com/adminportal/home |
2025년 2월 |
| Microsoft 365 관리 센터 | https://admin.cloud.microsoft |
2025년 2월 |
| Microsoft 365 관리 센터 | https://admin.microsoft.com |
2025년 2월 |
계정
애플리케이션 섹션에서 인용한 작업을 수행하기 위해 로그인하는 모든 계정은 적용이 시작될 때 MFA를 완료해야 합니다. 사용자가 Azure에서 호스트되는 다른 애플리케이션, 웹 사이트 또는 서비스에 액세스하는 경우 MFA를 사용할 필요가 없습니다. 이전에 나열된 각 애플리케이션, 웹 사이트 또는 서비스 소유자는 사용자의 인증 요구 사항을 제어합니다.
적용이 시작된 후 MFA로 로그인하려면 비상 또는 긴급 액세스 계정도 필요합니다. 이러한 계정을 업데이트하여 PASSKEY(FIDO2) 를 사용하거나 MFA에 대한 인증서 기반 인증 을 구성하는 것이 좋습니다. 두 방법 모두 MFA 요구 사항을 충족합니다.
관리 ID 및 서비스 주체와 같은 워크로드 ID는 이 MFA 적용 단계의 영향을 받지 않습니다. 사용자 ID를 자동화(스크립트 또는 기타 자동화된 작업 포함)를 실행하기 위해 서비스 계정으로 로그인하는 데 사용하는 경우 적용이 시작되면 해당 사용자 ID가 MFA로 로그인해야 합니다. 사용자 ID는 자동화에 권장되지 않습니다. 이러한 사용자 ID를 워크로드 ID로 마이그레이션해야 합니다.
클라이언트 라이브러리
OAuth 2.0 ROPC(리소스 소유자 암호 자격 증명) 토큰 부여 흐름은 MFA와 호환되지 않습니다. Microsoft Entra 테넌트에서 MFA를 활성화하면 애플리케이션에서 사용되는 ROPC 기반 API가 예외를 발생시킵니다. MSAL(Microsoft 인증 라이브러리)의 ROPC 기반 API에서 마이그레이션하는 방법에 대한 자세한 내용은 ROPC에서 마이그레이션하는 방법을 참조하세요. 언어별 MSAL 지침은 다음 탭을 참조하세요.
애플리케이션에서 Microsoft.Identity.Client 패키지와 다음 API 중 하나를 사용하는 경우 변경이 필요합니다.
- IByUsernameAndPassword.AcquireTokenByUsernamePassword (기밀 클라이언트 API)
- PublicClientApplication.AcquireTokenByUsernamePassword (공용 클라이언트 API)
동일한 일반 MSAL 지침이 Azure ID 라이브러리에 적용됩니다. 해당 라이브러리에 제공된 UsernamePasswordCredential 클래스는 MSAL ROPC 기반 API를 사용합니다. 언어별 지침은 다음 탭을 참조하세요.
Azure.Identity 패키지를 사용하고 애플리케이션에서 다음 작업 중 하나를 수행하는 경우 변경이 필요합니다.
- 다음 두 환경 변수가 설정된 DefaultAzureCredential 또는 EnvironmentCredential 을 사용합니다.
AZURE_USERNAMEAZURE_PASSWORD
- 사용
UsernamePasswordCredential(릴리스 기준으로1.14.0-beta.2)
사용자 기반 서비스 계정을 워크로드 ID로 마이그레이션
고객은 서비스 계정으로 사용되는 사용자 계정을 검색하여 워크로드 ID로 마이그레이션하는 것이 좋습니다. 마이그레이션을 수행하려면 워크로드 ID를 사용하기 위해 스크립트 및 자동화 프로세스를 업데이트해야 하는 경우가 많습니다.
사용자 계정이 필수 MFA로 설정되었는지 검토하여, 서비스 계정으로 사용되는 사용자 계정을 포함한 모든 사용자 계정을 식별하는 방법을 확인하십시오
이러한 애플리케이션을 사용한 인증을 위해 사용자 기반 서비스 계정에서 워크로드 ID로 마이그레이션하는 방법에 대한 자세한 내용은 다음을 참조하세요.
- Azure CLI를 사용하여 관리 ID로 Azure에 로그인
- Azure CLI를 사용하여 서비스 주체로 Azure에 로그인
- 자동화 시나리오에 대해 비대화형으로 Azure PowerShell에 로그인합니다. 여기에는 관리 ID 및 서비스 주체 사용 사례 모두에 대한 지침이 포함되어 있습니다.
일부 고객은 사용자 기반 서비스 계정에 조건부 액세스 정책을 적용합니다. 사용자 기반 라이선스를 회수하고 워크로드 ID 라이선스를 추가하여 워크로드 ID에 조건부 액세스를 적용할 수 있습니다.
구현
로그인 시 MFA에 대한 이 요구 사항은 관리 포털 및 기타 애플리케이션에 대해 구현 됩니다. Microsoft Entra ID 로그인 로그는 MFA 요구 사항의 원본으로 표시됩니다.
필수 MFA는 구성할 수 없습니다. 테넌트에 구성된 액세스 정책과는 별도로 구현됩니다.
예를 들어 조직에서 Microsoft의 보안 기본값을 유지하도록 선택하고 현재 보안 기본값을 사용하도록 설정한 경우 Azure 관리에 MFA가 이미 필요하므로 사용자에게 변경 내용이 표시되지 않습니다. 테넌트가 Microsoft Entra에서 조건부 액세스 정책을 사용하고 있고 사용자가 MFA를 사용하여 Azure에 로그인하는 조건부 액세스 정책이 이미 있는 경우 사용자에게 변경 내용이 표시되지 않습니다. 마찬가지로, Azure를 대상으로 하고 피싱 방지 MFA와 같은 더 강력한 인증이 필요한 제한적인 조건부 액세스 정책은 계속 적용됩니다. 사용자에게 변경 내용이 표시되지 않습니다.
알림 채널
Microsoft는 다음 채널을 통해 모든 Microsoft Entra 전역 관리자에게 알립니다.
전자 메일: 전자 메일 주소를 구성한 전역 관리자는 예정된 MFA 적용 및 준비에 필요한 조치를 이메일로 알릴 수 있습니다.
서비스 상태 알림: 전역 관리자는 추적 ID가 4V20-VX0인 Azure Portal을 통해 서비스 상태 알림을 받습니다. 이 알림에는 이메일과 동일한 정보가 포함됩니다. 전역 관리자는 이메일을 통해 서비스 상태 알림을 받도록 구독할 수도 있습니다.
포털 알림: 로그인할 때 Azure Portal, Microsoft Entra 관리 센터 및 Microsoft Intune 관리 센터에 알림이 표시됩니다. 필수 MFA 적용에 대한 자세한 내용은 포털 알림이 이 항목에 연결됩니다.
Microsoft 365 메시지 센터: 메시지 ID: MC862873를 가진 메시지가 Microsoft 365 메시지 센터에 나타납니다. 이 메시지에는 전자 메일 및 서비스 상태 알림과 동일한 정보가 있습니다.
적용 후 Azure Portal에 배너가 표시됩니다.
외부 인증 방법 및 ID 공급자
외부 MFA 솔루션에 대한 지원은 외부 인증 방법으로 미리 보기로 제공되며 MFA 요구 사항을 충족하는 데 사용할 수 있습니다. 레거시 조건부 액세스 사용자 지정 컨트롤 미리 보기는 MFA 요구 사항을 충족하지 않습니다. 외부 솔루션을 Microsoft Entra ID와 함께 사용하려면 외부 인증 방법 미리 보기로 마이그레이션해야 합니다.
Active Directory Federation Services와 같은 페더레이션 IdP(ID 공급자)를 사용하고 MFA 공급자가 이 페더레이션 IdP와 직접 통합되는 경우 페더레이션 IdP는 MFA 클레임을 보내도록 구성되어야 합니다. 자세한 내용은 Microsoft Entra MFA에 대한 예상 인바운드 어설션 을 참조하세요.
1단계 MFA 적용을 준비하는 데 더 많은 시간 요청
일부 고객은 이 MFA 요구 사항을 준비하는 데 추가 시간이 필요할 수 있습니다. Microsoft는 복잡한 환경 또는 기술 장벽이 있는 고객이 2025년 9월 30일까지 테넌트에 대한 1단계 적용을 연기할 수 있도록 허용합니다.
적용 시작 날짜를 연기하려는 각 테넌트에 대해 전역 관리자는 시작 날짜로 이동하여 https://aka.ms/managemfaforazure 시작 날짜를 선택할 수 있습니다.
주의
적용 시작 날짜를 연기하면 Azure Portal과 같은 Microsoft 서비스에 액세스하는 계정이 위협 행위자의 매우 중요한 대상이기 때문에 추가적인 위험이 발생합니다. 이제 모든 테넌트가 클라우드 리소스를 보호하기 위해 MFA를 설정하는 것이 좋습니다.
이전에 MFA를 사용하여 Azure Portal에 로그인한 적이 없는 경우 MFA를 완료하여 로그인하거나 MFA 적용을 연기하라는 메시지가 표시됩니다. 이 화면은 한 번만 표시됩니다. MFA를 설정하는 방법에 대한 자세한 내용은 사용자가 필수 MFA에 대해 설정되어 있는지 확인하는 방법을 참조하세요.
MFA 연기를 선택하는 경우 MFA 적용 날짜는 향후 1개월 또는 2025년 9월 30일입니다. 로그인한 후에는 날짜를 https://aka.ms/managemfaforazure변경할 수 있습니다. 연기 요청을 진행하려면 연기 확인을 클릭하세요. 전역 관리자는 MFA 적용 시작 날짜를 연기하려면 액세스 권한을 상승 해야 합니다.
2단계 MFA 적용을 준비하는 데 더 많은 시간 요청
Microsoft는 복잡한 환경 또는 기술 장벽이 있는 고객이 2026년 7월 1일까지 테넌트에 대한 2단계 적용을 연기할 수 있도록 허용합니다. 에서 2단계 MFA 적용을 준비하는 데 더 많은 시간을 요청할 수 있습니다 https://aka.ms/postponePhase2MFA. 다른 시작 날짜를 선택하고 적용을 클릭합니다.
메모
1단계의 시작을 연기하는 경우 2단계의 시작도 같은 날짜로 연기됩니다. 2단계의 이후 시작 날짜를 선택할 수 있습니다.
FAQ
질문: 테넌트가 테스트에만 사용되는 경우 MFA가 필요한가요?
답변: 예, 모든 Azure 테넌트에는 테스트 환경을 제외하고 MFA가 필요합니다.
질문: 이 요구 사항이 Microsoft 365 관리 센터에 어떤 영향을 주나요?
답변: 필수 MFA는 2025년 2월부터 Microsoft 365 관리 센터에 배포됩니다. Microsoft 365 관리 센터에 대한 필수 다단계 인증을 발표하는 블로그 게시물에서 Microsoft 365 관리 센터의 필수 MFA 요구 사항에 대해 자세히 알아보세요.
질문: MFA는 모든 사용자 또는 관리자에게만 필수인가요?
답변: 이전에 나열된 애플리케이션 에 로그인하는 모든 사용자는 활성화되거나 적합한 관리자 역할 또는 사용하도록 설정된 사용자 제외 에 관계없이 MFA를 완료해야 합니다.
질문: 로그인 상태를 유지하는 옵션을 선택하는 경우 MFA를 완료해야 하나요?
답변: 예, 로그인 상태를 선택하더라도 이러한 애플리케이션에 로그인하려면 MFA를 완료해야 합니다.
질문: B2B 게스트 계정에 적용이 적용됩니까?
답변: 예, MFA는 파트너 리소스 테넌트에서 준수해야 하며, 테넌트 간 액세스를 사용하여 리소스 테넌트에 MFA 클레임을 보내도록 올바르게 설정된 경우 사용자의 홈 테넌트에서 준수해야 합니다.
질문: 이 시행은 미국 정부용 Azure 또는 Azure 소버린 클라우드에 적용됩니까?
답변: Microsoft는 공용 Azure 클라우드에서만 필수 MFA를 적용합니다. Microsoft는 현재 미국 정부 또는 기타 Azure 소버린 클라우드용 Azure에서 MFA를 적용하지 않습니다.
질문: 다른 ID 공급자 또는 MFA 솔루션을 사용하여 MFA를 적용하고 Microsoft Entra MFA를 사용하여 적용하지 않는 경우 어떻게 준수할 수 있나요?
답변: 타사 MFA를 Microsoft Entra ID와 직접 통합할 수 있습니다. 자세한 내용은 Microsoft Entra 다단계 인증 외부 메서드 공급자 참조를 참조하세요. Microsoft Entra ID는 필요에 따라 페더레이션 ID 공급자를 사용하여 구성할 수 있습니다. 이 경우 ID 공급자 솔루션을 올바르게 구성하여 다중 사용자 클레임을 Microsoft Entra ID로 보내야 합니다. 자세한 내용은 페더레이션 IdP의 MFA 클레임을 통해 Microsoft Entra ID의 다단계 인증(MFA) 제어를 충족하는 방법을 참조하세요.
질문: 필수 MFA가 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 동기화하는 기능에 영향을 주나요?
대답: 아니요. 동기화 서비스 계정은 필수 MFA 요구 사항의 영향을 받지 않습니다. 이전에 나열된 애플리케이션 만 로그인하려면 MFA가 필요합니다.
질문: 옵트아웃할 수 있나요?
답변: 옵트아웃할 수 있는 방법은 없습니다. 이 보안 동작은 Azure 플랫폼의 모든 안전 및 보안에 중요하며 클라우드 공급업체에서 반복되고 있습니다. 예를 들어 2024년 MFA 요구 사항을 향상하려면 디자인별 보안: AWS를 참조하세요.
고객이 적용 시작 날짜를 연기하는 옵션을 사용할 수 있습니다. 전역 관리자는 Azure Portal 로 이동하여 테넌트에 대한 적용 시작 날짜를 연기할 수 있습니다. 전역 관리자는 이 페이지에서 MFA 적용 시작 날짜를 연기하기 전에 상승된 액세스 권한이 있어야 합니다. 연기가 필요한 각 임차인에 대해 이 작업을 수행해야 합니다.
질문: Azure에서 정책을 적용하기 전에 MFA를 테스트하여 중단이 없는지 확인할 수 있나요?
답변: 예, MFA 에 대한 수동 설정 프로세스를 통해 MFA를 테스트할 수 있습니다. 이를 설정하고 테스트하는 것이 좋습니다. 조건부 액세스를 사용하여 MFA를 적용하는 경우 조건부 액세스 템플릿을 사용하여 정책을 테스트할 수 있습니다. 자세한 내용은 Microsoft 관리 포털에 액세스하는 관리자에 대한 다단계 인증 필요를 참조하세요. 무료 버전의 Microsoft Entra ID를 실행하는 경우 보안 기본값을 사용하도록 설정할 수 있습니다.
질문: MFA를 이미 사용하도록 설정한 경우 다음에는 어떻게 되나요?
답변: 이전에 나열된 애플리케이션에 액세스하는 사용자에 대해 이미 MFA가 필요한 고객은 변경 내용을 볼 수 없습니다. 사용자의 하위 집합에 대해서만 MFA가 필요한 경우 MFA를 아직 사용하지 않는 사용자는 이제 애플리케이션에 로그인할 때 MFA를 사용해야 합니다.
질문: Microsoft Entra ID에서 MFA 활동을 검토하려면 어떻게 해야 하나요?
답변: 사용자에게 MFA로 로그인하라는 메시지가 표시되는 경우에 대한 세부 정보를 검토하려면 Microsoft Entra 로그인 로그를 사용합니다. 자세한 내용은 Microsoft Entra 다단계 인증에 대한 로그인 이벤트 세부 정보를 참조하세요.
질문: "비상 발생" 시나리오가 있는 경우 어떻게 해야 하나요?
답변: 이러한 계정을 업데이트하여 PASSKEY(FIDO2) 를 사용하거나 MFA에 대한 인증서 기반 인증 을 구성하는 것이 좋습니다. 두 방법 모두 MFA 요구 사항을 충족합니다.
질문: MFA가 강제 적용되기 전에 MFA 설정 이메일을 받지 못해 계정이 잠기면 어떻게 해결할 수 있나요?
답변: 사용자는 잠기면 안 되지만 테넌트에 대한 적용이 시작되면 MFA를 사용하도록 설정하라는 메시지가 표시될 수 있습니다. 사용자가 잠긴 경우 다른 문제가 있을 수 있습니다. 자세한 내용은 계정이 잠겨 있는지를 참조하세요.
관련 콘텐츠
MFA를 구성하고 배포하는 방법에 대해 자세히 알아보려면 다음 항목을 검토하세요.
- Azure Portal, Microsoft Entra 관리 센터 또는 Microsoft Intune 관리 센터에 대한 필수 다단계 인증(MFA) 요구 사항을 롤아웃한 후 사용자가 로그인할 수 없는 테넌트에 대한 적용을 연기하는 방법
- 사용자가 필수 MFA에 대해 설정되어 있는지 확인하는 방법
- 자습서: Microsoft Entra 다단계 인증을 사용하여 사용자 로그인 이벤트 보호
- Microsoft Entra 다단계 인증을 통해 로그인 이벤트 보호
- Microsoft Entra 다단계 인증 배포 계획
- 피싱 방지 MFA 메서드
- Microsoft Entra 다단계 인증
- 인증 방법