다음을 통해 공유


작동 방법: Microsoft Entra 셀프 서비스 암호 재설정

Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하면 관리자 또는 지원 센터에서 개입하지 않고도 사용자가 암호를 변경하거나 다시 설정할 수 있습니다. 사용자 계정이 잠겨 있거나 암호를 잊어버린 경우 프롬프트에 따라 자신을 차단 해제하여 작업을 다시 수행할 수 있습니다. 사용자가 디바이스 또는 애플리케이션에 로그인할 수 없는 경우 이 기능을 통해 지원 센터 호출 및 생산성 저하를 줄일 수 있습니다. Microsoft Entra ID에서 SSPR을 사용하도록 설정하고 구성하는 방법에 대한 이 동영상을 권장합니다.

Important

이 개념 문서에서는 관리자에게 셀프 서비스 암호 재설정이 작동하는 방법을 설명합니다. 셀프 서비스 암호 재설정에 이미 등록된 최종 사용자가 계정으로 다시 이동해야 하는 경우 https://aka.ms/sspr로 이동합니다.

IT 팀이 자신의 암호를 재설정 하는 기능을 사용하도록 설정하지 않은 경우, 추가 지원이 필요 하면 기술 지원팀에 문의하세요.

암호 재설정 프로세스 작동 방법

사용자는 SSPR 포털을 사용하여 암호를 재설정하거나 변경할 수 있습니다. 먼저 원하는 인증 방법을 등록해야 합니다. 사용자가 SSPR 포털에 액세스하는 경우 Microsoft Entra 플랫폼은 다음 요인을 고려합니다.

  • 페이지를 지역화하려면 어떻게 해야 하나요?
  • 사용자 계정이 유효한가요?
  • 사용자는 어떤 조직에 속해 있나요?
  • 사용자의 암호는 어디서 관리하나요?

사용자가 애플리케이션 또는 페이지에서 계정에 액세스할 수 없음 링크를 선택하거나 직접 https://aka.ms/sspr로 이동하는 경우 SSPR 포털에서 사용되는 언어는 다음 옵션을 기반으로 합니다.

  • 기본적으로 브라우저 로캘은 SSPR을 적절한 언어로 표시하는 데 사용됩니다. 암호 재설정 환경은 Microsoft 365에서 지원하는 것과 동일한 언어로 지역화됩니다.
  • 특정 지역화된 언어로 SSPR에 연결하려면 암호 재설정 URL의 끝에 필요한 로캘과 함께 ?mkt=를 추가합니다.

필요한 언어로 SSPR 포털이 표시되면 사용자에게 사용자 ID와 보안 문자를 입력하라는 메시지가 표시됩니다. 이제 Microsoft Entra ID는 다음 검사를 수행하여 사용자가 SSPR을 사용할 수 있는지 확인합니다.

  • 사용자가 SSPR을 사용하도록 설정했는지 확인합니다.
    • 사용자가 SSPR을 사용하도록 설정되어 있지 않으면 관리자에게 문의하여 암호를 다시 설정하라는 메시지가 표시됩니다.
  • 관리자 정책에 따라 사용자의 계정에 올바른 인증 방법이 정의되어 있는지 확인합니다.
    • 정책에 하나의 방법만 필요한 경우 사용자에게 관리자 정책에서 사용하도록 설정된 하나 이상의 인증 방법에 대해 정의된 적절한 데이터가 있는지 확인합니다.
      • 인증 방법이 구성되어 있지 않으면 사용자는 관리자에게 문의하여 암호를 재설정하라는 요청을 받습니다.
    • 정책에 두 방법만 필요한 경우 관리자 정책에서 사용하도록 설정된 두 인증 방법에 대해 정의된 적절한 데이터가 사용자에게 있는지 확인합니다.
      • 인증 방법이 구성되어 있지 않으면 사용자는 관리자에게 문의하여 암호를 재설정하라는 요청을 받습니다.
    • Azure 관리자 역할이 사용자에게 할당된 경우에는 강력한 2-게이트 암호 정책이 적용됩니다. 자세한 내용은 관리자 재설정 정책의 차이점을 참조하세요.
  • Microsoft Entra 테넌트가 페더레이션된, 통과 인증 또는 암호 해시 동기화를 사용하고 있는지와 같이 사용자의 암호가 온-프레미스에서 관리되는지 확인합니다.
    • SSPR 쓰기 저장이 구성되어 있고 사용자의 암호가 온-프레미스에서 관리되는 경우 사용자가 인증을 진행하고 암호를 재설정할 수 있습니다.
    • SSPR 쓰기 저장이 배포되어 있지 않고 사용자의 암호가 온-프레미스에서 관리되는 경우 사용자는 관리자에게 문의하여 암호를 재설정해야 합니다.

이전 검사가 모두 성공적으로 완료되면 사용자에게 암호를 재설정하거나 변경하는 프로세스가 안내됩니다.

참고 항목

SSPR은 암호 재설정 프로세스의 일부로 사용자에게 이메일 알림을 보낼 수 있습니다. 이러한 이메일은 여러 지역에서 활성-활성 모드로 작동하는 SMTP 릴레이 서비스를 사용하여 전송됩니다.

SMTP 릴레이 서비스는 이메일 본문을 수신하고 처리하지만 저장하지는 않습니다. 고객이 제공한 정보를 잠재적으로 포함할 수 있는 SSPR 이메일의 본문은 SMTP 릴레이 서비스 로그에 저장되지 않습니다. 로그에는 프로토콜 메타데이터만 포함됩니다.

SSPR을 시작하려면 다음 자습서를 완료하세요.

사용자가 로그인 시 등록하도록 요구하시겠습니까?

사용자가 최신 인증이나 웹 브라우저를 사용하여 Microsoft Entra ID를 사용하는 애플리케이션에 로그인하는 경우 사용자에게 SSPR 등록을 완료하도록 요구하는 옵션을 사용하도록 설정할 수 있습니다. 이 워크플로에는 다음 애플리케이션이 포함됩니다.

  • Microsoft 365
  • Microsoft Entra 관리 센터
  • 액세스 패널
  • 페더레이션된 애플리케이션
  • Microsoft Entra ID를 사용하는 사용자 지정 애플리케이션

등록이 필요하지 않은 경우에는 로그인 중에 사용자에 게 메시지가 표시되지 않지만 수동으로 등록할 수 있습니다. 액세스 패널의 프로필 탭 아래에서 https://aka.ms/ssprsetup을 방문하거나 암호 재설정 등록 링크를 선택할 수 있습니다.

Microsoft Entra ID 관련 암호 재설정 등록의 스크린샷.

참고 항목

사용자가 취소를 선택하거나 창을 닫으면 SSPR 등록 포털을 닫을 수 있습니다. 그러나 이 경우에는 등록을 완료할 때까지 로그인할 때마다 등록하도록 요구하는 메시지가 표시됩니다.

SSPR에 등록하기 위한 이 인터럽트는 사용자가 이미 로그인되어 있는 경우 사용자의 연결을 중단하지 않습니다.

인증 정보 다시 확인

암호를 재설정하거나 변경해야 하는 경우 인증 방법이 올바른지 확인하기 위해 일정 시간 후 정보 등록 정보를 확인하도록 사용자에게 요구할 수 있습니다. 이 옵션은 로그인 시 사용자에게 등록 요구 옵션을 사용하도록 설정한 경우에만 사용할 수 있습니다.

사용자에게 등록된 방법을 확인하라는 메시지가 표시되는 유효한 값은 0일-730일입니다. 이 값을 0으로 설정하면 사용자에게 인증 정보를 확인하도록 요청하지 않습니다. 결합 등록 환경을 사용하는 경우 사용자는 정보를 다시 확인하기 전에 ID를 확인해야 합니다.

인증 방법

사용자가 SSPR을 사용하도록 설정된 경우 인증 방법을 하나 이상 등록해야 합니다. 사용자가 필요할 때 한 인증 방법에 액세스하지 못하는 경우, 더 유연하게 사용할 수 있도록 두 개 이상의 인증 방법을 선택하는 것이 좋습니다. 자세한 내용은 인증 방법이란?을 참조하세요.

SSPR에는 다음과 같은 인증 방법을 사용할 수 있습니다.

  • 모바일 앱 알림
  • 모바일 앱 코드
  • Email
  • 휴대폰
  • 사무실 전화(유료 구독이 있는 테넌트에서만 사용 가능)
  • 본인 확인 질문

사용자는 관리자가 사용하도록 설정한 인증 방법을 등록한 경우에만 암호를 재설정할 수 있습니다.

Warning

Azure 관리자 역할이 할당된 계정은 관리자 재설정 정책의 차이점 섹션에 정의된 방법을 사용해야 합니다.

Microsoft Entra ID 관련 인증 방법 정책의 스크린샷.

필수 인증 방법의 수

사용자가 암호를 재설정하거나 잠금 해제하기 위해 제공해야 하는 사용 가능한 인증 방법의 수를 구성할 수 있습니다. 이 값은 1 또는 2로 설정할 수 있습니다.

사용자는 한 방법으로 액세스할 수 없는 경우 다른 방법으로 로그인할 수 있도록 다양한 인증 방법을 등록해야 합니다.

필요한 메서드의 최소 수를 사용자가 등록하지 않으면 SSPR을 사용하려고 할 때 오류 페이지가 표시됩니다. 이 경우, 관리자에게 암호를 재설정해 달라고 요청해야 합니다. 자세한 내용은 인증 방법 변경을 참조하세요.

모바일 앱 및 SSPR

Microsoft Authenticator 등과 같은 암호 재설정 방법으로 모바일 앱을 사용할 때 조직이 중앙 집중식 인증 방법 정책으로 마이그레이션하지 않은 경우 다음 고려 사항이 적용됩니다.

  • 관리자가 하나의 방법으로 암호를 재설정하도록 요구하는 경우 사용 가능한 유일한 옵션은 인증 코드입니다.
  • 관리자가 두 가지 방법으로 암호를 재설정하도록 요구하는 경우, 사용자는 다른 활성화된 방법 외에 알림 또는 확인 코드를 사용할 수 있습니다.
재설정에 필요한 방법 수 하나 2
모바일 앱 기능 사용 가능 코드 코드 또는 알림

사용자는 https://aka.ms/mfasetup에서 모바일 앱을 등록하거나 https://aka.ms/setupsecurityinfo에서 결합 보안 정보를 등록하여 모바일 앱을 등록할 수 있습니다.

Important

하나의 방법만 필요한 경우 Authenticator 앱을 유일한 인증 방법으로 선택할 수 없습니다. 마찬가지로 두 가지 방법이 필요한 경우 Authenticator 앱에 더해 추가 방법을 하나 선택할 수도 없습니다.

Authenticator 앱을 방법으로 포함하는 SSPR 정책을 구성할 때는 한 가지 방법이 필요한 경우에는 하나 이상의 추가 방법을 선택해야 하고, 두 가지 방법을 구성해야 할 경우에는 두 개 이상의 추가 방법을 선택해야 합니다.

인증 방법 변경

등록된 재설정 또는 잠금 해제에 필요한 인증 방법이 하나만 있는 정책으로 시작한 후에 이를 두 가지 방법으로 변경하면 어떻게 되나요?

등록 방법 수 필요한 방법 수 결과
1개 이상 1 다시 설정 또는 잠금 해제 가능
1 2 다시 설정 또는 잠금 해제 불가능
2 이상 2 다시 설정 또는 잠금 해제 가능

사용 가능한 인증 방법을 변경하는 것도 사용자에게 문제가 발생할 수 있습니다. 사용 가능한 인증 방법을 변경하는 경우, 사용 가능한 최소 데이터 양이 없는 사용자는 SSPR을 사용할 수 없습니다.

다음과 같은 경우를 고려합니다.

  1. 원래 정책은 필요한 두 가지 인증 방법으로 구성됩니다. 사무실 전화 번호와 보안 질문만 사용합니다.
  2. 관리자는 더 이상 보안 질문을 사용하지 않도록 정책을 변경하지만 휴대폰 및 보조 메일은 사용하도록 허용합니다.
  3. 이제 휴대폰 또는 대체 이메일 필드를 입력하지 않은 사용자는 이제 암호를 재설정할 수 없습니다.

알림

SSPR을 사용하면 사용자와 ID 관리자 모두에 대한 알림을 구성하여 암호 이벤트의 인식을 향상시킬 수 있습니다.

사용자에게 암호 재설정에 대해 알림

이 옵션을 로 설정하면 암호를 재설정하는 사용자는 암호가 변경되었음을 알리는 이메일을 받습니다. 이메일은 SSPR 포털을 통해 Microsoft Entra ID에 저장된 기본 및 대체 이메일 주소로 전송됩니다. 기본 또는 대체 이메일 주소가 정의되지 않은 경우 SSPR은 사용자의 UPN(사용자 계정 이름)을 통해 이메일 알림을 시도합니다. 누구도 재설정 이벤트의 알림을 받지 않습니다.

다른 관리자가 암호를 재설정하면 모든 관리자에게 알림

이 옵션을 로 설정하면 광역 관리자가 Microsoft Entra ID에 저장된 기본 메일 주소로 메일을 받습니다. 전자 메일은 사용자에게 다른 관리자가 SSPR을 사용하여 암호를 변경했음을 알려줍니다.

참고 항목

SSPR 서비스의 이메일 알림은 작업 중인 Azure 클라우드에 따라 다음 주소에서 전송됩니다.

  • 공용: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • 21Vianet(중국의 Azure)에서 운영하는 Microsoft Azure: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • 미국 정부용 Azure: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

알림 수신에 문제가 있는 경우 스팸 설정을 확인하세요.

사용자 지정 관리자가 알림 메일을 수신하도록 하려면 SSPR 사용자 지정을 사용하고 사용자 지정 지원 센터 링크 또는 전자 메일을 설정합니다.

온-프레미스 통합

하이브리드 환경에서는 Microsoft Entra ID에서 온-프레미스 디렉터리로 암호 변경 이벤트를 다시 기록하도록 Microsoft Entra Connect 클라우드 동기화를 구성할 수 있습니다.

Microsoft Entra ID를 온-프레미스 통합에 사용하도록 설정된 비밀번호 쓰기 저장 스크린샷.

Microsoft Entra ID는 현재 하이브리드 연결을 확인하고 Microsoft Entra 관리 센터에 메시지를 제공합니다. 가능한 오류 해결에 대한 도움말은 Microsoft Entra Connect 문제 해결을 참조하세요.

SSPR 쓰기 저장을 시작하려면 다음 자습서를 완료하세요.

온-프레미스 디렉터리에 대한 비밀번호 쓰기 저장

Microsoft Entra 관리 센터를 사용하여 비밀번호 쓰기 저장을 사용하도록 설정할 수 있습니다. Microsoft Entra Connect를 다시 구성하지 않고도 비밀번호 쓰기 저장을 일시적으로 사용하지 않도록 설정할 수도 있습니다.

  • 옵션을 로 설정하면 쓰기 저장을 사용하도록 설정됩니다. 페더레이션되거나 통과 인증 또는 암호 해시 동기화된 사용자는 암호를 재설정할 수 있습니다.
  • 옵션을 아니요로 설정하면 쓰기 저장을 사용하지 않도록 설정됩니다. 페더레이션되거나 통과 인증 또는 암호 해시 동기화된 사용자는 암호를 재설정할 수 없습니다.

사용자가 해당 암호를 재설정하지 않고 계정의 잠금을 해제할 수 있음

기본적으로 Microsoft Entra ID는 암호 재설정을 수행할 때 계정의 잠금을 해제합니다. 유연성을 제공하기 위해 사용자가 암호를 재설정하지 않고도 온-프레미스 계정의 잠금을 해제할 수 있도록 선택할 수 있습니다. 이 설정을 사용하여 다음 두 가지 작업을 분리합니다.

  • 로 설정하면 사용자에게는 암호를 재설정하고 계정을 잠금 해제하거나 암호를 재설정하지 않고도 계정을 잠금 해제할 수 있는 옵션이 제공됩니다.
  • 아니요로 설정하면 사용자는 결합 암호 재설정 및 계정 잠금 해제 작업만 수행할 수 있습니다.

온-프레미스 Active Directory 암호 필터

SSPR은 Active Directory에서 관리자가 시작한 암호 재설정과 동일한 작업을 수행합니다. 타사 암호 필터를 사용하여 사용자 지정 암호 규칙을 적용하고 Microsoft Entra 셀프 서비스 암호 재설정 중에 이 암호 필터를 확인하도록 요구하는 경우에는 관리자 암호 재설정 시나리오에서 타사 암호 필터 솔루션을 적용하도록 구성해야 합니다. Active Directory Domain Services에 대한 Microsoft Entra 암호 보호는 기본적으로 지원됩니다.

B2B 사용자에 대한 암호 재설정

암호 재설정 및 변경은 모든 B2B(기업 간 전자 상거래) 구성에서 완전히 지원됩니다. B2B 사용자 암호 재설정은 다음 세 가지 경우에 지원됩니다.

  • 기존 Microsoft Entra 테넌트가 있는 파트너 조직의 사용자: 파트너가 기존 Microsoft Entra 테넌트를 사용하는 경우 해당 테넌트에 사용하도록 설정된 모든 암호 재설정 정책을 존중합니다. 암호 재설정이 작동하려면 파트너 조직에서 Microsoft Entra SSPR이 사용하도록 설정되어 있는지 확인하기만 하면 됩니다. Microsoft 365 고객에게는 기타 요금이 부과되지 않습니다.
  • 셀프 서비스 등록을 통해 등록한 사용자: 파트너 조직에서 셀프 서비스 등록 기능을 사용하여 테넌트에 들어간 경우, 등록한 메일로 암호를 재설정하도록 했습니다.
  • B2B 사용자: 새로운 Microsoft Entra B2B 기능을 사용하여 만들어진 새로운 B2B 사용자는 초대 프로세스 중에 등록한 이메일을 사용하여 암호를 초기화할 수도 있습니다.

이 시나리오를 테스트하려면 이러한 파트너 사용자 중 하나로 https://passwordreset.microsoftonline.com으로 이동합니다. 사용자가 대체 메일 또는 인증 메일을 정의한 경우 암호 재설정이 예상대로 작동합니다.

참고 항목

Hotmail.com, Outlook.com 또는 기타 개인 메일 주소와 같이 Microsoft Entra 테넌트에 대한 게스트 액세스 권한이 부여된 Microsoft 계정은 Microsoft Entra SSPR을 사용할 수 없습니다. 자세한 내용은 Microsoft 계정에 로그인할 수 없는 경우를 참조하세요.

다음 단계

SSPR을 시작하려면 다음 자습서를 완료하세요.