Microsoft Entra ID의 암호 정책 및 계정 제한
Microsoft Entra ID에는 암호 복잡성, 길이 또는 나이와 같은 설정을 정의하는 암호 정책이 있습니다. 사용자 이름에 허용되는 문자와 길이를 정의하는 정책도 있습니다.
SSPR(셀프 서비스 암호 재설정)을 사용하여 Microsoft Entra ID에서 암호를 변경하거나 재설정하는 경우 암호 정책이 확인됩니다. 암호가 정책 요구 사항을 충족하지 않으면 사용자에게 다시 시도하라는 메시지가 표시됩니다. Azure 관리자는 일반 사용자 계정과 다른 SSPR 사용에 대한 몇 가지 제한 사항이 있으며, Microsoft Entra ID 평가판 및 무료 버전에는 사소한 예외가 있습니다.
이 문서에서는 사용자 계정과 관련된 암호 정책 설정 및 복잡성 요구 사항에 대해 설명합니다. 또한 PowerShell을 사용하여 암호 만료 설정을 확인하거나 설정하는 방법도 다룹니다.
사용자 이름 정책
Microsoft Entra ID에 로그인하는 모든 계정에는 해당 계정에 연결된 고유한 UPN(사용자 계정 이름) 특성 값이 있어야 합니다. Microsoft Entra Connect를 사용하여 microsoft Entra ID와 동기화된 온-프레미스 Active Directory Domain Services 환경이 있는 하이브리드 환경에서는 기본적으로 Microsoft Entra ID UPN이 온-프레미스 UPN으로 설정됩니다.
다음 표에서는 Microsoft Entra ID와 동기화되는 온-프레미스 계정과 Microsoft Entra ID에서 직접 만든 클라우드 전용 사용자 계정에 적용되는 사용자 이름 정책을 간략하게 설명합니다.
속성 | UserPrincipalName 요구 사항 |
---|---|
허용되는 문자 | A-Z a-z 0-9 ' . - _ ! # ^ ~ |
허용되지 않는 문자 | 도메인에서 사용자 이름을 구분하지 않는 모든 "@" 문자입니다. "@" 기호 바로 앞에는 “.”(마침표) 문자를 사용할 수 없습니다. |
길이 제약 조건 | 총 길이는 113자를 초과할 수 없습니다. "@" 기호 앞에는 최대 64자가 올 수 있습니다. "@" 기호 뒤에는 최대 48자가 올 수 있습니다. |
Microsoft Entra 암호 정책
암호 정책은 Microsoft Entra ID에서 직접 만들고 관리하는 모든 사용자 계정에 적용됩니다. 이러한 암호 정책 설정 중 일부는 수정할 수 없지만 계정 차단 매개 변수 또는 Microsoft Entra 암호 보호를 위한 사용자 지정 금지 암호를 구성할 수 있습니다.
기본적으로 잘못된 암호를 사용하여 로그인을 10회 시도했다가 실패하면 계정이 차단됩니다. 사용자는 1분 동안 차단됩니다. 로그인 시도가 잘못되면 잠금 기간이 증가합니다. 스마트 잠금 기능은 동일한 암호에 대해 잠금 카운터가 증가하는 것을 방지하기 위해 마지막 세 개의 잘못된 암호 해시를 추적합니다. 다른 사용자가 동일한 잘못된 암호를 여러 번 입력하면 잠기지 않습니다. 스마트 잠금 임계값 및 기간을 정의할 수 있습니다.
다음 Microsoft Entra 암호 정책 옵션이 정의되어 있습니다. 다음 설정은 변경이 가능하다고 명시되지 않는 한 변경할 수 없습니다.
속성 | 요구 사항 |
---|---|
허용되는 문자 | A-Z a-z 0-9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> 공백 |
허용되지 않는 문자 | 유니코드 문자 |
암호 제한 | 최소 8자, 최대 256자 다음 문자 형식 중 4개 중 3개가 필요합니다. - 소문자 - 대문자 - 숫자(0-9) - 기호(이전 암호 제한 참조) |
암호 만료 기간(최대 암호 사용 기간) | 기본값: 90일 테넌트가 2021년 이후에 만들어진 경우 기본 만료 값이 없습니다. Get-MgDomain을 사용하여 현재 정책을 확인할 수 있습니다. 값은 PowerShell용 Microsoft Graph 모듈의 Update-MgDomain cmdlet을 사용하여 구성할 수 있습니다. |
암호 만료(암호가 만료되지 않도록 함) | 기본값: false(암호에 만료 날짜가 있음을 나타냄). Update-MgUser cmdlet을 사용하여 개별 사용자 계정에 대한 값을 구성할 수 있습니다. |
암호 변경 기록 | 사용자 암호를 변경할 때 마지막 암호를 다시 사용할 수 없습니다. |
암호 재설정 기록 | 사용자가 잊어버린 암호를 재설정할 때 마지막 암호를 다시 사용할 수 있습니다. |
EnforceCloudPasswordPolicyForPasswordSyncedUsers를 사용하도록 설정하면 Microsoft Entra Connect를 사용하여 온-프레미스에서 동기화된 사용자 계정에 Microsoft Entra 암호 정책이 적용됩니다. 또한 사용자가 유니코드 문자를 포함하도록 온-프레미스 암호를 변경하는 경우 암호 변경은 온-프레미스에서 성공하지만 Microsoft Entra ID에서는 성공할 수 없습니다. Microsoft Entra Connect에서 암호 해시 동기화를 사용하도록 설정한 경우에도 사용자는 클라우드 리소스에 대한 액세스 토큰을 받을 수 있습니다. 그러나 테넌트가 사용자 위험 기반 암호 변경을 사용하도록 설정하면 암호 변경이 높은 위험으로 보고됩니다.
사용자에게 암호를 다시 변경하라는 메시지가 표시됩니다. 그러나 변경 내용에 유니코드 문자가 계속 포함된 경우 스마트 잠금도 사용하도록 설정하면 잠글 수 있습니다.
위험 기반 암호 재설정 정책 제한 사항
EnforceCloudPasswordPolicyForPasswordSyncedUsers를 사용하도록 설정하면 높은 위험이 식별되면 클라우드 암호 변경이 필요합니다. 사용자가 Microsoft Entra ID에 로그인할 때 암호를 변경하라는 메시지가 표시됩니다. 새 암호는 클라우드 및 온-프레미스 암호 정책을 모두 준수해야 합니다.
암호 변경이 온-프레미스 요구 사항을 충족하지만 클라우드 요구 사항을 충족하지 못하면 암호 해시 동기화를 사용하도록 설정하면 암호 변경이 성공합니다. 예를 들어 새 암호에 유니코드 문자가 포함된 경우 클라우드가 아닌 온-프레미스에서 암호 변경을 업데이트할 수 있습니다.
암호가 클라우드 암호 요구 사항을 준수하지 않으면 클라우드에서 업데이트되지 않으며 계정 위험이 감소하지 않습니다. 사용자는 여전히 클라우드 리소스에 대한 액세스 토큰을 수신하지만 다음에 클라우드 리소스에 액세스할 때 암호를 다시 변경하라는 메시지가 표시됩니다. 사용자가 선택한 암호가 클라우드 요구 사항을 충족하지 못했다는 오류 또는 알림이 표시되지 않습니다.
관리자 재설정 정책의 차이점 문서를 참조하세요.
기본적으로 관리자 계정은 셀프 서비스 암호 재설정을 사용하도록 설정되며 강력한 기본 ‘두 게이트’ 암호 재설정 정책이 적용됩니다. 이 정책은 사용자에 대해 정의한 정책과 다를 수 있으며 이 정책을 변경할 수 없습니다. 항상 Azure 관리자 역할이 할당되지 않은 사용자로 암호 재설정 기능을 테스트해야 합니다.
두 게이트 정책은 이메일 주소, 인증 앱, 전화번호 등 두 가지 인증 데이터가 필요하며 보안 질문을 금지합니다. Microsoft Entra ID 평가판 또는 무료 버전에서는 Office 및 모바일 음성 통화도 금지됩니다.
SSPR 관리자 정책은 인증 방법 정책에 의존하지 않습니다. 예를 들어, 인증 방법 정책에서 타사 소프트웨어 토큰을 사용하지 않도록 설정하는 경우 관리자 계정은 여전히 타사 소프트웨어 토큰 애플리케이션을 등록하고 사용할 수 있지만 SSPR에만 해당됩니다.
다음과 같은 경우에 두 게이트 정책이 적용됩니다.
다음과 같은 모든 Azure 관리자 역할이 영향을 받습니다.
- 애플리케이션 관리자
- 인증 관리자
- 대금 청구 관리자
- 규정 준수 관리자
- 클라우드 디바이스 관리자
- 디렉터리 동기화 계정
- 디렉터리 작성자
- Dynamics 365 관리자
- Exchange 관리자
- 전역 관리자
- 기술 지원팀 관리자
- Intune 관리자
- Microsoft Entra 조인 디바이스 로컬 관리자
- 파트너 계층1 지원
- 파트너 계층2 지원
- 암호 관리자
- Power Platform 관리자
- 권한 있는 인증 관리자
- 권한 있는 역할 관리자
- 보안 관리자
- 서비스 지원 관리자
- SharePoint 관리자
- 비즈니스용 Skype 관리자
- Teams 관리자
- Teams 통신 관리자
- Teams 디바이스 관리자
- 사용자 관리자
체험판 구독이 30일 경과한 경우
-또는-
Microsoft Entra 테넌트에 대해 contoso.com과 같은 사용자 지정 도메인이 구성되어 있습니다.
-또는-
Microsoft Entra Connect는 온-프레미스 디렉터리의 ID를 동기화합니다.
Update-MgPolicyAuthorizationPolicy PowerShell cmdlet을 사용하여 관리자 계정에 대해 SSPR을 사용하지 않도록 설정할 수 있습니다. -AllowedToUseSspr:$true|$false
매개 변수는 관리자에 대해 SSPR를 사용하거나 사용하지 않도록 설정합니다. 관리자 계정에 대해 SSPR을 사용하거나 사용하지 않도록 설정하는 정책 변경 내용을 적용하는 데 최대 60분이 걸릴 수 있습니다.
예외
한 게이트 정책에는 전자 메일 주소 또는 전화 번호와 같은 인증 데이터 한 가지가 필요합니다. 다음과 같은 경우에 한 게이트 정책이 적용됩니다.
평가판 구독의 처음 30일 이내인 경우
-또는-
사용자 지정 도메인이 구성되지 않고(테넌트가 프로덕션용으로 권장되지 않는 기본 *.onmicrosoft.com을 사용 중임) Microsoft Entra Connect는 ID를 동기화하지 않습니다.
암호 만료 정책
사용자 관리자는 Microsoft Graph를 사용하여 사용자 암호가 만료되지 않도록 설정할 수 있습니다.
또한 PowerShell cmdlet을 사용하여 만료되지 않는 구성을 제거하거나 어떤 사용자 암호가 만료되지 않도록 설정되어 있는지 확인할 수 있습니다.
이 지침은 ID 및 디렉터리 서비스로 Microsoft Entra ID를 사용하는 Intune, Microsoft 365와 같은 다른 공급자에 제공됩니다. 암호 만료는 정책에서 변경할 수 있는 유일한 부분입니다.
참고 항목
기본적으로 Microsoft Entra Connect를 통해 동기화되지 않는 사용자 계정의 암호만 만료되지 않도록 구성할 수 있습니다. 디렉터리 동기화에 대한 자세한 내용은 Microsoft Entra ID와 AD 연결을 참조하세요.
PowerShell을 사용하여 암호 정책 설정 또는 확인
시작하려면 Microsoft Graph PowerShell 모듈을 다운로드하여 설치하고 Microsoft Entra 테넌트에 연결합니다.
모듈을 설치한 후 다음 단계를 사용하여 필요에 따라 각 작업을 완료합니다.
암호에 대한 만료 정책 확인
PowerShell 프롬프트를 열고 최소한 사용자 관리자로 Microsoft Entra 테넌트에 연결합니다.
개별 사용자 또는 모든 사용자에 대해 다음 명령 중 하나를 실행합니다.
단일 사용자의 암호가 만료되지 않도록 설정되어 있는지 확인하려면 다음 cmdlet을 실행합니다.
<user ID>
를 확인하려는 사용자의 사용자 ID로 바꿉니다.Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
암호가 모든 사용자에 대한 설정이 만료되지 않는지 확인하려면 다음 cmdlet을 실행합니다.
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
암호가 만료되도록 설정
PowerShell 프롬프트를 열고 최소한 사용자 관리자로 Microsoft Entra 테넌트에 연결합니다.
개별 사용자 또는 모든 사용자에 대해 다음 명령 중 하나를 실행합니다.
특정 사용자의 암호가 만료되도록 설정하려면 다음 cmdlet을 실행합니다.
<user ID>
를 확인하려는 사용자의 사용자 ID로 바꿉니다.Update-MgUser -UserId <user ID> -PasswordPolicies None
조직의 모든 사용자 암호가 만료되도록 설정하려면 다음 명령을 사용합니다.
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
암호가 만료되지 않도록 설정
PowerShell 프롬프트를 열고 최소한 사용자 관리자로 Microsoft Entra 테넌트에 연결합니다.
개별 사용자 또는 모든 사용자에 대해 다음 명령 중 하나를 실행합니다.
특정 사용자의 암호가 만료되지 않도록 설정하려면 다음 cmdlet을 실행합니다.
<user ID>
를 확인하려는 사용자의 사용자 ID로 바꿉니다.Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
조직의 모든 사용자의 암호가 만료되지 않도록 설정하려면 다음 cmdlet을 실행합니다.
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Warning
-PasswordPolicies DisablePasswordExpiration
로 설정된 암호는 계속해서LastPasswordChangeDateTime
특성에 따라 사용 기간이 계산됩니다.LastPasswordChangeDateTime
특성에 따라, 만료를-PasswordPolicies None
로 변경한 경우LastPasswordChangeDateTime
이 90일보다 오래된 모든 암호는 다음 번에 로그인할 때 변경해야 합니다. 이 변경으로 많은 사용자가 영향을 받을 수 있습니다.
다음 단계
SSPR을 시작하려면 자습서: 사용자가 Microsoft Entra 셀프 서비스 암호 재설정을 사용하여 계정의 잠금을 해제하거나 암호를 다시 설정할 수 있도록 설정을 참조하세요.
사용자의 SSPR에 문제가 발생하는 경우 셀프 서비스 암호 재설정 문제 해결을 참조하세요.