셀프 서비스 암호 재설정 쓰기 저장은 Microsoft Entra ID에서 어떻게 작동하나요?

Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하면 사용자가 클라우드에서 암호를 재설정할 수 있지만 대부분의 회사에는 사용자를 위한 온-프레미스 AD DS(Active Directory Domain Services) 환경도 있습니다. 비밀번호 쓰기 저장을 사용하면 Microsoft Entra Connect 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 클라우드의 암호 변경 내용을 실시간으로 온-프레미스 디렉터리에 다시 쓸 수 있습니다. 사용자가 클라우드에서 SSPR을 사용하여 암호를 변경하거나 재설정하는 경우 업데이트된 암호도 온-프레미스 AD DS 환경에 다시 기록됩니다.

중요합니다

이 개념 문서에서는 셀프 서비스 암호 재설정 쓰기 저장의 작동 방식을 관리자에게 설명합니다. 셀프 서비스 암호 재설정에 이미 등록된 최종 사용자가 계정으로 다시 이동해야 하는 경우 https://aka.ms/sspr로 이동합니다.

IT 팀이 자신의 암호를 재설정 하는 기능을 사용하도록 설정하지 않은 경우, 추가 지원이 필요 하면 기술 지원팀에 문의하세요.

암호 쓰기 저장은 다음 하이브리드 ID 모델을 사용하는 환경에서 지원됩니다.

• 암호 해시 동기화
• 패스스루 인증
• ADFS(Active Directory Federation Services)

비밀번호 쓰기 저장은 다음과 같은 기능을 제공합니다.

• 온-프레미스 AD DS(Active Directory Domain Services) 암호 정책 적용: 사용자가 암호를 재설정하면 해당 디렉터리에 커밋하기 전에 온-프레미스 AD DS 정책을 충족하는지 확인합니다. 이 검토에는 기록, 복잡성, 나이, 암호 필터 및 AD DS에서 정의하는 기타 암호 제한 사항을 확인하는 것이 포함됩니다.
• 제로 지연 피드백: 비밀번호 쓰기 저장은 동기 작업입니다. 암호가 정책을 충족하지 않거나 어떤 이유로든 재설정하거나 변경할 수 없는 경우 사용자에게 즉시 알림이 표시됩니다.
• 액세스 패널 및 Microsoft 365의 암호 변경 지원: 페더레이션 또는 암호 해시 동기화된 사용자가 만료되거나 만료되지 않은 암호를 변경하게 되면 해당 암호는 AD DS에 다시 기록됩니다.
• 관리자가 Microsoft Entra 관리 센터에서 암호 쓰기 저장을 다시 설정할 때 비밀번호 쓰기 저장을 지원합니다. 관리자가 Microsoft Entra 관리 센터에서 사용자의 암호를 다시 설정하면 해당 사용자가 페더레이션되거나 암호 해시가 동기화된 경우 암호가 온-프레미스에 다시 기록됩니다. 이 기능은 현재 Office 관리 포털에서 지원되지 않습니다.
• 인바운드 방화벽 규칙이 필요하지 않습니다. 비밀번호 쓰기 저장은 Azure Service Bus 릴레이를 기본 통신 채널로 사용합니다. 모든 통신은 포트 443을 통해 아웃바운드됩니다.
• Microsoft Entra Connect 또는 클라우드 동기화를 사용하여 연결이 끊긴 도메인에 있는 사용자를 포함하여 필요에 따라 다양한 사용자 집합을 대상으로 하는 병렬 도메인 수준 배포를 지원합니다.

비고

암호 쓰기 저장 요청을 처리하는 온-프레미스 서비스 계정은 보호된 그룹에 속한 사용자의 암호를 변경할 수 없습니다. 관리자는 클라우드에서 암호를 변경할 수 있지만 암호 쓰기 저장을 사용하여 온-프레미스 사용자에 대해 잊어버린 암호를 재설정할 수는 없습니다. 보호된 그룹에 대한 자세한 내용은 AD DS의 보호된 계정 및 그룹을 참조하세요.

SSPR 쓰기 저장을 시작하려면 다음 자습서 중 하나 또는 둘 다를 완료합니다.

• 자습서: 셀프 서비스 암호 재설정(SSPR) 되돌리기 사용
• 자습서: Microsoft Entra Connect 클라우드 동기화 셀프 서비스 암호 재설정 쓰기 반영을 온프레미스 환경으로 사용하도록 설정(미리 보기 기능)

Microsoft Entra Connect 및 클라우드 동기화 병렬 배포

Microsoft Entra Connect 및 클라우드 동기화를 서로 다른 도메인에 나란히 배포하여 여러 사용자 집합을 대상으로 지정할 수 있습니다. 이렇게 하면 기존 사용자가 회사 합병 또는 분할로 인해 연결이 끊긴 도메인에 있는 경우 옵션을 추가하는 동안 암호 변경 내용을 계속 기록할 수 있습니다. 다른 도메인의 사용자가 클라우드 동기화를 사용하는 동안 한 도메인의 사용자가 Microsoft Entra Connect를 사용할 수 있도록 Microsoft Entra Connect 및 클라우드 동기화를 다른 도메인에서 구성할 수 있습니다. 클라우드 동기화는 Microsoft Entra Connect의 단일 인스턴스에 의존하지 않으므로 더 높은 가용성을 제공할 수도 있습니다. 두 배포 옵션 간의 기능 비교는 Microsoft Entra Connect와 클라우드 동기화 간의 비교를 참조하세요.

비밀번호 쓰기 저장 작동 방식

페더레이션에 대해 구성된 사용자 계정, 암호 해시 동기화(또는 Microsoft Entra Connect 배포의 경우 통과 인증)가 클라우드에서 암호를 다시 설정하거나 변경하려고 하면 다음 작업이 수행됩니다.

1. 사용자가 가지고 있는 암호 유형을 확인하기 위해 확인이 수행됩니다. 암호가 온-프레미스에서 관리되는 경우:

   • 쓰기 저장 서비스가 실행 중인지 확인하기 위한 검사가 수행됩니다. 이 경우 사용자는 계속 진행할 수 있습니다.
   • 쓰기 저장 서비스가 다운된 경우 사용자에게 암호를 지금 재설정할 수 없다는 통보를 받을 수 있습니다.

2. 다음으로, 사용자는 적절한 인증 게이트를 전달하고 암호 재설정 페이지에 도달합니다.

3. 사용자가 새 암호를 선택하고 확인합니다.

4. 사용자가 제출을 선택하면 일반 텍스트 암호는 쓰기 저장 설정 프로세스 중에 만든 공개 키로 암호화됩니다.

5. 암호화된 암호는 HTTPS 채널을 통해 테넌트별 서비스 버스 릴레이로 전송되는 페이로드에 포함됩니다(쓰기 저장 설정 프로세스 중에 자동으로 설정됨). 이 릴레이는 온-프레미스 설치에서만 알고 있는 임의로 생성된 암호로 보호됩니다.

6. 메시지가 Service Bus에 도달하면 암호 재설정 엔드포인트가 자동으로 활성화되고 재설정 요청이 대기 중임을 확인합니다.

7. 그런 다음, 서비스는 클라우드 앵커 특성을 사용하여 사용자를 찾습니다. 이 조회가 성공하려면 다음 조건을 충족해야 합니다.

   • 사용자 개체는 AD DS 커넥터 공간에 있어야 합니다.
   • 사용자 개체는 해당 MV(메타버스) 개체에 연결되어야 합니다.
   • 사용자 개체는 해당 Microsoft Entra 커넥터 개체에 연결되어야 합니다.
   • AD DS 커넥터 개체에서 MV로의 링크는 링크에 동기화 규칙이 Microsoft.InfromADUserAccountEnabled.xxx 있어야 합니다.

   클라우드에서 호출이 들어오면 동기화 엔진은 cloudAnchor 특성을 사용하여 Microsoft Entra 커넥터 공간 개체를 조회합니다. 그런 다음, 링크를 따라 MV 개체로 다시 이동한 다음 링크를 따라 AD DS 개체로 돌아갑니다. 동일한 사용자에 대해 여러 AD DS 개체(다중 포리스트)가 있을 수 있으므로 동기화 엔진은 링크를 사용하여 Microsoft.InfromADUserAccountEnabled.xxx 올바른 개체를 선택합니다.

8. 사용자 계정을 찾은 후 적절한 AD DS 포리스트에서 직접 암호를 재설정하려고 시도합니다.

9. 암호 설정 작업이 성공하면 사용자에게 암호가 변경되었다는 내용이 표시됩니다.

   비고

   사용자의 암호 해시가 암호 해시 동기화를 사용하여 Microsoft Entra ID와 동기화되는 경우 온-프레미스 암호 정책이 클라우드 암호 정책보다 약할 가능성이 있습니다. 이 경우 온-프레미스 정책이 적용됩니다. 이 정책은 암호 해시 동기화 또는 페더레이션을 사용하여 Single Sign-On을 제공하는 경우에도 온-프레미스 정책이 클라우드에 적용되도록 합니다.

10. 암호 설정 작업이 실패하면 사용자에게 다시 시도하라는 메시지가 표시됩니다. 다음과 같은 이유로 인해 작업이 실패할 수 있습니다.

    • 서비스가 중단되었습니다.
    • 선택한 암호가 조직의 정책을 충족하지 않습니다.
    • 로컬 AD DS 환경에서 사용자를 찾을 수 없습니다.

    오류 메시지는 관리자의 개입 없이 해결을 시도할 수 있도록 사용자에게 지침을 제공합니다.

비밀번호 재저장 보안

비밀번호 쓰기 저장은 매우 안전한 서비스입니다. 정보를 보호하기 위해 다음과 같이 4계층 보안 모델을 사용하도록 설정합니다.

• 테넌트별 서비스 버스 릴레이
  • 서비스를 설정하면 Microsoft에서 액세스할 수 없는 임의로 생성된 강력한 암호로 보호되는 테넌트별 서비스 버스 릴레이가 설정됩니다.
• 암호적으로 강력한, 잠긴 비밀번호 암호화 키
  • Service Bus 릴레이를 만든 후에는 유선으로 들어오는 암호를 암호화하는 데 사용되는 강력한 대칭 키가 만들어집니다. 이 키는 디렉터리의 다른 암호와 마찬가지로 심하게 잠기고 감사되는 클라우드에 있는 회사의 비밀 저장소에만 있습니다.
• 업계 표준 TLS(전송 계층 보안)
  1. 클라우드에서 암호 재설정 또는 변경 작업이 발생하면 일반 텍스트 암호가 공개 키로 암호화됩니다.
  2. 암호화된 암호는 Microsoft TLS/SSL 인증서를 사용하여 암호화된 채널을 통해 서비스 버스 릴레이로 전송되는 HTTPS 메시지에 배치됩니다.
  3. 메시지가 서비스 버스에 도착하면 온-프레미스 에이전트가 절전 모드를 해제하고 이전에 생성된 강력한 암호를 사용하여 서비스 버스에 인증합니다.
  4. 온-프레미스 에이전트는 암호화된 메시지를 선택하고 프라이빗 키를 사용하여 암호를 해독합니다.
  5. 온-프레미스 에이전트는 AD DS SetPassword API를 통해 암호를 설정하려고 시도합니다. 이 단계를 통해 클라우드에서 AD DS 온-프레미스 암호 정책(예: 복잡성, 연령, 기록 및 필터)을 적용할 수 있습니다.
• 메시지 만료 정책
  • 온프레미스 서비스가 중단되어 메시지가 Service Bus에 남아 있는 경우, 시간이 초과된 후 몇 분 지나면 제거됩니다. 메시지의 제한 시간 및 제거는 보안을 더욱 강화합니다.

비밀번호 쓰기 저장 암호화 세부 정보

사용자가 암호 재설정을 제출한 후 재설정 요청은 온-프레미스 환경에 도착하기 전에 여러 암호화 단계를 수행합니다. 이러한 암호화 단계는 최대 서비스 안정성 및 보안을 보장합니다. 다음과 같이 설명됩니다.

1. 2048비트 RSA 키를 사용한 암호 암호화: 사용자가 온-프레미스에 다시 쓸 암호를 제출하면 제출된 암호 자체가 2048비트 RSA 키로 암호화됩니다.
2. 256비트 AES-GCM을 사용한 패키지 수준 암호화: 전체 패키지, 암호 및 필수 메타데이터는 키 크기가 256비트인 AES-GCM 사용하여 암호화됩니다. 이 암호화를 사용하면 기본 Service Bus 채널에 직접 액세스할 수 있는 모든 사용자가 콘텐츠를 보거나 변조할 수 없습니다.
3. 모든 통신은 TLS/SSL을 통해 발생합니다. Service Bus와의 모든 통신은 SSL/TLS 채널에서 발생합니다. 이 암호화는 권한이 없는 제3자의 콘텐츠를 보호합니다.
4. 6개월마다 자동 키 롤오버: 모든 키는 6개월마다 롤오버되며, 또는 비밀번호 쓰기 저장을 사용하지 않도록 설정한 다음 Microsoft Entra Connect에서 다시 사용하도록 설정하여 최대 서비스 보안 및 안전을 보장합니다.

비밀번호 쓰기 저장 대역폭 사용

비밀번호 쓰기 저장은 다음과 같은 상황에서 요청을 온-프레미스 에이전트로만 다시 보내는 낮은 대역폭 서비스입니다.

• Microsoft Entra Connect를 통해 기능을 사용하거나 사용하지 않도록 설정하면 두 개의 메시지가 전송됩니다.
• 서비스가 실행되는 한 5분마다 하나의 메시지가 서비스 하트비트로 전송됩니다.
• 새 암호를 제출할 때마다 두 개의 메시지가 전송됩니다.
  • 첫 번째 메시지는 작업을 수행하기 위한 요청입니다.
  • 두 번째 메시지는 작업의 결과를 포함하며 다음과 같은 상황에서 전송됩니다.
    • 사용자 셀프 서비스 암호 재설정 중에 새 암호가 제출될 때마다
    • 사용자 암호 변경 작업 중에 새 암호가 제출될 때마다
    • 관리자가 시작한 사용자 암호 재설정 중에 새 암호가 제출될 때마다(Entra 관리 포털에서만)

메시지 크기 및 대역폭 고려 사항

앞에서 설명한 각 메시지의 크기는 일반적으로 1KB 미만입니다. 극단적인 부하에도 암호 쓰기 저장 서비스 자체는 초당 몇 킬로비트 대역폭을 사용합니다. 각 메시지는 암호 업데이트 작업에 필요한 경우에만 실시간으로 전송되고 메시지 크기가 너무 작기 때문에 쓰기 저장 기능의 대역폭 사용량이 너무 작아 측정 가능한 영향을 미치지 않습니다.

지원되는 쓰기 저장 작업

암호는 다음과 같은 모든 상황에서 다시 기록됩니다.

• 지원되는 최종 사용자 작업

  • 최종 사용자가 자발적으로 자체 서비스를 통해 암호를 변경하는 모든 작업
  • 모든 최종 사용자 셀프 서비스 강제 암호 변경 작업(예: 암호 만료)
  • 암호 재설정 포털에서 시작되는 모든 최종 사용자 셀프 서비스 암호 재설정입니다.

• 지원되는 관리자 작업

  • 관리자 셀프 서비스에서 자발적으로 암호를 변경하는 작업
  • 모든 관리자 셀프 서비스 강제 암호 변경 작업(예: 암호 만료)
  • 암호 재설정 포털에서 시작된 모든 관리자 셀프 서비스 암호 재설정입니다.
  • Microsoft Entra 관리 센터에서 관리자가 시작한 최종 사용자 암호 재설정.
  • Microsoft Graph API에서 관리자가 시작한 최종 사용자 암호 재설정

지원되지 않는 쓰기 저장 작업

암호는 다음 상황에서 다시 기록되지 않습니다.

• 지원되지 않는 최종 사용자 작업

  • PowerShell 버전 1, 버전 2 또는 Microsoft Graph API를 사용하여 자신의 암호를 재설정하는 최종 사용자

• 지원되지 않는 관리자 작업

  • PowerShell 버전 1 또는 버전 2에서 관리자가 시작한 최종 사용자 암호 재설정
  • Microsoft 365 관리 센터에서 관리자가 시작한 최종 사용자 암호 재설정
  • 모든 관리자는 암호 재설정 도구를 사용하여 암호 쓰기 저장에 대한 암호를 재설정할 수 없음

비고

사용자에게 AD(Active Directory)에서 설정된 "암호가 만료되지 않음" 옵션이 있는 경우 강제 암호 변경 플래그는 AD(Active Directory)에서 설정되지 않으므로 관리자가 시작한 최종 사용자 암호 재설정 중에 사용자가 다음 로그온 옵션에서 암호를 변경하도록 강제하는 옵션이 선택되어 있더라도 다음 로그인 중에 암호를 변경하라는 메시지가 표시되지 않습니다.

다음 단계

SSPR 쓰기 저장을 시작하려면 다음 자습서를 완료합니다.

자습서: 셀프 서비스 암호 재설정(SSPR) 되돌리기 사용