시스템 기본 설정 인증은 사용자가 등록한 가장 안전한 방법을 사용하여 로그인하라는 메시지를 표시합니다. 전화 기반 방법을 사용하여 인증하는 사용자를 위한 중요한 보안 향상 기능입니다. 관리자는 시스템 기본 인증을 사용하도록 설정하여 로그인 보안을 개선하고 SMS(Short Message Service)와 같은 보안이 떨어지는 로그인 방법을 방지할 수 있습니다.
예를 들어 사용자가 SMS 및 Microsoft Authenticator 푸시 알림을 모두 MFA의 방법으로 등록한 경우 시스템 기본 설정 인증은 사용자에게 더 안전한 푸시 알림 방법을 사용하여 로그인하라는 메시지를 표시합니다. 사용자는 여전히 다른 방법을 사용하여 로그인하도록 선택할 수 있지만 먼저 등록한 가장 안전한 방법을 시도하라는 메시지가 표시됩니다.
시스템 기본 설정 인증은 삼중 상태 정책인 Microsoft 관리형 설정입니다.
- 사용 - 시스템 기본 설정 인증을 MFA(두 번째 요소)에만 적용합니다.
- Microsoft 관리 - 미리 보기에 있는 동안 기본 인증 및 다단계 인증(미리 보기)에 적용 하기 위한 토글은 기능이 기본 인증에도 적용되는지 여부를 제어합니다. 토글이 꺼져 있으면(기본값) 시스템 기본 설정 인증이 두 번째 요소에만 적용됩니다. 토글이 켜지면 첫 번째 및 두 번째 요소 모두에 적용됩니다.
- 사용 안 함 - 시스템 기본 설정 인증을 해제합니다.
시스템 기본 설정 인증을 사용하도록 설정하지 않으려면 상태를 사용 안 함으로 변경하거나 정책에서 사용자 및 그룹을 제외합니다.
시스템 기본 설정 인증을 사용하도록 설정하면 인증 시스템에서 모든 작업을 수행합니다. 시스템은 항상 사용자가 등록한 가장 안전한 방법을 결정하고 제시하기 때문에 사용자는 어떤 인증 방법도 기본값으로 설정할 필요가 없습니다.
알려진 제한 사항
- 대상 그룹에 대한 정책을 변경하는 경우 변경 내용이 사용자의 바로 다음 로그인에 적용되지 않을 수 있습니다. 이후의 모든 후속 로그인에 적용됩니다.
- 조건부 액세스 정책은 MFA에 대해서만 유효성을 검사하며 1단계 인증에는 적용되지 않습니다.
Microsoft Entra 관리 센터에서 시스템 기본 설정 인증 사용
시스템 기본 설정 인증을 사용하도록 설정하려면 다음 단계를 수행합니다.
Microsoft Entra 관리 센터에 인증 정책 관리자 이상으로 로그인합니다.
Microsoft Entra ID>인증 방법>설정으로 이동합니다.
시스템 기본 설정 인증의 경우 시스템 기본 인증을 두 요소에 적용할지 아니면 두 번째 요소에만 적용할지에 따라 상태(Microsoft 관리 또는 사용)를 선택합니다. 사용자 또는 그룹을 포함하거나 제외할 수도 있습니다. 제외된 그룹은 포함된 그룹보다 우선합니다.
상태를 Microsoft 관리형으로 설정하면 기본 인증 및 다단계 인증(미리 보기)에 적용하기 위한 토글이 나타납니다. 기본 인증과 보조 인증 모두에 시스템 기본 인증을 적용하려면 토글을 켭니다. 토글이 꺼져 있으면(기본값) 시스템 기본 설정 인증이 두 번째 요소에만 적용됩니다.
예를 들어 다음 스크린샷은 엔지니어링 그룹에 대해서만 시스템 기본 설정 인증을 사용하도록 설정하는 방법을 보여 줍니다.
변경 작업을 완료한 후 저장을 선택합니다.
Graph API를 사용하여 시스템 기본 설정 인증 사용
시스템 기본 설정 인증을 미리 사용하도록 설정하려면 요청 예제와 같이 스키마 구성에 대한 단일 대상 그룹을 선택해야 합니다.
인증 방법 기능 구성 속성
기본적으로 시스템 기본 설정 인증은 Microsoft에서 관리됩니다.
| 속성 | 유형 | 설명 |
|---|---|---|
| excludeTarget | featureTarget | 이 기능에서 제외되는 단일 엔터티입니다. 동적 또는 중첩된 그룹일 수 있는 시스템 기본 설정 인증에서 하나의 그룹만 제외할 수 있습니다. |
| 대상 포함하기 | featureTarget | 이 기능에 포함된 단일 엔터티입니다. 동적 또는 중첩된 그룹일 수 있는 시스템 기본 설정 인증을 위해 하나의 그룹만 포함할 수 있습니다. |
| 주 | advancedConfigState | 가능한 값은 다음과 같습니다. 사용하도록 명시적으로 설정 하면 선택한 그룹에 대한 기능이 활성화됩니다. MFA(두 번째 요소)에만 적용됩니다. disabled 는 선택한 그룹에 대한 기능을 명시적으로 사용하지 않도록 설정합니다. 기본값 을 사용하면 Microsoft Entra ID가 선택한 그룹에 대해 기능을 사용할 수 있는지 여부를 관리할 수 있습니다. |
기능의 대상 속성
시스템 기본 설정 인증은 동적 또는 중첩된 그룹일 수 있는 단일 그룹에 대해서만 사용하도록 설정할 수 있습니다.
| 속성 | 유형 | 설명 |
|---|---|---|
| 아이디 | 문자열 | 대상 엔터티의 ID입니다. |
| 타겟 유형 | 기능 타겟 유형 | 그룹, 역할 또는 관리 단위와 같이 대상 엔터티의 종류입니다. 가능한 값은 'group'(그룹), 'administrativeUnit'(관리 단위), 'role'(역할), 'unknownFutureValue'(알려지지 않은 미래 값)입니다. |
다음 API 엔드포인트를 사용하여 systemCredentialPreferences를 사용하도록 설정하고 그룹을 포함하거나 제외합니다.
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
참고
Graph Explorer에서 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.
요청
다음 예에서는 샘플 대상 그룹을 제외하고 모든 사용자를 포함합니다. 자세한 내용은 AuthenticationMethodsPolicy 업데이트를 참조하세요.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
자주 묻는 질문(FAQ)
시스템 기본 설정 인증에서 가장 안전한 방법은 어떻게 결정하나요?
사용자가 로그인하면 인증 프로세스에서 사용자에 대해 등록된 인증 방법을 확인합니다. 사용자에게 다음 순서에 따라 가장 안전한 방법으로 로그인하라는 메시지가 표시됩니다. 인증 방법의 순서는 동적이며 보안 환경이 변경되고 더 나은 인증 방법이 등장함에 따라 업데이트됩니다. 사용자는 항상 취소하고 사용 가능한 다른 로그인 방법을 선택할 수 있습니다. 조직에 특정 인증 방법이 필요한 조건부 액세스 정책이 있는 경우 해당 정책은 계속해서 시스템 기본 인증 순서보다 우선합니다.
| 등급 | 자격 증명 | 카테고리 | 에 대한 요구 사항을 충족합니다. |
|---|---|---|---|
| 1 | TAP(임시 액세스 패스) | 복구 | 1FA(단일 인증) + MFA(다중 인증) |
| 2 | Passkey1 | 피싱 저항 | 1FA(단일 인증) + MFA(다중 인증) |
| 3 | CBA(인증서 기반 인증) | 피싱 저항 | 1FA 또는 1FA + MFA |
| 4 | Microsoft Authenticator 알림 | 암호 없음 | 1FA(단일 인증) + MFA(다중 인증) |
| 5 | 외부 MFA(다단계 인증) | — | 다중 인증 (assuming "MFA" refers to Multi-Factor Authentication) |
| 6 | TOTP(시간 기반 일회용 암호)2 | — | 다중 인증 (assuming "MFA" refers to Multi-Factor Authentication) |
| 7 | 전화 통신3 | — | 다중 인증 (assuming "MFA" refers to Multi-Factor Authentication) |
| 8 | QR 코드 | 최전선 근로자 | 1FA |
| 9 | 암호 | — | 1FA |
1보안 키, Authenticator 앱의 암호, 동기화된 암호, 비즈니스용 Windows Hello 및 macOS Platform SSO를 포함합니다.
2개Microsoft Authenticator, Authenticator Lite 또는 타사 애플리케이션의 하드웨어 또는 소프트웨어 TOTP를 포함합니다.
3SMS 및 음성 통화를 포함합니다.
중요합니다
CBA(인증서 기반 인증)는 이전에 CBA 및 시스템 기본 인증과 관련된 알려진 문제로 인해 시스템 기본 인증 순서에서 마지막에 배치되었습니다. 이러한 문제가 해결되었으므로 2026년 3월 18일부터 인증서 기반 인증이 인증 순서의 세 번째 위치로 이동되었습니다.
시스템 기본 설정 인증은 NPS 확장에 어떤 영향을 주나요?
시스템 기본 설정 인증은 NPS(네트워크 정책 서버) 확장을 사용하여 로그인하는 사용자에게 영향을 주지 않습니다. 해당 사용자는 로그인 환경에 어떠한 변화도 느끼지 못합니다.
인증 방법 정책에 지정되지 않았지만 레거시 MFA 테넌트 전체 정책에서 사용하도록 설정된 사용자는 어떻게 되나요?
레거시 MFA 정책에서 MFA를 사용하도록 설정된 사용자에게도 시스템 기본 설정 인증이 적용됩니다.
사용자가 여전히 다른 로그인 방법을 선택할 수 있나요?
예. 시스템 기본 설정 인증은 가장 안전한 등록 자격 증명을 가진 사용자에게 메시지를 표시하지만 사용자는 로그인하는 동안 허용되는 다른 방법을 선택할 수 있습니다.