시스템 기본 설정 다단계 인증 - 인증 방법 정책

시스템 기본 설정 MFA(다단계 인증)는 사용자가 등록한 가장 안전한 방법을 사용하여 로그인하라는 메시지를 표시합니다. 관리자는 시스템 기본 설정 MFA를 사용하도록 설정하여 로그인 보안을 개선하고 SMS와 같이 보안 수준이 낮은 로그인 방법을 권장하지 않을 수 있습니다.

예를 들어, 사용자가 MFA에 대한 방법으로 SMS 및 Microsoft Authenticator 푸시 알림을 모두 등록한 경우 시스템 기본 MFA는 사용자에게 더 안전한 푸시 알림 방법을 사용하여 로그인하라는 메시지를 표시합니다. 사용자는 여전히 다른 방법을 사용하여 로그인하도록 선택할 수 있지만 먼저 등록한 가장 안전한 방법을 시도하라는 메시지가 표시됩니다.

시스템 기본 설정 MFA는 Microsoft에서 관리하는 설정으로 3상 정책입니다. 미리 보기의 경우 기본 상태는 사용하지 않도록 설정되어 있습니다. 미리 보기 중에 모든 사용자 또는 사용자 그룹에 대해 이 기능을 켜려면 Microsoft 관리 상태를 사용으로 명시적으로 변경해야 합니다. 일반 공급 후 시스템 기본 MFA에 대한 Microsoft 관리 상태가 사용으로 변경됩니다.

시스템 기본 설정 MFA가 사용하도록 설정되면 인증 시스템이 모든 작업을 수행합니다. 시스템은 항상 사용자가 등록한 가장 안전한 방법을 결정하고 제시하기 때문에 사용자는 어떤 인증 방법도 기본값으로 설정할 필요가 없습니다.

참고 항목

시스템 기본 MFA는 통신 전송을 사용하여 인증하는 사용자를 위한 중요한 보안 강화 기능입니다. 2023년 7월 7일부터 시스템 기본 MFA의 Microsoft 관리 값이 사용 안 함에서 사용으로 변경됩니다. 시스템 기본 MFA를 사용하지 않으려면 상태를 기본값에서 사용 안 함으로 변경하거나 정책에서 사용자 및 그룹을 제외하세요.

Microsoft Entra 관리 센터에서 시스템 기본 설정 MFA 사용

기본적으로 시스템 기본 MFA는 Microsoft에서 관리하며 모든 사용자에 대해 사용하지 않도록 설정됩니다.

1. 최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 보호>인증 방법>설정으로 이동합니다.

3. 시스템 기본 다단계 인증의 경우 기능을 명시적으로 사용 또는 사용 안 함으로 설정할지 여부를 선택하고 모든 사용자를 포함하거나 제외합니다. 제외된 그룹은 포함 그룹보다 우선합니다.

   예를 들어, 다음 스크린샷은 엔지니어링 그룹에 대해서만 시스템 기본 MFA를 명시적으로 사용하도록 설정하는 방법을 보여 줍니다.

   

4. 변경을 완료한 후 저장을 클릭합니다.

Graph API를 사용하여 시스템 기본 설정 MFA 사용

시스템 기본 설정 MFA를 미리 사용하도록 설정하려면 요청 예에 표시된 대로 스키마 구성에 대한 단일 대상 그룹을 선택해야 합니다.

인증 방법 기능 구성 속성

기본적으로 시스템 기본 설정 MFA는 Microsoft에서 관리하며 미리 보기 중에는 사용하지 않도록 설정됩니다. 일반 공급 후 Microsoft 관리 상태 기본값은 시스템 기본 MFA를 사용하도록 변경됩니다.

속성	Type	설명
excludeTarget	featureTarget	이 기능에서 제외되는 단일 엔터티입니다. 동적 또는 중첩 그룹일 수 있는 시스템 기본 MFA에서 하나의 그룹만 제외할 수 있습니다.
includeTarget	featureTarget	이 기능에 포함된 단일 엔터티입니다. 동적 또는 중첩 그룹일 수 있는 시스템 기본 MFA에 대해 하나의 그룹만 포함할 수 있습니다.
시	advancedConfigState	가능한 값은 다음과 같습니다. enabled는 선택한 그룹에 대해 기능을 명시적으로 사용하도록 설정합니다. disabled는 선택한 그룹의 기능을 명시적으로 사용하지 않도록 설정합니다. default를 사용하면 Microsoft Entra ID에서 선택한 그룹에 대해 기능이 사용하도록 설정되었는지 여부를 관리할 수 있습니다.

기능 대상 속성

시스템 기본 MFA는 동적 또는 중첩 그룹일 수 있는 단일 그룹에 대해서만 사용하도록 설정할 수 있습니다.

속성	Type	설명
ID	문자열	대상 엔터티의 ID입니다.
targetType	featureTargetType	그룹, 역할 또는 관리 단위와 같이 대상 엔터티의 종류입니다. 가능한 값은 'group', 'administrativeUnit', 'role', 'unknownFutureValue'입니다.

다음 API 엔드포인트를 사용하여 systemCredentialPreferences를 사용하도록 설정하고 그룹을 포함하거나 제외합니다.

https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy

참고 항목

Graph Explorer에서 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.

Request

다음 예에서는 샘플 대상 그룹을 제외하고 모든 사용자를 포함합니다. 자세한 내용은 authenticationMethodsPolicy 업데이트를 참조하세요.

PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

FAQ

시스템 기본 설정 MFA는 가장 안전한 방법을 어떻게 결정하나요?

사용자가 로그인하면 인증 프로세스에서 사용자에 대해 등록된 인증 방법을 확인합니다. 사용자는 다음 순서에 따라 가장 안전한 방법으로 로그인하라는 메시지가 표시됩니다. 인증 방법의 순서는 동적입니다. 보안 환경이 변화하고 더 나은 인증 방법이 등장함에 따라 업데이트됩니다. 인증서 기반 인증 및 시스템 기본 MFA와 관련된 알려진 문제로 인해 CBA를 목록의 맨 아래로 이동했습니다. 각 방법에 대한 정보를 보려면 링크를 클릭합니다.

1. 임시 액세스 패스
2. FIDO2 보안 키
3. Microsoft Authenticator 알림
4. TOTP(시간 제약이 있는 일회성 암호)¹
5. 전화 통신²
6. 인증서 기반 인증

¹ Microsoft Authenticator, 인증자 라이트 또는 타사 애플리케이션의 하드웨어 또는 소프트웨어 TOTP를 포함합니다.

² SMS 및 음성 통화가 포함됩니다.

시스템 기본 MFA는 NPS 확장에 어떤 영향을 주나요?

시스템 기본 MFA는 NPS(네트워크 정책 서버) 확장을 사용하여 로그인하는 사용자에게 영향을 주지 않습니다. 해당 사용자는 로그인 환경에 어떠한 변화도 느끼지 못합니다.

인증 방법 정책에 지정되지 않았지만 레거시 MFA 테넌트 전체 정책에서 사용하도록 설정된 사용자는 어떻게 되나요?

시스템 기본 MFA는 레거시 MFA 정책에서 MFA를 사용하도록 설정된 사용자에게도 적용됩니다.

다음 단계

• Microsoft Entra ID의 인증 방법
• 등록 캠페인을 실행하여 Microsoft Authenticator를 설정하는 방법