다음을 통해 공유

Microsoft Entra 다단계 인증에 대한 재인증 프롬프트 및 세션 수명

  • 아티클

Microsoft Entra ID에는 사용자가 다시 인증해야 하는 빈도를 결정하는 여러 설정이 있습니다. 이 재인증에는 암호, FIDO(Fast IDentity Online) 또는 암호 없는 Microsoft Authenticator와 같은 첫 번째 요소만 포함될 수 있습니다. 또는 MFA(다단계 인증)가 필요할 수 있습니다. 사용자 고유의 환경 및 원하는 사용자 환경에 필요한 대로 이러한 재인증 설정을 구성할 수 있습니다.

사용자 로그인 빈도에 대한 Microsoft Entra ID 기본 구성은 90일의 롤링 기간입니다. 사용자에게 자격 증명을 요청하는 것은 합리적으로 보이는 경우가 많지만, 역효과를 낳을 수도 있습니다. 사용자가 생각하지도 않고 자격 증명을 입력하도록 학습된 경우, 이를 실수로 악의적인 자격 증명 프롬프트에 제공할 수 있습니다.

사용자에게 다시 로그인하도록 요청하지 않는 것은 놀라운 일이 될 수 있습니다. 그러나 IT 정책을 위반하면 세션이 취소됩니다. 일부 예로는 암호 변경, 비호환 디바이스 또는 계정을 사용하지 않도록 설정하는 작업이 있습니다. Microsoft Graph PowerShell을 사용하여 사용자 세션을 명시적으로 해지할 수도 있습니다.

이 문서에서는 권장 구성과 다양한 설정이 작동하고 상호 작용하는 방법을 자세히 설명합니다.

사용자에게 적절한 빈도로 로그인 하도록 요청하여 보안과 사용 편의성 간의 올바른 균형을 이루기 위해서는 다음 구성을 사용하는 것이 좋습니다.

  • Microsoft Entra ID P1 또는 P2가 있는 경우:
    • 관리되는 디바이스 또는 원활한 SSO를 사용하여 애플리케이션에서 SSO(Single Sign-On)를 사용하도록 설정합니다.
    • 재인증이 필요한 경우 Microsoft Entra 조건부 액세스 로그인 빈도 정책을 사용합니다.
    • 관리되지 않는 디바이스 또는 모바일 디바이스 시나리오에서 로그인하는 사용자의 경우 영구 브라우저 세션이 바람직하지 않을 수 있습니다. 또는 조건부 액세스를 사용하여 로그인 빈도 정책으로 영구 브라우저 세션을 사용하도록 설정할 수 있습니다. 위험 수준이 낮은 사용자의 세션 기간이 더 긴 로그인 위험에 따라 적절한 시간으로 기간을 제한합니다.
  • Microsoft 365 앱 라이선스 또는 Microsoft Entra ID 무료 라이선스가 있는 경우:
  • 모바일 디바이스 시나리오의 경우 사용자가 Microsoft Authenticator 앱을 사용하는지 확인합니다. 이 앱은 다른 Microsoft Entra ID 페더레이션된 앱에 대한 브로커이며 디바이스의 인증 프롬프트를 줄입니다.

당사의 연구 결과는 이러한 설정이 대부분의 테넌트에 적합하다는 것을 보여 줍니다. 다단계 인증 기억 및 로그인 상태를 유지하는 옵션 표시와 같은 이러한 설정의 일부 조합으로 인해 사용자가 너무 자주 인증하라는 메시지가 표시될 수 있습니다. 정기적인 재인증 프롬프트는 사용자 생산성에 좋지 않으며 사용자를 공격에 더 취약하게 만들 수 있습니다.

Microsoft Entra 세션 수명에 대한 설정 구성

사용자에 대한 인증 프롬프트 빈도를 최적화하려면 Microsoft Entra 세션 수명에 대한 설정을 구성할 수 있습니다. 비즈니스 및 사용자의 요구 사항을 이해하고, 사용자 환경에 가장 적합한 균형을 제공하는 설정을 구성합니다.

세션 수명 정책

세션 수명 설정이 없으면 브라우저 세션에 영구 쿠키가 없습니다. 사용자가 브라우저를 닫고 열 때마다 다시 인증하라는 메시지가 표시됩니다. Office 클라이언트에서 기본 기간은 90일의 이동 기간입니다. 이 기본 Office 구성을 사용하면 사용자가 암호를 다시 설정하거나 세션이 90일 이상 비활성 상태이면 사용자가 필요한 첫 번째 및 두 번째 요소로 다시 인증해야 합니다.

사용자는 Microsoft Entra ID에 ID가 없는 디바이스에서 여러 MFA 프롬프트를 볼 수 있습니다. 각 애플리케이션에 다른 클라이언트 앱과 공유되지 않는 자체 OAuth Refresh Token이 있는 경우, 프롬프트가 여러 개 표시됩니다. 이 시나리오에서 각 애플리케이션이 MFA를 사용하여 OAuth Refresh Token을 요청하여 유효성을 검사하므로, MFA는 여러 번 프롬프트를 표시합니다.

Microsoft Entra ID에서는 세션 수명에 대해 가장 제한적인 정책에 따라 사용자가 다시 인증해야 하는 시기가 결정됩니다. 다음 두 설정을 모두 사용하도록 설정하는 시나리오를 고려합니다.

  • 영구 브라우저 쿠키를 사용하는 로그인 상태를 유지하는 옵션 표시
  • 값이 14일인 다단계 인증 기억

이 예제에서는 사용자가 14일마다 다시 인증해야 합니다. 이 동작은 사용자가 브라우저에서 다시 인증할 필요가 없더라도 로그인 상태를 유지하는 옵션 표시가 필요 없더라도 가장 제한적인 정책을 따릅니다.

관리되는 디바이스

Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인을 통해 Microsoft Entra ID에 가입된 디바이스는 애플리케이션 전체에서 SSO를 사용하는 PRT(기본 새로 고침 토큰)를 받습니다.

이 PRT를 사용하면 사용자가 디바이스에서 한 번 로그인할 수 있으며 IT 직원이 디바이스가 보안 및 규정 준수 표준을 충족하는지 확인할 수 있습니다. 일부 앱 또는 시나리오에 대해 조인된 디바이스에서 사용자에게 더 자주 로그인하도록 요청해야 하는 경우 조건부 액세스 로그인 빈도 정책을 사용할 수 있습니다.

로그인 상태를 유지하는 옵션

사용자가 로그인 상태 유지에서 예를 선택하면 로그인하는 동안 프롬프트 옵션이 표시되면 선택 항목이 브라우저에서 영구 쿠키를 설정합니다. 이 영구 쿠키는 첫 번째 및 두 번째 요소를 모두 기억하며 브라우저의 인증 요청에만 적용됩니다.

로그인 상태를 유지하라는 예제 프롬프트의 스크린샷

Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 영구 브라우저 세션조건부 액세스 정책을 사용하는 것이 좋습니다. 이 정책은 로그인된 상태로 유지되도록 표시 옵션을 덮어쓰고 향상된 사용자 환경을 제공합니다. Microsoft Entra ID P1 또는 P2 라이선스가 없는 경우 표시 옵션을 사용하여 사용자에 대한 로그인 설정을 유지하는 것이 좋습니다.

사용자가 로그인 상태를 유지할 수 있도록 옵션을 구성하는 방법에 대한 자세한 내용은 '로그인 유지?' 프롬프트 관리를 참조 하세요.

다단계 인증을 기억하는 옵션

다단계 인증 기억 설정을 사용하면 1~365일의 값을 구성할 수 있습니다. 사용자가 로그인 시 X일 옵션을 다시 묻지 않음 옵션을 선택하면 브라우저에서 영구 쿠키를 설정합니다.

로그인 요청을 승인하라는 예제 프롬프트의 스크린샷

이 설정은 웹앱의 인증 수를 줄이지만 Office 클라이언트와 같은 최신 인증 클라이언트에 대한 인증 수를 증가시킵니다. 이러한 클라이언트는 보통 암호 재설정 후 또는 90일 간 사용하지 않은 후에만 프롬프트를 표시합니다. 그러나 이 값을 90일 미만으로 설정하면 Office 클라이언트에 대한 기본 MFA 프롬프트가 단축되고 재인증 빈도가 증가합니다. 이 설정을 표시 옵션과 함께 사용하여 로그인 상태를 유지하거나 조건부 액세스 정책을 사용하는 경우 인증 요청 수가 증가할 수 있습니다.

다단계 인증을 기억하고 Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 이러한 설정을 조건부 액세스 로그인 빈도로 마이그레이션하는 것이 좋습니다. 그렇지 않은 경우 표시 옵션을 사용하여 로그인 상태를 유지하는 것이 좋습니다.

자세한 내용은 다단계 인증 기억을 참조하세요.

조건부 액세스를 사용하여 인증 세션 관리

관리자는 로그인 빈도 정책을 사용하여 클라이언트와 브라우저 모두에서 첫 번째 및 두 번째 요소 모두에 적용되는 로그인 빈도를 선택할 수 있습니다. 인증 세션을 제한해야 하는 시나리오에서는 관리되는 디바이스와 함께 이러한 설정을 사용하는 것이 좋습니다. 예를 들어 중요한 비즈니스 애플리케이션에 대한 인증 세션을 제한해야 할 수 있습니다.

영구 브라우저 세션을 사용하면 사용자가 브라우저 창을 닫았다가 다시 연 후 로그인 상태를 유지할 수 있습니다. 로그인 상태를 유지하는 표시 옵션과 마찬가지로 브라우저에서 영구 쿠키를 설정합니다. 그러나 관리자가 구성하기 때문에 사용자가 로그인 유지 옵션에서 예를 선택할 필요가 없습니다. 이러한 방식으로 더 나은 사용자 환경을 제공합니다. 표시 옵션을 사용하여 로그인 상태를 유지하는 경우 영구 브라우저 세션 정책을 대신 사용하도록 설정하는 것이 좋습니다.

자세한 내용은 적응 세션 수명 정책 구성을 참조 하세요.

구성 가능한 토큰 수명

구성 가능한 토큰 수명 설정을 사용하면 Microsoft Entra ID에서 발급하는 토큰에 대한 수명 구성을 허용합니다. 조건부 액세스를 사용한 인증 세션 관리는 이 정책을 대체합니다. 지금 구성 가능한 토큰 수명을 사용하는 경우 조건부 액세스 정책으로 마이그레이션을 시작하는 것이 좋습니다.

테넌트 구성 검토

이제 다양한 설정의 작동 방식과 권장 구성을 이해했으므로 이제 테넌트 확인이 진행됩니다. 로그인 로그를 확인하여 로그인하는 동안 적용된 세션 수명 정책을 이해할 수 있습니다.

각 로그인 로그에서 인증 세부 정보 탭으로 이동하고 적용된 세션 수명 정책을 탐색합니다. 자세한 내용은 로그인 로그 활동 세부 정보에 대한 자세한 내용을 참조하세요.

인증 유형 스크린샷.

로그인 상태를 유지하도록 표시 옵션을 구성하거나 검토하려면 다음을 수행합니다.

  1. 전역 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>회사 브랜딩으로 찾습니다. 그런 다음, 각 로캘에 대해 로그인 상태를 유지하려면 표시 옵션을 선택합니다.
  3. 예를 선택하고 저장을 선택합니다.

신뢰할 수 있는 디바이스에서 다단계 인증 설정을 기억하려면 다음을 수행합니다.

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>다단계 인증으로 이동합니다.
  3. 구성아래에서 추가 클라우드 기반 MFA 설정을 선택합니다.
  4. 다단계 인증 서비스 설정 창에서 다단계 인증 설정 기억으로 스크롤하고 확인란을 선택합니다.

로그인 빈도 및 영구 브라우저 세션에 대한 조건부 액세스 정책을 구성하려면 다음을 수행합니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>조건부 액세스로 이동합니다.
  3. 이 문서에서 권장하는 세션 관리 옵션을 사용하여 정책을 구성합니다.

토큰 수 명을 검토하려면 Microsoft Graph PowerShell을 사용하여 Microsoft Entra 정책을 쿼리합니다. 현재 적용되는 모든 정책을 사용하지 않도록 설정합니다.

테넌트에서 둘 이상의 설정을 사용하는 경우 사용 가능한 라이선스에 따라 설정을 업데이트하는 것이 좋습니다. 예를 들어 Microsoft Entra ID P1 또는 P2 라이선스가 있는 경우 로그인 빈도영구 브라우저 세션조건부 액세스 정책만 사용해야 합니다. Microsoft 365 앱 라이선스 또는 Microsoft Entra ID 무료 라이선스가 있는 경우 표시 옵션을 사용하여 로그인된 상태를 유지해야 합니다.

구성 가능한 토큰 수명을 사용하도록 설정한 경우 이 기능은 곧 제거될 예정입니다. 조건부 액세스 정책으로의 마이그레이션을 계획합니다.

다음 표에는 라이선스에 따른 권장 사항이 요약되어 있습니다.

범주 Microsoft 365 앱 또는 Microsoft Entra ID 무료 Microsoft 엔트라 ID P1 또는 P2
SSO Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인 또는 관리되지 않는 디바이스에 대한 원활한 SSO Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인
재인증 설정 로그인 상태를 유지하는 옵션 표시 로그인 빈도 및 영구 브라우저 세션에 대한 조건부 액세스 정책

관련 콘텐츠