Passkey 프로필은 암호 FIDO2 인증에 대해 세분화된 그룹 기반 구성을 사용하도록 설정합니다. 단일 테넌트 전체 설정 대신 증명, 암호 유형(디바이스 바인딩 또는 동기화됨) 또는 AAGUID(Authenticator Attestation GUID) 제한과 같은 특정 요구 사항을 정의할 수 있습니다. 관리자 및 일선 직원과 같은 다양한 사용자 그룹에 대해 별도의 암호 프로필에 요구 사항을 적용할 수 있습니다.
비고
인증 정책 관리자는 동기화된 암호(미리 보기)를 사용하도록 암호 프로필(미리 보기)을 구성해야 합니다. 자세한 내용은 Microsoft Entra ID(미리 보기)에서 동기화된 암호(FIDO2)를 사용하도록 설정하는 방법을 참조하세요.
패스키 프로필은 무엇입니까?
암호 프로필은 대상 그룹의 사용자가 FIDO2(passkeys)로 등록하고 인증하는 방법을 제어하는 명명된 정책 규칙 집합입니다. 프로필은 다음과 같은 고급 컨트롤을 지원합니다.
- 증명 적용: 사용, 사용 안 함
- 대상 유형: 디바이스 바인딩, 동기화됨
- 대상 특정 인증자: AAGUID에서 특정 인증자를 허용하거나 차단합니다. 자세한 내용은 Authenticator 증명 GUID를 참조하세요.
시작하기 전 주의 사항:
- 사용자는 지난 5분 이내에 MFA(다단계 인증)를 완료해야만 FIDO2(Passkey)를 등록할 수 있습니다.
- 사용자는 Microsoft Entra ID의 증명 요구 사항을 지원하는 인증자가 필요합니다. 자세한 내용은 FIDO2 보안 키 공급업체에 대한 Microsoft Entra ID 증명을 참조하세요.
- 디바이스는 FIDO2(Passkey) 인증을 지원해야 합니다. Microsoft Entra ID에 조인된 Windows 디바이스의 경우 Windows 10 버전 1903 이상에서 최상의 환경을 경험할 수 있습니다. 하이브리드 조인 디바이스는 Windows 10 버전 2004 이상을 실행해야 합니다.
- 디바이스 바인딩 및 동기화된 암호에 대한 암호 프로필이 Microsoft Authenticator를 대상으로 하는 경우 사용자는 Microsoft Authenticator iOS 버전 6.8.37 또는 Android 버전 6.2507.4749를 실행해야 합니다.
- 정책 크기 제한:
- 인증 방법 정책은 20KB의 크기 제한을 지원합니다. 크기 제한에 도달한 후에는 더 많은 암호 프로필을 저장할 수 없습니다. 크기를 확인하려면 AuthenticationMethodsPolicy Microsoft Graph API 가져오기 를 사용하여 인증 방법 정책에 대한 JSON을 검색합니다. 출력을 .txt 파일로 저장한 다음 마우스 오른쪽 단추를 클릭하고 속성을 선택하여 파일 크기를 봅니다.
- 참조 크기:
- 변경되지 않는 기본 암호 정책: 1.44KB
- 1개 적용된 암호 프로필이 있는 대상: 0.23KB
- 5개의 적용된 암호 프로필이 있는 대상: 0.4KB
- AAGUID가 없는 Passkey 프로필: 0.4 KB
- 10개의 AAGUID가 있는 Passkey 프로필: 0.3KB
패스키 프로파일 사용 (미리 보기 기능)
비고
암호 프로필(미리 보기)을 옵트인하면 FIDO2(전역 암호) 정책 설정이 자동으로 기본 암호 프로필로 전송됩니다. 기본 암호 프로필을 포함하여 최대 3개의 암호 프로필이 지원됩니다. 더 많은 암호 프로필에 대한 지원은 개발 중입니다.
Microsoft Entra 관리 센터에 인증 정책 관리자 이상으로 로그인합니다.
Entra ID>보안>인증 방법>정책으로 탐색합니다.
Passkey(FIDO2)를 선택하고 공개 미리 보기 배너에서 공개 미리 보기로 옵트인을 선택하여 암호 프로필(미리 보기)을 확인합니다.
비고
이전 Passkey(FIDO2) 정책 설정은 자동으로 기본 암호 프로필로 전송됩니다. 이전 사용자 대상도 자동으로 활성화 및 대상 지정으로 전송됩니다.
옵트인을 완료하려면 기본 암호 프로필을 선택합니다.
대상 형식의 경우 허용하려는 암호 유형을 선택합니다.
저장을 선택합니다.
새 암호 프로필 만들기
구성 탭에서 + 암호 프로필 추가를 클릭합니다.
프로필 세부 정보를 입력합니다. 다음 표에서는 증명을 적용하는 경우의 영향에 대해 설명합니다. 다른 공급업체 증명 요구 사항은 FIDO2 보안 키 공급업체에 대한 Microsoft Entra ID 증명을 참조하세요.
증명 적용 아니요(기본값) Yes 지원되는 암호 형식 동기화 및 디바이스 바인딩 디바이스 바인딩 전용 유효한 증명 문을 제시하는 데 필요한 암호 등록 시 유효한 증명 문을 제시하는 데 암호가 필요하지 않습니다.
Microsoft Entra ID는 대상 특정 AAGUID를 선택하는 경우에도 동기화되거나 디바이스에 바인딩된 경우 또는 특정 제조업체, 모델 또는 공급자를 포함하여 암호에 대한 특성을 보장할 수 없습니다. 증명 적용이 아니요로 설정된 경우 엄격한 보안 제어가 아닌 정책 가이드로 AAGUID 목록을 사용합니다.Microsoft Entra ID가 신뢰할 수 있는 메타데이터에 대해 인증자의 제조업체 및 모델을 확인할 수 있도록 등록 시 필요합니다. 증명은 암호가 정품이며 명시된 공급업체에서 제공된다는 것을 조직에 보장합니다.
증명은 등록하는 동안에만 확인됩니다. 증명 없이 이전에 추가한 암호는 나중에 증명을 사용하도록 설정하는 경우 로그인에서 차단되지 않습니다.다음 표에서는 프로필 대상 옵션에 대해 설명합니다.
목표/타겟 Description 대상 형식 증명 적용이 아니요로 설정된 경우, 디바이스에 바인딩된 패스키와 동기화된 패스키를 허용할 수 있습니다. 특정 AAGUID 타겟팅 AAGUID로 식별되는 특정 보안 키 모델 또는 암호 공급자를 허용하거나 차단하여 사용자가 암호를 등록하고 로그인하는 데 사용할 수 있는 인증자를 제어할 수 있습니다.
이전에 허용한 AAGUID를 제거하면 허용된 방법으로 해당 암호(FIDO2)를 등록한 사용자는 더 이상 로그인에 사용할 수 없습니다.저장을 선택합니다.
대상 그룹에 암호 프로필 적용
활성화 및 대상 설정을 선택합니다.
대상 추가를 선택하고 모든 사용자 또는 대상을 선택하여 그룹을 선택합니다.
특정 대상에 할당하려는 암호 프로필을 선택합니다.
비고
대상 그룹(예: 엔지니어링)은 여러 암호 키 프로필에 대해 범위를 지정할 수 있습니다. 사용자가 여러 암호 프로필의 범위를 지정하면 범위가 지정된 암호 프로필 중 하나의 요구 사항을 완전히 충족하는 경우 암호를 사용한 등록 및 인증이 허용됩니다. 검사에 대한 특정 순서는 없습니다. 사용자가 FIDO2(Passkeys) 인증 방법 정책에서 제외된 그룹의 구성원인 경우 FIDO2 암호 등록 또는 로그인에서 차단됩니다. 제외된 그룹은 포함된 그룹보다 우선합니다.
패스키 프로필 삭제
설정을 선택합니다.
삭제하려는 암호 프로필의 오른쪽에 있는 휴지통을 선택하고 저장을 선택합니다.
비고
사용 및 대상에서 사용자 그룹에 할당되지 않은 경우에만 프로필을 삭제할 수 있습니다. 휴지통이 회색일 수 있는 경우 먼저 해당 프로필이 할당된 대상을 제거합니다.
암호 프로필 사용 안 함(미리 보기)
비고
암호 키 프로필(미리 보기)을 거부하면 다음이 수행됩니다.
- 모든 암호 프로필 및 관련 대상 제거
- 사용자 대상을 포함하여 암호 정책을 기본 암호 프로필의 구성으로 되돌려 줍니다.
- 동기화된 패스키 지원 비활성화
관리자가 이러한 변경으로 인해 자신의 계정에서 잠기지 않도록 사전에 조치합니다.
- Microsoft Entra 관리 센터에 인증 정책 관리자 이상으로 로그인합니다.
- Entra ID>보안>인증 방법>정책으로 탐색합니다.
- Passkey(FIDO2)를 선택하고 공개 미리 보기 배너에서 공개 미리 보기 옵트아웃을 선택합니다.
- 옵트아웃 조건을 검토하고 동의하면 옵트아웃을 클릭합니다.
패스키 프로파일의 사용 사례 예시
비고
디바이스 바인딩 및 동기화된 암호에 대한 암호 프로필이 Microsoft Authenticator를 대상으로 하는 경우 사용자는 Microsoft Authenticator iOS 버전 6.8.37 또는 Android 버전 6.2507.4749를 실행해야 합니다.
높은 권한의 계정에 대한 특별 고려 사항
| Passkey 프로필 | 대상 그룹 | 패스키 유형 | 인증 강제 | 주요 제한 사항 |
|---|---|---|---|---|
| 모든 디바이스 바인딩된 암호(증명 적용) | IT 관리자 임원 공학 |
디바이스 바인딩 | 활성화됨 | Disabled |
| 동기화된 또는 디바이스에 연결된 모든 패스키 | 인사관리 영업 |
디바이스 바인딩됨, 동기화됨 | Disabled | Disabled |
Microsoft Authenticator의 대상 패스키 롤아웃
| Passkey 프로필 | 대상 그룹 | 패스키 유형 | 인증 강제 | 주요 제한 사항 |
|---|---|---|---|---|
| 모든 디바이스 바인딩된 암호(Microsoft Authenticator 제외) | 모든 사용자 | 디바이스 바인딩 | 활성화됨 | 활성화됨 - 동작: 차단 - AAGUIDs: iOS용 Microsoft Authenticator, Android용 Microsoft Authenticator |
| Microsoft Authenticator의 Passkeys | 파일럿 그룹 1 파일럿 그룹 2 |
디바이스 바인딩 | 활성화됨 | 활성화됨 동작: 허용 - AAGUIDs: iOS용 Microsoft Authenticator, Android용 Microsoft Authenticator |