Microsoft Entra 다단계 인증 및 Microsoft Entra 사용자 인증으로 마이그레이션

다단계 인증은 잘못된 행위자의 인프라와 자산을 보호하는 데 도움이 됩니다. Microsoft MFA 서버(Multi-Factor Authentication 서버)는 새 배포에 더 이상 제공되지 않습니다. MFA 서버를 사용하는 고객은 Microsoft Entra 다단계 인증을 사용하도록 전환해야 합니다.

MFA 서버에서 Microsoft Entra ID로 마이그레이션하기 위한 몇 가지 옵션이 있습니다.

• 좋음: MFA 서비스만 Microsoft Entra ID로 이동합니다.
• 좋음: MFA 서비스 및 사용자 인증을 Microsoft Entra ID로 이동합니다(이 문서에 설명되어 있음).
• 최상: 모든 애플리케이션, MFA 서비스 및 사용자 인증을 Microsoft Entra ID로 이동합니다. 이 문서에서 설명하는 애플리케이션을 이동하려는 경우 이 문서의 Microsoft Entra ID로 애플리케이션 이동 섹션을 참조하세요.

조직에 적절한 MFA 마이그레이션 옵션을 선택하려면 MFA 서버에서 Microsoft Entra 다단계 인증으로 마이그레이션의 고려 사항을 참조하세요.

다음 다이어그램에서는 애플리케이션의 일부를 AD FS에 유지하면서 Microsoft Entra 다단계 인증 및 클라우드 인증으로 마이그레이션하는 프로세스를 보여 줍니다. 이 프로세스를 통해 그룹 구성원 자격에 따라 MFA 서버에서 Microsoft Entra 다단계 인증으로 사용자를 반복적으로 마이그레이션할 수 있습니다.

각 단계는 이 문서의 후속 섹션에 설명되어 있습니다.

참고 항목

이 마이그레이션의 일부로 애플리케이션을 Microsoft Entra ID로 이동하려는 경우 MFA 마이그레이션 전에 이 작업을 수행해야 합니다. 모든 앱을 이동하는 경우 MFA 마이그레이션 프로세스 섹션을 건너뛸 수 있습니다. 이 문서 끝부분에서 애플리케이션 이동에 대한 섹션을 참조하세요.

Microsoft Entra ID 및 사용자 인증으로 마이그레이션하는 프로세스

그룹 및 조건부 액세스 준비

그룹은 MFA 마이그레이션에 사용되는 세 가지 용량으로 사용됩니다.

• 단계적 롤아웃을 사용하여 사용자를 Microsoft Entra 다단계 인증으로 반복적으로 이동합니다.

  클라우드 전용 그룹이라고도 하는 Microsoft Entra ID에서 만든 그룹을 사용합니다. Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹은 사용자를 MFA로 이동하는 데와 조건부 액세스 정책 모두에 사용할 수 있습니다.

  Important

  중첩 그룹 및 동적 그룹은 단계적 롤아웃에 지원되지 않습니다. 이러한 유형의 그룹은 사용하지 마세요.

• 조건부 액세스 정책. Microsoft Entra ID 또는 온-프레미스 그룹은 조건부 액세스에 사용할 수 있습니다.

• 클레임 규칙을 사용하여 AD FS 애플리케이션에 Microsoft Entra 다단계 인증을 호출합니다. 이 단계는 AD FS와 함께 애플리케이션을 사용하는 경우에만 적용됩니다.

  온-프레미스 Active Directory 보안 그룹을 사용해야 합니다. Microsoft Entra 다단계 인증이 추가 인증 방법인 경우 사용자 그룹이 각 신뢰 당사자 트러스트에서 해당 방법을 사용하도록 지정할 수 있습니다. 예를 들어 이미 마이그레이션한 사용자의 경우 Microsoft Entra 다단계 인증을 호출하고 아직 마이그레이션되지 않은 사용자의 경우 MFA 서버를 호출할 수 있습니다. 이 전략은 테스트 및 마이그레이션 중에 모두 유용합니다.

참고 항목

보안에 사용되는 그룹은 다시 사용하지 않는 것이 좋습니다. 조건부 액세스 정책으로 고가치 앱 그룹을 보호하려면 보안 그룹만 사용합니다.

조건부 액세스 정책 구성

이미 조건부 액세스를 사용하여 사용자에게 MFA를 요청하는 시기를 결정하고 있다면 정책을 변경할 필요가 없습니다. 사용자가 클라우드 인증으로 마이그레이션되면 조건부 액세스 정책에 정의된 대로 Microsoft Entra 다단계 인증을 사용하기 시작합니다. 이러한 사용자는 AD FS 및 MFA 서버로 더 이상 리디렉션되지 않습니다.

페더레이션된 도메인에서 federatedIdpMfaBehavior가 enforceMfaByFederatedIdp로 설정되거나 SupportsMfa 플래그가 $True으로 설정된 경우(둘 다 설정된 경우 federatedIdpMfaBehavior가 SupportsMfa를 재정의함) 클레임 규칙을 사용하여 AD FS에 MFA를 적용할 가능성이 높습니다. 이 경우 Microsoft Entra ID 신뢰 당사자 트러스트에 대한 클레임 규칙을 분석하고 동일한 보안 목표를 지원하는 조건부 액세스 정책을 만들어야 합니다.

필요한 경우 단계적 롤아웃을 사용하도록 설정하기 전에 조건부 액세스 정책을 구성합니다. 자세한 내용은 다음 리소스를 참조하세요.

• 조건부 액세스 배포 계획
• 일반 조건부 액세스 정책

AD FS 준비

AD FS에 MFA가 필요한 애플리케이션이 없는 경우 이 섹션을 건너뛰고 단계적 롤아웃 준비 섹션으로 이동해도 됩니다.

AD FS 서버 팜을 2019, FBL 4로 업그레이드

AD FS 2019에서 Microsoft는 애플리케이션과 같은 신뢰 당사자에 대한 추가 인증 방법을 지정하는 데 도움이 되는 새로운 기능을 출시했습니다. 그룹 멤버 자격을 사용하여 인증 공급자를 확인하여 추가 인증 방법을 지정할 수 있습니다. 추가 인증 방법을 지정하면 전환하는 동안 다른 인증을 그대로 유지하면서 Microsoft Entra 다단계 인증으로 전환할 수 있습니다.

자세한 내용은 WID 데이터베이스를 사용하여 Windows Server 2016에서 AD FS로 업그레이드를 참조하세요. 이 문서에서는 팜을 AD FS 2019로 업그레이드하는 방법과 FBL을 4로 업그레이드하는 방법을 모두 설명합니다.

Microsoft Entra 다단계 인증을 호출하도록 클레임 규칙 구성

이제 Microsoft Entra 다단계 인증이 추가 인증 방법이므로 신뢰 당사자 트러스트라고도 하는 클레임 규칙을 구성하여 Microsoft Entra 다단계 인증을 사용할 사용자 그룹을 할당할 수 있습니다. 그룹을 사용하여 전역적으로 또는 애플리케이션에 의해 호출되는 인증 공급자를 제어할 수 있습니다. 예를 들어 통합된 보안 정보에 대해 등록했거나 전화 번호가 마이그레이션된 사용자에 대해 Microsoft Entra 다단계 인증을 호출하고, 전화 번호가 마이그레이션되지 않은 사용자에 대해서는 MFA 서버를 호출할 수 있습니다.

참고 항목

클레임 규칙에는 온-프레미스 보안 그룹이 필요합니다.

백업 규칙

새 클레임 규칙을 구성하기 전에 규칙을 백업합니다. 정리 단계의 일부로 클레임 규칙을 복원해야 합니다.

구성에 따라 기존 규칙을 복사하고 마이그레이션을 위해 만드는 새 규칙을 추가해야 할 수도 있습니다.

전역 규칙을 보려면 다음을 실행합니다.

Get-AdfsAdditionalAuthenticationRule

신뢰 당사자 트러스트를 보려면 다음 명령을 실행하고 RPTrustName을 신뢰 당사자 트러스트 클레임 규칙의 이름으로 바꿉니다.

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

액세스 제어 정책

참고 항목

그룹 멤버 자격에 따라 특정 인증 공급자를 호출하도록 액세스 제어 정책을 구성할 수 없습니다.

액세스 제어 정책에서 추가 인증 규칙으로 전환하려면 MFA 서버 인증 공급자를 사용하여 각 신뢰 당사자 트러스트에 대해 다음 명령을 실행합니다.

Set-AdfsRelyingPartyTrust -**TargetName AppA -AccessControlPolicyName $Null**

이 명령은 현재 액세스 제어 정책에서 추가 인증 규칙으로 논리를 이동합니다.

그룹을 설정하고 SID 찾기

Microsoft Entra 다단계 인증을 호출하려는 사용자를 배치할 특정 그룹이 있어야 합니다. 해당 그룹에 대한 SID(보안 식별자)를 찾아야 합니다. 그룹 SID를 찾으려면 다음 명령을 실행하고 GroupName을 그룹 이름으로 바꿉니다.

Get-ADGroup GroupName

Microsoft Entra 다단계 인증을 호출하도록 클레임 규칙 설정

다음 Microsoft Graph PowerShell cmdlet은 그룹의 사용자가 회사 네트워크에 없을 때 해당 사용자에 대해 Microsoft Entra 다단계 인증을 호출합니다. "YourGroupSid"를 이전 cmdlet을 실행하여 찾은 SID로 바꿉니다.

2019에서 추가 인증 공급자를 선택하는 방법을 검토해야 합니다.

Important

계속하기 전에 클레임 규칙을 백업합니다.

전역 클레임 규칙 설정

다음 명령을 실행하고 RPTrustName을 신뢰 당사자 트러스트 클레임 규칙의 이름으로 바꿉니다.

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

이 명령은 신뢰 당사자 트러스트에 대한 현재 추가 인증 규칙을 반환합니다.
현재 클레임 규칙에 다음 규칙을 추가해야 합니다.

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

다음 예제에서는 사용자가 네트워크 외부에서 연결하는 경우 MFA를 요구하도록 현재 클레임 규칙을 구성했다고 가정합니다. 이 예제에는 추가해야 하는 추가 규칙이 포함되어 있습니다.

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

애플리케이션별 클레임 규칙 설정

이 예제에서는 특정 신뢰 당사자 트러스트(애플리케이션)에 대한 클레임 규칙을 수정합니다. 추가해야 하는 추가 규칙이 포함됩니다.

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Microsoft Entra 다단계 인증을 AD FS에서 인증 공급자로 구성

AD FS에 대해 Microsoft Entra 다단계 인증을 구성하려면 각 AD FS 서버를 구성해야 합니다. 팜에 여러 AD FS 서버가 있는 경우 Microsoft Graph PowerShell을 사용하여 원격으로 구성할 수 있습니다.

이 프로세스에 대한 단계별 지침은 AD FS 서버 구성을 참조하세요.

서버를 구성한 후에는 Microsoft Entra 다단계 인증을 추가 인증 방법으로 추가할 수 있습니다.

단계적 롤아웃 준비

이제 단계적 롤아웃을 사용하도록 설정할 준비가 되었습니다. 단계적 롤아웃을 사용하면 온-프레미스 MFA 설정을 마이그레이션하는 동안 사용자를 PHS 또는 PTA로 반복적으로 이동할 수 있습니다.

• 지원되는 시나리오를 검토해야 합니다.
• 먼저 PHS에 대한 사전 작업 또는 PTA에 대한 사전 작업을 수행해야 합니다. PHS가 권장됩니다.
• 다음으로, Seamless SSO에 대한 사전 작업을 수행합니다.
• 선택한 인증 방법에 대해 클라우드 인증의 단계적 롤아웃을 사용하도록 설정합니다.
• 단계적 롤아웃을 위해 만든 그룹을 추가합니다. 그룹에 사용자를 반복적으로 추가하며, 이러한 그룹은 동적 그룹 또는 중첩된 그룹이 될 수 없습니다.

Microsoft Entra 다단계 인증을 위해 사용자 등록

이 섹션에서는 사용자가 결합된 보안(MFA 및 셀프 서비스 암호 재설정)에 등록하는 방법과 MFA 설정을 마이그레이션하는 방법을 설명합니다. Microsoft Authenticator는 암호 없는 모드에서 사용할 수 있습니다. 또한 두 등록 방법 중 하나에서 MFA의 두 번째 단계로 사용할 수 있습니다.

결합된 보안 등록(권장)

사용자가 MFA 및 SSPR 모두에 대한 인증 방법 및 디바이스를 등록하는 단일 위치인 결합된 보안 정보에 등록하도록 하는 것이 좋습니다.

Microsoft는 결합된 등록 프로세스를 안내하기 위해 사용자에게 제공할 수 있는 통신 템플릿을 제공합니다. 여기에는 이메일, 포스터, 테이블 텐트 및 기타 다양한 자산에 대한 템플릿이 포함됩니다. 사용자는 https://aka.ms/mysecurityinfo에 해당 정보를 등록합니다. 그러면 결합된 보안 등록 화면으로 이동됩니다.

신뢰할 수 있는 디바이스 또는 위치에서 등록을 수행해야 하는 조건부 액세스를 사용하여 보안 등록 프로세스를 보호하는 것이 좋습니다. 등록 상태를 추적하는 방법에 대한 내용은 Microsoft Entra ID의 인증 방법 작업을 참조하세요.

참고 항목

신뢰할 수 없는 위치 또는 디바이스에서 결합된 보안 정보를 등록해야 하는 사용자에게는 임시 액세스 패스를 발급하거나 정책에서 일시적으로 제외할 수 있습니다.

MFA 서버에서 MFA 설정 마이그레이션

MFA 서버 마이그레이션 유틸리티를 사용하여 MFA 서버에서 Microsoft Entra ID로 사용자에 대해 등록된 MFA 설정을 동기화할 수 있습니다. 전화 번호, 하드웨어 토큰 및 Microsoft Authenticator 앱 설정과 같은 디바이스 등록을 동기화할 수 있습니다.

적절한 그룹에 사용자 추가

• 새 조건부 액세스 정책을 만든 경우 해당 그룹에 적절한 사용자를 추가합니다.
• 클레임 규칙에 대한 온-프레미스 보안 그룹을 만든 경우 해당 그룹에 적절한 사용자를 추가합니다.
• 적절한 조건부 액세스 규칙에 사용자를 추가한 후에만 단계적 롤아웃을 위해 만든 그룹에 사용자를 추가합니다. 완료되면 MFA를 수행하는 데 필요한 경우 선택한 Azure 인증 방법(PHS 또는 PTA) 및 Microsoft Entra 다단계 인증을 사용하기 시작합니다.

Important

중첩 그룹 및 동적 그룹은 단계적 롤아웃에 지원되지 않습니다. 이러한 유형의 그룹은 사용하지 마세요.

보안에 사용되는 그룹은 다시 사용하지 않는 것이 좋습니다. 조건부 액세스 정책으로 고가치 앱 그룹을 보호하는 데 보안 그룹을 사용하고 있는 경우 해당 그룹만 사용합니다.

모니터링

배포를 모니터링하는 데 많은 Azure Monitor 통합 문서 및 사용 및 통계 보고서를 사용할 수 있습니다. 이러한 보고서는 모니터링 아래의 탐색 창에 있는 Microsoft Entra ID에서 찾을 수 있습니다.

단계적 롤아웃 모니터링

통합 문서 섹션에서 퍼블릭 템플릿을 선택합니다. 하이브리드 인증 섹션에서 단계적 롤아웃의 그룹, 사용자 및 로그인 통합 문서를 선택합니다.

이러한 통합 문서를 사용하여 다음 활동을 모니터링할 수 있습니다.

• 단계적 롤아웃에 추가된 사용자 및 그룹
• 스테이징된 롤아웃에서 제거된 사용자 및 그룹
• 단계적 롤아웃에서 사용자의 로그인 실패 및 실패 이유

Microsoft Entra 다단계 인증 등록 모니터링

Microsoft Entra 다단계 인증 등록은 인증 방법 사용 및 인사이트 보고서를 사용하여 모니터링할 수 있습니다. 이 보고서는 Microsoft Entra ID에서 찾을 수 있습니다. 모니터링을 선택한 다음, 사용량 및 인사이트를 선택합니다.

사용량 및 인사이트에서 인증 방법을 선택합니다.

자세한 Microsoft Entra 다단계 인증 등록 정보는 등록 탭에서 찾을 수 있습니다. Azure Multi-Factor Authentication에 등록된 사용자 하이퍼링크를 선택하고 드릴다운하여 등록된 사용자 목록을 볼 수 있습니다.

앱 로그인 상태 모니터링

앱 로그인 상태 통합 문서 또는 애플리케이션 작업 사용량 보고서를 사용하여 Microsoft Entra ID로 이동한 애플리케이션을 모니터링합니다.

• 앱 로그인 상태 통합 문서. 이 통합 문서 사용에 대한 자세한 지침은 복원력을 위한 애플리케이션 로그인 상태 모니터링을 참조하세요.
• Microsoft Entra 애플리케이션 작업 사용량 보고서. 이 보고서는 개별 애플리케이션에 대한 성공 및 실패 로그인뿐만 아니라 특정 애플리케이션에 대한 로그인 작업을 드릴다운하고 보는 기능을 확인하는 데 사용할 수 있습니다.

정리 태스크

모든 사용자를 Microsoft Entra 클라우드 인증 및 Microsoft Entra 다단계 인증으로 이동한 후에는 MFA 서버를 해제할 준비가 된 것입니다. 서버를 제거하기 전에 MFA 서버 로그를 검토하여 사용자 또는 애플리케이션이 이 로그를 사용하지 않는지 확인하는 것이 좋습니다.

도메인을 관리형 인증으로 변환

이제 Microsoft Entra ID의 페더레이션된 도메인을 관리형으로 변환하고 단계적 롤아웃 구성을 제거해야 합니다. 이렇게 변환하면 새 사용자가 마이그레이션 그룹에 추가되지 않고도 클라우드 인증을 사용할 수 있게 됩니다.

AD FS에 대한 클레임 규칙을 되돌리고 MFA 서버 인증 공급자 제거

Microsoft Entra 다단계 인증을 호출하도록 클레임 규칙 구성의 단계에 따라 클레임 규칙을 되돌리고 AzureMFAServerAuthentication 클레임 규칙을 제거합니다.

예를 들어 규칙에서 다음 섹션을 제거합니다.

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'

AD FS에서 MFA 서버를 인증 공급자로 사용하지 않도록 설정

이렇게 변경하면 Microsoft Entra 다단계 인증만 인증 공급자로 사용됩니다.

1. AD FS 관리 콘솔을 엽니다.
2. 서비스에서 인증 방법을 마우스 오른쪽 단추로 클릭하고 다단계 인증 방법 편집을 선택합니다.
3. Azure Multi-Factor Authentication 서버 확인란을 선택 취소합니다.

MFA 서버 서비스 해제

엔터프라이즈 서버 서비스 해제 프로세스에 따라 사용자 환경에서 MFA 서버를 제거합니다.

MFA 서버를 서비스 해제할 때 고려할 수 있는 사항은 다음과 같습니다.

• 서버를 제거하기 전에 MFA 서버 로그를 검토하여 사용자 또는 애플리케이션이 이 로그를 사용하지 않는지 확인하는 것이 좋습니다.
• 서버의 제어판 Multi-Factor Authentication 서버를 제거합니다.
• 필요에 따라 먼저 백업한 후 남아 있는 로그 및 데이터 디렉터리를 정리합니다.
• inetpub\wwwroot\MultiFactorAuthWebServiceSdk 및/또는 MultiFactorAuth 디렉터리에 남아 있는 파일을 포함하여 다단계 인증 웹 서버 SDK를 제거합니다.
• 8.0.x 이전 버전의 MFA 서버에서는 다단계 인증 전화 앱 웹 서비스를 제거해야 할 수도 있습니다.

Microsoft Entra ID로 애플리케이션 인증 이동

MFA 및 사용자 인증을 사용하여 모든 애플리케이션 인증을 마이그레이션하는 경우 온-프레미스 인프라의 상당 부분을 제거하여 비용과 위험을 줄일 수 있습니다. 모든 애플리케이션 인증을 이동하는 경우 AD FS 준비 스테이지를 건너뛰고 MFA 마이그레이션을 간소화할 수 있습니다.

모든 애플리케이션 인증을 이동하는 프로세스는 다음 다이어그램에 표시됩니다.

마이그레이션 전에 모든 애플리케이션을 이동할 수 없는 경우 시작하기 전에 최대한 많이 이동합니다. 애플리케이션을 Azure로 마이그레이션하는 방법에 대한 자세한 내용은 애플리케이션을 Microsoft Entra ID로 마이그레이션하기 위한 리소스를 참조하세요.

다음 단계

• Microsoft MFA 서버에서 Microsoft Entra 다단계 인증으로 마이그레이션(개요)
• Windows Active Directory에서 Microsoft Entra ID로 애플리케이션 마이그레이션
• 클라우드 인증 전략 계획