다음을 통해 공유

조직에 대해 패스키(FIDO2) 사용

  • 아티클

현재 암호를 사용하는 기업의 경우 패스키(FIDO2)를 사용하면 사용자 이름 또는 암호를 입력하지 않고도 작업자의 인증을 원활하게 지원합니다. 패스키는 작업자의 생산성을 높이고 보안을 강화합니다.

이 문서에서는 조직에서 패스키를 사용하도록 설정하는 요구 사항 및 단계를 나열합니다. 이러한 단계를 완료한 후 조직의 사용자는 FIDO2 보안 키 또는 Microsoft Authenticator에 저장된 패스키를 사용하여 Microsoft Entra 계정에 등록하고 로그인할 수 있습니다.

Microsoft Authenticator에서 패스키를 사용하도록 설정하는 방법에 대한 자세한 내용은 Microsoft Authenticator에서 패스키를 사용하도록 설정하는 방법을 참조하세요.

패스키 인증에 대한 자세한 내용은 Microsoft Entra ID를 사용한 FIDO2 인증 지원을 참조하세요.

참고 항목

Microsoft Entra ID는 현재 FIDO2 보안 키 및 Microsoft Authenticator에 저장된 디바이스 바인딩된 패스키를 지원합니다. Microsoft는 패스키를 사용하여 고객과 사용자를 보안하기 위해 최선을 다하고 있습니다. 회사 계정에 대해 동기화된 패스키와 디바이스 바인딩된 패스키 모두에 투자하고 있습니다.

요구 사항

  • Microsoft Entra MFA(다단계 인증)
  • 호환되는 FIDO2 보안 키 또는 Microsoft Authenticator.
  • 패스키(FIDO2) 인증을 지원하는 디바이스입니다. Microsoft Entra ID에 조인된 Windows 디바이스의 경우 Windows 10 버전 1903 이상에서 최상의 환경을 경험할 수 있습니다. 하이브리드 조인 디바이스는 Windows 10 버전 2004 이상을 실행해야 합니다.

패스키는 Windows, macOS, Android 및 iOS의 주요 시나리오에서 지원됩니다. 지원되는 시나리오에 대한 자세한 내용은 Microsoft Entra ID를 사용한 FIDO2 인증 지원을 참조하세요.

패스키 인증 방법 사용

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>인증 방법>인증 방법 정책으로 이동합니다.

  3. FIDO2 보안 키 메서드에서 토글을 사용으로 설정합니다. 모든 사용자 또는 그룹 추가를 선택하여 특정 그룹을 선택합니다. 보안 그룹만 지원됩니다.

  4. 구성을 저장합니다.

    참고 항목

    저장하려고 할 때 오류가 표시되는 경우 원인은 추가되는 사용자 또는 그룹의 수 때문일 수 있습니다. 이 문제를 해결하려면 동일한 작업에서 추가하려는 사용자와 그룹을 단일 그룹으로 바꾼 다음 저장을 다시 클릭합니다.

패스키 선택적 설정

구성 탭에는 로그인에 패스키를 사용할 수 있는 방법을 관리하는 데 도움이 되는 몇 가지 선택적 설정이 있습니다.

FIDO2 보안 키 옵션의 스크린샷.

  • 셀프 서비스 설정 허용로 설정된 상태를 유지해야 합니다. 아니요로 설정하면 인증 방법 정책에서 사용하도록 설정된 경우에도 사용자가 MySecurityInfo를 통해 패스키를 등록할 수 없습니다.

  • 조직에서 FIDO2 보안 키 모델 또는 패스키 공급자가 정품이며 합법적인 공급업체에서 제공되도록 보장하려는 경우 증명 적용로 설정해야 합니다.

    • FIDO2 보안 키의 경우 FIDO Alliance Metadata Service를 사용하여 보안 키 메타데이터를 게시 및 확인해야 하고 해당 메타데이터는 Microsoft의 또 다른 유효성 검사 테스트도 통과해야 합니다. 자세한 내용은 Microsoft 호환 FIDO2 보안 키 공급업체 되기를 참조하세요.
    • Microsoft Authenticator의 패스키는 현재 증명을 지원하지 않습니다.

    Warning

    증명 적용은 등록 중에만 패스키가 허용되는지 여부를 제어합니다. 증명 적용이 나중에 로 설정된 경우 증명 없이 패스키를 등록할 수 있는 사용자는 로그인 중 차단되지 않습니다.

키 제한 정책

  • 조직에서 AAGUID(Authenticator 증명 GUID)로 식별되는 특정 보안 키 모델 또는 패스키 공급자만 허용하거나 허용하지 않으려는 경우에만 키 제한 적용로 설정해야 합니다. 보안 키 공급업체와 협력하여 패스키의 AAGUID를 확인할 수 있습니다. 패스키가 이미 등록되어 있는 경우 해당 사용자의 패스키에 대한 인증 방법 세부 정보를 확인하여 AAGUID를 찾을 수 있습니다.

  • 키 제한 적용로 설정된 경우 관리 센터에 확인란이 표시되면 Microsoft Authenticator(미리 보기)를 선택할 수 있습니다. 그러면 키 제한 목록에서 Authenticator 앱 AAGUID가 자동으로 채워집니다. 그렇지 않으면 다음 AAGUID를 수동으로 추가하여 Authenticator 패스키 프리뷰를 사용하도록 설정할 수 있습니다.

    • Android용 인증자: de1e552d-db1d-4423-a619-566b625cdc84
    • iOS용 인증자: 90a3ccdf-635c-4729-a248-9b709135078f

    Warning

    주요 제한 사항은 등록 및 인증 모두에 대해 특정 모델 또는 공급자의 유용성을 설정합니다. 키 제한 사항을 변경하고 이전에 허용한 AAGUID를 제거하면 이전에 허용된 방법을 등록한 사용자는 더 이상 로그인에 해당 방법을 사용할 수 없습니다.

패스키 AAGUID(인증자 증명 GUID)

FIDO2 사양을 사용하려면 각 보안 키 공급자가 등록 과정에 AAGUID(인증자 증명 GUID)를 제공해야 합니다. AAGUID는 make 및 model과 같은 키 형식을 나타내는 128비트 식별자입니다. 데스크톱 및 모바일 디바이스의 패스키 공급자도 등록 과정에서 AAGUID를 제공해야 합니다.

참고 항목

공급업체는 AAGUID가 해당 공급업체에서 만든, 실질적으로 동일한 모든 보안 키 또는 패스키 공급자에서는 동일하고 다른 모든 보안 키 또는 패스키 공급자 유형의 AAGUID와는 높은 확률로 다름을 보장해야 합니다. 이를 위해 지정된 보안 키 모델 또는 패스키 공급자용 AAGUID를 임의로 생성해야 합니다. 자세한 내용은 웹 인증: 퍼블릭 키 자격 증명 액세스용 API - 2단계(w3.org)를 참조하세요.

AAGUID를 얻는 방법은 두 가지입니다. 보안 키 또는 패스키 공급자 공급업체에 문의하거나 사용자별로 키의 인증 방법 세부 정보를 보면 됩니다.

패스키에 대한 AAGUID 보기의 스크린샷.

Microsoft Graph API를 사용하여 패스키 사용

Microsoft Entra 관리 센터를 사용하는 것 외에도 Microsoft Graph API를 사용하여 패스키를 사용하도록 설정할 수도 있습니다. 패스키를 사용하도록 설정하려면 인증 방법 정책을 최소한 인증 정책 관리자로 업데이트해야 합니다.

Graph Explorer를 사용하여 정책을 구성하려면:

  1. Graph Explorer에 로그인하고 Policy.Read.AllPolicy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.

  2. 인증 방법 정책을 검색합니다.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. 증명 적용을 사용하지 않도록 설정하고 예로, RSA DS100용 AAGUID만 허용하도록 키 제한을 적용하려면 다음 요청 본문을 사용하여 PATCH 작업을 수행합니다.

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. 패스키(FIDO2) 정책이 적절하게 업데이트되었는지 확인합니다.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

패스키 삭제

사용자 계정과 연결된 패스키를 제거하려면 사용자의 인증 방법에서 키를 삭제합니다.

  1. Microsoft Entra 관리 센터에 로그인하고 패스키를 제거해야 하는 사용자를 검색합니다.

  2. 인증 방법>을 선택하고 패스키(디바이스 바인딩)를 마우스 오른쪽 단추로 클릭하고 삭제를 선택합니다.

    인증 방법 세부 정보 보기 스크린샷.

패스키 로그인 적용

사용자가 중요한 리소스에 액세스할 때 패스키를 사용하여 로그인하도록 하려면 다음을 수행할 수 있습니다.

  • 기본 제공 피싱 방지 인증 강도 사용

    또는

  • 사용자 지정 인증 강도 만들기

다음 단계에서는 특정 보안 키 모델 또는 패스키 공급자에 대해서만 패스키 로그인을 허용하는 사용자 지정 인증 강도 조건부 액세스 정책을 만드는 방법을 보여 줍니다. FIDO2 공급자 목록은 현재 FIDO2 하드웨어 공급업체 파트너를 참조하세요.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>인증 방법>인증 강도로 이동합니다.
  3. 새 인증 강도를 선택합니다.
  4. 새 인증 강도에 대한 이름을 제공합니다.
  5. 필요할 경우 설명을 입력할 수 있습니다.
  6. 패스키(FIDO2)를 선택합니다.
  7. 가필요에 따라 특정 AAGUID로 제한하려면 고급 옵션을 선택한 다음 AAGUID 추가를 선택합니다. 사용자가 허용하는 AAGUID를 입력합니다. 저장을 선택합니다.
  8. 다음을 선택하고 정책 구성을 검토합니다.

알려진 문제

B2B Collaboration 사용자

리소스 테넌트의 B2B Collaboration 사용자에 대해서는 FIDO2 자격 증명 등록이 지원되지 않습니다.

보안 키 프로비전

보안 키의 관리자 프로비전 및 프로비전 해제를 사용할 수 없습니다.

UPN 변경

사용자의 UPN이 변경되면 더 이상 패스키를 수정하여 변경을 고려하지 않을 수 있습니다. 사용자가 패스키를 가지고 있는 경우 내 보안 정보에 로그인하고 이전 패스키를 삭제하고 새 패스키를 추가해야 합니다.

다음 단계

패스키(FIDO2) 암호 없는 인증에 대한 기본 앱 및 브라우저 지원

FIDO2 보안 키 Windows 10 로그인

온-프레미스 리소스에 대한 FIDO2 인증 사용

디바이스 등록에 대해 자세히 알아보기

Microsoft Entra 다단계 인증에 대해 자세히 알아보기