사용자별 Microsoft Entra 다단계 인증을 사용하도록 설정하여 로그인 이벤트 보호
Microsoft Entra ID에서 사용자 로그인 이벤트를 보호하려면 Microsoft Entra (MFA)다단계 인증을 요구할 수 있습니다. Microsoft Entra MFA를 사용하여 사용자를 보호하는 가장 좋은 방법은 조건부 액세스 정책을 만드는 것입니다. 조건부 액세스는 특정 시나리오에서 필요에 따라 MFA를 요구하는 규칙을 적용할 수 있도록 하는 Microsoft Entra ID P1 또는 P2 기능입니다. 조건부 액세스 사용을 시작하려면 자습서: Microsoft Entra 다단계 인증을 사용하여 사용자 로그인 이벤트 보호를 참조하세요.
조건부 액세스 권한이 없는 Microsoft Entra ID 무료 테넌트의 경우 보안 기본값을 사용하여 사용자를 보호할 수 있습니다. 필요에 따라 MFA를 입력하라는 메시지가 표시되지만 동작을 제어하는 고유한 규칙을 정의할 수는 없습니다.
필요한 경우 대신 각 계정을 사용자별 Microsoft Entra MFA에 사용하도록 설정할 수 있습니다. 사용자를 개별적으로 사용하도록 설정하면 로그인할 때마다 MFA를 수행합니다. 신뢰할 수 있는 IP 주소에서 로그인하거나 신뢰하는 장치에서 MFA 기억하기 기능이 켜져 있는 경우와 같은 예외를 활성화할 수 있습니다.
Microsoft Entra ID 라이선스에 조건부 액세스가 포함되지 않고 보안 기본값을 사용하지 않는 경우 사용자 상태를 변경하지 않는 것이 좋습니다. MFA를 사용하도록 설정하는 다양한 방법에 대한 자세한 내용은 Microsoft Entra 다단계 인증의 기능 및 라이선스를 참조하세요.
Important
이 문서는 사용자별 Microsoft Entra 다단계 인증의 상태를 확인하고 변경하는 방법에 대해 자세히 설명합니다. 조건부 액세스 또는 보안 기본값을 사용할 경우에는 다음 단계를 사용하여 사용자 계정을 검토하거나 사용하도록 설정하지 않습니다.
조건부 액세스 정책을 통해 Microsoft Entra 다단계 인증을 사용하도록 설정해도 사용자의 상태는 변경되지 않습니다. 사용자가 사용 안 함으로 나타나는 경우 놀라지 마십시오. 조건부 액세스는 상태를 변경하지 않습니다.
조건부 액세스 정책을 사용하는 경우 사용자별 Microsoft Entra 다단계 인증을 사용하도록 설정하거나 적용하지 마세요.
Microsoft Entra 다단계 인증 사용자 상태
사용자의 상태는 인증 관리자가 사용자를 사용자별 Microsoft Entra 다단계 인증에 등록했는지 여부를 반영합니다. Microsoft Entra 다단계 인증의 사용자 계정에는 다음과 같은 세 가지 고유 상태가 있습니다.
시 | 설명 | 영향을 받는 레거시 인증 | 영향 받는 브라우저 앱 | 영향 받는 최신 인증 |
---|---|---|---|---|
사용 안 함 | 사용자별 Microsoft Entra 다단계 인증에 등록되지 않은 사용자에 대한 기본 상태입니다. | 아니요 | 아니요 | 아니요 |
Enabled | 해당 사용자가 사용자별 Microsoft Entra 다단계 인증에 등록되어 있지만 계속해서 레거시 인증에 암호를 사용할 수 있습니다. 사용자가 등록한 MFA 인증 방법이 없는 경우 다음에 최신 인증을 사용하여 로그인할 때(예: 웹 브라우저에서 로그인할 때) 등록하라는 메시지가 표시됩니다. | 아니요. 레거시 인증은 등록 프로세스가 완료될 때까지 계속 작동합니다. | 예. 세션이 만료되면 Microsoft Entra 다단계 인증 등록이 필요합니다. | 예. 액세스 토큰이 만료되면 Microsoft Entra 다단계 인증 등록이 필요합니다. |
적용 | 사용자는 Microsoft Entra 다단계 인증에 사용자별로 등록됩니다. 사용자가 등록한 인증 방법이 없는 경우 다음에 최신 인증을 사용하여 로그인할 때(예: 웹 브라우저에서 로그인할 때) 등록하라는 메시지가 표시됩니다. 활성화 상태에서 등록을 완료한 사용자는 자동으로 적용 상태로 이동합니다. | 예. 앱에 앱 암호가 필요합니다. | 예. Microsoft Entra 로그인 시 다단계 인증이 필요합니다. | 예. Microsoft Entra 로그인 시 다단계 인증이 필요합니다. |
모든 사용자는 사용 안 함으로 시작합니다. 사용자별 Microsoft Entra 다단계 인증에 사용자를 등록하면 상태가 사용으로 변경됩니다. 사용된 사용자가 로그인하고 등록 프로세스를 완료하면 상태는 변경 적용으로 변경됩니다. 관리자는 변경 적용에서 사용 또는 사용 안 함으로 변경하는 등 사용자 상태를 변경할 수 있습니다.
참고 항목
사용자에 대하여 사용자별 MFA를 다시 사용하도록 설정되고 해당 사용자가 다시 등록하지 않은 경우, MFA 상태는 MFA 관리 UI에서 사용에서 적용으로 전환되지 않습니다. 관리자가 직접 사용자를 적용으로 이동해야 합니다.
사용자 상태 보기
Microsoft Entra 관리 센터의 사용자별 MFA 관리 환경이 최근에 개선되었습니다. 사용자 상태를 보고 관리하려면 다음 단계를 완료합니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>사용자>모든 사용자로 이동합니다.
사용자 계정을 선택하고 사용자 MFA 설정을 클릭합니다.
변경을 완료한 후 저장을 클릭합니다.
수천 명의 사용자를 정렬하려고 하면 표시할 사용자가 없습니다라는 결과가 정상적으로 반환될 수 있습니다. 보다 구체적인 검색 조건을 입력하여 검색 범위를 좁히거나 특정 상태 또는 보기 필터를 적용합니다.
새 사용자별 MFA 환경으로 전환하는 동안 사용자별 레거시 MFA 환경에 액세스할 수도 있습니다. 형식:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
userTenantID
를 얻으려면 Microsoft Entra 관리 센터의 개요 페이지에서 테넌트 ID를 복사합니다. 그런 다음, 레거시 환경을 사용하는 사용자의 상태를 보려면 다음 단계를 수행합니다.
- 최소한 인증 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>사용자>모든 사용자로 이동합니다.
- 사용자별 MFA를 선택합니다.
- 다음 예제와 같이 사용자 상태를 표시하는 새 페이지가 열립니다.
사용자 상태 변경
사용자에 대한 사용자별 Microsoft Entra 다단계 인증상태를 변경하려면 다음 단계를 완료합니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>사용자>모든 사용자로 이동합니다.
사용자 계정을 선택하고 MFA 사용을 클릭합니다.
팁
Microsoft Entra 다단계 인증에 등록할 시 사용하는 것으로 설정된 사용자는 적용으로 자동으로 전환됩니다. 사용자가 등록되어 있지 않거나 레거시 인증 프로토콜에 대한 연결을 중단하는 것이 허용되는 경우 사용자 상태를 수동으로 적용으로 변경하지 마세요.
열리는 팝업 창에서 선택한 내용을 확인합니다.
사용자를 활성화한 후에는 이메일로 사용자에게 알립니다. 사용자에게 다음에 로그인할 때 등록하도록 요청하라는 메시지가 표시됨을 알려 줍니다. 조직에서 브라우저에서 실행되지 않거나 최신 인증을 지원하지 않는 애플리케이션을 지원하는 경우 애플리케이션 비밀번호를 만들 수 있습니다. 자세한 내용은 앱 암호를 사용하여 레거시 애플리케이션으로 Microsoft Entra 다단계 인증 적용하기를 참조하세요.
Microsoft Graph를 사용하여 사용자별 MFA 관리
Microsoft Graph REST API 베타를 사용하여 사용자별 MFA 설정을 관리할 수 있습니다. 인증 리소스 종류를 사용하여 사용자 인증 방법 상태를 노출할 수 있습니다.
사용자별 MFA를 관리하려면 사용자/id/인증/요구 사항 내에서 perUserMfaState 속성을 사용합니다. 자세한 내용은 strongAuthenticationRequirements 리소스 종류를 참조하세요.
사용자별 MFA 상태 보기
사용자에 대한 사용자별 다단계 인증 상태를 검색합니다.
GET /users/{id | userPrincipalName}/authentication/requirements
예시:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
사용자가 사용자별 MFA에 대해 사용하도록 설정된 경우 응답은 다음과 같습니다.
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
자세한 내용은 인증 방법 상태 가져오기를 참조하세요.
사용자의 MFA 상태 변경
사용자의 다단계 인증 상태를 변경하려면 사용자의 strongAuthenticationRequirements를 사용합니다. 예시:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
성공하면 응답은 다음과 같습니다.
HTTP/1.1 204 No Content
자세한 내용은 인증 방법 상태 업데이트하기를 참조하세요.
다음 단계
전반적인 Microsoft Entra 다단계 인증 서비스 설정을 구성하려면 Microsoft Entra 다단계 인증 설정 구성을 참조하세요.
Microsoft Entra 다단계 인증에 대한 사용자 설정을 관리하려면 Microsoft Entra 다단계 인증을 사용하여 사용자 설정 관리를 참조하세요.
사용자에게 MFA를 수행하라는 메시지가 표시되거나 또는 표시되지 않는 이유를 알아보려면 Microsoft Entra 다단계 인증 보고서를 참조하세요.