셀프 서비스 암호 재설정 질문과 대답

예. 암호 재설정을 사용할 수 있고 라이선스가 부여된 경우 사용자는 암호 재설정 등록 포털(https://aka.ms/ssprsetup)로 이동하여 인증 정보를 등록할 수 있습니다. 사용자는 액세스 패널( https://myapps.microsoft.com)에서 등록할 수도 있습니다. 액세스 패널을 통해 등록하려면 프로필 사진을 선택하고 프로필을 선택한 다음 암호 재설정 등록 옵션을 사용해야 합니다.

통합 등록을 사용하도록 설정하면 사용자는 SSPR과 Microsoft Entra 다단계 인증에 동시에 등록할 수 있습니다.

아니요. 인증 데이터를 채운 사용자는 다시 등록할 필요가 없습니다.

예, Microsoft Entra Connect, PowerShell, Microsoft Entra 관리 센터 또는 Microsoft 365 관리 센터를 사용하여 등록할 수 있습니다. 자세한 내용은 Microsoft Entra 셀프 서비스 암호 재설정에서 사용하는 데이터를 참조하세요.

아니요. 현재로서는 불가능합니다.

예. 사용자가 암호 재설정 등록 포털을 사용하여 데이터를 등록한 경우 데이터가 글로벌 관리자 및 사용자에게만 표시되는 프라이빗 인증 필드에 저장됩니다.

아니요. 관리자가 사용자를 대신하여 충분한 인증 정보를 정의한 경우 사용자가 등록하지 않아도 됩니다. 디렉터리의 적절한 필드에 데이터를 올바른 형식으로 저장했다면 암호 재설정이 올바르게 작동합니다.

전역 관리자가 설정할 수 있는 필드는 SSPR 데이터 요구 사항 문서에서 정의합니다.

암호 재설정 등록 포털에는 사용자에게 사용하도록 설정된 옵션만 표시됩니다. 해당 옵션은 사용자 디렉터리에 있는 구성 탭의 사용자 암호 재설정 정책 섹션에서 확인할 수 있습니다. 예를 들어, 본인 확인 질문을 사용하도록 설정하지 않은 경우, 사용자는 해당 옵션에 등록할 수 없습니다.

사용자가 Microsoft Entra 관리 센터에서 설정한 암호를 최소한 초기화하는 데 필요한 메서드 수 이상 등록한 경우 해당 사용자는 SSPR에 등록된 것으로 간주됩니다.

예. 암호 재설정이 악용되지 않도록 몇 가지 보안 기능이 암호 재설정에 기본적으로 적용되어 있습니다.

사용자는 자신의 정보(예: 전화 번호)의 유효성 검사를 시도할 수 있지만 24시간 이내에 자신의 신원을 증명하는 데 5회 실패하면 24시간 동안 잠깁니다.

사용자는 1시간 동안 최대 5회까지 전화 번호의 유효성을 검사하거나, 앱을 인증하거나, 문자 메시지를 보내거나, 또는 본인 확인 질문 유효성 검사를 시도할 수 있고, 5회를 초과하는 경우 24시간 동안 유효성 검사를 시도할 수 없습니다.

사용자는 10분 동안 최대 10회의 전자 메일을 보낼 수 있고, 10회를 초과하는 경우 24시간 동안 전자 메일을 보낼 수 없습니다.

사용자가 암호를 다시 설정하면 카운터도 다시 설정됩니다.

메일, 문자 메시지 및 전화 통화 대기 시간은 1분 미만으로, 일반적인 경우 5-20초 정도입니다. 이 시간 내에 알림이 수신되지 않으면 다음을 수행합니다.

• 정크 메일 폴더를 확인합니다.
• 연락받을 전화 번호나 메일이 올바른지 확인합니다.
• 디렉터리의 인증 데이터 형식이 정확한지 확인합니다(예: +1 4255551234 또는 user@contoso.com).

암호 재설정 UI, 문자 메시지 및 음성 통화는 Microsoft 365에서 지원되는 동일한 언어로 지역화됩니다.

암호 재설정 포털에는 조직 로고가 표시되며, 사용자 지정 메일 또는 URL을 가리키도록 “관리자에게 문의” 링크를 구성할 수 있습니다. 암호 재설정에서 보내는 메일의 본문에는 조직의 로고, 색 및 이름이 포함되며, 해당 이름에 대해 지정된 설정으로 사용자 지정됩니다.

SSPR 배포 문서의 제안 사항을 직접 시도해 보세요.

예. 이 페이지는 모바일 디바이스에서 작동합니다.

예. 사용자가 암호를 초기화할 때 Microsoft Entra Connect를 통해 비밀번호 쓰기 저장이 배포된 경우 해당 사용자의 계정은 암호를 초기화할 때 자동으로 잠금 해제됩니다.

Microsoft Entra ID P1 또는 P2 고객인 경우 추가 비용 없이 Microsoft Identity Manager를 설치하고 온-프레미스 암호 재설정 솔루션을 배포할 수 있습니다.

아니요. 현재로서는 불가능합니다.

Microsoft Entra 관리 센터에서 최대 20개의 사용자 지정 보안 질문을 구성할 수 있습니다.

본인 확인 질문은 3~200자로 작성할 수 있습니다.

답변은 3~40자로 작성할 수 있습니다.

예. 보안 질문에 대한 중복 답변은 거부됩니다.

아니요. 한 번 등록한 질문은 또다시 등록할 수 없습니다.

예. 등록에 대해 하나의 제한, 재설정에 대해 또 하나의 제한을 설정할 수 있습니다. 등록 시에 3~5개의 본인 확인 질문을 요구할 수 있고, 재설정 시에도 3~5개의 본인 확인 질문을 요구할 수 있습니다.

이는 예상되는 동작입니다. Microsoft는 Azure 관리자 역할에 강력한 기본 2-게이트 암호 재설정 정책을 적용합니다. 따라서 관리자들은 본인 확인 질문을 사용하지 않아도 됩니다. 이 정책에 대한 자세한 내용은 Microsoft Entra ID의 암호 정책 및 제한 사항 문서에서 확인할 수 있습니다.

사용자가 등록한 모든 질문 중에 N개의 본인 확인 질문이 임의로 선택됩니다. 여기서 N은 재설정에 필요한 질문 개수 옵션에 설정된 개수입니다. 예를 들어, 사용자가 본인 확인 질문을 5개 등록했는데 암호 재설정에 필요한 본인 확인 질문이 3개만 필요한 경우 암호 재설정 시 5개 질문 중 3개가 임의로 선택되어 제시됩니다. 계속되는 질문을 방지하기 위해 사용자가 질문에 대해 잘못된 답을 입력하면 선택 프로세스가 다시 시작됩니다.

암호 재설정을 위한 세션 수명은 15분입니다. 암호 재설정 작업을 시작한 순간부터 15분 동안 암호 재설정을 마쳐야 합니다. 일회용 암호는 암호 재설정 세션 동안 5분간 유효합니다.

예. 관리자가 그룹을 사용하여 SSPR을 사용하도록 설정한 경우 사용자가 암호를 재설정할 수 있도록 허용하는 그룹에서 개별 사용자를 제거할 수 있습니다. 사용자가 전역 관리자이면 암호를 다시 설정하는 기능을 유지하고 사용하지 않도록 설정할 수 없습니다.

사용자는 Office 365 포털의 오른쪽 상단 모서리나 액세스 패널 환경과 같이 프로필 사진이나 아이콘이 표시된 곳이면 어디서나 암호를 변경할 수 있습니다. 액세스 패널 프로필 페이지에서도 암호를 변경할 수 있습니다. 암호가 만료된 경우 Microsoft Entra 로그인 페이지에서 자동으로 암호를 변경하라는 메시지가 사용자에게 표시될 수도 있습니다. 마지막으로 Microsoft Entra 암호 변경 포털에서 사용자는 직접 암호를 변경할 수 있습니다.

예. AD FS(Active Directory Federation Services)를 사용하는 경우 오늘 바로 가능합니다. AD FS를 사용하는 경우 AD FS로 암호 정책 클레임 보내기 문서의 지침을 참조하세요. 암호 해시 동기화를 사용하는 경우 지금으로서는 불가능합니다. 온-프레미스 디렉터리의 암호 정책은 동기화되지 않기 때문에 클라우드 환경에 만료 알림을 게시할 수 없습니다. 두 경우 모두 PowerShell을 사용하여 암호가 만료될 사용자에게 알림을 보낼 수 있습니다.

클라우드 전용 사용자의 경우 암호 변경을 차단할 수 없습니다. 온-프레미스 사용자의 경우 사용자가 암호를 변경할 수 없음 옵션을 선택하면 됩니다. 이 옵션이 선택된 사용자는 암호를 변경할 수 없습니다.

데이터는 5~10분 내에 암호 관리 보고서에 표시됩니다. 최대 한 시간이 걸리는 경우도 있습니다.

보고서 위쪽의 열 레이블 맨 오른쪽에 있는 작은 돋보기를 선택하여 암호 관리 보고서를 필터링할 수 있습니다. 다양한 필터링 기능을 사용하려면 보고서를 Excel로 다운로드하고 피벗 테이블을 만들면 됩니다.

암호 관리 보고서에는 최대 30일 동안의 최대 75,000개의 암호 재설정 이벤트 또는 암호 재설정 등록 이벤트가 저장됩니다. 이 번호를 확장하여 더 많은 이벤트를 포함하도록 노력하고 있습니다.

암호 관리 보고서에는 지난 30일 동안 발생한 작업이 표시됩니다. 지금까지는, 이 데이터를 보관해야 하는 경우 보고서를 주기적으로 다운로드하여 별도 위치에 저장할 수 있습니다.

예. UI에 표시되거나 다운로드되었는지 여부와 관계없이 암호 관리 보고서에는 최대 75,000개 행이 표시됩니다.

예, 인증 방법 작업 보고서 또는 암호 재설정 작업을 가져오는 API에서 이 정보를 가져올 수 있습니다. 감사 로그 API를 사용하고 SSPR 이벤트로 필터링할 수도 있습니다.

비밀번호 쓰기 저장을 사용하도록 설정한 경우 발생하는 일과 시스템을 통해 온-프레미스 환경으로 데이터가 다시 흘러 들어가는 방식에 대한 설명은 비밀번호 쓰기 저장 작동 원리를 참조하세요.

비밀번호 쓰기 저장은 인스턴트입니다. 암호 해시 동기화와는 근본적으로 다르게 작동하는 동기 파이프라인입니다. 비밀번호 쓰기 저장을 사용하면 변경 작업 또는 해당 암호 재설정의 성공 여부에 대한 실시간 피드백을 받을 수 있습니다. 성공적인 쓰기 저장에 대한 평균 시간은 500밀리초 미만입니다.

온-프레미스 ID가 사용하지 않도록 설정된 경우 Microsoft Entra Connect를 통해 다음 동기화 간격에 클라우드 ID 및 액세스도 사용하지 않도록 설정됩니다. 동기화 간격은 기본적으로 30분에 한 번입니다.

예. SSPR은 온-프레미스 Active Directory 암호 정책에 의존하고 이를 준수합니다. 이 정책은 일반적인 Active Directory 도메인 암호 정책과 사용자를 대상으로 세분화되고 정의된 암호 정책을 포함합니다.

페더레이션되고 암호 해시 동기화된 통과 인증 사용자를 비롯하여 온-프레미스 Active Directory에서 Microsoft Entra ID로 동기화되는 사용자 계정에 비밀번호 쓰기 저장이 작동합니다.

예. 비밀번호 쓰기 저장은 암호 사용 기간, 기록, 복잡성, 필터 및 관리자가 로컬 도메인에서 암호에 적용한 그 밖의 제한 사항을 이행합니다.

예. 비밀번호 쓰기 저장은 안전합니다. 비밀번호 쓰기 저장 서비스에 의해 구현되는 여러 보안 레이어에 대한 자세한 내용은 비밀번호 쓰기 저장 개요 문서의 비밀번호 쓰기 저장 보안 섹션을 확인하세요.

다음 단계

• 성공적인 SSPR 롤아웃을 어떻게 완료합니까?
• 암호 재설정 또는 변경
• 셀프 서비스 암호 재설정 등록
• 라이선스 관련 질문이 있습니까?
• SSPR에서 사용하는 데이터는 무엇이며, 사용자에 대해 어떤 데이터를 채워야 합니까?
• 사용자가 사용할 수 있는 인증 방법은 무엇입니까?
• SSPR에서 사용하는 정책 옵션은 무엇입니까?
• 비밀번호 쓰기 저장은 무엇이며, 왜 관심을 가져야 합니까?
• SSPR 작업은 어떻게 보고 합니까?
• 모든 SSPR 옵션과 그 의미는 무엇입니까?
• 무엇인가 손상된 문제가 있습니다. SSPR 문제는 어떻게 해결하나요?