다음은 셀프 서비스 암호 재설정과 관련된 모든 항목에 관한 FAQ(자주 묻는 질문)입니다.
Microsoft Entra ID 및 SSPR(셀프 서비스 암호 재설정)에 대한 일반적인 질문이 있지만 여기에서 답변되지 않은 경우 Microsoft Entra ID에 대한 Microsoft Q&A 질문 페이지에서 커뮤니티에 도움을 요청할 수 있습니다. 커뮤니티는 엔지니어, 제품 관리자, MVP 및 동료 IT 전문가들로 구성되어 있습니다.
이 FAQ는 다음 섹션으로 구분하여 설명합니다.
- 암호 재설정 등록에 대한 질문
- 암호 재설정에 대한 질문
- 암호 변경에 대한 질문
- 암호 관리 보고서에 대한 질문
- 비밀번호 쓰기 저장에 대한 질문
암호 재설정 등록
내 사용자가 자신의 암호 재설정 데이터를 등록할 수 있나요?
예. 암호 재설정을 사용할 수 있고 라이선스가 부여된 경우 사용자는 암호 재설정 등록 포털(https://aka.ms/ssprsetup)로 이동하여 인증 정보를 등록할 수 있습니다. 사용자는 액세스 패널(https://myapps.microsoft.com)에서 등록할 수도 있습니다. 액세스 패널을 통해 등록하려면 프로필 사진을 선택하고 프로필을 선택한 다음 암호 재설정 등록 옵션을 사용해야 합니다.
통합 등록을 사용하도록 설정하면 사용자는 SSPR과 Microsoft Entra 다단계 인증에 동시에 등록할 수 있습니다.
그룹에 대해 암호 재설정을 사용하도록 설정한 후 모든 사용자에게 이를 사용하도록 설정하려는 경우, 사용자가 다시 등록해야 하나요?
아니요. 인증 데이터를 채운 사용자는 다시 등록할 필요가 없습니다.
내 사용자 대신 암호 재설정 데이터를 정의할 수 있나요?
예, Microsoft Entra Connect, PowerShell, Microsoft Entra 관리 센터 또는 Microsoft 365 관리 센터를 사용하여 등록할 수 있습니다. 자세한 내용은 Microsoft Entra 셀프 서비스 암호 재설정에서 사용하는 데이터를 참조하세요.
온-프레미스에서 본인 확인 질문 데이터를 동기화할 수 있나요?
아니요. 현재로서는 불가능합니다.
내 사용자가 다른 사용자들이 볼 수 없도록 데이터를 등록할 수 있나요?
예. 사용자가 암호 재설정 등록 포털을 사용하여 데이터를 등록하면 해당 데이터는 권한 있는 인증 관리자와 사용자만 볼 수 있는 비공개 인증 필드에 저장됩니다.
내 사용자를 등록해야 암호 재설정을 사용할 수 있나요?
아니요. 관리자가 사용자를 대신하여 충분한 인증 정보를 정의한 경우 사용자가 등록하지 않아도 됩니다. 디렉터리의 적절한 필드에 데이터를 올바른 형식으로 저장했다면 암호 재설정이 올바르게 작동합니다.
내 사용자 대신 인증 전화, 인증 이메일 또는 대체 인증 전화 필드를 동기화하거나 설정할 수 있나요?
권한 있는 인증 관리자가 설정할 수 있는 필드는 SSPR 데이터 요구 사항 문서에 정의되어 있습니다.
등록 포털에서 사용자에게 어떤 옵션이 표시되나요?
암호 재설정 등록 포털에는 사용자에게 사용하도록 설정된 옵션만 표시됩니다. 해당 옵션은 사용자 디렉터리에 있는 구성 탭의 사용자 암호 재설정 정책 섹션에서 확인할 수 있습니다. 예를 들어, 본인 확인 질문을 사용하도록 설정하지 않은 경우, 사용자는 해당 옵션에 등록할 수 없습니다.
사용자가 등록된 것으로 간주되는 경우는 언제인가요?
사용자가 Microsoft Entra 관리 센터에서 설정한 암호를 최소한 초기화하는 데 필요한 메서드 수 이상 등록한 경우 해당 사용자는 SSPR에 등록된 것으로 간주됩니다.
암호 재설정
짧은 시간 안에 암호 재설정을 여러 번 시도하지 못하게 되어 있나요?
예. 암호 재설정이 악용되지 않도록 몇 가지 보안 기능이 암호 재설정에 기본적으로 적용되어 있습니다.
사용자는 자신의 정보(예: 전화번호)의 유효성 검사를 시도할 수 있지만 24시간 이내에 자신의 신원을 증명하는 데 5회 실패하면 24시간 동안 잠깁니다.
사용자는 1시간 동안 최대 5회까지 전화번호의 유효성을 검사하거나, 앱을 인증하거나, 문자 메시지를 보내거나, 또는 본인 확인 질문 유효성 검사를 시도할 수 있고, 5회를 초과하는 경우 24시간 동안 유효성 검사를 시도할 수 없습니다.
사용자는 10분 동안 최대 10회의 전자 메일을 보낼 수 있고, 10회를 초과하는 경우 24시간 동안 전자 메일을 보낼 수 없습니다.
사용자가 암호를 다시 설정하면 카운터도 다시 설정됩니다.
암호 재설정에서 전자 메일, 문자 메시지 또는 전화 통화를 받으려면 얼마나 오래 대기해야 하나요?
메일, 문자 메시지 및 전화 통화 대기 시간은 1분 미만으로, 일반적인 경우 5~20초 정도입니다. 이 시간 내에 알림이 수신되지 않으면 다음을 수행합니다.
- 정크 메일 폴더를 확인합니다.
- 연락받을 전화번호나 메일이 올바른지 확인합니다.
- 디렉터리의 인증 데이터 형식이 정확한지 확인합니다(예: +1 4255551234 또는 user@contoso.com).
암호 재설정에서 지원되는 언어는 무엇인가요?
암호 재설정 UI, 문자 메시지 및 음성 통화는 Microsoft 365에서 지원되는 동일한 언어로 지역화됩니다.
내 디렉터리의 구성 탭에서 조직 브랜드 항목을 설정하는 경우 암호 재설정 중 어느 부분에 브랜드가 적용되나요?
암호 재설정 포털에는 조직 로고가 표시되며, 사용자 지정 메일 또는 URL을 가리키도록 “관리자에게 문의” 링크를 구성할 수 있습니다. 암호 재설정에서 보내는 메일의 본문에는 조직의 로고, 색 및 이름이 포함되며, 해당 이름에 대해 지정된 설정으로 사용자 지정됩니다.
암호 재설정으로 이동할 수 있는 위치에 대해 사용자에게 어떻게 교육할 수 있습니까?
SSPR 배포 문서의 제안 사항을 직접 시도해 보세요.
모바일 디바이스에서 이 페이지를 사용할 수 있나요?
예. 이 페이지는 모바일 디바이스에서 작동합니다.
사용자가 암호를 재설정할 때 로컬 Active Directory 계정 잠금 해제가 지원되나요?
예. 사용자가 암호를 초기화할 때 Microsoft Entra Connect를 통해 비밀번호 쓰기 저장이 배포된 경우 해당 사용자의 계정은 암호를 초기화할 때 자동으로 잠금 해제됩니다.
암호 재설정을 내 사용자의 데스크톱 로그인 환경으로 직접 통합하려면 어떻게 해야 하나요?
Microsoft Entra ID P1 또는 P2 고객인 경우 추가 비용 없이 Microsoft Identity Manager를 설치하고 온-프레미스 암호 재설정 솔루션을 배포할 수 있습니다.
서로 다른 로캘로 다른 보안 질문을 설정할 수 있나요?
아니요. 현재로서는 불가능합니다.
본인 확인 질문 인증 옵션으로 몇 개의 질문을 구성할 수 있나요?
Microsoft Entra 관리 센터에서 최대 20개의 사용자 지정 보안 질문을 구성할 수 있습니다.
질문의 길이는 최대 얼마까지 지원되나요?
본인 확인 질문은 3~200자로 작성할 수 있습니다.
본인 확인 질문에 대한 답변의 길이는 최대 얼마까지 지원되나요?
답변은 3~40자로 작성할 수 있습니다.
보안 질문에 대해 중복 답변은 거부되나요?
예. 보안 질문에 대한 중복 답변은 거부됩니다.
사용자는 동일한 본인 확인 질문을 두 번 이상 등록할 수 있나요?
아니요. 한 번 등록한 질문은 또다시 등록할 수 없습니다.
등록 및 재설정을 위한 보안 질문의 최소 제한을 설정할 수 있나요?
예. 등록에 대해 하나의 제한, 재설정에 대해 또 하나의 제한을 설정할 수 있습니다. 등록 시에 3~5개의 본인 확인 질문을 요구할 수 있고, 재설정 시에도 3~5개의 본인 확인 질문을 요구할 수 있습니다.
사용자가 암호 재설정 시 본인 확인 질문을 사용해야 하도록 정책을 구성했는데, Azure 관리자에 대해서는 다르게 구성된 것 같습니다.**
이는 예상되는 동작입니다. Microsoft는 Azure 관리자 역할에 강력한 기본 2-게이트 암호 재설정 정책을 적용합니다. 따라서 관리자들은 본인 확인 질문을 사용하지 않아도 됩니다. 이 정책에 대한 자세한 내용은 Microsoft Entra ID의 암호 정책 및 제한 사항 문서에서 확인할 수 있습니다.
사용자가 암호 재설정에 필요한 최대 본인 확인 질문 개수보다 많은 질문을 등록한 경우, 암호 재설정 시 어떤 본인 확인 질문이 선택되나요?
사용자가 등록한 모든 질문 중에 N개의 본인 확인 질문이 임의로 선택됩니다. 여기서 N은 재설정에 필요한 질문 개수 옵션에 설정된 개수입니다. 예를 들어, 사용자가 본인 확인 질문을 5개 등록했는데 암호 재설정에 필요한 본인 확인 질문이 3개만 필요한 경우 암호 재설정 시 5개 질문 중 3개가 임의로 선택되어 제시됩니다. 계속되는 질문을 방지하기 위해 사용자가 질문에 대해 잘못된 답을 입력하면 선택 프로세스가 다시 시작됩니다.
메일 및 문자 메시지 일회용 암호는 얼마 동안 유효하나요?
암호 재설정을 위한 세션 수명은 15분입니다. 암호 재설정 작업을 시작한 순간부터 15분 동안 암호 재설정을 마쳐야 합니다. 일회용 암호는 암호 재설정 세션 동안 5분간 유효합니다.
사용자가 암호를 다시 설정하지 못하도록 차단할 수 있나요?
예. 관리자가 그룹을 사용하여 SSPR을 사용하도록 설정한 경우 사용자가 암호를 재설정할 수 있도록 허용하는 그룹에서 개별 사용자를 제거할 수 있습니다. 사용자가 권한 있는 인증 관리자인 경우 비밀번호를 재설정할 수 있으며 이 기능을 사용 안 함으로 설정할 수 없습니다.
암호 변경
내 사용자는 어디서 자신의 암호를 변경해야 하나요?
사용자는 Office 365 포털의 오른쪽 상단 모서리나 액세스 패널 환경과 같이 프로필 사진이나 아이콘이 표시된 곳이면 어디서나 암호를 변경할 수 있습니다. 액세스 패널 프로필 페이지에서도 암호를 변경할 수 있습니다. 암호가 만료된 경우 Microsoft Entra 로그인 페이지에서 자동으로 암호를 변경하라는 메시지가 사용자에게 표시될 수도 있습니다. 마지막으로 Microsoft Entra 암호 변경 포털에서 사용자는 직접 암호를 변경할 수 있습니다.
온-프레미스 암호가 만료되는 경우 사용자에게 Office 포털에서 알림을 제공할 수 있나요?
예. AD FS(Active Directory Federation Services)를 사용하는 경우 오늘 바로 가능합니다. AD FS를 사용하는 경우 AD FS로 암호 정책 클레임 보내기 문서의 지침을 참조하세요. 암호 해시 동기화를 사용하는 경우 지금으로서는 불가능합니다. 온-프레미스 디렉터리의 암호 정책은 동기화되지 않기 때문에 클라우드 환경에 만료 알림을 게시할 수 없습니다. 두 경우 모두 PowerShell을 사용하여 암호가 만료될 사용자에게 알림을 보낼 수 있습니다.
사용자가 암호를 변경하지 못하도록 차단할 수 있나요?
클라우드 전용 사용자의 경우 암호 변경을 차단할 수 없습니다. 온-프레미스 사용자의 경우 사용자가 암호를 변경할 수 없음 옵션을 선택하면 됩니다. 이 옵션이 선택된 사용자는 암호를 변경할 수 없습니다.
암호 관리 보고서
데이터가 암호 관리 보고서를 표시하는 데 시간이 얼마나 소요되나요?
데이터는 5~10분 내에 암호 관리 보고서에 표시됩니다. 최대 한 시간이 걸리는 경우도 있습니다.
어떻게 암호 관리 보고서를 필터링할 수 있나요?
보고서 위쪽의 열 레이블 맨 오른쪽에 있는 작은 돋보기를 선택하여 암호 관리 보고서를 필터링할 수 있습니다. 다양한 필터링 기능을 사용하려면 보고서를 Excel로 다운로드하고 피벗 테이블을 만들면 됩니다.
암호 관리 보고서에 저장되는 최대 이벤트는 몇 개인가요?
암호 관리 보고서에는 최대 30일 동안의 최대 75,000개의 암호 재설정 이벤트 또는 암호 재설정 등록 이벤트가 저장됩니다. 이 번호를 확장하여 더 많은 이벤트를 포함하도록 노력하고 있습니다.
암호 관리 보고서는 어디까지 표시할 수 있나요?
암호 관리 보고서에는 지난 30일 동안 발생한 작업이 표시됩니다. 지금까지는, 이 데이터를 보관해야 하는 경우 보고서를 주기적으로 다운로드하여 별도 위치에 저장할 수 있습니다.
암호 관리 보고서에 최대 몇 행을 표시할 수 있나요?
예. UI에 표시되거나 다운로드되었는지 여부와 관계없이 암호 관리 보고서에는 최대 75,000개 행이 표시됩니다.
암호 재설정 또는 등록 보고 데이터에 액세스하는 API가 있나요?
예, 인증 방법 작업 보고서 또는 암호 재설정 작업을 가져오는 API에서 이 정보를 가져올 수 있습니다. 감사 로그 API를 사용하고 SSPR 이벤트로 필터링할 수도 있습니다.
비밀번호 쓰기 저장
비밀번호 쓰기 저장은 배후에서 어떻게 작동하나요?
비밀번호 쓰기 저장을 사용하도록 설정한 경우 발생하는 일과 시스템을 통해 온-프레미스 환경으로 데이터가 다시 흘러 들어가는 방식에 대한 설명은 비밀번호 쓰기 저장 작동 원리를 참조하세요.
얼마 동안 비밀번호 쓰기 저장이 작동하나요? 암호 해시 동기화와 같은 동기화 지연이 있나요?
비밀번호 쓰기 저장은 인스턴트입니다. 암호 해시 동기화와는 근본적으로 다르게 작동하는 동기 파이프라인입니다. 비밀번호 쓰기 저장을 사용하면 변경 작업 또는 해당 암호 재설정의 성공 여부에 대한 실시간 피드백을 받을 수 있습니다. 성공적인 쓰기 저장에 대한 평균 시간은 500밀리초 미만입니다.
온-프레미스 계정을 사용하지 않으면 클라우드 계정 및 액세스에 어떤 영향을 주나요?
온-프레미스 ID가 사용하지 않도록 설정된 경우 Microsoft Entra Connect를 통해 다음 동기화 간격에 클라우드 ID 및 액세스도 사용하지 않도록 설정됩니다. 동기화 간격은 기본적으로 30분에 한 번입니다.
온-프레미스 계정이 온-프레미스 Active Directory 암호 정책에 의해 제한되는 경우 암호를 변경할 때 SSPR이 이 정책을 준수하나요?
예. SSPR은 온-프레미스 Active Directory 암호 정책에 의존하고 이를 준수합니다. 이 정책은 일반적인 Active Directory 도메인 암호 정책과 사용자를 대상으로 세분화되고 정의된 암호 정책을 포함합니다.
비밀번호 쓰기 저장에 대해 어떤 유형의 계정이 작동하나요?
페더레이션되고 암호 해시 동기화된 통과 인증 사용자를 비롯하여 온-프레미스 Active Directory에서 Microsoft Entra ID로 동기화되는 사용자 계정에 비밀번호 쓰기 저장이 작동합니다.
암호 쓰기 저장은 내 도메인의 암호 정책을 적용하나요?
예. 비밀번호 쓰기 저장은 암호 사용 기간, 기록, 복잡성, 필터 및 관리자가 로컬 도메인에서 암호에 적용한 그 밖의 제한 사항을 이행합니다.
비밀번호 쓰기 저장은 안전한가요? 해킹되지 않는다는 것을 어떻게 확신할 수 있나요?
예. 비밀번호 쓰기 저장은 안전합니다. 비밀번호 쓰기 저장 서비스에 의해 구현되는 여러 보안 레이어에 대한 자세한 내용은 비밀번호 쓰기 저장 개요 문서의 비밀번호 쓰기 저장 보안 섹션을 확인하세요.