다음을 통해 공유


Microsoft Entra 권장 사항: 사용자별 MFA에서 조건부 액세스 MFA로 전환

Microsoft Entra 권장 사항은 테넌트를 권장 모범 사례에 맞게 맞춤화된 인사이트와 실행 가능한 지침을 제공하는 기능입니다.

이 문서에서는 사용자별 MFA(다단계 인증) 계정을 조건부 액세스 MFA 계정으로 전환하는 권장 사항을 다룹니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 switchFromPerUserMFA이라고 합니다.

설명

관리자는 회사 리소스에 대한 보안을 유지하고 싶지만 직원들이 필요에 따라 리소스에 쉽게 액세스할 수 있기를 원합니다. MFA를 사용하면 테넌트 보안 태세를 향상시킬 수 있습니다.

테넌트에서 사용자별로 MFA를 사용하도록 설정할 수 있습니다. 이 시나리오에서는 사용자가 로그인할 때마다 MFA를 수행합니다. 신뢰할 수 있는 IP 주소에서 로그인할 때 또는 “신뢰할 수 있는 디바이스에서 MFA 기억” 기능이 켜져 있는 경우와 같은 몇 가지 예외가 있습니다. MFA를 사용하도록 설정하는 것이 좋은 방법이지만 조건부 액세스를 기반으로 사용자별 MFA를 MFA로 전환하여 사용자에게 MFA를 묻는 메시지가 표시되는 횟수를 줄일 수 있습니다.

다음과 같은 경우 이 권장 사항이 표시됩니다.

  • 사용자의 5% 이상에 대해 사용자별 MFA를 구성했습니다.
  • 조건부 액세스 정책은 사용자의 1% 초과에 대해 활성화되어 있습니다(CA 정책에 익숙함을 나타냄).

이 권장 사항은 사용자의 생산성을 개선시키고 더 적은 수의 MFA 프롬프트로 로그인 시간을 최소화합니다. CA와 MFA를 함께 사용하면 가장 중요한 리소스는 가장 엄격하게 제어할 수 있고 가장 덜 중요한 리소스는 보다 자유롭게 액세스할 수 있습니다. 조건부 액세스에서 사용 가능한 기능에 대한 개요는 조건부 액세스 정책 빌드를 참조하세요.

작업 계획

  1. MFA 요구 사항이 있는 기존 조건부 액세스 정책이 있는지 확인합니다. MFA로 보호하려는 모든 리소스와 사용자를 다루고 있는지 확인합니다.

    • 조건부 액세스 정책을 검토합니다.
  2. 조건부 액세스 정책을 사용하여 MFA를 요구합니다.

  3. 사용자별 MFA 구성이 꺼져 있는지 확인합니다.

모든 사용자가 CA MFA 계정으로 마이그레이션되면 다음에 서비스가 실행될 때 권장 사항 상태가 자동으로 업데이트됩니다. 조건부 액세스 정책을 계속 검토합니다.