인증 및 자격 증명 전략 디자인
이 문서에서는 여러 테넌트를 포괄하는 교육 organization 자격 증명 및 인증 방법을 보호하고 관리하는 데 필요한 작업에 대해 설명합니다.
자격 증명 은 사용자의 ID와 관련이 있습니다. 예를 들어 개별 사용자 이름 및 암호, PIN 또는 생체 인식 정보가 있습니다. IT 관리자, 교사, 교직원 및 학생을 포함한 모든 사용자에게는 자격 증명이 있습니다.
인증 방법은 사용자가 자격 증명을 제출하거나 증명하는 방법입니다. 예를 들어 사용자는 로그인 화면 또는 계정을 설정한 Microsoft Authenticator 앱을 통해 자격 증명을 입력합니다.
인증 방법은 범주 또는 유형(예: )으로 나눌 수도 있습니다.
로그인 인증
암호 재설정 인증
다단계 인증
로그인 인증은 사용자가 처음에 자격 증명을 입력하는 경우입니다. SSPR(셀프 서비스 암호 재설정) 및 MFA(다단계 인증)는 추가 인증 유형입니다.
다음 표에서는 이러한 시나리오에서 다양한 인증 방법을 사용할 수 있는 방법을 보여 줍니다.
| 인증 방법 | 로그인 인증 | SSPR 및 MFA |
|---|---|---|
| 암호 | 예 | |
| 비즈니스용 Windows Hello | 예 | |
| Microsoft Authenticator 앱 | 예(미리 보기) | MFA 및 SSPR |
| FIDO2 보안 키 | 예(미리 보기) | MFA 전용 |
| SMS | 예(미리 보기) | MFA 및 SSPR |
| 통화 | 아니오 | MFA 및 SSPR |
| 보안 질문 | 아니오 | SSPR 전용 |
| 전자 메일 주소 | 아니오 | SSPR 전용 |
참고
로그인 인증에 미리 보기 기능을 사용하도록 설정하려면 Azure Portal 열고, Microsoft Entra ID> 보안 > 인증 방법 인증 방법 > 정책(미리 보기)을 선택하고, 사용하려는 미리 보기 방법을 사용하도록 설정합니다.
인증 유형
암호 및 PIN은 일반적인 자격 증명 유형입니다. 덜 일반적인 형식에는 그림 암호 및 패턴 잠금이 포함됩니다. 생체 인식 인증도 인기가 높아지고 있습니다. 생체 인식은 얼굴 인식, 지문 또는 망막 인쇄를 통해 사용자를 식별합니다.
암호 없는 인증
암호 없는 솔루션은 가장 편리하고 안전한 인증 방법입니다. 암호 없는 인증은 암호를 기억하고 다단계 인증에 응답하는 불편을 제거합니다. 공격 표면으로 암호를 제거하여 피싱 및 암호 스프레이 공격의 위험을 줄이기 때문에 더 안전합니다. Microsoft는 다음 암호 없는 인증 방법을 지원합니다.
비즈니스용 Windows Hello. 비즈니스용 Windows Hello 지정된 Windows PC가 있는 사용자에게 적합합니다. 생체 인식 및 PIN 자격 증명은 사용자의 PC에 연결되어 지정된 사용자 이외의 사용자의 액세스를 방지하고 무단 액세스를 방지합니다. PKI(공개 키 인프라) 통합 및 SSO(Single Sign-On)에 대한 기본 제공 지원을 통해 비즈니스용 Windows Hello 온-프레미스 및 클라우드에서 리소스에 원활하게 액세스하는 편리한 방법을 제공합니다.
Microsoft Authenticator 앱 Authenticator 앱은 iOS 또는 Android 휴대폰을 강력한 암호 없는 자격 증명으로 바꿉니다. 사용자는 휴대폰에 알림을 받고 화면에 표시된 번호를 휴대폰의 번호와 일치시키고 생체 인식(터치 또는 얼굴) 또는 PIN 자격 증명을 사용하여 확인하여 모든 플랫폼 또는 브라우저에 로그인할 수 있습니다. 이 문서에서는 Microsoft Authenticator 앱을 참조하지만 시장에는 다른 인증자 앱이 있습니다.
FIDO2 보안 키. FIDO2 보안 키를 사용하면 사용자가 외부 보안 키 또는 디바이스에 기본 제공되는 플랫폼 키를 사용하여 사용자 이름 또는 암호 없이 리소스에 로그인할 수 있습니다.
자세한 내용은 Microsoft Entra ID 대한 암호 없는 인증 옵션을 참조하세요.
암호 재설정 인증
사용자의 암호 재설정은 지원 센터에 대한 볼륨 및 비용의 가장 큰 소스 중 하나입니다. Microsoft Entra ID SSPR(셀프 서비스 암호 재설정)을 사용하면 관리자나 지원 센터 참여 없이 암호를 변경하거나 재설정할 수 있습니다. SSPR은 비용을 절감하는 것 외에도 사용자 위험을 완화하고 organization 보안 태세를 개선합니다. 사용자의 계정이 잠겨 있거나 손상된 경우 또는 암호를 잊어버린 경우 프롬프트에 따라 차단을 해제하고 다시 작업할 수 있습니다.
SSPR을 사용하여 암호를 변경하려면 암호가 Microsoft Entra 암호 정책을 준수해야 합니다. 이러한 정책은 필수 복잡성, 길이, 만료 및 허용 가능한 문자를 결정합니다. 암호가 Microsoft Entra ID(또는 온-프레미스 AD) 정책 요구 사항을 충족하지 않으면 사용자에게 다시 시도하라는 메시지가 표시됩니다.
다단계 인증
대학생, 교육자, IT 부서 및 기타 직원을 위한 MFA를 요구하는 것이 좋습니다. 이러한 그룹은 인터넷에서 더 활발하게 활동할 수 있으므로 사이버 공격에 더 취약할 수 있습니다.
다단계 인증을 사용하려면 사용자가 추가 인증 형식을 제공해야 합니다. 다음과 같은 두 번째 형태의 인증을 요구하여 추가 보안을 제공합니다.
SMS 문자 메시지의 코드입니다.
전화 음성 통화에 응답합니다.
Microsoft Authenticator 앱에서 코드 또는 생체 인식 정보 제공
OAUTH 하드웨어 토큰 사용.
SSPR 및 Azure MFA 사용
SSPR과 MFA를 모두 사용하도록 설정하여 환경을 보다 안전하게 유지합니다. 사용자는 이러한 서비스에 등록해야 합니다.
SSPR 사용
SSPR은 Microsoft Entra ID 암호 재설정 아래의 Azure Portal > 관리되며 다음 인증 방법 목록에서 선택할 수 있습니다.
권장 – 기본 설정 순서
모바일 앱 알림(다시 설정하는 데 필요한 메서드 수가 2로 설정된 경우에만 사용 가능)
모바일 앱 코드
전자 메일
휴대폰(SMS 텍스트)
권장되는 두 가지 옵션이 있는 경우 권장되지 않음
사무실 전화(음성 통화)
보안 질문
참고
사용하도록 설정하는 인증 방법은 테넌트 구성원마다 사용할 수 있습니다. 보안 질문은 가장 안전한 옵션이므로 다른 방법을 사용할 수 없는 한 사용하지 않는 것이 좋습니다. 사무실 전화에 대한 전화 통화가 손상될 수 있으며 다른 옵션이 없는 한 권장되지 않습니다.
초등학교와 중학교 학생을 제외한 테넌트의 모든 사용자가 SSPR을 사용할 수 있도록 하는 것이 좋습니다. 이러한 학생은 필요한 두 번째 인증 형식에 액세스할 수 없을 수 있습니다. 해당 학생의 경우 교사 또는 다른 직원에게 암호 관리자 역할이 할당되어야 합니다. 다음 학생을 제외한 모든 사용자에 대해 SSPR을 사용하도록 설정하려면 다음을 수행합니다.
Azure Portal "SSPR"과 같은 설명이 포함된 Microsoft 365 그룹을 Create. 초등학생과 중학생을 제외한 모든 사용자를 추가합니다. Microsoft Entra ID 특성 기반 규칙을 만들어 그룹에 동적 멤버 자격을 사용하도록 설정할 수 있습니다. 학생 수준을 나타내는 특성을 이미 캡처하는 경우 이 방법을 사용하는 것이 좋습니다. 외부 게스트를 포함해야 하는 경우 동적 그룹 및 Microsoft Entra B2B 협업을 참조하세요.
Microsoft Entra ID > 보안 >암호 재설정으로 이동하여 선택을 선택한 다음, 해당 그룹을 선택합니다.
Azure MFA 사용
테넌트에서 MFA를 사용하도록 설정하고 IT 관리자 및 학생 레코드에 액세스할 수 있는 모든 사용자에 대해 MFA를 요구하는 것이 좋습니다. 조건부 액세스 정책을 사용하여 MFA를 적용합니다.
MFA를 사용하도록 설정하면 사용자는 다음 옵션 중 하나를 기본 Multi-Factor Authentication 방법으로 설정해야 합니다.
Microsoft Authenticator – 알림(가장 권장)
Microsoft Authenticator 앱 또는 하드웨어 토큰 – 코드
SMS 문자 메시지
전화 통화(최소 권장)
참고
초등, 중, 고등학생에 대해 MFA를 사용하도록 설정하지 않는 것이 좋습니다. MFA는 일반적으로 악의적인 행위자가 계정 손상 및 손상을 방지하는 데 사용됩니다. 학생은 자신의 정보만 액세스할 수 있어야 하며 손상 가능성이 제한적이어야 합니다. 또한 젊은 학생은 두 번째 형태의 인증에 액세스할 수 없습니다.
Azure MFA를 사용하도록 설정하는 방법에는 두 가지가 있습니다. MFA 등록을 요구하도록 조건부 액세스 정책을 구성하여 Microsoft Entra ID Protection 사용하여 롤아웃을 관리하는 것이 좋습니다. ID 보호를 사용하려면 관리자에게 Microsoft Entra ID P2 라이선스가 있어야 합니다. 방법: Azure Multi-Factor Authentication 등록 정책 구성을 참조하세요.
Microsoft Entra ID P2 라이선스가 없는 경우에도 조건부 액세스 정책을 사용하여 특정 상황에서 Azure Multi-Factor Authentication을 요구할 수 있습니다. 관리자에게 Microsoft Entra ID P2 라이선스가 없는 경우 자습서: Azure Multi-Factor Authentication을 사용하여 사용자 로그인 이벤트 보안을 참조하세요.
결합된 보안 정보 등록 사용
결합된 보안 정보 등록을 통해 사용자는 한 번 등록하고 SSPR 및 Azure MFA(Multi-Factor Authentication)의 이점을 모두 얻을 수 있습니다.
모든 사용자에 대해 결합된 등록을 사용하도록 설정하고 조건부 액세스 정책을 만들어 SSPR을 사용하도록 설정한 동일한 사용자에 대한 등록을 요구합니다. 동일한 Office 365 그룹을 사용할 수 있습니다. 등록을 요구하면 사용자가 SSPR 및 Azure MFA에 등록하는 시기와 방법이 적용됩니다.
SSPR 및 MFA는 조건부 액세스 정책의 조건에 따라 사용자가 수행해야 하는 경우에만 트리거됩니다. 보안 정책을 적용하려면 조건부 액세스 정책을 만들어야 합니다.
참고
2020년 8월 이전에 만든 테넌트에서 결합된 보안 정보 등록을 사용하도록 설정해야 합니다. 2020년 8월 이후에 만든 테넌트에서 기본적으로 사용하도록 설정됩니다.
자세한 내용은 Microsoft Entra ID 결합된 보안 정보 등록 사용을 참조하세요.
사용자 교육
사용자가 SSPR 또는 MFA 사용을 시작하려면 먼저 보안 정보를 등록해야 합니다. 사용자 환경을 이해한 다음, 필요에 따라 인식을 공유하고 사용자를 교육하는 계획을 개발하는 것이 좋습니다.
자세한 내용은 다음 최종 사용자 설명서를 참조하세요.
Microsoft는 MFA 및 SSPR 모두에 대한 최종 사용자 통신 템플릿을 제공합니다. 이러한 템플릿을 수정하여 사용자를 교육할 수 있습니다. 다양한 인증 방법에 대한 배포 계획도 제공합니다. 인증 배포를 참조하세요.
Microsoft Authenticator 앱 설치
SSPR 또는 MFA용 Microsoft Authenticator 앱을 사용하는 사용자는 최신 버전의 Microsoft Authenticator 앱을 설치해야 합니다.
Google Android. Android 장치에서 Google Play로 이동하여 Microsoft Authenticator 앱을 다운로드하고 설치합니다.
Apple iOS. Apple iOS 디바이스에서 App Store 이동하여 Microsoft Authenticator 앱을 다운로드하고 설치합니다.
현재 모바일 디바이스에 없는 경우 사용자는 Microsoft Authenticator 페이지에서 다운로드 링크를 보내 Microsoft Authenticator 앱을 계속 가져올 수 있습니다.
암호 보호 Microsoft Entra
사용자에게 암호를 선택하는 방법에 대한 지침을 제공하려는 시도에도 불구하고 약하거나 안전하지 않은 암호가 자주 발생합니다. 사용자가 학교 이름, 팀 마스코트, 인기 있는 교사 이름 등과 같은 용어를 기억하기 쉬운 용어에 따라 암호를 만드는 것은 드문 일이 아닙니다.
Microsoft Entra 암호 보호에는 기본적으로 전역 금지 암호 목록이 포함됩니다. 이러한 목록은 암호 스프레이 공격에 취약한 암호를 검색하고 차단하기 위해 모든 사용자에게 자동으로 적용됩니다. 사용자 고유의 보안 요구 사항을 지원하기 위해 사용자 지정 금지 암호 목록에서 사용자 고유의 항목을 정의할 수 있습니다. 사용자가 암호를 변경하거나 재설정할 때 이러한 금지된 암호 목록은 더 강력한 암호 사용을 적용하도록 확인됩니다.
스마트 잠금 은 또한 무차별 암호 대입 방법을 사용하여 사용자의 암호를 추측하는 악의적인 행위자로부터 사용자를 보호하는 데 도움이 됩니다. 기본적으로 스마트 잠금은 10번의 시도 실패 후 1분 동안 로그인 시도에서 계정을 잠급니다. 계정은 로그인 시도에 실패한 후 처음 1분 동안, 이후 시도에서 1분 이상 다시 잠깁니다. 스마트 잠금은 모든 Microsoft Entra 고객에 대해 항상 켜집니다. 기본 설정은 보안과 유용성의 균형을 제공합니다. organization 특정 값을 사용하여 스마트 잠금 설정을 사용자 지정하려면 사용자에 대한 Microsoft Entra ID P1 이상의 라이선스가 필요합니다.
보안 보고서
잠재적 위협에 대한 노출을 제한하려면 Microsoft Entra ID 사용할 수 있는 보고 기능을 사용합니다. Microsoft Entra ID Azure MFA 및 SSPR에 대한 인증 방법이 organization 작동하는 방식을 이해하는 데 도움이 되는 감사 로그 및 로그인 보고서, 위험 검색에 대한 보안 보고서 및 보고서를 지원합니다.
ID 보호
Microsoft Entra ID 검색과 공격에 대한 대응 사이의 대기 시간을 제거하기 위해 경고를 자동으로 식별하고 생성하는 많은 기능이 있습니다. 이러한 기능을 최대한 활용하려면 Microsoft Entra ID Protection 사용하는 것이 좋습니다. 이 기능을 사용하려면 Microsoft Entra ID P2 라이선스가 필요합니다. 최소한 모든 관리자에 대해 ID 보호를 사용하는 것이 좋습니다.
관리자가 ID 보호의 조사에 사용하는 세 가지 주요 보고서가 있습니다.
위험한 사용자가 보고합니다. 사용자 위험은 사용자의 ID가 손상될 가능성을 나타내며 해당 ID에 대한 사용자 위험 검색을 기반으로 계산됩니다. 사용자 위험 정책은 위험 수준을 특정 사용자 또는 그룹으로 평가하는 조건부 액세스 정책입니다. 낮음, 중간 및 높은 위험 수준에 따라 액세스를 차단하거나 다단계 인증을 사용하여 보안 암호 변경을 요구하는 정책을 구성할 수 있습니다.
위험한 로그인 보고서입니다. 로그인 위험은 계정 소유자가 아닌 다른 사용자가 ID를 사용하여 로그온하려고 시도할 가능성이 있습니다. 로그인 위험 정책은 위험 수준을 특정 사용자 또는 그룹으로 평가하는 조건부 액세스 정책입니다. 위험 수준(높음/중간/낮음)에 따라 액세스를 차단하거나 다단계 인증을 강제로 적용하도록 정책을 구성할 수 있습니다. 중간 이상의 위험 로그인에 다단계 인증을 적용해야 합니다.
위험 검색 보고서. 관리자는 다음 유형의 위험 검색을 식별하고 수정할 수 있습니다.
비정형 이동
익명 IP 주소
익숙하지 않은 로그인 속성
맬웨어 연결 IP 주소
유출된 자격 증명
위협 인텔리전스 Microsoft Entra
다음 리소스는 위험 관리 전략을 운영하는 데 도움이 될 수 있습니다.
Microsoft 는 제한된 시간 동안 ID 보호 보고서의 정보를 유지 관리합니다. 추가 조사 및 상관 관계를 위해 정기적으로 내보내고 다른 도구에 보관하는 것이 좋습니다. Microsoft Graph API를 사용하면 SIEM(보안 및 정보 이벤트 관리) 솔루션과 같은 도구에서 추가 처리를 위해 이 데이터를 수집할 수 있습니다. 이러한 보고서를 구현하는 방법을 알아보려면 Microsoft Entra ID Protection 및 Microsoft Graph 시작을 참조하세요.
감사 로그 및 로그인 보고서
감사 로그 보고서는 다음 보고서를 통합합니다.
감사 보고서
암호 재설정 작업
암호 재설정 등록 작업
셀프 서비스 그룹 활동
Office365 그룹 이름 변경 내용
계정 프로비저닝 작업
암호 롤오버 상태
계정 프로비저닝 오류
인증 방법 사용량 & 인사이트
Microsoft Entra ID 사용자가 MFA 및 SSPR에 등록되도록 하는 데 사용할 수 있는 보고서를 제공합니다. 등록하지 않은 사용자는 프로세스에 대한 교육을 받아야 할 수 있습니다.
인증 방법 사용량 & Insights 보고서에는 MFA 및 SSPR 사용량에 대한 정보가 포함되어 있으며 각 항목이 organization 작동하는 방식에 대한 인사이트를 제공합니다. Microsoft Entra ID 대한 로그인 활동(및 감사 및 위험 검색)에 액세스하는 것은 문제 해결, 사용 현황 분석 및 포렌식 조사에 매우 중요합니다.
권장 사항
교사, 관리자 및 IT 직원은 가능한 경우 암호 없는 인증 방법 중 하나를 사용하는 것이 좋습니다. 암호를 사용해야 하는 경우 Microsoft의 암호 지침을 참조하세요.
인증 방법
아래 표에는 세 가지 인증 유형 모두에 대한 계정 유형 및 권장 사항이 요약되어 있습니다.
| 계정 유형 | 로그인 | SSPR | Azure MFA |
|---|---|---|---|
| 학생(초등학교) | 암호 | ||
| 학생(중학교) | 암호 | ||
| 학생(고등학교) | 암호 또는 PIN 스마트폰을 사용할 수 있는 경우 인증자 앱 |
학생의 개인 전자 메일 SMS 통화 |
|
| 학생(대학) | 암호 또는 PIN 스마트폰을 사용할 수 있는 경우 인증자 앱 |
Authenticator 앱 SMS 개인 전자 메일 |
Authenticator 앱 SMS Phone |
| 교사 | 비즈니스용 Windows Hello(PIN 또는 생체 인식) FIDO 2 보안 키 |
•Authenticator 앱 SMS 개인 전자 메일 |
Authenticator 앱 SMS Phone |
| IT staff | 암호 없음(PIN, 생체 인식, FIDO 2 보안 키) | Authenticator 앱 SMS 개인 전자 메일 |
Authenticator 앱 SMS Phone |
| 부모 | 암호(Azure AD B2C) | Authenticator 앱 SMS 통화 개인 전자 메일 |
Authenticator 앱 SMS Phone |
자격 증명 배포
다음 방법 중 하나를 사용하여 초등학생과 중학생에게 인증을 배포하는 것이 좋습니다.
부모의 전자 메일
부모 모바일 또는 유선 전화
학생의 개인 이메일(있는 경우)
교사에게 전달된 학생의 임시 암호 인쇄 복사본
학생의 등록된 주소에 암호 게시
교육자 및 IT 관리자, 기타 직원 및 고등학교 또는 대학생의 경우 다음 방법 중 하나를 사용합니다.
개인 전자 메일 주소에 임시 암호를 전자 메일로 전자 메일로 전송합니다.
SMS를 통해 임시 암호 보내기
임시 암호의 인쇄된 복사본
암호 보안 권장 사항
IT 관리자는 항상
초기 또는 처음 암호 강제 만료
암호 변경 또는 재설정에 대한 자동화된 알림 구현
또한 모든 사용자에게 다음 암호 보안 권장 사항을 제공합니다.
암호를 안전하지 않은 방식으로 기록하거나 저장하지 마세요.
암호를 다시 사용하지 마세요. 암호 기록을 유지합니다.
암호를 누구와도 공유하지 마세요.
암호 대신 암호를 사용합니다.
계정이 손상된 것으로 의심되는 경우 암호를 변경합니다.
처음 사용하기 전에 제공된 암호를 다시 설정합니다.
문제 및 완화
자격 증명을 관리하는 것은 어려울 수 있습니다. 이 섹션에서는 가장 일반적인 문제를 완화하는 데 도움이 되는 Microsoft Entra ID 기능에 대해 설명합니다.
암호 만료
학교 휴가 중에 암호가 만료되어 지원 센터 볼륨이 많을 수 있으므로 보안 조치로 암호 만료를 사용하지 않는 것이 좋습니다. 이 대용량은 추가 인증 양식에 액세스할 수 없기 때문에 SSPR을 설정하지 않은 젊은 학생에게 특히 영향을 줍니다. 다단계 인증, 조건부 액세스 정책 및 보안 모니터링은 만료되는 암호보다 문제를 더 잘 완화합니다.
organization 현재 암호 만료를 사용하도록 설정한 경우 전역 관리자 또는 사용자 관리자가 Windows PowerShell Microsoft Azure AD 모듈을 사용하여 사용자 암호가 만료되지 않도록 설정하는 것이 좋습니다. 또는 [Set-MsolPasswordPolicy cmdlet](/powershell/module/msonline/set-msolpasswordpolicy를 사용하여 만료 기간을 수정합니다.
참고
Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.
Microsoft Entra ID(이전의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.
사용자 정보 업데이트
관리자는 종종 사용자 세부 정보(각 사용자에 대한 디바이스, 보안 정보 및 암호)를 관리합니다. 이 정보를 수동으로 업데이트하는 것은 지루하고 시간이 많이 걸립니다.
이 문제를 해결하려면 관리자가 사용자에게 내 계정을 사용하도록 요구해야 합니다. 내 계정은 최종 사용자가 다음을 수행할 수 있도록 하는 셀프 서비스 포털입니다.
셀프 서비스 암호 재설정 설정
2단계 인증 구성
암호 변경
분실하거나 도난당한 경우 디바이스 사용 안 함
그룹 구독 유지 관리
학생과 교직원은 액세스 또는 커뮤니케이션을 위해 그룹에 액세스해야 하는 경우가 많습니다. 그룹의 수와 교육 기관의 사용자가 변경해야 하는 빈도는 그룹 관리를 관리자에게 어려운 작업으로 만들 수 있습니다.
Microsoft 365 EDU에서는 학교 데이터 동기화에서 만든 각 그룹이 해당 학교의 그룹에 대한 위임 및 범위 관리를 용이하게 하기 위해 학교 관리 단위에 자동으로 추가됩니다.
개별 그룹의 위임 및 관리를 위해 두 가지 추가 옵션이 있습니다.
위임된 그룹 관리를 사용하면 관리자가 그룹 멤버 자격 관리를 비즈니스 소유자에게 위임할 수 있습니다. 예를 들어 학교에 특정 부서의 학생만 액세스해야 하는 앱이 있는 경우 일반적으로 사용자를 그룹에 추가하고 그룹 액세스 권한을 할당합니다. 그런 다음 해당 부서의 직원에게 멤버 자격 관리 책임을 위임할 수 있습니다. 그런 다음, 부서는 애플리케이션에 대한 액세스를 제공하는 그룹의 멤버 자격을 관리합니다. 교육 환경에서는 셀프 서비스 그룹 관리보다 권장합니다.
셀프 서비스 그룹 관리를 사용하면 학생을 포함한 모든 사용자가 Microsoft Entra ID 고유한 보안 그룹 또는 Microsoft 365 그룹을 만들고 관리할 수 있습니다. 그룹의 소유자는 멤버 자격 요청을 승인하거나 거부할 수 있으며 그룹 멤버 자격에 대한 제어를 위임할 수 있습니다. 학생들이 그룹을 만들 수 있도록 하는 것이 organization 원하는 상태인지 철저히 평가합니다.
참고
위임된 그룹 관리 및 셀프 서비스 그룹 관리 기능은 Microsoft 365 그룹 및 Microsoft Entra 보안 그룹에서만 사용할 수 있습니다. 메일 사용이 가능한 보안 그룹 또는 메일 그룹에는 사용할 수 없습니다.
기억하기에 너무 많은 암호
학생과 교직원은 여러 응용 프로그램에 액세스하여 학교 작업을 완료할 수 있으며, 이 경우 몇 가지 고유한 암호를 기억해야 할 수 있습니다. Microsoft는 몇 가지 완화 방법을 제공합니다.
사용자가 조직 자격 증명을 사용하여 모든 리소스에 액세스할 수 있도록 호환되는 모든 애플리케이션에서 Microsoft Entra SSO(Single Sign-On)를 사용하도록 설정하는 것이 좋습니다.
Microsoft Entra 조인되거나 하이브리드 조인을 Microsoft Entra Windows 10 디바이스는 로그인한 사용자에게 액세스 권한이 있는 경우 SSO를 사용하도록 설정된 애플리케이션에 원활하게 액세스합니다.
organization 하이브리드이고 Windows 8 이전 버전을 실행하는 컴퓨터가 있는 경우 원활한 Single Sign-On을 구현할 수도 있습니다. Seamless SSO는 교사와 직원이 조직 네트워크에서 로그인할 때 암호 프롬프트를 방지합니다.