셀프 서비스 암호 재설정 배포 옵션

중요

2022년 9월, Microsoft는 Azure Multi-Factor Authentication 서버의 사용 중단을 발표했습니다. 2024년 9월 30일부터 Azure Multi-Factor Authentication 서버 배포는 더 이상 MFA(다단계 인증) 요청을 서비스하지 않습니다. Azure Multi-Factor Authentication 서버의 고객은 MIM SSPR이 있는 사용자 지정 MFA 공급자를 대신 사용하거나 MIM SSPR 대신 SSPR을 Microsoft Entra 이동하도록 계획해야 합니다.

Microsoft Entra ID P1 또는 P2에 대한 라이선스가 부여된 신규 고객의 경우 Microsoft Entra 셀프 서비스 암호 재설정을 사용하여 최종 사용자 환경을 제공하는 것이 좋습니다. Microsoft Entra 셀프 서비스 암호 재설정은 사용자가 자신의 암호를 재설정할 수 있는 웹 기반 및 Windows 통합 환경을 모두 제공하며 대체 이메일 및 Q&A 게이트를 포함하여 MIM과 동일한 많은 기능을 지원합니다. Microsoft Entra 셀프 서비스 암호 재설정을 배포할 때 새 암호를 AD DS에 다시 쓰도록 Microsoft Entra Connect를 구성할 수 있으며 MIM 암호 변경 알림 서비스를 사용하여 다른 공급업체의 디렉터리 서버와 같은 다른 시스템에 암호를 전달할 수 있습니다. 암호 관리를 위한 MIM 배포를 위해서 MIM 서비스 또는 MIM 셀프 서비스 암호 재설정이 필요하지 않으며 등록 포털을 배포하지 않아도 됩니다. 대신, 다음 단계를 수행하세요.

• 먼저 Microsoft Entra ID 및 AD DS 이외의 디렉터리에 암호를 보내야 하는 경우 커넥터와 MIM 동기화를 배포하여 Active Directory Domain Services 추가 대상 시스템을 배포하고, 암호 관리를 위해 MIM을 구성하고, 암호 변경 알림 서비스를 배포합니다.
• 그런 다음, Microsoft Entra ID 이외의 디렉터리에 암호를 보내야 하는 경우 새 암호를 AD DS에 다시 쓰기 위해 Microsoft Entra Connect를 구성합니다.
• 필요에 따라 사용자를 미리 등록합니다.
• 마지막으로 Microsoft Entra 셀프 서비스 암호 재설정을 최종 사용자에게 롤아웃합니다.

셀프 서비스 암호 재설정을 위해 이전에 Forefront Identity Manager(FIM)를 배포하고 Microsoft Entra ID P1 또는 P2에 대한 라이선스가 부여된 기존 고객의 경우 Microsoft Entra 셀프 서비스 암호 재설정으로 전환하는 것이 좋습니다. PowerShell을 통해 사용자의 대체 이메일 주소 또는 휴대폰 번호를 동기화하거나 설정하여 다시 등록할 필요 없이 최종 사용자를 Microsoft Entra 셀프 서비스 암호 재설정으로 전환할 수 있습니다. 사용자가 Microsoft Entra 셀프 서비스 암호 재설정에 등록되면 FIM 암호 재설정 포털을 서비스 해제할 수 있습니다.

아직 사용자의 셀프 서비스 암호 재설정을 Microsoft Entra 배포하지 않은 고객의 경우 MIM은 셀프 서비스 암호 재설정 포털도 제공합니다. FIM과는 달리, MIM 2016은 다음과 같이 변경되었습니다.

• MIM Self-Service 암호 재설정 포털 및 Windows 로그인 화면을 사용하면 사용자가 암호를 변경하지 않고도 계정의 잠금을 해제할 수 있습니다.

• 새 인증 게이트인 전화 게이트가 MIM에 추가되었습니다. 이렇게 하면 Microsoft Entra 다단계 인증 서비스를 통해 전화 통화를 통해 사용자 인증을 사용할 수 있습니다.

MIM 2016 릴리스는 고객이 사용되지 않는 SDK를 다운로드하는 데 의존한 버전 4.5.26.0까지 빌드되며, 기존 배포는 사용자 지정 MFA 공급자와 함께 MIM SSPR을 사용하거나 셀프 서비스 암호 재설정을 Microsoft Entra. 새 배포는 사용자 지정 MFA 공급자 또는 Microsoft Entra 셀프 서비스 암호 재설정을 사용해야 합니다.

다단계 인증을 위해 사용자 지정 공급자를 사용하여 MIM Self-Service 암호 재설정 포털 배포

다음 섹션에서는 다단계 인증을 위해 공급자를 사용하여 MIM 셀프 서비스 암호 재설정 포털을 배포하는 방법을 설명합니다. 이러한 단계는 Microsoft Entra 셀프 서비스 암호 재설정을 사용하지 않는 고객에게만 필요합니다.

MFA를 사용하면 사용자는 계정 및 리소스에 대한 액세스 권한을 다시 얻으려고 시도하는 동안 ID를 확인하기 위해 외부 공급자를 통해 인증합니다. SMS 또는 전화 통화를 통해 인증할 수 있습니다. 인증이 강력할수록 액세스 권한을 얻으려는 사용자가 ID를 소유하는 실제 사용자일 신뢰성도 높아집니다. 인증되고 나면 사용자는 새 암호를 선택하여 이전 암호를 바꿀 수 있습니다.

MFA를 사용하여 셀프 서비스 계정 잠금 해제 및 암호 재설정을 설정하기 위한 필수 구성 요소

이 섹션에서는 다음 구성 요소 및 서비스를 포함하여 Microsoft Identity Manager 2016 MIM 동기화, MIM 서비스 및 MIM 포털 구성 요소를 다운로드하고 배포를 완료했다고 가정합니다.

• Windows Server 2008 R2 이상이 지정된 도메인(“corporate”도메인)과 함께 AD 도메인 서비스 및 도메인 컨트롤러를 포함하는 Active Directory 서버로 설정되었습니다.

• 그룹 정책이 계정 잠금에 대해 정의되었습니다.

• MIM 2016 동기화 서비스(동기화)가 AD 도메인에 도메인 가입된 서버에 설치되고 실행됩니다.

• SSPR 등록 포털 및 SSPR 재설정 포털을 포함한 MIM 2016 서비스 & 포털이 설치되어 서버에서 실행됩니다(동기화와 공동 배치될 수 있음).

• 다음을 비롯한 MIM 동기화가 AD-FIM ID 동기화에 대해 구성되어 있습니다.

  • AD DS에 연결하고 ID 데이터를 Active Directory에서 가져오고 Active Directory에 내보낼 수 있도록 ADMA(Active Directory 관리 에이전트) 구성

  • FIM 서비스 DB에 연결하고 ID 데이터를 FIM 데이터베이스에서 가져오고 FIM 데이터베이스에 내보낼 수 있도록 MIM MA(MIM 관리 에이전트) 구성

  • MIM 서비스에서 사용자 데이터 동기화를 허용하고 동기화 기반 작업이 용이하도록 MIM 포털에 동기화 규칙 구성

• SSPR Windows 로그인 통합 클라이언트를 포함한 MIM 2016 추가 기능 & 확장은 서버 또는 별도의 클라이언트 컴퓨터에 배포됩니다.

Microsoft Entra 다단계 인증을 사용하는 경우 이 시나리오에서는 사용자에 대한 MIM CAL과 Microsoft Entra 다단계 인증을 위한 구독이 있어야 합니다.

MFA를 사용하도록 MIM 준비

암호 재설정 및 계정 잠금 해제 기능을 지원하도록 MIM 동기화를 구성합니다. 자세한 내용은 FIM 추가 기능 및 확장 설치, FIM SSPR 설치, SSPR 인증 게이트 및 SSPR 테스트 랩 가이드를 참조하세요.

전화 게이트 또는 일회용 암호 SMS 게이트 구성

1. 인터넷 Explorer 시작하고 MIM 포털로 이동하여 MIM 관리자로 인증한 다음 왼쪽 탐색 모음에서 워크플로를 클릭합니다.

   

2. 암호 다시 설정 인증 워크플로를 선택합니다.

   

3. 활동 탭을 클릭하고 활동 추가까지 아래로 스크롤합니다.

4. 전화 게이트 또는 일회용 암호 SMS 게이트를 선택한 다음 선택을 클릭한 다음 확인을 클릭합니다.

   참고

   일회용 암호 자체를 생성하는 다른 공급자를 사용하는 경우 위에서 구성한 길이 필드가 MFA 공급자가 생성한 길이와 동일한지 확인합니다. 이 길이는 Azure Multi-Factor Authentication 서버의 경우 6이어야 합니다. 또한 Azure Multi-Factor Authentication 서버는 자체 메시지 텍스트를 생성하므로 SMS 문자 메시지는 무시됩니다.

이제 조직의 사용자가 암호 재설정을 위해 등록할 수 있습니다. 이 과정에서 사용자는 회사 전화 번호나 휴대폰 번호를 입력하게 되며, 이를 통해 시스템은 사용자에게 전화할(또는 SMS 메시지 보내기) 방법을 파악할 수 있습니다.

암호 재설정을 위한 사용자 등록

1. 사용자는 웹 브라우저를 시작하고 MIM 암호 재설정 등록 포털로 이동합니다. 일반적으로 이 포털은 Windows 인증으로 구성됩니다. 포털 내에서 사용자의 사용자 이름과 암호를 다시 제공하여 본인의 ID를 확인합니다.

   암호 등록 포털을 시작하고 해당 사용자 이름과 암호를 사용하여 인증해야 합니다.

2. 전화 번호 또는 휴대폰 필드에 국가 번호, 공백 및 전화 번호를 입력하고 다음을 클릭해야 합니다.

   

   

사용자를 위해 이 기능이 어떻게 작동하나요?

이제 모든 항목이 구성되고 실행되고 있으므로 휴가 직전에 암호를 바꾼 사용자가 휴가에서 돌아와 암호를 기억하지 못하는 경우 어떤 과정을 거쳐 암호를 재설정할 수 있는지 알아보겠습니다.

사용자는 Windows 로그인 화면이나 셀프 서비스 포털 중 한 가지 방법으로 암호 재설정 및 계정 잠금 해제 기능을 사용할 수 있습니다.

사용자는 조직 네트워크를 통해 MIM 서비스에 연결된 도메인 가입 컴퓨터에 MIM 추가 기능 및 확장을 설치하여 데스크톱 로그인 환경에서 잊은 암호를 복구할 수 있습니다. 다음 단계는 이 프로세스에 관한 것입니다.

Windows 데스크톱 로그인과 암호 재설정의 통합

1. 사용자가 잘못된 암호를 여러 번 입력하면 로그인 화면에서 로그인하는 데 문제가 있나요? 를 클릭하는 옵션이 표시됩니다.

   

   이 링크를 클릭하면 사용자가 암호를 변경하거나 계정의 잠금을 해제할 수 있는 MIM 암호 재설정 화면으로 이동합니다.

   

2. 인증이 진행됩니다. MFA가 구성된 경우 사용자는 전화를 받게 됩니다.

3. 백그라운드에서 MFA 공급자가 해당 사용자가 서비스에 등록할 때 사용자가 제공한 번호로 전화를 걸게 됩니다.

4. 사용자가 휴대폰에 응답하면 전화에서 파운드 키 #를 누르기 위해 상호 작용하라는 메시지가 표시될 수 있습니다. 그런 다음 사용자가 포털에서 다음을 클릭합니다.

   다른 게이트도 설정한 경우 다음 화면에 추가 정보를 제공하라는 메시지가 표시됩니다.

   참고

   우물정자(#)를 누르기 전에 성급하게 다음을 클릭하면 인증에 실패합니다.

5. 인증이 성공하면 사용자에게 두 가지 옵션이 제공됩니다. 계정의 잠금을 해제하고 현재 암호를 유지하거나 새 암호를 설정할 수 있습니다.

6. 이때 사용자는 새 암호를 두 번 입력해야 하고 그런 다음 암호가 재설정됩니다.

셀프 서비스 포털에서 액세스

1. 사용자가 웹 브라우저를 열고, 암호 재설정 포털로 이동하고, 사용자 이름을 입력한 후, 다음을 클릭합니다.

   MFA가 구성된 경우 사용자는 전화를 받게 됩니다. 백그라운드에서 Microsoft Entra 다단계 인증은 사용자가 서비스에 등록할 때 제공한 번호로 전화를 다는 것입니다.

   사용자가 전화를 받으면 우물정자(#)를 누르라는 안내가 나옵니다. 그런 다음 사용자가 포털에서 다음을 클릭합니다.

2. 다른 게이트도 설정한 경우 다음 화면에 추가 정보를 제공하라는 메시지가 표시됩니다.

   참고

   우물정자(#)를 누르기 전에 성급하게 다음을 클릭하면 인증에 실패합니다.

3. 사용자는 암호를 재설정할지 또는 계정 잠금을 해제할지 선택해야 합니다. 계정의 잠금을 해제하도록 선택하면 계정이 잠금 해제됩니다.

   

4. 인증에 성공하면 사용자에게 현재 암호를 유지하거나 새 암호를 설정하는 두 가지 옵션이 제공됩니다.

5. 

6. 사용자가 암호를 다시 설정하기 위해서는 새 암호를 두 번 입력하고 다음을 클릭하여 암호를 변경하면 됩니다.