Azure Active Directory B2C에서 다단계 인증 사용

  • 아티클

시작하기 전에 이 페이지 위쪽의 정책 유형 선택 선택기를 사용하여 설정하려는 정책 유형을 선택합니다. Azure Active Directory B2C는 사용자가 애플리케이션과 상호 작용하는 방법을 정의하는 두 가지 방법, 즉 미리 정의된 사용자 흐름 또는 완전히 구성 가능한 사용자 지정 정책을 통해 제공합니다. 이 문서에서 필요한 단계는 각 방법마다 다릅니다.

Azure AD B2C(Azure Active Directory B2C)는 Microsoft Entra 다단계 인증과 직접 통합되므로 애플리케이션의 등록 및 로그인 환경에 두 번째 보안 계층을 추가할 수 있습니다. 이미 가입 및 로그인 사용자 흐름을 만든 경우에도 다단계 인증을 사용하도록 설정할 수 있습니다.

이 기능 애플리케이션을 사용하면 다음과 같은 여러 시나리오를 처리할 수 있습니다.

  • 하나의 애플리케이션에 액세스하는 데 다단계 인증이 필요하지만 다른 애플리케이션에 액세스하려면 다단계 인증이 필요하지 않습니다. 예를 들어 고객이 소셜 또는 로컬 계정을 사용하여 자동차 보험 애플리케이션에 로그인할 수 있지만 동일한 디렉터리에 등록된 주택 보험 애플리케이션에 액세스하기 전에 전화번호를 확인해야 합니다.
  • 일반적으로 애플리케이션에 액세스하는 데 다단계 인증이 필요하지만 해당 애플리케이션 내의 중요한 부분에 액세스하려면 다단계 인증이 필요하지 않습니다. 예를 들어 고객이 소셜 또는 로컬 계정으로 은행 애플리케이션에 로그인하고 계정 잔액을 확인할 수 있지만 유선 전송을 시도하기 전에 전화번호를 확인해야 합니다.

필수 조건

확인 방법

조건부 액세스를 사용하면 관리자로서 결정할 수 있는 구성에 따라 사용자에게 MFA에 대한 문제가 발생할 수도 있고 그렇지 않을 수도 있습니다. 다단계 인증 방법은 다음과 같습니다.

  • 이메일 - 로그인하는 동안 사용자에게 OTP(일회용 암호)가 포함된 확인 이메일이 전송됩니다. 사용자는 애플리케이션에 이메일로 전송된 OTP 코드를 제공합니다.
  • SMS 또는 전화 통화 - 처음 가입하거나 로그인하는 동안 사용자에게 전화 번호를 제공하고 확인하라는 메시지가 표시됩니다. 후속 로그인 중에는 사용자에게 코드 보내기 또는 내게 전화 걸기 옵션을 선택하라는 메시지가 표시됩니다. 사용자의 선택에 따라 확인된 전화 번호로 문자 메시지를 보내거나 전화를 걸어 사용자를 식별합니다. 사용자는 문자 메시지를 통해 전송된 OTP 코드를 제공하거나 전화 통화를 승인합니다.
  • 전화 통화만 - SMS 또는 전화 통화 옵션과 동일한 방식으로 작동하지만 전화 통화만 수행됩니다.
  • SMS만 - SMS 또는 전화 통화 옵션과 동일한 방식으로 작동하지만 문자 메시지만 전송됩니다.
  • Authenticator 앱 - TOTP - 사용자는 Microsoft Authenticator 앱과 같이 TOTP(시간 기반 일회용 암호) 확인을 지원하는 인증자 앱을 자신이 소유한 디바이스에 설치해야 합니다. 처음 가입 또는 로그인 중에 사용자는 QR 코드를 스캔하거나 인증자 앱을 사용하여 수동으로 코드를 입력합니다. 후속 로그인 중에는 사용자가 인증자 앱에 표시되는 TOTP 코드를 입력합니다. Microsoft Authenticator 앱을 설정하는 방법을 참조하세요.

Important

Authenticator 앱 - TOTP는 SMS/전화보다 더 강력한 보안을 제공하고 이메일은 가장 안전하지 않습니다. SMS/전화 기반 다단계 인증의 경우 일반 Azure AD B2C MAU의 가격 책정 모델과 별도의 요금이 발생합니다.

다단계 인증 설정

  1. Azure Portal에 로그인합니다.

  2. 여러 테넌트에 액세스할 수 있는 경우 상단 메뉴의 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.

  3. 왼쪽 메뉴에서 Azure AD B2C를 선택합니다. 또는 모든 서비스를 선택하고 Azure AD B2C를 검색하여 선택합니다.

  4. 사용자 흐름을 선택합니다.

  5. MFA를 사용하도록 설정할 사용자 흐름을 선택합니다. 예를 들어 B2C_1_signinsignup을 선택합니다.

  6. 속성을 선택합니다.

  7. 다단계 인증 섹션에서 원하는 방법 유형을 선택합니다. 그런 다음 MFA 시행에서 옵션을 선택합니다.

    • 꺼짐 -MFA는 로그인 중에 적용되지 않으며 등록 또는 로그인하는 동안 사용자에게 MFA에 등록하라는 메시지가 표시되지 않습니다.

    • Always On - 조건부 액세스 설정에 관계없이 MFA가 항상 필요합니다. 등록하는 동안 사용자에게 MFA에 등록하라는 메시지가 표시됩니다. 로그인하는 동안 사용자가 아직 MFA에 등록하지 않은 경우 등록하라는 메시지가 표시됩니다.

    • 조건부 - 등록 및 로그인하는 동안 사용자에게 MFA에 등록하라는 메시지가 표시됩니다(새 사용자와 MFA에 등록되지 않은 기존 사용자 모두). 로그인하는 동안 MFA는 활성 조건부 액세스 정책 평가에 필요한 경우에만 적용됩니다.

      • 결과가 위험이 없는 MFA 체인지인 경우 MFA가 적용됩니다. 사용자가 MFA에 아직 등록되지 않은 경우 등록하라는 메시지가 표시됩니다.
      • 위험 MFA에 등록하지 않은 사용자로 인해 결과가 MFA 챌린지이면 로그인이 차단됩니다.

    참고 항목

    • Azure AD B2C에서 조건부 액세스가 일반 공급됨에 따라 이제 사용자에게 등록하는 동안 MFA 메서드에 등록하라는 메시지가 표시됩니다. 일반 공급 이전에 만든 등록 사용자 흐름은 이 새로운 동작을 자동으로 반영하지 않지만 새 사용자 흐름을 만들어 동작을 포함할 수 있습니다.
    • 조건부를 선택하는 경우 사용자 흐름에 조건부 액세스를 추가하고 정책을 적용할 앱을 지정해야 합니다.
    • 다단계 인증은 등록 사용자 흐름에 대해 기본적으로 사용하지 않도록 설정되어 있습니다. 전화 가입을 통해 사용자 흐름에서 MFA를 사용할 수 있으나, 여기에는 전화 번호가 기본 식별자로 사용되기 때문에 일회용 메일 암호가 두 번째 인증 요소에 사용할 수 있는 유일한 옵션이 됩니다.

  8. 저장을 선택합니다. 이제 이 사용자 흐름에 대해 MFA를 사용할 수 있습니다.

사용자 흐름 실행을 사용하여 환경을 확인할 수 있습니다. 다음 시나리오를 확인합니다.

다단계 인증 단계가 수행되기 전에 고객 계정이 테넌트에 만들어집니다. 이 단계에서 고객에게 자신의 전화 번호를 제공하고 확인하라는 메시지가 표시됩니다. 확인에 성공한 경우 전화번호는 나중에 사용하도록 고객 계정에 연결됩니다. 고객이 취소하거나 삭제하는 경우에도 다단계 인증이 사용하도록 설정된 다음 로그인 시 고객에게 전화 번호를 다시 확인하도록 요청할 수 있습니다.

다단계 인증을 사용하도록 설정하려면 다음과 같이 GitHub에서 사용자 지정 정책 스타터 팩을 가져옵니다.

  • .zip 파일을 다운로드하거나 https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack에서 리포지토리를 복제한 다음, SocialAndLocalAccountsWithMFA 스타터 팩의 XML 파일을 Azure AD B2C 테넌트 이름으로 업데이트합니다. SocialAndLocalAccountsWithMFA는 소셜 및 로컬 로그인 옵션, 그리고 다단계 인증 옵션(Authenticator 앱 - TOTP 옵션 제외)을 사용하도록 설정합니다.
  • Authenticator 앱 - TOTP MFA 옵션을 지원하려면 https://github.com/azure-ad-b2c/samples/tree/master/policies/totp에서 사용자 지정 정책 파일을 다운로드한 다음, XML 파일을 Azure AD B2C 테넌트 이름으로 업데이트합니다. SocialAndLocalAccounts 스타터 팩의 TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xmlTrustFrameworkBase.xml XML 파일을 포함해야 합니다.
  • [페이지 레이아웃]을 2.1.14 버전으로 업데이트합니다. 자세한 내용은 페이지 레이아웃 선택을 참조하세요.

인증자 앱을 사용하여 TOTP에 사용자 등록(최종 사용자용)

Azure AD B2C 애플리케이션에서 MFA에 대해 TOTP 옵션을 사용하는 경우 최종 사용자는 인증자 앱을 사용하여 TOTP 코드를 생성해야 합니다. 사용자는 Microsoft Authenticator 앱 또는 TOTP 확인을 지원하는 다른 인증자 앱을 사용할 수 있습니다. Microsoft Authenticator 앱을 사용하는 경우 Azure AD B2C 시스템 관리자는 다음 단계를 사용하여 최종 사용자에게 Microsoft Authenticator 앱을 설정하도록 조언해야 합니다.

  1. Android 또는 iOS 모바일 디바이스에 Microsoft Authenticator 앱을 다운로드하여 설치합니다.
  2. TOTP를 MFA에 사용해야 하는 Azure AD B2C 애플리케이션(예: Contoso 웹앱)을 연 다음, 필요한 정보를 입력하여 로그인하거나 가입합니다.
  3. 인증자 앱을 통해 QR 코드를 스캔하여 계정을 등록하라는 메시지가 표시되면 휴대폰에서 Microsoft Authenticator 앱을 열고 오른쪽 위 모서리에서 3개의 점이 있는 메뉴 아이콘(Android의 경우) 또는 + 메뉴 아이콘(iOS의 경우)을 선택합니다.
  4. + 계정 추가를 선택합니다.
  5. 기타 계정(Google, Facebook 등)을 선택한 다음, Azure AD B2C 애플리케이션에 표시된 QR 코드를 스캔하여 계정을 등록합니다. QR 코드를 스캔할 수 없는 경우 계정을 수동으로 추가할 수 있습니다.
    1. 휴대폰의 Microsoft Authenticator 앱에서 그렇지 않은 경우 수동으로 코드 입력을 선택합니다.
    2. Azure AD B2C 애플리케이션에서 문제가 지속됩니까?를 선택합니다. 그러면 계정 이름비밀이 표시됩니다.
    3. Microsoft Authenticator 앱에서 계정 이름비밀을 입력한 다음, 마침을 선택합니다.
  6. Azure AD B2C 애플리케이션에서 계속을 선택합니다.
  7. 코드 입력에 Microsoft Authenticator 앱에 표시되는 코드를 입력합니다.
  8. 확인을 선택합니다.
  9. 이후에 애플리케이션에 로그인하는 동안 Microsoft Authenticator 앱에 표시되는 코드를 입력합니다.

OATH 소프트웨어 토큰에 대해 알아보세요.

사용자의 TOTP 인증자 등록 삭제(시스템 관리자용)

사용자의 TOTP 인증자 앱 등록은 Azure AD B2C에서 삭제할 수 있습니다. 그러면 사용자는 TOTP 인증을 다시 사용하려면 계정을 다시 등록해야 합니다. 사용자의 TOTP 등록을 삭제하려면 Azure Portal 또는 Microsoft Graph API를 사용할 수 있습니다.

참고 항목

  • Azure AD B2C에서 사용자의 TOTP 인증자 앱 등록을 삭제해도 디바이스의 TOTP 인증자 앱에서 사용자의 계정이 제거되지 않습니다. 시스템 관리자는 다시 등록하기 전에 TOTP 인증자 앱에서 계정을 수동으로 삭제하도록 사용자에게 지시해야 합니다.
  • 사용자가 실수로 TOTP 인증자 앱에서 자신의 계정을 삭제한 경우 사용자가 다시 등록할 수 있도록 Azure AD B2C에서 사용자의 TOTP 인증자 등록을 삭제할 수 있는 시스템 관리자 또는 앱 소유자에게 알려야 합니다.

Azure Portal을 사용하여 TOTP 인증자 앱 등록 삭제

  1. Azure Portal에 로그인합니다.
  2. 여러 테넌트에 액세스할 수 있는 경우 상단 메뉴의 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.
  3. 왼쪽 메뉴에서 사용자를 선택합니다.
  4. TOTP 인증자 앱 등록을 삭제할 사용자를 검색하여 선택합니다.
  5. 왼쪽 메뉴에서 인증 방법을 선택합니다.
  6. 사용 가능한 인증 방법 아래에서 소프트웨어 OATH 토큰을 찾은 다음, 옆에 있는 줄임표 메뉴를 선택합니다. 이 인터페이스가 표시되지 않으면 "새 사용자 인증 방법 환경으로 전환하세요! 지금 사용하려면 여기를 클릭하세요" 옵션을 선택하여 새 인증 방법 환경으로 전환합니다.
  7. 삭제를 선택한 다음, 를 선택하여 확인합니다.

Screenshot of the Authentication methods page in the Azure portal with the Authentication methods menu item, Software OATH token authentication method and Delete button highlighted

Microsoft Graph API를 사용하여 TOTP 인증자 앱 등록 삭제

Microsoft Graph API를 사용하여 사용자의 소프트웨어 OATH 토큰 인증 방법을 삭제하는 방법에 대해 알아봅니다.

다음 단계