Microsoft Entra ID에서 암호 없는 인증 구현

  • 5분

MFA는 Contoso에서 위반 위험을 크게 줄이지만 암호 기반 로그인은 여전히 피싱을 가능한 공격 경로로 남깁니다. 다음 단계는 사용자를 암호 없는 인증으로 이동하는 것입니다. 여기서 로그인은 재사용 가능한 비밀이 아닌 신뢰할 수 있는 디바이스 및 로컬 생체 인식 또는 PIN 소유를 기반으로 합니다.

실질적으로 암호 없는 경우 보안 및 사용자 환경이 모두 향상됩니다. 사용자는 더 빠르게 로그인을 완료하고, 지원팀은 암호 재설정 요청을 줄이며, 보안 팀은 자격 증명 도난 및 재생 공격에 대한 노출을 줄입니다.

암호 없는 방법을 사용자 페르소나에 맞추기

Microsoft Entra ID는 여러 암호 없는 메서드를 지원합니다. 최상의 배포 전략은 모든 사람에게 하나의 메서드를 적용하는 대신 가상 사용자별로 메서드를 할당하는 것입니다.

페르소나 권장 방법 대안
관리자 및 규제된 사용자 FIDO2 보안 키 비즈니스용 Windows Hello
법인 Windows 디바이스를 사용하는 사무직 근로자 비즈니스용 Windows Hello Microsoft Authenticator의 암호
모바일 및 플랫폼 간 사용자 Microsoft Authenticator의 암호 동기화된 암호
최전방 또는 공유 디바이스 작업자 FIDO2 보안 키 Microsoft Authenticator의 암호
BYOD 사용자 동기화된 암호 또는 Authenticator 암호 FIDO2 보안 키

암호 없는 배포 경로를 보여 주는 의사 결정 흐름 다이어그램: 공유 및 최전방 디바이스용 FIDO2, 회사 랩톱용 비즈니스용 Windows Hello, 모바일 사용자를 위한 Authenticator 암호 키 및 사용자 고유의 디바이스 가져오기 시나리오를 위한 동기화된 암호 키.

Contoso에서 중요한 시스템을 관리하는 권한 있는 역할은 FIDO2 보안 키를 받는 반면, 대부분의 지식 근로자는 관리형 랩톱에서 비즈니스용 Windows Hello를 사용하고 모바일에서는 Authenticator 암호를 사용합니다.

관리되는 Windows 디바이스용 비즈니스용 Windows Hello 배포

WHfB(Windows Hello for Business) 는 디바이스 하드웨어로 보호되고 PIN 또는 생체 인식 제스처를 사용하여 로컬로 잠금 해제된 암호화 자격 증명을 만듭니다. 로그인하는 동안 암호가 전송되지 않으므로 피싱 저항이 크게 향상됩니다.

WHfB는 Intune 또는 그룹 정책에서 관리하는 Microsoft Entra 가입 또는 하이브리드 가입 Windows 장치에 가장 적합합니다. 최상의 호환성 및 환경을 위해 광범위한 출시 전에 지원되는 Windows 버전 및 TPM 가용성의 유효성을 검사합니다.

단계적 활성화 접근 방법을 사용합니다.

  1. 파일럿 그룹에 대해 비즈니스용 Windows Hello 정책을 사용하도록 설정합니다.
  2. 대상 하드웨어에서 생체 인식 및 PIN 설정의 유효성을 검사합니다.
  3. 모든 회사 Windows 사용자로 확장합니다.
  4. 로그인 성공 및 사용자 지원 추세를 추적합니다.

모바일 및 플랫폼 간 사용자를 위한 Microsoft Authenticator에서 패스키 활성화

여러 플랫폼에서 작업하는 사용자를 위해 Microsoft Authenticator의 Passkey 는 이식 가능한 피싱 방지 자격 증명을 제공합니다. 자격 증명은 모바일 디바이스에서 하드웨어로 지원되며 로컬 생체 인식 또는 PIN으로 잠금 해제됩니다.

Microsoft Entra 관리 센터에서 FIDO2(Passkey) 인증 방법 정책을 구성하고 올바른 사용자 그룹을 대상으로 합니다. 사용자는 보안 정보 페이지에서 등록합니다.

팁 (조언)

TAP(임시 액세스 패스)를 사용하여 신규 채용 및 복구 시나리오에 대한 첫 번째 암호 없는 등록을 부트스트랩합니다.

높은 보증 시나리오에 대한 FIDO2 보안 키 발급

FIDO2 보안 키 는 권한 있는 관리자, 규제 대상 사용자 및 공유 워크스테이션 환경에 적합합니다. 강력한 피싱 저항을 제공하며 하나의 디바이스 플랫폼에 연결되지 않습니다.

정책에서 FIDO2를 구성하는 경우:

  • 가장 위험도가 높은 대상부터 키를 범위 지정합니다.
  • 가능한 경우 승인되거나 증명된 키로 제한합니다.
  • Microsoft의 호환성 및 증명 지침에 대해 조달 선택 사항의 유효성을 검사합니다.

Contoso의 경우 이는 매우 중요한 데이터 및 관리 화면에 액세스하는 관리자 및 규정 준수 중심 팀의 기본 방법입니다.

편의성을 우선으로 하는 경우 동기화된 패스키를 계획합니다.

동기화된 암호 (미리 보기 지원 시나리오는 다를 수 있음)는 여러 개인 디바이스를 사용하는 사용자의 채택을 향상시킬 수 있습니다. 편의성과 광범위한 에코시스템 지원을 위해 일부 엔터프라이즈 제어 특성을 거래합니다.

유용성이 주요 채택 동인인 위험 수준이 낮은 일반 사용자 모집단에 동기화된 암호를 사용합니다. 권한 있는 사용자에 대해 하드웨어 바인딩 자격 증명(WHfB 또는 FIDO2)을 계속 사용합니다.

애플리케이션 및 서비스 워크로드로 암호 없는 전략 확장

OAuth 2.0/OpenID Connect에서 Microsoft Entra ID를 사용하는 대부분의 최신 애플리케이션은 앱 코드를 변경하지 않고 암호 없는 로그인을 사용할 수 있습니다. 각 클라이언트 플랫폼에 대한 사용자 경험의 유효성을 검사하여 동작을 확인합니다.

비인식 ID 및 백 엔드 서비스의 경우:

  • Azure 호스팅 워크로드에 대한 관리 ID 를 선호합니다.
  • 관리 ID를 사용할 수 없는 경우 수명이 긴 클라이언트 비밀 대신 인증서 기반 인증 을 사용합니다.
  • 높은 권한의 서비스 주체에 워크로드 ID 제어 및 모니터링을 적용합니다.

단계별 롤아웃 및 채택 측정

단계적 롤아웃은 Contoso가 중단을 줄이는 동시에 보안 결과를 개선하는 데 도움이 됩니다.

  1. 파일럿: IT 및 보안 얼리어답터.
  2. 권한 있는 역할: 관리자 및 영향력이 높은 사용자입니다.
  3. 중요 비즈니스용 팀: 의료 및 운영 직원.
  4. 일반 인력: 등록 캠페인을 사용한 광범위한 지원.
  5. 최적화: 가능한 경우 암호 의존도를 줄입니다.

작고 일관된 신호 집합을 사용하여 진행률을 모니터링합니다.

  • 암호 없는 방법으로 완료된 로그인의 비율입니다.
  • 사용자 그룹별 등록 완료율입니다.
  • 방법별 로그인 실패 추세입니다.
  • 인증과 관련하여 헬프데스크 티켓 수량을 관리합니다.

Contoso에서 이러한 메트릭은 정책 튜닝, 사용자 통신 및 지원 준비 상태를 안내하므로 암호 없는 항목은 안전하고 실용적입니다. 페르소나에 매핑되고 단계적으로 배포되는 암호 없는 방법을 통해 Contoso는 피싱 위험을 줄이면서 사용자에게 더 빠르고 편리한 접근을 제공할 수 있습니다.