다단계 인증 배포 계획
Microsoft Entra 다단계 인증 배포를 시작하기 전에 몇 가지 사항을 결정해야 합니다.
먼저 웨이브에 따라 MFA를 출시하는 것이 좋습니다. 소규모 파일럿 사용자 그룹으로 시작하여 사용자 환경의 복잡성을 평가하고 설정 문제나 지원되지 않는 앱 또는 디바이스를 확인합니다. 회사 전체가 등록될 때까지 시간에 따라 그룹을 확장하고 각 패스에서 결과를 평가합니다.
그다음에는 전체 통신 계획을 만들어야 합니다. Microsoft Entra 다단계 인증에는 등록 프로세스를 포함하여 여러 가지 사용자 상호 작용 요구 사항이 있습니다. 사용자에게 모든 단계에 대한 정보를 유지합니다. 그들이 해야 할 일, 중요한 날짜 및 문제가 있는 경우 질문에 대한 답변을 얻는 방법을 알려주세요. Microsoft는 포스터를 포함한 통신 템플릿과 통신 작성에 도움이 되는 메일 템플릿을 제공합니다.
Microsoft Entra 다단계 인증 정책
Microsoft Entra 다단계 인증은 조건부 액세스 정책을 통해 적용됩니다. 조건부 액세스 정책은 IF-THEN 문입니다. IF 사용자가 리소스에 액세스하려는 경우 THEN 작업을 완료해야 합니다. 예를 들어 급여 애플리케이션에 액세스하려는 급여 관리자는 다단계 인증을 수행해야 액세스할 수 있습니다. MFA를 요구할 수 있는 다른 일반적인 액세스 요청은 다음과 같습니다.
- 특정 클라우드 애플리케이션에 액세스하는 경우
- 사용자가 특정 네트워크에 액세스하는 경우
- 사용자가 특정 클라이언트 애플리케이션에 액세스하는 경우
- 사용자가 새 디바이스를 등록하는 경우
지원되는 인증 방법 결정
Microsoft Entra 다단계 인증을 켜면 사용하려는 인증 방법을 선택할 수 있습니다. 기본 방법을 사용할 수 없는 경우 사용자가 백업 옵션을 이용할 수 있도록 항상 둘 이상의 방법을 지원해야 합니다. 다음 방법 중에서 선택할 수 있습니다.
| 방법 | 설명 |
|---|---|
| 모바일 앱 확인 코드 | Microsoft Authenticator 앱과 같은 모바일 인증 앱을 사용하여 OATH 확인 코드를 검색한 다음, 로그인 인터페이스에 입력할 수 있습니다. 이 코드는 30초마다 변경되며, 연결이 제한된 경우에도 앱이 작동합니다. 중국의 Android 디바이스에서는 이 방법이 작동하지 않습니다. |
| 모바일 앱 알림 | Azure는 Microsoft Authenticator와 같은 모바일 인증 앱에 푸시 알림을 보낼 수 있습니다. 사용자는 푸시 알림을 선택하고 로그인을 확인할 수 있습니다. |
| 전화 걸기 | Azure는 제공된 전화번호로 전화를 걸 수 있습니다. 그러면 사용자가 키패드를 사용하여 인증을 승인합니다. 이 방법은 백업에 선호됩니다. |
| FIDO2 보안 키 | FIDO2 보안 키는 암호화할 수 없는 표준 기반 암호 없는 인증 방법입니다. 이러한 키는 일반적으로 USB 디바이스이지만 Bluetooth 또는 NFC를 사용할 수도 있습니다. |
| 비즈니스용 Windows Hello | 비즈니스용 Windows Hello는 디바이스에서 암호를 강력한 2단계 인증으로 대체합니다. 이 인증은 디바이스에 연결되어 있고 생체 인식 또는 PIN을 사용하는 유형의 사용자 자격 증명으로 구성됩니다. |
| OATH 토큰 | OATH 토큰은 Microsoft Authenticator 앱 및 기타 인증자 앱과 같은 소프트웨어 애플리케이션 또는 고객이 다른 공급업체에서 구매할 수 있는 하드웨어 기반 토큰일 수 있습니다. |
관리자가 이러한 옵션 중 하나 이상을 사용하도록 설정하면, 사용자가 사용하려는 각 지원 인증 방법을 옵트인할 수 있습니다.
인증 방법 선택
마지막으로, 사용자가 선택한 방법을 등록하는 방식을 결정해야 합니다. 가장 쉬운 방법은 Microsoft Entra ID 보호을 사용하는 것입니다. 조직에 Identity Protection 라이선스가 있는 경우 사용자가 다음에 로그인할 때 MFA에 등록하라는 메시지를 표시하도록 구성할 수 있습니다.
사용자가 다단계 인증을 요구하는 애플리케이션이나 서비스를 사용하려는 경우에도 MFA에 등록하라는 메시지를 표시할 수도 있습니다. 마지막으로, 조직의 모든 사용자를 포함하는 Azure 그룹에 적용되는 조건부 액세스 정책을 사용하여 등록을 적용할 수 있습니다. 이 방법을 사용하는 경우, 그룹을 주기적으로 검토하여 등록된 사용자를 제거하기 위해 몇 가지 수동 작업이 필요합니다. 이 프로세스 중 일부를 자동화하는 몇 가지 유용한 스크립트는 Microsoft Entra 다단계 인증 배포 계획을 참조하세요.