조직에 대해 FIDO2(Passkeys) 사용

  • 아티클

오늘날 암호를 사용하는 기업의 경우 FIDO2(passkeys)는 작업자가 사용자 이름이나 암호를 입력하지 않고도 인증할 수 있는 원활한 방법을 제공합니다. Passkey는 작업자에게 향상된 생산성을 제공하고 보안을 강화합니다.

이 문서에서는 조직에서 암호를 사용하도록 설정하는 요구 사항 및 단계를 나열합니다. 이러한 단계를 완료한 후 조직의 사용자는 FIDO2 보안 키 또는 Microsoft Authenticator에 저장된 암호를 사용하여 Microsoft Entra 계정에 등록하고 로그인할 수 있습니다.

Microsoft Authenticator에서 암호를 사용하도록 설정하는 방법에 대한 자세한 내용은 Microsoft Authenticator에서 암호를 사용하도록 설정하는 방법을 참조 하세요.

암호 인증에 대한 자세한 내용은 Microsoft Entra ID를 사용한 FIDO2 인증 지원을 참조하세요.

참고 항목

Microsoft Entra ID는 현재 FIDO2 보안 키 및 Microsoft Authenticator에 저장된 디바이스 바인딩 암호를 지원합니다. Microsoft는 암호 키를 사용하여 고객과 사용자를 보호하기 위해 최선을 다하고 있습니다. 회사 계정에 대해 동기화된 암호와 디바이스 바인딩된 암호 모두에 투자하고 있습니다.

요구 사항

  • Microsoft Entra MFA(다단계 인증).
  • 호환되는 FIDO2 보안 키 또는 Microsoft Authenticator.
  • 암호(FIDO2) 인증을 지원하는 디바이스입니다. Microsoft Entra ID에 가입된 Windows 디바이스의 경우 가장 좋은 환경은 Windows 10 버전 1903 이상입니다. 하이브리드 조인 디바이스는 Windows 10 버전 2004 이상을 실행해야 합니다.

암호는 Windows, macOS, Android 및 iOS의 주요 시나리오에서 지원됩니다. 지원되는 시나리오에 대한 자세한 내용은 Microsoft Entra ID의 FIDO2 인증 지원을 참조하세요.

암호 인증 방법 사용

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>인증 방법>인증 방법 정책으로 이동합니다.

  3. FIDO2 보안 키 방법 아래에서 모든 사용자 또는 그룹 추가를 선택하여 특정 그룹을 선택합니다. 보안 그룹만 지원됩니다.

  4. 구성을 저장합니다.

    참고 항목

    저장하려고 할 때 오류가 표시되는 경우 원인은 추가되는 사용자 또는 그룹의 수 때문일 수 있습니다. 이 문제를 해결하려면 동일한 작업에서 추가하려는 사용자와 그룹을 단일 그룹으로 바꾼 다음 저장을 다시 클릭합니다.

Passkey 선택적 설정

구성 탭에는 로그인에 암호를 사용하는 방법을 관리하는 데 도움이 되는 몇 가지 선택적 설정이 있습니다.

FIDO2 보안 키 옵션의 스크린샷.

  • 셀프 서비스 설정 허용로 설정된 상태를 유지해야 합니다. 아니요로 설정하면 인증 방법 정책에서 사용하도록 설정된 경우에도 사용자가 MySecurityInfo를 통해 암호를 등록할 수 없습니다.

  • 조직에서 FIDO2 보안 키 모델 또는 암호 공급자가 정품이며 합법적인 공급업체에서 제공되도록 보장하려는 경우 증명 적용을 예로 설정해야 합니다.

    • FIDO2 보안 키의 경우 FIDO Alliance 메타데이터 서비스를 사용하여 보안 키 메타데이터를 게시 및 확인하고 Microsoft의 또 다른 유효성 검사 테스트 집합을 통과해야 합니다. 자세한 내용은 Microsoft 호환 FIDO2 보안 키 공급업체 되기를 참조하세요.
    • Microsoft Authenticator의 암호는 현재 증명을 지원하지 않습니다.

    Warning

    증명 적용은 등록 중에만 암호가 허용되는지 여부를 제어합니다. 증명 적용이 나중에 Yes로 설정된 경우 로그인 중에 증명 없이 암호를 등록할 수 있는 사용자는 차단되지 않습니다.

키 제한 정책

  • 조직에서 AAGUID(Authenticator Attestation GUID)로 식별되는 특정 보안 키 모델 또는 암호 공급자만 허용하거나 허용하지 않으려는 경우에만 키 제한을로 설정해야 합니다. 보안 키 공급업체와 협력하여 암호의 AAGUID를 확인할 수 있습니다. 암호가 이미 등록된 경우 사용자에 대한 암호의 인증 방법 세부 정보를 확인하여 AAGUID를 찾을 수 있습니다.

  • 키 제한 적용이 예로 설정된 경우 관리 센터에 검사 상자가 표시되면 Microsoft Authenticator(미리 보기)를 선택할 수 있습니다. 그러면 키 제한 목록에서 Authenticator 앱 AAGUID가 자동으로 채워집니다. 그렇지 않으면 다음 AAGUID를 수동으로 추가하여 Authenticator 암호 미리 보기를 사용하도록 설정할 수 있습니다.

    • Android용 인증자: de1e552d-db1d-4423-a619-566b625cdc84
    • iOS용 인증자: 90a3ccdf-635c-4729-a248-9b709135078f

    Warning

    주요 제한 사항은 등록 및 인증 모두에 대해 특정 모델 또는 공급자의 유용성을 설정합니다. 키 제한 사항을 변경하고 이전에 허용한 AAGUID를 제거하면 이전에 허용된 방법을 등록한 사용자는 더 이상 로그인에 해당 방법을 사용할 수 없습니다.

Passkey Authenticator 증명 GUID(AAGUID)

FIDO2 사양을 사용하려면 등록하는 동안 각 보안 키 공급업체가 AAGUID(Authenticator Attestation GUID)를 제공해야 합니다. AAGUID는 make 및 model과 같은 키 형식을 나타내는 128비트 식별자입니다. 데스크톱 및 모바일 디바이스의 Passkey 공급자도 등록하는 동안 AAGUID를 제공해야 합니다.

참고 항목

공급업체는 해당 공급업체가 만든 모든 실질적으로 동일한 보안 키 또는 암호 공급자에서 AAGUID가 동일하고 다른 모든 유형의 보안 키 또는 암호 공급자의 AAGUID와 다른(높은 확률로) 동일한지 확인해야 합니다. 이를 위해 지정된 보안 키 모델 또는 암호 공급자에 대한 AAGUID를 임의로 생성해야 합니다. 자세한 내용은 웹 인증: 퍼블릭 키 자격 증명 액세스용 API - 2단계(w3.org)를 참조하세요.

AAGUID를 얻는 방법은 두 가지입니다. 보안 키 또는 암호 공급자 공급업체에 문의하거나 사용자당 키의 인증 방법 세부 정보를 볼 수 있습니다.

암호 키에 대한 AAGUID 보기의 스크린샷

Microsoft Graph API를 사용하여 암호 사용

Microsoft Entra 관리 센터를 사용하는 것 외에도 Microsoft Graph API를 사용하여 암호를 사용하도록 설정할 수도 있습니다. 암호를 사용하도록 설정하려면 인증 방법 정책을 Global 관리istrator 또는 인증 정책 관리istrator로 업데이트해야 합니다.

Graph Explorer를 사용하여 정책을 구성하려면:

  1. Graph Explorer에 로그인하고 Policy.Read.AllPolicy.ReadWrite.AuthenticationMethod 권한에 동의합니다.

  2. 인증 방법 정책을 검색합니다.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. 증명 적용을 사용하지 않도록 설정하고 RSA DS100용 AAGUID만 허용하도록 키 제한을 적용하려면 다음 요청 본문을 사용하여 PATCH 작업을 수행합니다.

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. 암호 키(FIDO2) 정책이 제대로 업데이트되었는지 확인합니다.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

패스키 삭제

사용자 계정과 연결된 암호를 제거하려면 사용자의 인증 방법에서 키를 삭제합니다.

  1. Microsoft Entra 관리 센터에 로그인하고 암호를 제거해야 하는 사용자를 검색합니다.

  2. 인증 방법을 마우스 오른쪽 단추로 클릭하고(디바이스 바인딩) 삭제를 선택합니다.>

    인증 방법 세부 정보 보기 스크린샷

Passkey 로그인 적용

사용자가 중요한 리소스에 액세스할 때 암호를 사용하여 로그인하도록 하려면 다음을 수행할 수 있습니다.

  • 기본 제공 피싱 방지 인증 강도 사용

    또는

  • 사용자 지정 인증 강도 만들기

다음 단계에서는 특정 보안 키 모델 또는 암호 공급자에 대해서만 암호 로그인을 허용하는 사용자 지정 인증 강도 조건부 액세스 정책을 만드는 방법을 보여 줍니다. FIDO2 공급자 목록은 현재 FIDO2 하드웨어 공급업체 파트너를 참조 하세요.

  1. Microsoft Entra 관리 센터에 조건부 액세스 관리istrator로 로그인합니다.
  2. 보호>인증 방법>인증 강도로 이동합니다.
  3. 새 인증 강도를 선택합니다.
  4. 새 인증 강도에 대한 이름을 제공합니다.
  5. 필요할 경우 설명을 입력할 수 있습니다.
  6. Passkeys(FIDO2)를 선택합니다.
  7. 필요에 따라 특정 AAGUID로 제한하려면 고급 옵션을 선택한 다음 AAGUID를 추가합니다. 허용되는 AAGUID를 입력합니다. 저장을 선택합니다.
  8. 다음을 선택하고 정책 구성을 검토합니다.

알려진 문제

B2B Collaboration 사용자

리소스 테넌트의 B2B 협업 사용자는 FIDO2 자격 증명 등록이 지원되지 않습니다.

보안 키 프로비전

관리 보안 키의 프로비저닝 및 프로비저닝 해제는 사용할 수 없습니다.

UPN 변경

사용자의 UPN이 변경되면 더 이상 변경 내용을 고려하도록 암호를 수정할 수 없습니다. 사용자에게 암호가 있는 경우 내 보안 정보에 로그인하고, 이전 암호를 삭제하고, 새 암호를 추가해야 합니다.

다음 단계

기본 앱 및 FIDO2(암호 없는 인증)의 브라우저 지원

FIDO2 보안 키 Windows 10 로그인

온-프레미스 리소스에 대한 FIDO2 인증 사용

디바이스 등록에 대해 자세히 알아보기

Microsoft Entra 다단계 인증에 대해 자세히 알아보기