Microsoft Entra ID의 인증 방법 - OATH 토큰
OATH TOTP(시간 기반 일회용 암호)는 OTP(일회용 암호) 코드가 생성되는 방법을 지정하는 개방형 표준입니다. OATH TOTP는 코드를 생성하는 소프트웨어 또는 하드웨어를 사용하여 구현할 수 있습니다. Microsoft Entra ID는 다른 코드 생성 표준인 OATH HOTP를 지원하지 않습니다.
소프트웨어 OATH 토큰
소프트웨어 OATH 토큰은 일반적으로 Microsoft Authenticator 앱 및 다른 인증자 앱과 같은 애플리케이션입니다. Microsoft Entra ID는 앱에 입력되고 각 OTP를 생성하는 데 사용되는 비밀 키 또는 시드를 생성합니다.
Authenticator 앱은 푸시 알림을 수행하도록 설정된 경우 자동으로 코드를 생성하므로 디바이스가 연결되지 않은 경우에도 사용자에게 백업이 있습니다. OATH TOTP를 사용하여 코드를 생성하는 타사 애플리케이션을 사용할 수도 있습니다.
일부 OATH TOTP 하드웨어 토큰은 프로그래밍 가능합니다. 즉, 사전 프로그래밍된 비밀 키 또는 시드가 제공되지 않습니다. 이러한 프로그래밍 가능한 하드웨어 토큰은 소프트웨어 토큰 설정 흐름에서 얻은 비밀 키 또는 시드를 사용하여 설정할 수 있습니다. 고객은 선택한 공급업체에서 이러한 토큰을 구매하고 해당 공급업체의 설정 프로세스에서 비밀 키 또는 시드를 사용할 수 있습니다.
하드웨어 OATH 토큰(미리 보기)
Microsoft Entra ID는 30초 또는 60초마다 코드를 새로 고치는 OATH-TOTP SHA-1 및 SHA-256 토큰의 사용을 지원합니다. 고객은 자신이 선택한 공급업체에서 이러한 토큰을 구매할 수 있습니다.
Microsoft Entra ID에는 Azure용 미리 보기에 새로운 Microsoft Graph API가 있습니다. 관리자는 최소 권한의 역할로 Microsoft Graph API에 액세스하여 미리 보기에서 토큰을 관리할 수 있습니다. Microsoft Entra 관리 센터의 이 미리 보기 새로 고침에는 하드웨어 OATH 토큰을 관리하는 옵션이 없습니다.
Microsoft Entra 관리 센터의 OATH 토큰에서 원래 미리 보기의 토큰 을 계속 관리할 수 있습니다. 반면에 Microsoft Graph API를 사용하여 미리 보기 새로 고침에서만 토큰을 관리할 수 있습니다.
이 미리 보기 새로 고침을 위해 Microsoft Graph와 함께 추가한 하드웨어 OATH 토큰은 관리 센터의 다른 토큰과 함께 표시됩니다. 하지만 Microsoft Graph를 사용해야만 관리할 수 있습니다.
시간 드리프트 수정
Microsoft Entra ID는 활성화 및 모든 인증 중에 토큰의 시간 드리프트를 조정합니다. 다음 표에서는 활성화 및 로그인 중에 Microsoft Entra ID가 토큰에 대해 수행하는 시간 조정을 나열합니다.
| 토큰 새로 고침 간격 | 활성화 시간 범위 | 인증 시간 범위 |
|---|---|---|
| 30초 | +/- 1일 | +/- 1분 |
| 60초 | +/- 2일 | +/- 2분 |
미리 보기 새로 고침의 향상된 기능
이 하드웨어 OATH 토큰 미리 보기 새로 고침은 전역 관리자 요구 사항을 제거하여 조직의 유연성과 보안을 향상시킵니다. 조직은 권한 있는 인증 관리자 또는 인증 정책 관리자에게 토큰 만들기, 할당 및 활성화를 위임할 수 있습니다.
다음 표에서는 미리 보기 새로 고침에서 하드웨어 OATH 토큰을 관리하기 위한 관리자 역할 요구 사항과 원래 미리 보기를 비교합니다.
| 작업 | 원래 미리 보기 역할 | 새로 고침 역할 미리 보기 |
|---|---|---|
| 테넌트의 인벤토리에 새 토큰을 만듭니다. | 전역 관리자 | 인증 정책 관리자 |
| 테넌트의 인벤토리에서 토큰을 읽습니다. 는 비밀을 반환하지 않습니다. | 전역 관리자 | 인증 정책 관리자 |
| 테넌트에서 토큰을 업데이트합니다. 예를 들어 제조업체 또는 모듈 업데이트 비밀을 업데이트할 수 없습니다. | 전역 관리자 | 인증 정책 관리자 |
| 테넌트의 인벤토리에서 토큰을 삭제합니다. | 전역 관리자 | 인증 정책 관리자 |
미리 보기 새로 고침의 일부로 최종 사용자는 보안 정보에서 토큰을 자체 할당하고 활성화할 수도 있습니다. 미리 보기 새로 고침에서 토큰은 한 사용자에게만 할당할 수 있습니다. 다음 표에서는 토큰을 할당하고 활성화하기 위한 토큰 및 역할 요구 사항을 나열합니다.
| 작업 | 토큰 상태 | 역할 요구 사항 |
|---|---|---|
| 테넌트에서 사용자에게 인벤토리의 토큰을 할당합니다. | 할당됨 | 멤버(자체) 인증 관리자 권한 있는 인증 관리자 |
| 사용자의 토큰을 읽고 비밀을 반환하지 않습니다. | 활성화/할당됨(토큰이 이미 활성화되었는지 여부에 따라 다름) | 멤버(자체) 인증 관리자(표준 읽기가 아닌 읽기만 제한됨) 권한 있는 인증 관리자 |
| 활성화를 위해 현재 6자리 코드를 제공하거나 토큰 이름을 변경하는 등 사용자의 토큰을 업데이트합니다. | 활성화됨 | 멤버(자체) 인증 관리자 권한 있는 인증 관리자 |
| 사용자로부터 토큰을 제거합니다. 토큰은 토큰 인벤토리로 돌아갑니다. | 사용 가능(테넌트 인벤토리로 돌아가기) | 멤버(자체) 인증 관리자 권한 있는 인증 관리자 |
레거시 MFA(다단계 인증) 정책에서 하드웨어 및 소프트웨어 OATH 토큰은 함께 사용하도록 설정할 수 있습니다. 레거시 MFA 정책에서 OATH 토큰을 사용하도록 설정하면 최종 사용자에게 보안 정보 페이지에 하드웨어 OATH 토큰을 추가하는 옵션이 표시됩니다.
최종 사용자에게 하드웨어 OATH 토큰을 추가하는 옵션을 표시하지 않으려면 인증 방법 정책으로 마이그레이션합니다. 인증 방법 정책에서 하드웨어 및 소프트웨어 OATH 토큰을 사용하도록 설정하고 별도로 관리할 수 있습니다. 인증 방법 정책으로 마이그레이션하는 방법에 대한 자세한 내용은 MFA 및 SSPR 정책 설정을 Microsoft Entra ID의 인증 방법 정책으로 마이그레이션하는 방법을 참조하세요.
Microsoft Entra ID P1 또는 P2 라이선스가 있는 테넌트는 원래 미리 보기와 같이 하드웨어 OATH 토큰을 계속 업로드할 수 있습니다. 자세한 내용은 CSV 형식의 하드웨어 OATH 토큰 업로드를 참조 하세요.
토큰을 업로드, 활성화 및 할당하는 데 사용할 수 있는 하드웨어 OATH 토큰 및 Microsoft Graph API를 사용하도록 설정하는 방법에 대한 자세한 내용은 OATH 토큰을 관리하는 방법을 참조 하세요.
OATH 토큰 아이콘
사용자는 보안 정보에서 OATH 토큰을 추가하고 관리하거나 내 계정에서 보안 정보를 선택할 수 있습니다. 소프트웨어 및 하드웨어 OATH 토큰에는 서로 다른 아이콘이 있습니다.
| 토큰 등록 유형 | Icon |
|---|---|
| OATH 소프트웨어 토큰 |  |
| OATH 하드웨어 토큰 |  |
관련 콘텐츠
OATH 토큰을 관리하는 방법에 대해 자세히 알아봅니다. 암호 없는 인증과 호환되는 FIDO2 보안 키 공급자에 대해 알아봅니다.