Azure 및 기타 관리 포털에 대한 필수 다단계 인증 계획
Microsoft는 고객에게 최고 수준의 보안을 제공하기 위해 최선을 다하고 있습니다. 사용할 수 있는 가장 효과적인 보안 조치 중 하나는 MFA(다단계 인증)입니다. Microsoft의 연구에 따르면 MFA는 계정 손상 공격의 99.2% 이상을 차단할 수 있습니다.
따라서 2024년부터 모든 Azure 로그인 시도에 대해 필수 MFA(다단계 인증)를 적용합니다. 이 요구 사항에 대한 자세한 배경 정보는 블로그 게시물을 확인하세요. 이 항목에서는 영향을 받는 애플리케이션 및 계정, 적용이 테넌트에 롤아웃되는 방법 및 기타 일반적인 질문과 답변에 대해 설명합니다.
조직에서 이미 MFA를 적용하거나 FIDO2(암호 없는 암호 또는 암호 키)와 같은 더 강력한 방법으로 로그인하는 경우 사용자에게는 변경 사항이 없습니다. MFA가 사용하도록 설정되어 있는지 확인하려면 사용자가 필수 MFA에 대해 설정되어 있는지 확인하는 방법을 참조하세요.
적용 범위
적용 범위에는 MFA를 적용할 애플리케이션 계획, 적용이 계획된 경우 및 필수 MFA 요구 사항이 있는 계정이 포함됩니다.
애플리케이션
| 애플리케이션 이름 | 앱 ID | 적용 단계 |
|---|---|---|
| Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Microsoft Entra 관리 센터 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Microsoft Intune 관리 센터 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Microsoft 365 관리 센터 | 00000006-0000-0ff1-ce00-000000000000 | 2025년 초 |
| Azure CLI(Azure 명령줄 인터페이스) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 2025년 초 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 2025년 초 |
| Azure 모바일 앱 | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 2025년 초 |
| IaC(Infrastructure as Code) 도구 | Azure CLI 또는 Azure PowerShell ID 사용 | 2025년 초 |
계정
이전에 나열된 애플리케이션에 로그인하여 CRUD(만들기, 읽기, 업데이트 또는 삭제) 작업을 수행하는 모든 사용자는 적용이 시작될 때 MFA를 완료해야 합니다. 사용자가 Azure에서 호스트되는 다른 애플리케이션, 웹 사이트 또는 서비스에 액세스하는 경우 MFA를 사용할 필요가 없습니다. 이전에 나열된 각 애플리케이션, 웹 사이트 또는 서비스 소유자는 사용자의 인증 요구 사항을 제어합니다.
적용이 시작된 후 MFA로 로그인하려면 비상 또는 긴급 액세스 계정도 필요합니다. 이러한 계정을 업데이트하여 PASSKEY(FIDO2)를 사용하거나 MFA에 대한 인증서 기반 인증을 구성하는 것이 좋습니다. 두 방법 모두 MFA 요구 사항을 충족합니다.
관리 ID 및 서비스 주체와 같은 워크로드 ID는 이 MFA 적용 단계의 영향을 받지 않습니다. 사용자 ID를 자동화(스크립트 또는 기타 자동화된 작업 포함)를 실행하기 위해 서비스 계정으로 로그인하는 데 사용하는 경우 적용이 시작되면 해당 사용자 ID가 MFA로 로그인해야 합니다. 사용자 ID는 자동화에 권장되지 않습니다. 이러한 사용자 ID를 워크로드 ID로 마이그레이션해야 합니다.
사용자 기반 서비스 계정을 워크로드 ID로 마이그레이션
고객은 서비스 계정으로 사용되는 사용자 계정을 검색하여 워크로드 ID로 마이그레이션하는 것이 좋습니다. 마이그레이션을 수행하려면 워크로드 ID를 사용하기 위해 스크립트 및 자동화 프로세스를 업데이트해야 하는 경우가 많습니다.
사용자가 필수 MFA를 설정하여 애플리케이션에 로그인하는 서비스 계정으로 사용되는 사용자 계정을 포함하여 모든 사용자 계정을 식별하는 방법을 검토합니다.
이러한 애플리케이션을 사용한 인증을 위해 사용자 기반 서비스 계정에서 워크로드 ID로 마이그레이션하는 방법에 대한 자세한 내용은 다음을 참조하세요.
- Azure CLI를 사용하여 관리 ID로 Azure에 로그인
- Azure CLI를 사용하여 서비스 주체로 Azure에 로그인
- 자동화 시나리오에 대해 비대화형으로 Azure PowerShell에 로그인합니다. 여기에는 관리 ID 및 서비스 주체 사용 사례 모두에 대한 지침이 포함되어 있습니다.
일부 고객은 사용자 기반 서비스 계정에 조건부 액세스 정책을 적용합니다. 사용자 기반 라이선스를 회수하고 워크로드 ID 라이선스를 추가하여 워크로드 ID 에 조건부 액세스를 적용 할 수 있습니다.
구현
로그인 시 MFA에 대한 이 요구 사항은 관리자 포털에서 구현됩니다. Microsoft Entra ID 로그인 로그는 MFA 요구 사항의 원본으로 표시됩니다.
관리 포털에 대한 필수 MFA는 구성할 수 없습니다. 테넌트에서 구성한 액세스 정책과는 별도로 구현됩니다.
예를 들어 조직에서 Microsoft의 보안 기본값을 유지하도록 선택하고 현재 보안 기본값을 사용하도록 설정한 경우 Azure 관리에 MFA가 이미 필요하므로 사용자에게 변경 내용이 표시되지 않습니다. 테넌트가 Microsoft Entra에서 조건부 액세스 정책을 사용 중이고 사용자에게 MFA를 사용하여 Azure에 로그인하는 조건부 액세스 정책이 이미 있는 경우 사용자에게 변경 내용이 표시되지 않습니다. 마찬가지로, Azure를 대상으로 하고 피싱 방지 MFA와 같은 더 강력한 인증이 필요한 제한적인 조건부 액세스 정책은 계속 적용됩니다. 사용자에게 변경 내용이 표시되지 않습니다.
적용 단계
MFA의 적용은 다음 두 단계로 롤아웃됩니다.
1단계: 2024년 하반기부터 Azure Portal, Microsoft Entra 관리 센터, Microsoft Intune 관리 센터에 로그인하는 데 MFA가 필요합니다. 이 정책은 전 세계 모든 테넌트에게 점진적으로 적용될 예정입니다. 이 단계는 Azure CLI, Azure PowerShell, Azure 모바일 앱 또는 IaC 도구와 같은 다른 Azure 클라이언트에는 영향을 미치지 않습니다.
2단계: 2025년 초부터 Azure CLI, Azure PowerShell, Azure 모바일 앱 및 IaC 도구에 로그인할 때 MFA가 점진적으로 적용될 예정입니다. 일부 고객은 Microsoft Entra ID의 사용자 계정을 서비스 계정으로 사용할 수 있습니다. 이러한 사용자 기반 서비스 계정을 마이그레이션하여 워크로드 ID를 통해 클라우드 기반 서비스 계정을 보호하는 것이 좋습니다.
알림 채널
Microsoft는 다음 채널을 통해 모든 Microsoft Entra 전역 관리자에게 알립니다.
전자 메일: 전자 메일 주소를 구성한 전역 관리자는 예정된 MFA 적용 및 준비에 필요한 조치를 이메일로 알릴 수 있습니다.
서비스 상태 알림: 전역 관리자는 Azure Portal을 통해 추적 ID가 4V20-VX0인 서비스 상태 알림을 받습니다. 이 알림에는 이메일과 동일한 정보가 포함됩니다. 전역 관리자는 이메일을 통해 서비스 상태 알림을 받도록 구독할 수도 있습니다.
포털 알림: 로그인할 때 Azure Portal, Microsoft Entra 관리 센터 및 Microsoft Intune 관리 센터에 알림이 표시됩니다. 필수 MFA 적용에 대한 자세한 내용은 포털 알림이 이 항목에 연결됩니다.
Microsoft 365 메시지 센터: 메시지 ID가 MC862873 Microsoft 365 메시지 센터에 메시지가 나타납니다. 이 메시지에는 전자 메일 및 서비스 상태 알림과 동일한 정보가 있습니다.
적용 후 Microsoft Entra 다단계 인증에 배너가 표시됩니다.
외부 인증 방법 및 ID 공급자
외부 MFA 솔루션에 대한 지원은 외부 인증 방법으로 미리 보기로 제공되며 MFA 요구 사항을 충족하는 데 사용할 수 있습니다. 레거시 조건부 액세스 사용자 지정 컨트롤 미리 보기는 MFA 요구 사항을 충족하지 않습니다. 외부 솔루션을 Microsoft Entra ID와 함께 사용하려면 외부 인증 방법 미리 보기로 마이그레이션해야 합니다.
Active Directory Federation Services와 같은 페더레이션 IdP(ID 공급자)를 사용하고 MFA 공급자가 이 페더레이션 IdP와 직접 통합되는 경우 페더레이션 IdP는 MFA 클레임을 보내도록 구성되어야 합니다. 자세한 내용은 Microsoft Entra MFA에 대한 예상 인바운드 어설션 을 참조하세요.
적용을 준비하는 데 더 많은 시간 요청
일부 고객은 이 MFA 요구 사항을 준비하는 데 추가 시간이 필요할 수 있습니다. Microsoft는 복잡한 환경 또는 기술 장벽이 있는 고객이 2025년 3월 15일까지 테넌트에 대한 적용을 연기할 수 있도록 허용하고 있습니다.
2024년 8월 15일부터 2024년 10월 15일까지 전역 관리자는 Azure Portal로 이동하여 테넌트에 대한 적용 시작 날짜를 2025년 3월 15일로 연기할 수 있습니다. 이 페이지에서 MFA 적용 시작일을 연기하려면 전역 관리자에게 상승된 액세스 권한이 있어야 합니다.
전역 관리자는 적용 시작 날짜를 연기하려는 모든 테넌트에 대해 이 작업을 수행해야 합니다.
적용 시작 날짜를 연기하면 Azure Portal과 같은 Microsoft 서비스에 액세스하는 계정이 위협 행위자의 매우 중요한 대상이기 때문에 추가적인 위험이 발생합니다. 이제 모든 테넌트가 클라우드 리소스를 보호하기 위해 MFA를 설정하는 것이 좋습니다.
FAQ
질문: 테넌트가 테스트에만 사용되는 경우 MFA가 필요한가요?
답변: 예, 모든 Azure 테넌트에는 MFA가 필요하며 예외는 없습니다.
질문: 이 요구 사항은 Microsoft 365 관리 센터 어떤 영향을 미치나요?
답변: 필수 MFA는 2025년 초부터 Microsoft 365 관리 센터 롤아웃됩니다. Microsoft 365 관리 센터 대한 필수 다단계 인증을 발표하는 블로그 게시물에서 Microsoft 365 관리 센터 대한 필수 MFA 요구 사항에 대해 자세히 알아보세요.
질문: MFA는 모든 사용자에게 필수인가요? 아니면 관리자에게만 필수인가요?
답변: 이전에 나열된 애플리케이션에 로그인하는 모든 사용자는 활성화되거나 적합한 관리자 역할 또는 사용하도록 설정된 사용자 제외에 관계없이 MFA를 완료해야 합니다.
질문: 로그인 상태를 유지하는 옵션을 선택하는 경우 MFA를 완료해야 하나요?
답변: 예, 로그인 상태를 선택하더라도 이러한 애플리케이션에 로그인하려면 MFA를 완료해야 합니다.
질문: B2B 게스트 계정에 적용될까요?
답변: 예, 파트너 리소스 테넌트 또는 사용자의 홈 테넌트에서 테넌트 간 액세스를 사용하여 리소스 테넌트에 MFA 요청을 보내도록 올바르게 설정된 경우 사용자의 홈 테넌트에서 MFA를 준수해야 합니다.
질문: 다른 ID 공급자 또는 MFA 솔루션을 사용하여 MFA를 적용하고 Microsoft Entra MFA를 사용하여 적용하지 않는 경우 어떻게 규정을 준수할 수 있나요?
답변: 다중 사용자 클레임을 Microsoft Entra ID로 보내려면 ID 공급자 솔루션을 올바르게 구성해야 합니다. 자세한 내용은 Microsoft Entra 다단계 인증 외부 방법 공급자 참조를 참조하세요.
질문: 필수 MFA의 1단계 또는 2단계가 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 동기화하는 기능에 영향을 주나요?
답변: 아니요. 동기화 서비스 계정은 필수 MFA 요구 사항의 영향을 받지 않습니다. 이전에 나열된 애플리케이션만 로그인하려면 MFA가 필요합니다.
질문: 옵트아웃할 수 있나요?
옵트아웃할 수 있는 방법은 없습니다. 이 보안 동작은 Azure 플랫폼의 모든 안전 및 보안에 중요하며 클라우드 공급업체에서 반복되고 있습니다. 예를 들어 디자인별 보안: 2024년 MFA 요구 사항을 개선하기 위한 AWS를 참조하세요.
고객이 적용 시작 날짜를 연기하는 옵션을 사용할 수 있습니다. 2024년 8월 15일부터 2024년 10월 15일까지 전역 관리자는 Azure Portal로 이동하여 테넌트에 대한 적용 시작 날짜를 2025년 3월 15일로 연기할 수 있습니다. 전역 관리자는 이 페이지에서 MFA 적용 시작 날짜를 연기하기 전에 상승된 액세스 권한이 있어야 합니다. 연기가 필요한 각 테넌트에 대해 이 작업을 수행해야 합니다.
질문: Azure에서 정책을 적용하기 전에 MFA를 테스트하여 중단이 없는지 확인할 수 있나요?
답변: 예, 고객은 MFA에 대한 수동 설정 프로세스를 통해 MFA를 테스트할 수 있습니다. 이를 설정하고 테스트하는 것이 좋습니다. 조건부 액세스를 사용하여 MFA를 적용하는 경우 조건부 액세스 템플릿을 사용하여 정책을 테스트할 수 있습니다. 자세한 내용은 Microsoft 관리 포털에 액세스하는 관리자에게 다단계 인증 요구를 참조하세요. 무료 버전의 Microsoft Entra ID를 실행하는 경우 보안 기본값을 사용할 수 있습니다.
질문: MFA를 이미 사용하도록 설정한 경우 다음에는 어떻게 되나요?
답변: 이전에 나열된 애플리케이션에 액세스하는 사용자에 대해 이미 MFA가 필요한 고객은 변경 내용을 볼 수 없습니다. 사용자의 하위 집합에 대해서만 MFA가 필요한 경우 MFA를 아직 사용하지 않는 사용자는 이제 애플리케이션에 로그인할 때 MFA를 사용해야 합니다.
질문: Microsoft Entra ID에서 MFA 활동을 검토하려면 어떻게 해야 하나요?
답변: 사용자에게 MFA로 로그인하라는 메시지가 표시되는 시기에 대한 세부 정보를 검토하려면 Microsoft Entra 로그인 보고서를 사용합니다. 자세한 내용은 Microsoft Entra 다단계 인증에 대한 로그인 이벤트 세부 정보를 참조하세요.
질문: "비상" 시나리오가 있는 경우 어떻게 해야 하나요?
답변: 이러한 계정을 업데이트하여 패스키(FIDO2)를 사용하거나 MFA에 대한 인증서 기반 인증을 구성하는 것이 좋습니다. 두 방법 모두 MFA 요구 사항을 충족합니다.
질문: MFA가 적용되기 전에 MFA를 사용하도록 설정하는 방법에 대한 이메일을 받지 못하면 어떻게 해야 하나요? 어떻게 해결해야 하나요?
답변: 사용자는 잠기면 안 되지만 테넌트에 대한 적용이 시작되면 MFA를 사용하도록 설정하라는 메시지가 표시될 수 있습니다. 사용자가 잠긴 경우 다른 문제가 있을 수 있습니다. 자세한 내용은 계정이 잠겨 있음을 참조하세요.
관련 콘텐츠
MFA를 구성하고 배포하는 방법에 대해 자세히 알아보려면 다음 항목을 검토하세요.