Microsoft Entra 개요에 대한 결합된 보안 정보 등록
통합 등록 이전에는 사용자가 Microsoft Entra 다단계 인증과 SSPR(셀프 서비스 암호 재설정)에 대한 인증 방법을 별도로 등록했습니다. Azure Multi-Factor Authentication 및 SSPR에 유사한 방법이 사용된다는 사실이 혼란스러웠지만, 사람들은 두 기능을 모두 등록해야 했습니다. 이제 사용자는 결합된 등록을 통해 한 번 등록하고 Azure Multi-Factor Authentication 및 SSPR의 혜택을 모두 얻을 수 있습니다. Microsoft Entra ID에서 SSPR을 사용하도록 설정하고 구성하는 방법에 대한 이 동영상을 권장합니다.
새 환경을 사용하도록 설정하기 전에 이 기능의 기능과 영향을 이해할 수 있도록 이 관리자 중심 설명서 및 사용자 중심의 설명서를 검토합니다. 학습은 사용자용 설명 문서를 기반으로 하여 사용자가 새로운 환경을 준비하도록 하고 성공적인 출시를 보장하는 데 도움이 됩니다.
내 계정 페이지는 페이지에 액세스하는 컴퓨터의 언어 설정에 따라 지역화됩니다. Microsoft는 브라우저 캐시에서 가장 최근에 사용된 언어를 저장 하므로 페이지에 액세스하려는 이후 시도는 마지막으로 사용된 언어로 계속 렌더링됩니다. 캐시를 지우면 페이지가 다시 렌더링됩니다.
특정 언어를 강제로 사용하려는 경우 URL의 끝에 ?lng=<language>
를 추가할 수 있습니다. 여기서 <language>
은 렌더링할 언어의 코드입니다.
결합된 등록에서 사용할 수 있는 메서드
결합된 등록은 다음 표의 인증 방법 및 작업을 지원합니다.
메서드 | 등록 | 변경 | 삭제 |
---|---|---|---|
Microsoft Authenticator | 예(최대 5개) | 예 | 예 |
기타 인증자 앱 | 예(최대 5개) | 예 | 예 |
하드웨어 토큰 | 아니요 | 아니요 | 예 |
휴대폰 | 예(최대 2개) | 예 | 예 |
대체 전화 | 예 | 예 | 예 |
사무실 전화* | 예 | 예 | 예 |
전자 메일 | 예 | 예 | 예 |
본인 확인 질문 | 예 | 아니요 | 예 |
암호 | 예 | 예 | 아니요 |
앱 암호* | 예 | 아니요 | 예 |
패스키(FIDO2)* | 예(최대 10개) | 예 | 네 |
참고 항목
인증 방법 정책에서 암호 없는 인증 모드에 대해 Microsoft Authenticator를 사용하도록 설정하는 경우 사용자는 Authenticator 앱에서 암호 없는 로그인도 사용하도록 설정해야 합니다.
대체 전화는 보안 정보의 관리 모드에서만 등록할 수 있으며 인증 방법 정책에서 음성 통화를 사용해야 합니다.
사용자 회사 전화 속성이 설정된 경우에만 인터럽트 모드에서 사무실 전화를 등록할 수 있습니다. 이 요구 사항 없이 보안 정보에서 관리 모드로 사용자가 사무실 전화를 추가할 수 있습니다.
앱 암호는 사용자별 MFA를 적용한 사용자만 사용할 수 있습니다. 조건부 액세스 정책을 통해 Microsoft Entra 다단계 인증을 사용하도록 설정된 사용자는 앱 암호를 사용할 수 없습니다.
사용자 지정 클라이언트 또는 Microsoft Graph와의 파트너 통합을 사용하여 패스키(FIDO2)를 프로비전할 수도 있습니다. 자세한 내용은 API를 참조하세요.
사용자는 다음 옵션 중 하나를 기본 다단계 인증 방법으로 설정할 수 있습니다.
- Microsoft Authenticator - 푸시 알림 또는 암호 없음
- Authenticator 앱 또는 하드웨어 토큰 - 코드
- 전화 통화
- 문자 메시지
참고 항목
음성 통화 또는 SMS 메시지에는 가상 전화번호가 지원되지 않습니다.
타사 인증 앱은 푸시 알림을 제공하지 않습니다. Microsoft Entra ID에 더 많은 인증 방법을 계속 추가하고 있기 때문에 이러한 방법은 결합된 등록에서 사용할 수 있습니다.
결합된 등록 모드
결합된 등록에는 두 가지 모드가 있습니다.
- 인터럽트 모드는 로그인 시 보안 정보를 등록하거나 새로 고침할 때 사용자에게 제공된 마법사와 같은 환경입니다.
- 관리 모드는 사용자 프로필의 일부이며 사용자가 보안 정보를 관리할 수 있도록 합니다.
두 모드 모두 Microsoft Entra 다단계 인증에 사용할 수 있는 방법을 이전에 등록한 사용자는 보안 정보에 액세스하기 전에 다단계 인증을 수행해야 합니다. 사용자는 이전에 등록된 메서드를 계속 사용하기 전에 반드시 해당 정보를 확인해야 합니다.
인터럽트 모드
결합된 등록은 다단계 인증 및 SSPR 정책이 테넌트에 대해 사용하도록 설정된 경우 모두 준수됩니다. 이러한 정책은 로그인 하는 동안 사용자 등록이 인터럽트되었는지 여부와 어떤 메서드를 등록에 사용할 수 있는지 컨트롤합니다. SSPR 정책만 사용하도록 설정된 경우 사용자는 등록 중단을 건너뛰고(무기한) 나중에 완료할 수 있습니다.
다음은 사용자에게 보안 정보를 등록하거나 새로 고치라는 메시지가 표시될 수 있는 샘플 시나리오입니다.
- ID Protection을 통해 적용되는 다단계 인증 등록: 로그인 중 사용자에게 등록을 요청합니다. 다단계 인증 방법과 SSPR 방법을 등록합니다(사용자가 SSPR를 사용하도록 설정된 경우).
- 사용자별 다단계 인증을 통해 적용되는 다단계 인증 등록: 로그인 중 사용자에게 등록을 요청합니다. 다단계 인증 방법과 SSPR 메서드를 등록합니다(사용자가 SSPR를 사용하도록 설정된 경우).
- 조건부 액세스 또는 기타 정책을 통해 적용되는 다단계 인증 등록: 사용자가 다단계 인증이 필요한 리소스를 사용하는 경우 등록 요청합니다. 다단계 인증 방법과 SSPR 메서드를 등록합니다(사용자가 SSPR를 사용하도록 설정된 경우).
- SSPR 등록 적용: 로그인 중 사용자에게 등록을 요청합니다. SSPR 메서드만 등록합니다.
- SSPR 새로 고침 적용: 사용자는 관리자가 설정한 간격으로 보안 정보를 검토해야 합니다. 사용자는 자신의 정보를 확인하고 필요한 경우 현재 정보를 확인하거나 변경할 수 있습니다.
등록이 적용되면 사용자는 대부분의 보안 수준에서 다단계 인증 및 SSPR 정책을 준수하는 데 필요한 최소 메서드 수를 표시 합니다. MFA 및 SSPR 등록이 모두 적용되고 SSPR 정책에 두 가지 방법이 필요한 결합 등록을 진행하는 사용자는 먼저 MFA 방법을 첫 번째 방법으로 등록해야 하고 두 번째 등록 방법(예: 이메일, 본인 확인 질문 등)으로 다른 MFA 또는 SSPR 특정 방법을 선택할 수 있습니다.
다음과 같은 경우를 고려합니다.
- 사용자가 SSPR을 사용하도록 설정되어 있습니다. SSPR 정책에는 두 가지 초기화 방법이 필요하며 Microsoft Authenticator 앱, 이메일 및 전화를 사용하도록 설정했습니다.
- 사용자가 등록하도록 선택하는 경우 다음 두 가지 방법이 필요합니다.
- 기본적으로 사용자에게 Microsoft Authenticator 앱과 전화가 표시됩니다.
- 사용자는 Authenticator 앱 또는 휴대폰 대신 메일을 등록하도록 선택할 수 있습니다.
Microsoft Authenticator를 설정할 때 사용자는 다른 방법을 설정하려고 함을 클릭하여 다른 인증 방법을 등록할 수 있습니다. 사용 가능한 방법 목록은 테넌트에 대한 인증 방법 정책에 따라 결정됩니다.
다음 순서도는 로그인 중 등록이 중단된 경우 사용자에게 어떤 메서드가 표시되는지 설명합니다.
다단계 인증과 SSPR을 모두 사용하는 경우 다단계 인증 등록을 적용하는 것이 좋습니다.
SSPR 정책에 따라 사용자가 정기적으로 보안 정보를 검토해야 하는 경우 로그인하는 동안 사용자가 중단되고 등록된 모든 메서드가 표시됩니다. 현재 정보가 최신 정보인지 확인하거나 필요한 경우 변경할 수 있습니다. 사용자는 이 페이지에 액세스하려면 다단계 인증을 수행해야 합니다.
관리 모드
사용자는 보안 정보로 이동하거나 내 계정에서 보안 정보를 선택할 수 있습니다. 이 위치에서 사용자는 방법을 추가하고, 기존 방법을 삭제하거나 변경하며, 기본 방법을 변경하는 등의 작업을 수행할 수 있습니다.
결합된 등록에 대한 세션 제어
기본값으로 결합된 등록은 보안 정보를 등록하거나 관리하기 전에 모든 MFA 지원 사용자를 강력한 방식으로 인증합니다. 사용자가 현재 로그인되어 있고 이전에 유효한 세션의 일부로 MFA를 완료한 경우 사용자가 패스키(FIDO2) 방법을 추가하거나 수정하려고 시도하지 않는 한 기본값으로 추가 MFA가 필요하지 않습니다. 패스키(FIDO2) 메서드를 추가하거나 수정하려면 지난 5분 이내에 강력한 인증 방법으로 사용자를 인증해야 합니다. 지난 5분 동안 MFA가 완료되지 않은 경우 사용자에게 로그인하고 새 MFA를 완료하라는 메시지가 표시됩니다. 조직은 보안 정보 등록을 보호하기 위한 조건부 액세스 정책을 정의하여 인증 요구 사항을 수정할 수 있습니다.
결합된 등록 세션은 15분 동안만 유효합니다. 사용자 등록 또는 관리 작업이 이 기간보다 오래 걸리면 세션이 만료되고 사용자에게 다시 로그인하여 계속하라는 메시지가 표시됩니다.
주요 사용 시나리오
MySignIns에서 암호 변경
사용자가 보안 정보로 이동합니다. 사용자는 로그인한 후 암호를 변경할 수 있습니다. 사용자가 암호와 다단계 인증 방법을 사용하여 인증하는 경우 기존 암호를 입력하지 않고도 향상된 사용자 환경을 통해 암호를 변경할 수 있습니다. 완료되면 사용자의 보안 정보 페이지에 새 암호가 업데이트됩니다. 사용자가 기존 암호를 모르면 암호 변경 시 TAP(임시 액세스 패스)와 같은 인증 방법이 지원되지 않습니다.
참고 항목
레거시 암호 변경 환경으로 연결되는 링크가 있는 경우 사용자를 다음 전달 링크로 업데이트하여 새 내 로그인 암호 변경 환경(https://go.microsoft.com/fwlink/?linkid=2224198)으로 보내도록 합니다.
조건부 액세스로 보안 정보 등록 보호
사용자가 Microsoft Entra 다단계 인증 및 셀프 서비스 암호 재설정에 등록하는 시기와 방법을 보호하기 위해 조건부 액세스 정책에서 사용자 작업을 사용할 수 있습니다. 이 기능은 사용자가 HR 온보딩 중에 신뢰할 수 있는 네트워크 위치와 같은 중앙 위치에서 Microsoft Entra 다단계 인증 및 SSPR에 온보딩하기를 원하는 조직에서 사용하도록 설정될 수 있습니다. 보안 정보 등록을 보호하기 위한 일반적인 조건부 액세스 정책을 구성하는 방법에 대해 자세히 알아봅니다.
로그인하는 동안 보안 정보 설정
관리자가 등록을 적용했습니다.
사용자가 필요한 보안 정보를 모두 설정하지 않았으며 Microsoft Entra 관리 센터로 이동합니다. 사용자가 사용자 이름과 암호를 입력하면 보안 정보를 설정하라는 메시지가 표시됩니다. 그런 다음, 사용자는 마법사에 표시된 단계에 따라 필요한 보안 정보를 설정합니다. 설정에서 허용하는 경우 사용자는 기본값으로 표시된 방법 이외의 방법을 설정하도록 선택할 수 있습니다. 사용자가 마법사를 완료한 후 설정한 방법과 다단계 인증에 대한 기본 방법을 검토합니다. 설정 프로세스를 완료하기 위해 사용자는 정보를 확인하고 Microsoft Entra 관리 센터로 계속 진행합니다.
내 계정에서 보안 정보 설정
관리자가 등록을 적용하지 않았습니다.
필요한 보안 정보를 아직 모두 설정하지 않은 사용자는 https://myaccount.microsoft.com으로 이동합니다. 사용자는 왼쪽 창에서 보안 정보를 선택합니다. 이 위치에서 사용자는 메서드를 추가하도록 선택하고, 사용 가능한 메서드 중 하나를 선택한 후 해당 메서드를 설정하는 단계를 따릅니다. 완료되면 사용자는 보안 정보 페이지에 설정된 메서드를 볼 수 있습니다.
부분 등록 후 다른 방법 설정
사용자 또는 관리자가 수행한 기존 인증 방법 등록으로 인해 사용자가 MFA 또는 SSPR 등록에 어느 정도 만족한 경우 등록이 필요할 때 인증 방법 정책 설정이 허용하는 추가 정보만 등록하라는 메시지가 표시됩니다. 사용자가 두 가지 이상의 다른 인증 방법을 선택하고 등록할 수 있는 경우 등록 환경에 다른 방법을 설정하고 싶습니다. 옵션이 표시되고 사용자가 원하는 인증 방법을 설정할 수 있습니다.
내 계정에서 보안 정보 삭제
이전에 하나 이상의 방법을 설정한 사용자는 보안 정보로 이동합니다. 사용자는 이전에 등록된 방법 중 하나를 삭제하도록 선택합니다. 완료되면 사용자는 보안 정보 페이지에서 해당 메서드를 더 이상 확인할 수 없습니다.
내 계정에서 기본 방법 변경
이전에 다단계 인증에 사용할 수 있는 방법을 하나 이상 설정한 사용자는 보안 정보로 이동됩니다. 사용자는 현재 기본 방법을 다른 기본 방법으로 변경합니다. 완료되면 사용자는 보안 정보 페이지에서 새 기본 메서드를 볼 수 있습니다.
디렉터리 전환
B2B 사용자와 같은 외부 ID는 타사 테넌트의 보안 등록 정보를 변경하기 위해 디렉터리를 전환해야 할 수 있습니다. 또한 리소스 테넌트에 액세스하는 사용자는 홈 테넌트의 설정을 변경할 때 혼동을 일으킬 수 있지만 리소스 테넌트에 반영된 변경 사항을 볼 수 없습니다.
예를 들어 사용자가 홈 테넌트에 로그인하기 위한 기본 인증으로 Microsoft Authenticator 앱 푸시 알림을 설정하고, 또 다른 옵션으로 SMS/텍스트도 있습니다. 이 사용자는 리소스 테넌트에서 SMS/텍스트 옵션으로도 구성됩니다. 이 사용자가 홈 테넌트의 인증 옵션 중 하나로서의 SMS/문자를 제거하면 리소스 테넌트에 대한 액세스가 SMS/문자 메시지에 응답하도록 요청할 때 혼동을 받게 됩니다.
Microsoft Entra 관리 센터에서 디렉터리를 전환하려면 오른쪽 상단에서 사용자 계정 이름을 클릭하고 디렉터리 전환을 클릭합니다.
또는 URL로 테넌트를 지정하여 보안 정보에 액세스할 수 있습니다.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
참고 항목
통합 등록이나 내 로그인 페이지를 통해 보안 정보를 등록하거나 관리하려는 고객은 Microsoft Edge와 같은 최신 브라우저를 사용해야 합니다.
IE11은 모든 시나리오에서 예상대로 작동하지 않으므로 애플리케이션에서 웹 보기 또는 브라우저를 만드는 데 공식적으로 지원되지 않습니다.
업데이트되지 않았고 레거시 Webview를 사용하는 ADAL(Azure AD 인증 라이브러리)을 계속 사용하는 애플리케이션은 이전 버전의 Internet Explorer로 대체할 수 있습니다. 이러한 시나리오에서 사용자는 내 로그인 페이지로 이동하면 빈 페이지를 경험하게 됩니다. 이 문제를 해결하려면 최신 브라우저로 전환합니다.
다음 단계
시작하려면 셀프 서비스 암호 재설정 사용 및 Microsoft Entra 다단계 인증 사용 자습서를 참조하세요.
테넌트에서 결합된 등록을 사용 하도록 설정하거나 사용자가 인증 방법을 다시 등록하도록 하는 방법에 대해 알아봅니다.
Microsoft Entra다단계 인증 및 SSPR에 대해 사용 가능한 방법을 검토할 수도 있습니다.