다음을 통해 공유

MFA 및 SSPR 정책 설정을 Microsoft Entra ID에 대한 인증 방법 정책으로 마이그레이션하는 방법

  • 아티클

MFA(다단계 인증) 및 SSPR(셀프 서비스 암호 재설정)을 별도로 제어하는 Microsoft Entra ID 레거시 정책 설정인증 방법 정책을 사용하여 통합 관리로 마이그레이션할 수 있습니다.

Microsoft Entra 관리 센터에서 인증 방법 마이그레이션 가이드(미리 보기)를 사용하여 마이그레이션을 자동화할 수 있습니다. 이 가이드에서는 MFA 및 SSPR에 대한 현재 정책 설정을 감사하는 데 도움이 되는 마법사를 제공합니다. 그런 다음 인증 방법 정책에서 이러한 설정을 통합하여 더 쉽게 함께 관리할 수 있습니다.

사용자의 일정에 따라 정책 설정을 수동으로 마이그레이션할 수도 있습니다. 마이그레이션 프로세스는 완전히 되돌릴 수 있습니다. 인증 방법 정책에서 사용자 및 그룹에 대한 인증 방법을 보다 정확하게 구성하는 동안 테넌트 차원의 MFA 및 SSPR 정책을 계속 사용할 수 있습니다.

마이그레이션 중에 이러한 정책이 함께 작동하는 방법에 대한 자세한 내용은 Microsoft Entra ID에 대한 인증 방법 관리를 참조하세요.

자동화된 마이그레이션 가이드

자동화된 마이그레이션 가이드를 사용하면 몇 번의 클릭만으로 인증 방법을 관리하는 위치를 마이그레이션할 수 있습니다. 보호>인증 방법>정책으로 이동하여 Microsoft Entra 관리 센터에서 액세스할 수 있습니다.

마법사 진입점이 강조 표시된 인증 방법 정책 블레이드의 스크린샷.

마법사의 첫 번째 페이지에서는 마법사의 내용과 작동 방식을 설명합니다. 또한 참조에 대한 각 레거시 정책 링크를 제공합니다.

마법사 첫 페이지가 강조 표시된 인증 방법 정책 블레이드의 스크린샷.

그런 다음 마법사는 레거시 MFA 및 SSPR 정책에서 조직에서 현재 사용하도록 설정한 내용에 따라 인증 방법 정책을 구성합니다. 레거시 정책 중 하나에서 메서드를 사용하는 경우 인증 방법 정책에서도 사용하도록 설정하는 것이 좋습니다. 이 구성을 사용하면 사용자는 이전에 사용한 것과 동일한 방법을 사용하여 계속해서 로그인하고 암호를 재설정할 수 있습니다.

또한 조직의 보안 상태를 개선하는 데 도움이 되도록 암호, 임시 액세스 패스 및 Microsoft Authenticator와 같은 최신 보안 방법을 사용하도록 설정하는 것이 좋습니다. 권장 구성을 편집하려면 각 메서드 옆에 있는 연필 아이콘을 선택합니다.

마법사 두 번째 페이지가 강조 표시된 인증 방법 정책 블레이드의 스크린샷.

구성에 만족하면 마이그레이션을 선택한 다음 마이그레이션을 확인합니다. 인증 방법 정책은 마법사에 지정된 구성과 일치하도록 업데이트됩니다. 레거시 MFA 및 SSPR 정책의 인증 방법은 회색으로 표시되고 더 이상 적용되지 않습니다.

마이그레이션 상태가 마이그레이션 완료로 업데이트됩니다. 필요한 경우 언제든지 이 상태를 진행 중으로 다시 변경하여 레거시 정책에서 메서드를 다시 사용하도록 설정할 수 있습니다.

수동 마이그레이션

먼저 사용자가 사용할 수 있는 각 인증 방법에 대한 기존 정책 설정을 감사합니다. 마이그레이션 중에 롤백하는 경우 다음 각 정책의 인증 방법 설정에 대한 레코드를 원할 수 있습니다.

  • MFA 정책
  • SSPR 정책(사용되는 경우)
  • 인증 방법 정책(사용되는 경우)

SSPR을 사용하지 않고 아직 인증 방법 정책을 사용하지 않는 경우 MFA 정책에서 설정만 가져와야 합니다.

레거시 MFA 정책 검토

먼저 레거시 MFA 정책에서 사용할 수 있는 방법을 문서화합니다.

전역 관리자Microsoft Entra 관리 센터에 로그인합니다.

ID>사용자>모든 사용자>사용자별 MFA>서비스 설정으로 이동하여 설정을 확인합니다. 이러한 설정은 테넌트 전체에 적용되므로 사용자 또는 그룹 정보가 필요하지 않습니다.

스크린샷은 기존 Microsoft Entra 다단계 인증 정책을 보여줍니다.

각 방법에 대해 테넌트에서 사용하도록 설정되었는지 여부를 확인합니다. 다음 표에서는 레거시 MFA 정책에서 사용할 수 있는 방법과 인증 방법 정책의 해당 방법을 나열합니다.

다단계 인증 정책 인증 방법 정책
휴대폰에 전화 걸기 음성 통화
휴대폰에 문자 메시지 전송 SMS
모바일 앱을 통한 알림 Microsoft Authenticator
모바일 앱 또는 하드웨어 토큰의 확인 코드 타사 소프트웨어 OATH 토큰
하드웨어 OATH 토큰
Microsoft Authenticator

레거시 SSPR 정책 검토

레거시 SSPR 정책에서 사용할 수 있는 인증 방법을 가져오려면 ID>보호>암호 재설정>인증 방법으로 이동합니다. 다음 표에서는 레거시 SSPR 정책에서 사용 가능한 방법과 인증 방법 정책의 해당 방법을 나열합니다.

레거시 Microsoft Entra SSPR 정책을 보여 주는 스크린샷.

SSPR 범위에 속하는 사용자(모든 사용자, 특정 그룹 또는 사용자 없음) 및 사용할 수 있는 인증 방법을 기록합니다. 보안 질문은 아직 인증 방법 정책에서 관리할 수 없지만 나중에 기록해야 합니다.

SSPR 인증 방법 인증 방법 정책
모바일 앱 알림 Microsoft Authenticator
모바일 앱 코드 Microsoft Authenticator
소프트웨어 OATH 토큰
전자 메일 전자 메일 OTP
휴대폰 음성 통화
SMS
사무실 전화 음성 통화
본인 확인 질문 아직 사용할 수 없음, 나중에 사용할 수 있는 질문 복사

인증 방법 정책

인증 방법 정책의 설정을 확인하려면 적어도 인증 정책 관리자Microsoft Entra 관리 센터에 로그인하고 보호>인증 방법>정책으로 이동합니다. 새 테넌트는 기본적으로 모든 방법이 해제되어 있습니다. 레거시 정책 설정을 기존 설정과 병합할 필요가 없으므로 마이그레이션이 더 쉬워집니다.

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. 보호>인증 방법>으로 이동합니다.

인증 방법을 보여 주는 스크린샷.

인증 방법 정책에는 FIDO2 보안 키, 임시 액세스 패스, Microsoft Entra 인증서 기반 인증과 같이 레거시 정책에서 사용할 수 없는 다른 방법이 있습니다. 이러한 방법은 마이그레이션을 범위에 속하지 않으며 이미 구성한 경우 변경할 필요가 없습니다.

인증 방법 정책에서 다른 방법을 사용하도록 설정한 경우 해당 방법을 사용할 수 있거나 사용할 수 없는 사용자 및 그룹을 적어 둡니다. 해당 방법을 사용하는 방법을 제어하는 구성 매개 변수를 기록해 둡니다. 예를 들어 푸시 알림의 위치를 제공하도록 Microsoft Authenticator를 구성할 수 있습니다. 각 방법과 연결된 유사한 구성 매개 변수가 사용하도록 설정된 사용자 및 그룹을 기록합니다.

마이그레이션 시작

현재 사용 중인 정책에서 사용 가능한 인증 방법을 캡처한 후 마이그레이션을 시작할 수 있습니다. 인증 방법 정책을 열고 마이그레이션 관리를 선택한 다음, 진행 중인 마이그레이션을 선택합니다.

마이그레이션 프로세스를 시작하는 방법을 보여 주는 스크린샷.

로그인 및 암호 재설정 시나리오 모두에 새 정책을 적용하기 때문에 변경하기 전에 이 옵션을 설정하는 것이 좋습니다.

진행 중인 마이그레이션 스크린샷.

다음 단계는 감사와 일치하도록 인증 방법 정책을 업데이트하는 것입니다. 각 방법을 하나씩 검토하려고 합니다. 테넌트가 레거시 MFA 정책만 사용하고 SSPR은 사용하지 않는 경우 업데이트는 간단합니다. 모든 사용자에 대해 각 방법을 사용하도록 설정하면 기존 정책과 정확하게 일치시킬 수 있습니다.

테넌트가 MFA와 SSPR을 모두 사용하는 경우 각 방법을 고려해야 합니다.

  • 두 레거시 정책에서 방법을 사용하도록 설정한 경우 인증 방법 정책의 모든 사용자에 대해 해당 방법을 사용하도록 설정합니다.
  • 두 레거시 정책에서 방법이 해제되어 있으면 인증 방법 정책의 모든 사용자에 대해서도 해제한 상태로 둡니다.
  • 방법이 하나의 정책에서만 사용하도록 설정된 경우 모든 상황에서 사용할 수 있는지 여부를 결정해야 합니다.

정책이 일치하는 경우 현재 상태를 쉽게 일치시킬 수 있습니다. 불일치가 있는 경우 방법을 모두 사용하거나 사용하지 않도록 설정할지 여부를 결정해야 합니다. 예를 들어 모바일 앱을 통한 알림이 MFA에 대한 푸시 알림을 허용하도록 설정된 경우를 가정해 보겠습니다. 레거시 SSPR 정책에서 모바일 앱 알림 방법이 사용하도록 설정되지 않습니다. 이 경우 레거시 정책은 MFA에 대한 푸시 알림을 허용하지만 SSPR은 허용하지 않습니다.

그런 다음, 인증 방법 정책에서 SSPR 및 MFA 모두에 대해 Microsoft Authenticator를 사용하도록 설정할지, 아니면 사용하지 않도록 설정할지 여부를 선택해야 합니다(Microsoft Authenticator를 사용하도록 설정하는 것이 좋음).

인증 방법 정책에서는 모든 사용자 외에도 사용자 그룹에 대해 방법을 사용하도록 설정하는 옵션이 있으며, 지정된 방법을 사용할 수 없도록 사용자 그룹을 제외할 수도 있습니다. 즉, 사용자가 어떤 방법을 사용할 수 있는지 제어할 수 있는 유연성이 많습니다. 예를 들어 모든 사용자에 대해 Microsoft Authenticator를 사용하도록 설정하고 SMS음성 통화를 이러한 방법이 필요한 20명의 사용자로 구성된 1개 그룹으로 제한할 수 있습니다.

인증 방법 정책에서 각 방법을 업데이트할 때 일부 방법에는 해당 방법을 사용하는 방법을 제어할 수 있는 구성 가능한 매개 변수가 있습니다. 예를 들어 음성 통화를 인증 방법으로 사용하도록 설정하는 경우 사무실 전화와 휴대폰 또는 모바일만 허용하도록 선택할 수 있습니다. 프로세스를 단계별로 진행하여 감사에서 각 인증 방법을 구성합니다.

기존 정책과 일치시킬 필요가 없습니다. 사용하도록 설정된 방법을 검토하고 테넌트의 보안 및 유용성을 최대화하는 새 정책을 선택할 수 있는 좋은 기회입니다. 이미 사용 중인 사용자에 대해 방법을 사용하지 않도록 설정하면 해당 사용자가 새 인증 방법을 등록하고 이전에 등록된 방법을 사용하지 못하도록 할 수 있습니다.

다음 섹션에서는 각 방법에 대한 특정 마이그레이션 지침을 다룹니다.

이메일로 일회용 암호 보내기

메일로 일회용 암호 보내기에 대한 두 가지 컨트롤이 있습니다.

구성의 사용 및 대상 섹션에서 포함 및 제외를 사용하여 대상을 지정하는 것은 암호 재설정 시 사용할 테넌트 멤버에 대해 메일 OTP를 사용하도록 설정하는 데 사용됩니다.

B2B 사용자의 로그인에 대한 메일 OTP 사용을 제어하는 구성 섹션에는 별도의 외부 사용자가 메일 OTP를 사용하도록 허용하는 컨트롤이 있습니다. 이 컨트롤을 사용하도록 설정하면 인증 방법을 사용하지 않도록 설정할 수 없습니다.

Microsoft Authenticator

레거시 MFA 정책에서 모바일 앱을 통한 알림을 사용하도록 설정한 경우 인증 방법 정책에서 모든 사용자에 대해 Microsoft Authenticator를 사용하도록 설정합니다. 푸시 알림 또는 암호 없는 인증을 허용하려면 인증 모드를 모두로 설정합니다.

레거시 MFA 정책에서 모바일 앱 또는 하드웨어 토큰의 확인 코드를 사용하도록 설정한 경우 Microsoft Authenticator OTP 사용 허용로 설정합니다.

Microsoft Authenticator OTP 스크린샷.

참고 항목

사용자가 "다른 인증자 앱을 사용" 마법사를 사용하여 OTP 코드에 대해서만 Microsoft Authenticator 앱을 등록하는 경우 타사 소프트웨어 OATH 토큰 정책을 사용하도록 설정해야 합니다.

SMS 및 음성 통화

레거시 MFA 정책에는 SMS전화 통화에 대한 별도의 컨트롤이 있습니다. 그러나 SMS 및 음성 통화 모두에 휴대폰을 사용할 수 있는 휴대 전화 컨트롤도 있습니다. 사무실 전화에 대한 또 다른 컨트롤을 사용하면 음성 통화에만 사무실 전화를 사용할 수 있습니다.

인증 방법 정책에는 레거시 MFA 정책과 일치하는 SMS음성 호출에 대한 컨트롤이 있습니다. 테넌트가 SSPR을 사용하고 휴대폰이 사용하도록 설정된 경우 인증 방법 정책에서 SMS음성 통화를 모두 사용하도록 설정해야 합니다. 테넌트가 SSPR을 사용하고 사무실 전화가 사용하도록 설정된 경우 인증 방법 정책에서 음성 통화를 사용하도록 설정하고 사무실 전화 옵션을 사용하도록 설정해야 합니다.

참고 항목

로그인에 사용 옵션은 SMS 설정에서 기본적으로 활성화됩니다. 이 옵션을 사용하면 SMS 로그인이 가능합니다. 사용자에 대해 SMS 로그인을 사용하도록 설정하면 테넌트 간 동기화에서 건너뛰게 됩니다. 테넌트 간 동기화를 사용하거나 SMS 로그인을 사용하도록 설정하지 않으려면 대상 사용자에 대해 SMS 로그인을 사용하지 않도록 설정합니다.

OATH 토큰

레거시 MFA 및 SSPR 정책의 OATH 토큰 컨트롤에는 Microsoft Authenticator 앱, 타사 소프트웨어 OATH TOTP 코드 생성기 앱, 하드웨어 OATH 토큰과 같은 세 가지 유형의 OATH 토큰을 사용할 수 있는 단일 컨트롤이었습니다.

인증 방법 정책에는 OATH 토큰의 각 유형에 대해 별도의 컨트롤이 있는 세분화된 컨트롤이 있습니다. Microsoft Authenticator의 OTP 사용은 정책의 Microsoft Authenticator 섹션에서 Microsoft Authenticator OTP 사용 허용 컨트롤을 통해 제어됩니다. 타사 앱은 정책의 타사 소프트웨어 OATH 토큰 섹션에서 제어됩니다. 하드웨어 OATH 토큰은 정책의 하드웨어 OATH 토큰 섹션에 의해 제어됩니다.

본인 확인 질문

보안 질문에 대한 컨트롤이 곧 제공될 예정입니다. 본인 확인 질문을 사용 중이고 사용하지 않도록 설정하지 않으려면 새 컨트롤을 사용할 수 있을 때까지 레거시 SSPR 정책에서 사용하도록 설정된 상태로 유지해야 합니다. 다음 섹션에서 설명한 대로 보안 질문을 사용하도록 설정하여 마이그레이션을 완료할 수 있습니다.

마이그레이션 완료

인증 방법 정책을 업데이트한 후 레거시 MFA 및 SSPR 정책을 살펴보고 각 인증 방법을 하나씩 제거합니다. 각 방법에 대한 변경 내용을 테스트하고 유효성을 검사합니다.

MFA 및 SSPR이 예상대로 작동하고 레거시 MFA 및 SSPR 정책이 더 이상 필요하지 않은 경우 마이그레이션 프로세스를 마이그레이션 완료로 변경할 수 있습니다. 이 모드에서 Microsoft Entra는 인증 방법 정책만 따릅니다. SSPR 정책의 보안 질문을 제외하고 마이그레이션 완료가 설정된 경우 레거시 정책을 변경할 수 없습니다. 어떤 이유로 레거시 정책으로 돌아가야 하는 경우 언제든지 마이그레이션 상태를 진행 중인 마이그레이션으로 다시 바꿀 수 있습니다.

마이그레이션 완료 스크린샷.

다음 단계