Microsoft Authenticator에서 암호 사용
이 문서에서는 Microsoft Entra ID용 Authenticator의 패스키를 활성화하고 사용하도록 적용하는 단계를 나열합니다. 먼저 최종 사용자가 Authenticator의 패스키를 등록하고 해당 패스키를 사용하여 로그인할 수 있도록 인증 방법 정책을 업데이트합니다. 그런 다음 조건부 액세스 인증 강도 정책을 사용하여 사용자가 중요한 리소스에 액세스할 때 패스키 로그인을 사용하도록 적용할 수 있습니다.
요구 사항
- Microsoft Entra MFA(다단계 인증)
- Android 14 이상 또는 iOS 17 이상
- 암호 등록/인증 프로세스의 일부인 모든 디바이스에서 활성 인터넷 연결입니다. 디바이스 간 등록 및 인증을 사용하도록 설정하려면 조직에서 다음 두 엔드포인트에 대한 연결을 허용해야 합니다.
https://cable.ua5v.com
https://cable.auth.com
- 디바이스 간 등록/인증의 경우 두 디바이스 모두 Bluetooth가 사용 설정되어 있어야 합니다.
참고 항목
사용자는 패스키를 사용하려면 Android 또는 iOS용 Authenticator 최신 버전을 설치해야 합니다.
로그인에 Authenticator의 패스키를 사용할 수 있는 위치에 대한 자세한 내용은 Microsoft Entra ID를 사용한 FIDO2 인증 지원을 참조하세요.
관리 센터에서 Authenticator의 패스키 활성화
인증 정책 관리자는 인증 방법 정책의 패스키(FIDO2) 설정에서 Authenticator를 허용하는 데 동의해야 합니다. 사용자가 Authenticator 앱에서 패스키를 등록할 수 있도록 Microsoft Authenticator에 대한 AAGUID(Authenticator Attestation GUID)를 명시적으로 허용해야 합니다. 인증 방법 정책의 Microsoft Authenticator 앱 섹션에서 패스키를 사용하도록 설정하는 설정은 없습니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>인증 방법>인증 방법 정책으로 이동합니다.
패스키(FIDO2) 방법 아래에서 모든 사용자를 선택하거나 그룹 추가를 선택하여 특정 그룹을 선택합니다. 보안 그룹만 지원됩니다.
구성 탭에서:
셀프 서비스 설정 허용을 예로 설정합니다. 아니요로 설정하면 인증 방법 정책에서 패스키(FIDO2)를 사용하도록 설정한 경우에도 보안 정보를 사용하여 패스키를 등록할 수 없습니다.
증명 적용을 예로 설정합니다.
FIDO(Passkey) 정책에서 증명을 사용하도록 설정하면 Microsoft Entra ID가 생성되는 암호의 정당성을 확인하려고 합니다. 사용자가 Authenticator에 암호를 등록하는 경우 증명은 합법적인 Microsoft Authenticator 앱이 Apple 및 Google 서비스를 사용하여 암호를 생성했음을 확인합니다. 자세한 내용은 다음과 같습니다.
iOS: Authenticator 증명은 iOS 앱 증명 서비스를 사용하여 암호를 등록하기 전에 Authenticator 앱의 정당성을 보장합니다.
참고 항목
증명이 적용될 때 Authenticator에서 암호를 등록하기 위한 지원은 현재 iOS Authenticator 앱 사용자에게 배포되고 있습니다. Android 디바이스의 Authenticator에서 증명된 암호를 등록하기 위한 지원은 최신 버전의 앱의 모든 사용자가 사용할 수 있습니다.
Android:
- 플레이 무결성 증명의 경우 Authenticator 증명은 재생 무결성 API를 사용하여 암호를 등록하기 전에 Authenticator 앱의 정당성을 보장합니다.
- 키 증명의 경우 Authenticator 증명은 Android의 키 증명을 사용하여 등록되는 암호가 하드웨어 지원인지 확인합니다.
참고 항목
iOS 및 Android의 경우 Authenticator 증명은 Apple 및 Google 서비스를 사용하여 Authenticator 앱의 신뢰성을 확인합니다. 서비스 사용량이 많으면 암호 등록에 실패할 수 있으며 사용자는 다시 시도해야 할 수 있습니다. Apple 및 Google 서비스가 중단된 경우 Authenticator 증명은 서비스가 복원될 때까지 증명이 필요한 등록을 차단합니다. Google Play 무결성 서비스의 상태를 모니터링하려면 Google Play 상태 대시보드를 참조 하세요. iOS 앱 수집 서비스의 상태를 모니터링하려면 시스템 상태를 참조하세요.
키 제한은 등록 및 인증 모두에 대해 특정 패스키의 사용 가능 여부를 설정합니다. AAGUID로 식별되는 특정 패스키만 허용하거나 차단하도록 키 제한 적용을 예로 설정합니다.
이 설정은 예여야 하며 사용자가 Authenticator 앱에 로그인하거나 보안 정보에서 Microsoft Authenticator의 패스키를 추가하여 Authenticator에 패스키를 등록할 수 있도록 Microsoft Authenticator AAGUID를 추가해야 합니다.
보안 정보를 사용하려면 사용자가 Authenticator의 패스키를 선택하고 전용 Authenticator 패스키 등록 흐름을 통과할 수 있도록 이 설정을 예로 설정해야 합니다. 아니요를 선택하는 경우 사용자는 운영 체제 및 브라우저에 따라 보안 키 또는 암호 메서드를 선택하여 Microsoft Authenticator에서 암호를 추가할 수 있습니다. 그러나 많은 사용자가 해당 메서드를 검색하고 사용할 것으로 기대하지는 않습니다.
조직에서 현재 키 제한을 적용하지 않고 이미 활성 암호 사용량이 있는 경우 현재 사용 중인 암호의 AAGUID를 수집해야 합니다. Authenticator AAGUIDs에 해당 암호 AAGUID를 포함합니다.
PowerShell 스크립트를 사용하여 테넌트에서 사용되는 AAGUID를 찾을 수 있습니다. 자세한 내용은 AAGUID 찾기를 참조하세요.
키 제한 사항을 변경하고 이전에 허용한 AAGUID를 제거하면 이전에 허용된 방법을 등록한 사용자는 더 이상 로그인에 해당 방법을 사용할 수 없습니다.
특정 키 제한을 허용으로 설정합니다.
Microsoft Authenticator을 선택하여 Authenticator 앱 AAGUID를 키 제한 목록에 자동으로 추가하거나, 사용자가 Authenticator 앱에 로그인하거나 보안 정보 페이지의 안내 흐름을 이용해 Authenticator에 패스키를 등록할 수 있도록 다음 AAGUID를 수동으로 추가합니다.
- Android용 Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
- iOS용 Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f
참고 항목
키 제한을 해제하는 경우 사용자에게 보안 정보Authenticator 앱에서 암호를 설정하라는 메시지가 표시되지 않도록 Microsoft Authenticator 확인란의 선택을 취소해야 합니다.
구성을 마친 후 저장을 선택합니다.
참고 항목
저장하려고 할 때 오류가 표시되면 여러 그룹을 한 작업에서 단일 그룹으로 바꾼 다음, 다시 저장을 클릭합니다.
Graph 탐색기를 사용하여 Authenticator의 패스키 활성화
Microsoft Entra 관리 센터를 사용하는 것 외에도 Graph 탐색기를 사용하여 Authenticator의 패스키를 활성화할 수도 있습니다. 최소한 인증 정책 관리자 역할이 할당된 사용자는 Authenticator에 대한 AAGUID를 허용하도록 인증 방법 정책을 업데이트할 수 있습니다.
Graph 탐색기를 사용하여 정책을 구성하려면 다음 단계를 따릅니다.
Graph 탐색기에 로그인하고 Policy.Read.All 및 Policy.ReadWrite.AuthenticationMethod 권한에 동의합니다.
인증 방법 정책을 검색합니다.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
증명 적용을 비활성화하고 Microsoft Authenticator에 대한 AAGUID만 허용하도록 키 제한을 적용하기 위해 다음 요청 본문을 사용하여 PATCH 작업을 수행합니다.
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": true, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }
패스키(FIDO2) 정책이 적절하게 업데이트되었는지 확인합니다.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
AAGUID를 찾기
GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 Microsoft Graph PowerShell 스크립트를 사용하여 테넌트에 등록된 모든 암호의 AAGUID를 열거합니다. 이 스크립트의 본문을 GetRegisteredPasskeyAAGUIDsForAllUsers.ps1파일에 저장합니다.
# Disconnect from Microsoft Graph
Disconnect-MgGraph
# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'
# Define the output file [If the script is run more than once delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"
# Initialize the file with a header
Set-Content -Path $file -Value '---'
# Retrieve all users
$UserArray = Get-MgBetaUser -All
# Iterate through each user
foreach ($user in $UserArray) {
# Retrieve Passkey authentication methods for the user
$fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id
if ($fidos -eq $null) {
# Log and write to file if no Passkey methods are found
Write-Host "User object ID $($user.Id) has no Passkey"
Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
} else {
# Iterate through each Passkey method
foreach ($fido in $fidos) {
# Log and write to file the Passkey details
Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
}
}
# Log and write a separator to file
Write-Host "==="
Add-Content -Path $file -Value "==="
}
Authenticator에서 Bluetooth 사용량을 암호로 제한
일부 조직에서는 암호 사용을 포함하여 Bluetooth 사용을 제한합니다. 이러한 경우 조직은 암호 사용 FIDO2 인증자와 단독으로 Bluetooth 페어링을 허용하여 암호를 허용할 수 있습니다. 암호에 대해서만 Bluetooth 사용을 구성하는 방법에 대한 자세한 내용은 Bluetooth 제한 환경에서 Passkeys를 참조 하세요.
패스키 삭제
사용자가 Authenticator에서 암호를 삭제하면 사용자의 로그인 메서드에서도 암호가 제거됩니다. 인증 정책 관리자는 다음 단계에 따라 사용자의 인증 방법에서 암호를 삭제할 수도 있지만 Authenticator에서 암호를 제거하지는 않습니다.
- Microsoft Entra 관리 센터에 로그인하고 패스키를 제거해야 하는 사용자를 검색합니다.
- 인증 방법 선택 >FIDO2 보안 키를 마우스 오른쪽 단추로 클릭하고 삭제를 선택합니다.
참고 항목
사용자가 Authenticator에서 암호 삭제를 직접 시작하지 않는 한 디바이스의 Authenticator에서 암호를 제거해야 합니다.
Authenticator의 패스키로 로그인하도록 적용
사용자가 중요한 리소스에 액세스할 때 패스키를 사용하여 로그인하도록 하려면 기본 제공 피싱 방지 인증 강도를 사용하거나 다음 단계에 따라 사용자 지정 인증 강도를 만듭니다.
조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>인증 방법>인증 강도로 이동합니다.
새 인증 강도를 선택합니다.
새 인증 강도를 설명하는 이름을 제공합니다.
필요할 경우 설명을 입력할 수 있습니다.
패스키(FIDO2)를 선택한 다음, 고급 옵션을 선택합니다.
피싱 방지 MFA 강도를 선택하거나 Authenticator에서 암호에 대한 AAGUID를 추가할 수 있습니다.
- Android용 Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
- iOS용 Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f
다음을 선택하고 정책 구성을 검토합니다.