Outlook용 Microsoft Authenticator Lite 모바일을 사용하도록 설정하는 방법
Microsoft Authenticator Lite는 Microsoft Entra 사용자가 Android 또는 iOS 디바이스에서 푸시 알림 또는 시간 기반 TOTP(일회성 암호)를 사용하여 다단계 인증을 완료할 수 있는 또 다른 표면입니다. Authenticator Lite를 사용하면 사용자는 익숙한 앱의 편의를 통해 다단계 인증 요구 사항을 충족할 수 있습니다. Authenticator Lite는 현재 Outlook 모바일에서 사용하도록 설정되어 있습니다.
사용자는 로그인을 승인하거나 거부하라는 알림을 Outlook 모바일에서 받거나 로그인 중에 사용할 TOTP를 복사할 수 있습니다.
참고 항목
이는 통신 전송을 통해 인증하는 사용자에게 중요한 보안 개선 사항입니다.
- 6월 26일에 이 기능의 Microsoft 관리 값이 인증 방법 정책에서 사용 안 함에서 사용으로 변경되었습니다. 이 기능을 더 이상 사용하도록 설정하지 않으려는 경우 상태를 기본값에서 사용 안 함으로 이동하거나 범위를 사용자 그룹으로만 지정합니다.
- 9월 18일부터 Authenticator Lite는 사용자별 MFA 정책에서 *모바일 앱을 통한 알림 확인 옵션의 일부로 사용하도록 설정됩니다. 이 기능을 사용하지 않으려면 아래 단계에 따라 인증 방법 정책에서 사용하지 않도록 설정하면 됩니다.
필수 조건
조직은 모든 사용자 또는 일부 그룹에 대해 Microsoft Authenticator(두 번째 요소) 푸시 알림을 사용하도록 설정해야 합니다. 최신 인증 방법 정책을 사용하여 Microsoft Authenticator를 사용하도록 설정하는 것이 좋습니다. Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용하여 인증 방법 정책을 편집할 수 있습니다. Authenticator Lite는 활성 MFA 서버가 있는 온-프레미스 사용자 계정 또는 조직에 적합하지 않습니다.
팁
Authenticator Lite를 사용하도록 설정할 때 시스템 기본 MFA(다단계 인증)도 사용하도록 설정하는 것이 좋습니다. 시스템 기본 설정 MFA를 사용하도록 설정하면 사용자는 SMS 또는 음성 통화와 같은 덜 안전한 전화 통신 방법을 시도하기 전에 Authenticator Lite로 로그인을 시도하게 됩니다.
조직에서 AD FS(Active Directory Federation Services) 어댑터 또는 NPS(네트워크 정책 서버) 확장을 사용하는 경우 일관된 환경을 위해 최신 버전으로 업그레이드합니다.
Outlook 모바일에서 공유 디바이스 모드를 사용하도록 설정된 사용자는 Authenticator Lite에 적합하지 않습니다.
사용자는 최소 Outlook 모바일 버전을 실행해야 합니다.
운영 체제 Outlook 버전 Android 4.2310.1 iOS 4.2312.1
Authenticator Lite 사용
기본적으로 Authenticator Lite는 인증 방법 정책에서 Microsoft에서 관리됩니다. 6월 26일에 이 기능의 Microsoft 관리 값이 '사용 안 함'에서 '사용'으로 변경되었습니다. 또한 Authenticator Lite는 사용자별 MFA 정책에서 모바일 앱 확인을 통한 알림 옵션의 일부로 포함됩니다.
Microsoft Entra 관리 센터에서 인증자 라이트 사용 안 함
Microsoft Entra 관리 센터에서 인증자 라이트를 사용하지 않도록 설정하려면 다음 단계를 완료합니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>인증 방법>Microsoft Authenticator로 이동합니다.
사용 및 대상 탭에서 사용 및 모든 사용자를 클릭하여 모든 사용자에 대한 Authenticator 정책을 사용하도록 설정하거나 일부 그룹을 추가합니다. 이러한 사용자/그룹에 대한 인증 모드를 임의 또는 푸시로 설정합니다.
Microsoft Authenticator를 사용할 수 없는 사용자는 이 기능을 볼 수 없습니다. Outlook이 다운로드된 동일한 디바이스에 Microsoft Authenticator를 다운로드한 사용자는 Outlook에서 Authenticator Lite에 등록하라는 메시지가 표시되지 않습니다. Authenticator가 Outlook 애플리케이션과 다른 프로필에 있는 경우 디바이스에서 개인 및 회사 프로필을 활용하는 Android 사용자에게 등록하라는 메시지가 표시될 수 있습니다.
구성 탭에서 도우미 애플리케이션의 Microsoft Authenticator에 대해 상태를 사용 안 함으로 변경하고 Authenticator Lite에서 포함하거나 제외할 사용자를 저장을 클릭합니다.
참고 항목
조직에서 인증 방법을 사용자별 MFA 정책에서 계속 관리하는 경우 이전 단계 외에도 모바일 앱을 통한 알림을 확인 옵션으로 사용하지 않도록 설정해야 합니다. 인증 방법 정책에서 Microsoft Authenticator를 사용하도록 설정한 후에만 이 작업을 수행하는 것이 좋습니다. Microsoft Authenticator는 최신 인증 방법 정책에서 관리되는 동안 사용자별 MFA 정책에서 인증 방법의 나머지 부분을 계속 관리할 수 있습니다. 그러나 모든 인증 방법의 관리를 최신 인증 방법 정책으로 마이그레이션하는 것이 좋습니다. 사용자별 MFA 정책에서 인증 방법을 관리하는 기능은 2025년 9월 30일에 사용 중지됩니다.
Graph API를 통해 Authenticator Lite 사용
| 속성 | Type | 설명 |
|---|---|---|
| excludeTarget | featureTarget | 이 기능에서 제외되는 단일 엔터티입니다. 동적 또는 중첩 그룹일 수 있는 Authenticator Lite에서 하나의 그룹만 제외할 수 있습니다. |
| includeTarget | featureTarget | 이 기능에 포함된 단일 엔터티입니다. 동적 또는 중첩 그룹일 수 있는 Authenticator Lite에 대해 하나의 그룹만 포함할 수 있습니다. |
| 주 | advancedConfigState | 가능한 값은 다음과 같습니다. enabled는 선택한 그룹에 대해 기능을 명시적으로 사용하도록 설정합니다. disabled는 선택한 그룹의 기능을 명시적으로 사용하지 않도록 설정합니다. default를 사용하면 Microsoft Entra ID에서 선택한 그룹에 대해 기능이 사용하도록 설정되었는지 여부를 관리할 수 있습니다. |
단일 대상 그룹을 식별한 후에는 다음 API 엔드포인트를 사용하여 featureSettings에서 CompanionAppsAllowedState 속성을 변경합니다.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
참고 항목
Graph Explorer에서 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.
Request
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
사용자 등록
Authenticator Lite에 대해 활성화된 경우 Outlook 모바일에서 직접 계정을 등록하라는 메시지가 사용자에게 표시됩니다. Authenticator Lite 등록은 MySignIns를 통해 사용할 수 없습니다. 사용자는 Outlook 모바일 내에서 Authenticator Lite를 사용하거나 사용하지 않도록 설정할 수도 있습니다. 사용자 환경에 대한 자세한 내용은 Authenticator Lite 지원을 참조하세요.
참고 항목
MFA 방법이 등록되지 않은 경우 등록 흐름을 시작할 때 Authenticator를 다운로드하라는 메시지가 사용자에게 표시됩니다. 가장 원활한 환경을 구현하려면 Authenticator Lite 등록 중에 사용할 수 있는 TAP(임시 액세스 패스)로 사용자를 프로비전합니다.
Authenticator Lite 사용량 모니터링
로그인 로그는 사용자 인증을 완료하는 데 사용된 앱을 표시할 수 있습니다. 최신 로그인을 보려면 베타 API 엔드포인트에서 다음 호출을 사용합니다.
GET auditLogs/signIns
휴대폰 앱 알림으로 로그인을 수행한 경우 authenticationAppDeviceDetails에서 clientApp 필드는 microsoftAuthenticator 또는 Outlook을 반환합니다.
사용자가 Authenticator Lite를 등록한 경우 사용자의 등록된 인증 방법에는 Microsoft Authenticator(Outlook)가 포함됩니다.
Authenticator Lite의 푸시 알림
Authenticator Lite에서 보낸 푸시 알림은 구성할 수 없으며 Authenticator 기능 설정에 의존하지 않습니다. Authenticator Lite는 암호 없는 인증 모드를 지원하지 않습니다. Authenticator Lite 환경에 포함된 기능에 대한 설정은 다음 표에 나와 있습니다. 모든 인증에는 숫자 일치 프롬프트가 포함되며 Microsoft Authenticator 기능 설정에 관계없이 앱 및 위치 컨텍스트는 포함되지 않습니다.
| 인증자 기능 | Authenticator Lite 환경 |
|---|---|
| 번호 일치 | Enabled |
| 위치 컨텍스트 | 사용 안 함 |
| 애플리케이션 컨텍스트 | 사용 안 함 |
다음 스크린샷은 Authenticator Lite가 푸시 알림을 보낼 때 사용자에게 표시되는 내용을 보여 줍니다.
AD FS 어댑터 및 NPS 확장
Authenticator Lite는 모든 인증에서 번호 일치를 적용합니다. 테넌트가 AD FS 어댑터 또는 NPS 확장을 사용하는 경우 사용자가 Authenticator Lite 알림을 완료하지 못할 수 있습니다. 자세한 내용은 AD FS 어댑터 및 NPS 확장을 참조하세요.
확인 알림에 대한 자세한 내용은 Microsoft Authenticator 인증 방법을 참조하세요.
일반적인 질문
Authenticator Lite는 broker 앱으로 작동하나요?
아니요, Authenticator Lite는 푸시 알림 및 TOTP에만 사용할 수 있습니다.
Authenticator Lite를 SSPR에 사용할 수 있나요?
아니요, Authenticator Lite는 푸시 알림 및 TOTP에만 사용할 수 있습니다.
Outlook 데스크톱 앱에서 사용할 수 있나요?
아니요, Authenticator Lite는 Outlook 모바일에서만 사용할 수 있습니다.
사용자는 어디에서 Authenticator Lite에 등록할 수 있나요?
사용자는 모바일 Outlook에서만 Authenticator Lite에 등록할 수 있습니다. Authenticator Lite 등록은 aka.ms/mysignins에서 관리할 수 있습니다.
사용자가 Microsoft Authenticator 및 Authenticator Lite를 등록할 수 있나요?
디바이스에 Microsoft Authenticator가 있는 사용자는 동일한 디바이스에 Authenticator Lite를 등록할 수 없습니다. 사용자에게 Authenticator Lite 등록이 있고 나중에 Microsoft Authenticator를 다운로드하는 경우 둘 다 등록할 수 있습니다. 사용자에게 두 개의 디바이스가 있는 경우 하나에는 Authenticator Lite를 등록하고 다른 하나에는 Microsoft Authenticator를 등록할 수 있습니다.
알려진 문제
SSPR 알림
Outlook의 TOTP 코드는 SSPR에 대해 작동하지만 푸시 알림이 작동하지 않고 오류가 반환됩니다.
추가 조건부 액세스 평가를 보여 주는 로그
조건부 액세스 정책은 사용자가 Outlook 앱을 열 때마다 평가되어 사용자가 Authenticator Lite에 등록할 수 있는지 여부를 확인합니다. 이러한 검사는 로그에 나타날 수 있습니다.