Authenticator에 대한 MFA 푸시 알림에서 숫자 일치가 작동하는 방법 - 인증 방법 정책

이 문서에서는 Authenticator 푸시 알림의 숫자 일치가 사용자 로그인 보안을 개선하는 방법을 설명합니다. 숫자 일치는 Authenticator의 전통적인 2단계 인증 알림에서 주요 보안 업그레이드입니다.

모든 Authenticator 푸시 알림에 대해 숫자 일치를 사용할 수 있습니다.

숫자 일치 시나리오

숫자 일치는 다음 시나리오에서 사용할 수 있습니다. 이 기능을 사용하도록 설정하면 모든 시나리오에서 숫자 일치를 지원합니다.

• MFA
• SSPR(셀프 서비스 암호 재설정)
• Authenticator 앱 설정 동안 결합된 SSPR 및 MFA 등록
• AD FS(Active Directory Federation Services) 어댑터
• NPS(네트워크 정책 서버) 확장

Apple Watch 또는 Android 웨어러블 디바이스에 대한 푸시 알림에는 숫자 일치가 지원되지 않습니다. 웨어러블 디바이스 사용자는 전화기를 사용하여 번호 일치를 사용하도록 설정한 경우 알림을 승인해야 합니다.

다단계 인증

사용자가 Authenticator를 사용하여 MFA 푸시 알림에 응답하면 숫자가 표시됩니다. 승인을 완료하려면 앱에 해당 번호를 입력해야 합니다. MFA를 설정하는 방법에 대한 자세한 내용은 자습서: Microsoft Entra 다단계 인증사용하여 사용자 로그인 이벤트 보안 유지를 참조하세요.

SSPR

Authenticator를 사용하는 SSPR에는 사용자가 Authenticator를 사용하는 경우 숫자 일치가 필요합니다. SSPR 중에 로그인 페이지에는 사용자가 Authenticator 알림에 입력해야 하는 번호가 표시됩니다. SSPR 설정에 대한 자세한 내용은 자습서: 사용자가 계정 잠금을 해제하거나암호를 재설정하는 방법을 참조하십시오.

결합된 등록

Authenticator와 함께 등록하려면 숫자 일치가 필요합니다. 사용자가 Authenticator를 설정하기 위해 결합된 등록을 거치면 사용자는 계정을 추가하기 위한 알림을 승인해야 합니다. 이 알림은 사용자가 Authenticator 알림에 입력해야 하는 숫자를 표시합니다. 결합된 보안 정보 등록 설정 방법에 대한 자세한 내용은 결합된 보안 정보 등록사용을 참조하세요.

AD FS 어댑터

AD FS 어댑터는 지원되는 Windows Server 버전에서 숫자 일치가 필요합니다. 이전 버전에서는 사용자가 승인/거부 환경을 계속 볼 수 있으며, 업그레이드하기 전까지는 번호 일치 기능을 볼 수 없습니다. AD FS 어댑터는 다음 표의 업데이트 중 하나를 설치한 후에만 숫자 일치를 지원합니다. AD FS 어댑터를 설정하는 방법에 대한 자세한 내용은 Windows ServerAD FS와 작동하도록 Microsoft Entra 다단계 인증 서버 구성을 참조하세요.

메모

패치되지 않은 버전의 Windows Server는 숫자 일치를 지원하지 않습니다. 사용자는 승인/거부 환경을 계속 보고 있으며 이러한 업데이트가 적용되지 않는 한 번호 일치 기능을 보지 못합니다.

버전	업데이트
Windows Server 2022	2021년 11월 9일 — KB5007205(OS 빌드 20348.350)
Windows Server 2019	2021년 11월 9일 — KB5007206(OS 빌드 17763.2300)
Windows Server 2016	2021년 10월 12일 — KB5006669(OS 빌드 14393.4704)

NPS 확장

NPS는 숫자 일치를 지원하지 않지만, 최신 NPS 확장은 Authenticator, 다른 소프트웨어 토큰 및 하드웨어 FOB에서 사용할 수 있는 TOTP와 같은 시간 기반 TOTP(일회성 암호) 메서드를 지원합니다. TOTP 로그인은 승인/거부 환경보다 더 나은 보안을 제공합니다. 당신은 최신 버전의 NPS 확장을 실행하고 있는지 확인해야 합니다.

NPS 확장 버전 1.2.2216.1 이상에서 RADIUS 연결을 수행하는 모든 사용자에게 승인/거부대신 TOTP 방법으로 로그인하라는 메시지가 표시됩니다. 이 동작을 보려면 사용자에게 TOTP 인증 방법이 등록되어 있어야 합니다. TOTP 메서드를 등록하지 않으면 사용자는 계속해서 승인/거부를 볼 수 있습니다.

이러한 이전 버전의 NPS 확장을 실행하는 조직은 사용자가 TOTP를 입력하도록 레지스트리를 수정할 수 있습니다.

• 1.2.2131.2
• 1.2.1959.1
• 1.2.1916.2
• 1.1.1892.2
• 1.0.1850.1
• 1.0.1.41
• 1.0.1.40

메모

1.0.1.40 이전의 NPS 확장 버전은 숫자 일치에 의해 적용되는 TOTP를 지원하지 않습니다. 이러한 버전은 승인/거부를 계속 사용합니다.

레지스트리 항목을 만들어 푸시 알림의 승인/거부 옵션을 재정의하고 대신 TOTP를 요구하려면 다음 과정을 따르십시오.

1. NPS 서버에서 레지스트리 편집기를 엽니다.

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa으로 이동하십시오.

3. 다음 문자열/값 쌍을 만듭니다.

   • 이름: OVERRIDE_NUMBER_MATCHING_WITH_OTP
   • 값 = TRUE

4. NPS 서비스를 다시 시작합니다.

또한:

• TOTP를 수행하는 사용자는 인증 방법으로 등록된 Authenticator 또는 다른 하드웨어나 소프트웨어 OATH 토큰 중 하나를 반드시 가져야 합니다. TOTP 방법을 사용할 수 없는 사용자는 1.2.2216.1 이전 버전의 NPS 확장을 사용할 경우 푸시 알림으로 승인/거부 옵션을 항상 볼 수 있습니다.

• NPS 확장이 설치된 NPS 서버는 PAP(암호 인증 프로토콜)를 사용하도록 구성해야 합니다. 자세한 내용은 사용자가 사용할 수 있는 인증 방법을 결정하는 방법에 대한 를 참조하세요.

  중요하다

  MSCHAPv2는 TOTP를 지원하지 않습니다. NPS 서버가 PAP를 사용하도록 구성되지 않은 경우 이벤트 뷰어에서 NPS 확장 서버의 AuthZOptCh 로그의 이벤트로 인해 사용자 권한 부여가 실패합니다.

  • Azure MFA용 NPS 확장: 사용자 npstesting_ap대한 인증 확장에서 요청된 챌린지입니다.

  PAP를 지원하도록 NPS 서버를 구성할 수 있습니다. PAP가 옵션이 아닌 경우, OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE를 으로 변경하고,/ 푸시 알림을 승인하거나 거부하도록 설정합니다.

조직에서 원격 데스크톱 게이트웨이를 사용하고 사용자가 Authenticator 푸시 알림과 함께 TOTP 코드에 등록된 경우 사용자는 Microsoft Entra MFA 챌린지를 충족할 수 없으며 원격 데스크톱 게이트웨이 로그인이 실패합니다. 이 경우 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE가 로 대체되도록 설정하고 인증자를 사용하여/승인 및 거부 푸시 알림을 설정합니다.

자주 묻는 질문

이 섹션에서는 일반적인 질문에 대한 답변을 제공합니다.

사용자가 숫자 일치를 옵트아웃할 수 있나요?

아니요, 사용자는 Authenticator 푸시 알림에서 숫자 일치를 옵트아웃할 수 없습니다.

Authenticator 푸시 알림이 기본 인증 방법으로 설정된 경우에만 숫자 일치가 적용됩니까?

예. 사용자에게 다른 기본 인증 방법이 있는 경우 기본 로그인은 변경되지 않습니다. 기본 메서드가 Authenticator 푸시 알림인 경우 숫자 일치를 가져옵니다. Authenticator의 TOTP 또는 다른 공급자와 같은 기본 메서드가 다른 경우 변경되지 않습니다.

기본 방법에 관계없이 Authenticator 푸시 알림을 사용하여 로그인하라는 메시지가 표시되는 모든 사용자에게는 숫자 일치가 표시됩니다. 그들이 다른 인증 방법에 대한 메시지를 받게 되면, 별다른 변화가 없을 것입니다.

인증 방법 정책에 지정되지 않았지만 레거시 MFA 테넌트 전체 정책의 모바일 앱을 통해 알림을 사용하도록 설정된 사용자는 어떻게 되나요?

레거시 MFA 정책에서 MFA 푸시 알림을 사용하도록 설정된 사용자는 레거시 MFA 정책이 모바일 앱통해 알림을 사용하도록 설정한 경우에도 숫자 일치를 볼 수 있습니다. 인증 방법 정책에서 Authenticator를 사용할 수 있는지 여부에 관계없이 사용자에게 숫자 일치가 표시됩니다.

모바일 앱을 통한 알림 설정을 보여 주는

Azure Multi-Factor Authentication 서버에서 숫자 일치가 지원되는가요?

아니요, 숫자 일치는더 이상 사용되지 Azure Multi-Factor Authentication Server에 대해 지원되는 기능이 아니기 때문에 적용되지 않습니다.

사용자가 이전 버전의 Authenticator를 실행하면 어떻게 되나요?

사용자가 숫자 일치를 지원하지 않는 이전 버전의 Authenticator를 실행하는 경우 인증이 작동하지 않습니다. 로그인에 사용하려면 최신 버전의 Authenticator로 업그레이드해야 합니다.

사용자가 일치 요청이 표시되면 모바일 iOS 디바이스에서 번호를 어떻게 다시 확인할 수 있나요?

모바일 iOS 브로커 흐름 중에 2초 지연 후 숫자 일치 요청이 숫자 위에 표시됩니다. 번호를 다시 확인하려면 번호를 다시 표시을 선택하세요. 이 작업은 모바일 iOS 브로커 흐름에서만 발생합니다.

Apple Watch가 Authenticator에 대해 지원됩니까?

iOS용 2023년 1월 Authenticator 릴리스에는 Authenticator 보안 기능과 호환되지 않으므로 watchOS용 도우미 앱이 없습니다. Apple Watch에는 Authenticator를 설치하거나 사용할 수 없습니다. Apple Watch Authenticator를 삭제하고 다른 디바이스에서 Authenticator로 로그인할 것이 좋습니다.

관련 콘텐츠

• Microsoft Entra ID에서의 인증 방법