MFA 서버에서 Microsoft Entra 다단계 인증으로 마이그레이션
다단계 인증은 악의적인 행위자로부터 인프라와 자산을 보호하는 데 중요합니다. Azure MFA 서버(Multi-Factor Authentication Server)는 새 배포에 사용할 수 없으며 더 이상 사용되지 않습니다. MFA 서버를 사용하는 고객은 클라우드 기반 Microsoft Entra 다단계 인증을 사용하도록 전환해야 합니다.
이 문서에서는 다음과 같은 하이브리드 환경을 사용하는 것으로 가정합니다.
- 다단계 인증에 MFA 서버를 사용하고 있습니다.
- AD FS(Active Directory Federation Services) 또는 다른 ID 공급자 페더레이션 제품과 함께 Microsoft Entra ID 페더레이션을 사용하고 있습니다.
- 이 문서의 범위는 AD FS로 지정되어 있지만, 유사한 단계가 다른 ID 공급자에게도 적용됩니다.
- MFA 서버는 AD FS와 통합됩니다.
- 인증 시 AD FS를 사용하는 애플리케이션이 있을 수 있습니다.
목표에 따라 마이그레이션에 가능한 종료 상태는 여러 가지가 있습니다.
목표: MFA 서버만 해제 | 목표: MFA 서버 서비스 해제 및 Microsoft Entra 인증으로 전환 | 목표: MFA 서버 및 AD FS 해제 | |
---|---|---|---|
MFA 공급자 | MFA 공급자를 MFA 서버에서 Microsoft Entra 다단계 인증으로 변경합니다. | MFA 공급자를 MFA 서버에서 Microsoft Entra 다단계 인증으로 변경합니다. | MFA 공급자를 MFA 서버에서 Microsoft Entra 다단계 인증으로 변경합니다. |
사용자 인증 | Microsoft Entra 인증에 페더레이션을 계속 사용합니다. | 암호 해시 동기화(기본 설정) 또는 통과 인증 및 원활한 SSO(Single Sign-On)를 사용하여 Microsoft Entra ID로 전환합니다. | 암호 해시 동기화(기본 설정) 또는 통과 인증 및 SSO를 사용하여 Microsoft Entra로 전환합니다. |
애플리케이션 인증 | 애플리케이션에서 AD FS 인증을 계속 사용합니다. | 애플리케이션에서 AD FS 인증을 계속 사용합니다. | Microsoft Entra 다단계 인증으로 마이그레이션하기 전에 앱을 Microsoft Entra ID로 이동합니다. |
가능한 경우 다단계 인증과 사용자 인증을 모두 Azure로 전환합니다. 단계별 지침은 Microsoft Entra 다단계 인증 및 Microsoft Entra 사용자 인증으로 전환을 참조하세요.
사용자 인증을 전환할 수 없는 경우 페더레이션을 사용하여 Microsoft Entra 다단계 인증으로 전환에 대한 단계별 참고 자료를 참조하세요.
필수 조건
- AD FS 환경(MFA 서버를 마이그레이션하기 전에 모든 앱을 Microsoft Entra로 마이그레이션하지 않는 경우 필요)
- Windows Server 2019 FBL(팜 동작 수준) 4용 AD FS로 업그레이드합니다. 이 업그레이드를 통해 그룹 구성원에 따라 인증 공급자를 선택하여 보다 원활하게 사용자를 전환할 수 있습니다. Windows Server 2016 FBL 3용 AD FS에서 마이그레이션할 수는 있지만, 사용자에게는 원활하지 않습니다. 마이그레이션 중에 마이그레이션이 완료될 때까지 사용자에게 인증 공급자(MFA 서버 또는 Microsoft Entra 다단계 인증)를 선택하라는 메시지가 표시됩니다.
- 사용 권한
- Microsoft Entra 다단계 인증을 위해 AD FS 팜을 구성하기 위한 Active Directory의 엔터프라이즈 관리자 역할
- 이러한 기능을 관리하려면 전역 관리자가 필요합니다.
모든 마이그레이션 경로에 대한 고려 사항
MFA Server에서 Microsoft Entra 다단계 인증으로 마이그레이션하는 작업에는 등록된 MFA 전화 번호만 이동하는 것 이상의 작업을 수행해야 합니다. Microsoft의 MFA 서버를 여러 시스템과 통합할 수 있으며, 이러한 시스템에서 MFA 서버를 사용하는 방법을 평가하여 Microsoft Entra 다단계 인증과 통합하는 가장 좋은 방법을 이해해야 합니다.
MFA 사용자 정보 마이그레이션
사용자를 일괄 처리로 전환하는 데 생각할 수 있는 일반적인 방법으로는 지역, 부서 또는 관리자와 같은 역할별로 전환하는 것이 포함됩니다. 테스트 및 파일럿 그룹부터 사용자 계정을 반복적으로 이동하고 롤백 계획이 있는지 확인해야 합니다.
MFA 서버 마이그레이션 유틸리티를 사용하여 온-프레미스 Azure MFA 서버에 저장된 MFA 데이터를 Microsoft Entra 다단계 인증과 동기화하고 스테이징 롤아웃을 사용하여 사용자를 Microsoft Entra 다단계 인증으로 다시 라우팅할 수 있습니다. 준비된 롤아웃은 도메인 페더레이션 설정을 변경하지 않고 테스트하는 데 도움이 됩니다.
사용자가 MFA 서버에 연결된 이전 계정과 새로 추가된 계정을 구분할 수 있도록, MFA 서버의 모바일 앱에 대한 계정 이름을 두 계정을 구분하는 방식으로 지정해야 합니다. 예를 들어 MFA 서버의 모바일 앱에 표시되는 계정 이름은 온-프레미스 MFA 서버로 이름이 변경되었습니다. Microsoft Authenticator의 계정 이름은 사용자에게 다음 푸시 알림을 통해 변경됩니다.
또한 전화 번호를 마이그레이션하면 부실 번호가 마이그레이션되고 사용자가 암호 없는 모드에서 Microsoft Authenticator 같이 더 안전한 방법을 설정하는 대신 전화 기반 MFA를 유지할 가능성이 높아질 수 있습니다. 따라서 선택한 마이그레이션 경로에 상관없이 모든 사용자가 결합된 보안 정보를 등록하도록 하는 것이 좋습니다.
하드웨어 보안 키 마이그레이션
Microsoft Entra ID는 하드웨어 OATH 토큰을 지원합니다. MFA 서버 마이그레이션 유틸리티를 사용하여 MFA 서버와 Microsoft Entra 다단계 인증 간에 MFA 설정을 동기화하고 단계적 롤아웃을 사용하여 도메인 페더레이션 설정을 변경하지 않고 사용자 마이그레이션을 테스트할 수 있습니다.
하드웨어 OATH 토큰만 마이그레이션하려는 경우 일반적으로 "시드 파일"이라고 하는 CSV 파일을 사용하여 Microsoft Entra ID에 토큰을 업로드해야 합니다. 시드 파일에는 비밀 키와 토큰 일련 번호뿐만 아니라 Microsoft Entra ID로 토큰을 업로드하는 데 필요한 기타 필수 정보가 포함되어 있습니다.
더 이상 비밀 키가 포함된 시드 파일이 없으면 MFA 서버에서 비밀 키를 내보낼 수 없습니다. 더 이상 비밀 키에 더 이상 액세스할 수 없으면 하드웨어 공급업체에 지원을 요청하세요.
MFA 서버 웹 서비스 SDK를 사용하여 지정된 사용자에게 할당된 OATH 토큰의 일련 번호를 내보낼 수 있습니다. 시드 파일과 함께 이 정보를 사용하여 토큰을 Microsoft Entra ID로 가져오고 일련 번호를 기준으로 지정된 사용자에게 OATH 토큰을 할당할 수 있습니다. 또한 디바이스에서 등록을 완료하려면 OTP 정보를 제공하기 위해 가져올 때 사용자에게 연락해야 합니다. MFA 서버에서 도움말 파일 항목 GetUserInfo>userSettings>OathTokenSerialNumber를 참조하세요.
더 많은 마이그레이션
MFA 서버에서 Microsoft Entra 다단계 인증으로 마이그레이션하기로 결정하면 다른 마이그레이션의 가능성이 열립니다. 추가 마이그레이션을 완료하는 것은 특히 다음을 비롯한 여러 요인에 따라 달라집니다.
- 사용자를 위해 Microsoft Entra 인증을 사용할 의향
- 애플리케이션을 Microsoft Entra ID로 이동하려는 의향
MFA 서버는 애플리케이션 및 사용자 인증과 긴밀하게 통합되어 있으므로, MFA 마이그레이션의 일환으로 두 기능을 모두 Azure로 이동하고 최종적으로 AD FS를 해제하는 것이 좋습니다.
권장 사항은 다음과 같습니다.
- 인증에 보다 강력한 보안 및 거버넌스를 지원하는 Microsoft Entra ID 사용
- 가능한 경우 애플리케이션을 Microsoft Entra ID로 이동
조직에 가장 적합한 사용자 인증 방법을 선택하려면 Microsoft Entra 하이브리드 ID 솔루션에 적합한 인증 방법 선택을 참조하세요. PHS(암호 해시 동기화)를 사용하는 것이 좋습니다.
암호 없는 인증
두 번째 요소로 Microsoft Authenticator를 사용하도록 사용자를 등록하는 과정에서 등록의 일환으로 암호 없는 휴대폰 로그인을 사용하도록 설정하는 것이 좋습니다. FIDO2 보안 키 및 비즈니스용 Windows Hello와 같은 다른 암호 없는 방법을 비롯한 자세한 내용은 Microsoft Entra ID를 사용하여 암호 없는 인증 배포 계획을 참조하세요.
Microsoft Identity Manager 셀프 서비스 암호 재설정
MIM(Microsoft Identity Manager) SSPR에서는 MFA 서버를 사용하여 암호 재설정 흐름의 일부로 SMS 일회성 암호를 호출할 수 있습니다. MIM은 Microsoft Entra 다단계 인증을 사용하도록 구성할 수 없습니다. SSPR 서비스를 Microsoft Entra SSPR로 전환하는 것을 검토하는 것이 좋습니다. Microsoft Entra 다단계 인증에 등록하는 사용자가 통합된 등록 환경을 사용하여 Microsoft Entra SSPR에 등록할 기회를 사용할 수 있습니다.
SSPR 서비스를 이동할 수 없거나 MFA 서버를 사용하여 PAM(Privileged Access Management) 시나리오에 대한 MFA 요청을 호출하는 경우 대체 타사 MFA 옵션으로 업데이트하는 것이 좋습니다.
RADIUS 클라이언트 및 Microsoft Entra 다단계 인증
MFA 서버는 RADIUS를 지원하여 프로토콜을 지원하는 애플리케이션과 네트워크 디바이스에 대해 다단계 인증을 호출합니다. MFA 서버에서 RADIUS를 사용하는 경우 클라이언트 애플리케이션을 Microsoft Entra ID의 SAML, Open ID Connect 또는 OAuth 같은 최신 프로토콜로 전환하는 것이 좋습니다. 애플리케이션을 업데이트할 수 없는 경우 Microsoft Entra 다단계 인증 확장을 사용하여 NPS(네트워크 정책 서버)를 배포할 수 있습니다. NPS(네트워크 정책 서버) 확장은 RADIUS 기반 애플리케이션과 Microsoft Entra 다단계 인증 간 어댑터 역할을 하여 두 번째 인증 요소를 제공합니다. 이 “어댑터”를 통해 RADIUS 클라이언트를 Microsoft Entra 다단계 인증으로 전환하고 MFA 서버를 해제할 수 있습니다.
중요 사항
RADIUS 클라이언트에서 NPS를 사용하는 경우 제한 사항이 있으며, RADIUS 클라이언트를 평가하여 최신 인증 프로토콜로 업그레이드할 수 있는지 확인하는 것이 좋습니다. 지원되는 제품 버전과 각각의 기능은 서비스 공급자에게 문의하세요.
- NPS 확장은 Microsoft Entra 조건부 액세스 정책을 사용하지 않습니다. RADIUS를 유지하고 NPS 확장을 사용하는 경우 NPS로 가는 모든 인증 요청 시 사용자가 MFA를 수행해야 합니다.
- 사용자는 NPS 확장을 사용하기 전에 Microsoft Entra 다단계 인증에 등록해야 합니다. 그렇지 않으면 확장이 사용자를 인증하지 못해 지원 센터를 호출할 수 있습니다.
- NPS 확장이 MFA를 호출하면 MFA 요청이 사용자의 기본 MFA 메서드로 전송됩니다.
- 타사 애플리케이션에서 로그인하기 때문에, 다단계 인증이 필요하고 요청이 디바이스에 전송되었다는 시각적 알림을 볼 수 없는 경우가 많습니다.
- 다단계 인증 요구 사항 중에 사용자가 기본 인증 방법에 액세스할 수 있어야 요구 사항을 완료할 수 있습니다. 대체 방법을 선택할 수는 없습니다. 기본 인증 방법은 테넌트 인증 방법과 다단계 인증 정책에서 사용하지 않도록 설정된 경우에도 사용됩니다.
- 사용자는 보안 정보 페이지(aka.ms/mysecurityinfo)에서 기본 다단계 인증 방법을 변경할 수 있습니다.
- Radius 클라이언트에서 사용 가능한 MFA 방법은 RADIUS 액세스 요청을 보내는 클라이언트 시스템에 의해 제어됩니다.
- 암호를 입력한 후 사용자가 입력해야 하는 MFA 방법은 RADIUS로 액세스 시도 응답을 지원하는 시스템에서만 사용할 수 있습니다. 입력 방법에는 OTP, 하드웨어 OATH 토큰 또는 Microsoft Authenticator이 포함될 수 있습니다.
- 일부 시스템은 Microsoft Authenticator 푸시 알림과 전화 통화에 사용하는 데 다단계 인증 방법을 제한할 수 있습니다.
참고 항목
RADIUS 클라이언트와 NPS 시스템 사이에 사용되는 암호 암호화 알고리즘과 클라이언트에서 사용할 수 있는 입력 방법은 사용 가능한 인증 방법에 영향을 줍니다. 자세한 내용은 사용자가 이용할 수 있는 인증 방법 확인을 참조하세요.
일반적인 RADIUS 클라이언트 통합에는 원격 데스크톱 게이트웨이 및 VPN 서버 같은 애플리케이션이 포함됩니다. 그 외 다음을 포함할 수 있습니다.
- Citrix 게이트웨이
- Citrix 게이트웨이는 RADIUS 및 NPS 확장 통합과 SAML 통합을 둘 다 지원합니다.
- Cisco VPN
- Cisco VPN은 RADIUS와 SSO용 SAML 인증을 둘 다 지원합니다.
- RADIUS 인증에서 SAML로 전환하면 NPS 확장을 배포하지 않고 Cisco VPN을 통합할 수 있습니다.
- 모든 VPN
- 가능하면 VPN을 SAML 앱으로 페더레이션하는 것이 좋습니다. 이 페더레이션을 사용하면 조건부 액세스를 사용할 수 있습니다. 자세한 내용은 Microsoft Entra ID 앱 갤러리에 통합된 VPN 공급업체의 목록을 참조하세요.
NPS 배포에 대한 리소스
- 새 NPS 인프라 추가
- NPS 배포 모범 사례
- Microsoft Entra 다단계 인증 NPS 확장 상태 확인 스크립트
- Microsoft Entra 다단계 인증과 기존 NPS 인프라 통합