다음을 통해 공유

온프레미스 Microsoft Entra 암호 보호 활성화

  • 아티클

사용자는 종종 학교, 스포츠 팀 또는 유명 인사와 같은 일반적인 로컬 단어를 사용하는 암호를 만듭니다. 이러한 암호는 추측하기 쉽고 사전 기반 공격에 취약합니다. 조직에서 강력한 암호를 적용하기 위해 Microsoft Entra Password Protection은 전역 및 사용자 지정 금지 암호 목록을 제공합니다. 이러한 금지된 암호 목록에 일치하는 항목이 있으면 암호 변경 요청이 실패합니다.

온-프레미스 AD DS(Active Directory Domain Services) 환경을 보호하려면 온-프레미스 DC에서 작동하도록 Microsoft Entra Password Protection을 설치하고 구성할 수 있습니다. 이 문서에서는 온-프레미스 환경에 대해 Microsoft Entra Password Protection을 사용하도록 설정하는 방법을 보여 줍니다.

온-프레미스 환경에서 Microsoft Entra Password Protection이 작동하는 방식에 대한 자세한 내용은 Windows Server Active DirectoryMicrosoft Entra Password Protection을 적용하는 방법을 참조하세요.

시작하기 전에

이 문서에서는 온-프레미스 환경에 대해 Microsoft Entra Password Protection을 사용하도록 설정하는 방법을 보여 줍니다. 이 기사를 완료하기 전에 온프레미스 AD DS 환경에서 Microsoft Entra Password Protection 프록시 서비스 및 DC 에이전트를 설치하고 등록하십시오.

온-프레미스 암호 보호 사용

  1. Microsoft Entra 관리 센터에인증 관리자로 로그인합니다.

  2. 보호>인증 방법>암호 보호을 찾아보십시오.

  3. Windows Server Active Directory 암호 보호를 사용하도록 옵션을 설정하여 예 .

    이 설정이 설정되면 배포된 모든 Microsoft Entra Password Protection DC 에이전트는 모든 암호가 as-is허용되는 정지 모드로 전환됩니다. 유효성 검사 작업이 수행되지 않으며 감사 이벤트가 생성되지 않습니다.

  4. 처음에는 모드감사로 설정하는 것이 좋습니다. 이 기능과 조직의 사용자에게 미치는 영향을 충분히 이해하고 나면, 모드강제로바꿀 수 있습니다. 자세한 내용은 작업 모드에 대한 다음 섹션을 참조하세요.

  5. 준비가 되면 저장을 선택합니다.

    Microsoft Entra 관리 센터의 인증 방법에서 온프레미스 암호 보호 사용

작업 모드

온-프레미스 Microsoft Entra Password Protection을 사용하도록 설정하면 감사 모드를 사용하거나 모드를 적용할 있습니다. 초기 배포 및 테스트는 항상 감사 모드에서 시작하는 것이 좋습니다. 그런 다음 적용 모드가 활성화되면 모든 기존 운영 프로세스가 방해를 받을지를 예상해야 하므로 이벤트 로그 항목을 모니터링해야 합니다.

감사 모드

감사 모드는 소프트웨어를 "what if" 모드로 실행하는 방법입니다. 각 Microsoft Entra Password Protection DC 에이전트 서비스는 현재 활성 정책에 따라 들어오는 암호를 평가합니다.

현재 정책이 감사 모드로 구성된 경우 "잘못된" 암호로 인해 이벤트 로그 메시지가 발생하지만 처리되고 업데이트됩니다. 이 동작은 감사 모드와 적용 모드의 유일한 차이점입니다. 다른 모든 작업은 동일하게 실행됩니다.

강제 모드

강제 모드는 최종 구성으로 의도된 것입니다. 감사 모드에서와 마찬가지로 각 Microsoft Entra Password Protection DC 에이전트 서비스는 현재 활성 정책에 따라 들어오는 암호를 평가합니다. 그러나 적용 모드를 사용하도록 설정하면 정책에 따라 안전하지 않은 것으로 간주되는 암호가 거부됩니다.

Microsoft Entra Password Protection DC 에이전트에 의해 강제 모드에서 암호가 거부되면 최종 사용자는 기존의 온-프레미스 암호 복잡성 적용에 의해 암호가 거부되었는지 확인하는 것과 유사한 오류가 표시됩니다. 예를 들어 사용자에게 Windows 로그온 또는 암호 변경 화면에서 다음과 같은 기존 오류 메시지가 표시될 수 있습니다.

"암호를 업데이트할 수 없습니다. 새 암호에 제공된 값이 도메인의 길이, 복잡성 또는 기록 요구 사항을 충족하지 않습니다."

이 메시지는 몇 가지 가능한 결과의 한 예일 뿐입니다. 특정 오류 메시지는 안전하지 않은 암호를 설정하려는 실제 소프트웨어 또는 시나리오에 따라 달라질 수 있습니다.

영향을 받는 최종 사용자는 IT 직원과 협력하여 새로운 요구 사항을 이해하고 보안 암호를 선택해야 할 수 있습니다.

메모

Microsoft Entra Password Protection은 약한 암호가 거부될 때 클라이언트 컴퓨터에서 표시하는 특정 오류 메시지를 제어할 수 없습니다.

다음 단계

조직에 대해 금지된 암호 목록을 사용자 지정하려면 Microsoft Entra Password Protection 사용자 지정 금지 암호 목록구성을 참조하세요.

온-프레미스 이벤트를 모니터링하려면 Microsoft Entra Password Protection 온-프레미스 모니터링을 참조하세요.