외부 사용자에 대한 다단계 인증 강도 필요

인증 강도는 외부 사용자가 리소스에 액세스하기 위해 완료해야 하는 MFA(다단계 인증) 방법의 특정 조합을 정의할 수 있는 조건부 액세스 제어입니다. 이 컨트롤은 조직의 중요한 앱에 대한 외부 액세스를 제한하는 데 특히 유용합니다. 예를 들어, 조건부 액세스 정책을 만들고 정책에서 피싱 방지 인증 강도를 요구하고 게스트 및 외부 사용자에게 할당할 수 있습니다.

Microsoft Entra ID는 다음과 같은 세 가지 기본 제공 인증 강도를 제공합니다.

• 이 문서에서 권장되는 다단계 인증 강도 (덜 제한적)
• 암호 없는 MFA 강도
• 피싱 방지 MFA 강도(가장 제한적)

기본 제공된 강도 중 하나를 사용하거나 필요한 인증 방법에 따라 사용자 지정 인증 강도를 만들 수 있습니다.

외부 사용자 시나리오에서 리소스 테넌트가 수락할 수 있는 MFA 인증 방법은 사용자가 홈 테넌트 또는 리소스 테넌트에서 MFA를 완료하는지에 따라 다릅니다. 자세한 내용은 외부 사용자의 인증 강도를 참조 하세요.

참고 항목

현재는 Microsoft Entra ID로 인증하는 외부 사용자에게만 인증 강도 정책을 적용할 수 있습니다. 이메일 일회용 암호, SAML/WS-Fed 및 Google 페더레이션 사용자의 경우 MFA 권한 부여 제어를 사용하여 MFA를 요구합니다.

MFA를 신뢰하도록 테넌트 간 액세스 설정 구성

인증 강도 정책은 테넌트 간 액세스 설정의 MFA 트러스트 설정과 함께 작동하여 외부 사용자가 MFA를 수행해야 하는 위치와 방법을 결정합니다. Microsoft Entra 사용자는 먼저 홈 테넌트에서 자신의 계정으로 인증합니다. 그런 다음 이 사용자가 리소스에 액세스하려고 하면 Microsoft Entra ID는 인증 강도 조건부 액세스 정책을 적용하고 MFA 트러스트를 사용하도록 설정했는지 확인합니다.

• MFA 트러스트를 사용하는 경우 Microsoft Entra ID는 MFA가 사용자의 홈 테넌트에서 이행되었음을 나타내는 클레임에 대해 사용자의 인증 세션을 확인합니다.
• MFA 트러스트를 사용하지 않는 경우 리소스 테넌트는 허용 가능한 인증 방법을 사용하여 리소스 테넌트에서 MFA를 완료하라는 과제를 사용자에게 제시합니다.

외부 사용자가 MFA 요구 사항을 충족하기 위해 사용할 수 있는 인증 방법은 사용자가 홈 테넌트 또는 리소스 테넌트에서 MFA를 완료하는지에 따라 다릅니다. 조건부 액세스 인증 강도의 표를 참조하세요.

Important

조건부 액세스 정책을 만들기 전에 테넌트 간 액세스 설정을 확인하여 인바운드 MFA 트러스트 설정이 의도한 대로 구성되었는지 확인합니다.

사용자 제외

조건부 액세스 정책은 강력한 도구이므로 정책에서 다음 계정을 제외하는 것이 좋습니다.

• 정책 잘못된 구성으로 인한 잠금을 방지하기 위한 비상 액세스 또는 비상 계정 드문 시나리오에서 모든 관리자가 잠기면 응급 액세스 관리 계정을 사용하여 로그인하고 액세스를 복구하는 단계를 수행할 수 있습니다.
  • 자세한 내용은 Microsoft Entra ID에서 긴급 액세스 계정 관리 문서를 참조하세요.
• 서비스 계정 및 서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에게 연결되지 않은 비대화형 계정입니다. 일반적으로 애플리케이션에 대한 프로그래매틱 액세스를 허용하는 백 엔드 서비스에서 사용하지만 관리 목적으로 시스템에 로그인할 때도 사용합니다. 서비스 주체가 수행한 호출은 사용자로 범위가 지정된 조건부 액세스 정책에서 차단하지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
  • 조직에서 스크립트 또는 코드에 이러한 계정을 사용 중인 경우 이를 관리 ID로 바꾸는 것이 좋습니다.

조건부 액세스 정책 만들기

다음 단계를 사용하여 외부 사용자에게 인증 강도를 적용하는 조건부 액세스 정책을 만듭니다.

Warning

외부 인증 방법을 사용하는 경우 현재 인증 강도와 호환되지 않으며 다단계 인증 권한 부여 제어를 사용해야 합니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
   1. 포함에서 사용자 및 그룹 선택을 선택한 다음 게스트 또는 외부 사용자를 선택합니다.
      1. 정책을 적용할 게스트 또는 외부 사용자 유형을 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
6. 대상 리소스>리소스(이전의 클라우드 앱)의 포함 또는 제외에서 인증 강도 요구 사항에 포함하거나 제외하려는 애플리케이션을 선택합니다.
7. 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
   1. 인증 강도 필요를 선택한 다음, 목록에서 적절한 기본 제공 또는 사용자 지정 인증 강도를 선택합니다.
   2. 선택을 선택합니다.
8. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
9. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

보고 전용 모드를 사용하여 설정을 확인한 후 관리자는 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.

관련 콘텐츠

• 조건부 액세스 템플릿
• 보고 전용 모드를 조건부 액세스에 사용하여 새 정책 결정의 결과를 확인합니다.