다음을 통해 공유

Microsoft Entra 다단계 인증 및 AD FS를 사용하여 클라우드 리소스 보호

  • 아티클

조직이 Microsoft Entra ID와 페더레이션된 경우 Microsoft Entra 다단계 인증 또는 AD FS(Active Directory Federation Services)를 사용하여 Microsoft Entra ID에서 액세스하는 리소스를 보호합니다. 다음 절차를 사용하여 Microsoft Entra 다단계 인증 또는 Active Directory Federation Services를 사용하여 Microsoft Entra 리소스를 보호합니다.

메모

federatedIdpMfaBehavior 도메인 설정을 enforceMfaByFederatedIdp(권장) 또는 $TrueSupportsMFA 설정합니다. 둘 다 설정될 경우, federatedIdpMfaBehavior 설정이 SupportsMFA 를 우선시합니다.

AD FS를 사용하여 Microsoft Entra 리소스 보호

클라우드 리소스를 보호하려면 사용자가 2단계 인증을 성공적으로 수행할 때 Active Directory Federation Services에서 multipleauthn 클레임을 내보내도록 클레임 규칙을 설정합니다. 이 클레임은 Microsoft Entra ID에 전달됩니다. 다음 절차에 따라 단계를 밟아보세요.

  1. AD FS 관리를 엽니다.

  2. 왼쪽에서 신뢰 당사자 트러스트을 선택합니다.

  3. Microsoft Office 365 ID 플랫폼 항목을 마우스 오른쪽 버튼으로 클릭하고 클레임 규칙 편집을 선택합니다.

    ADFS 콘솔 - 신뢰 당사자

  4. 발급 변환 규칙에서 규칙 추가을 선택합니다.

    발급 변환 규칙 편집

  5. 변환 클레임 규칙 추가 마법사의 드롭다운에서 들어오는 클레임 통과 또는 필터링 선택하고 다음선택합니다.

    스크린샷은 클레임 규칙 템플릿을 선택하는 변환 클레임 규칙 추가 마법사를 보여줍니다.

  6. 규칙에 이름을 지정합니다.

  7. 인증 방법 참조 수신 클레임 유형으로 선택합니다.

  8. 모든 클레임 값을 통과하도록 을 선택합니다.

    스크린샷은 모든 클레임 값 통과를 선택하는 변환 클레임 규칙 추가 마법사를 보여줍니다.

  9. 마침선택합니다. AD FS 관리 콘솔을 닫습니다.

페더레이션된 사용자에 대한 신뢰할 수 있는 IP

신뢰할 수 있는 IP를 사용하면 관리자가 특정 IP 주소 또는 자신의 인트라넷 내에서 시작된 요청이 있는 페더레이션된 사용자에 대해 2단계 인증을 바이패스할 수 있습니다. 다음 섹션에서는 신뢰할 수 있는 IP를 사용하여 바이패스를 구성하는 방법을 설명합니다. 이는 AD FS를 설정하여 패스스루(pass-through) 방법을 사용하거나 내부 회사 네트워크 클레임 유형으로 들어오는 클레임 템플릿을 필터링함으로써 이루어집니다.

이 예제에서는 신뢰 당사자 트러스트에 Microsoft 365를 사용합니다.

AD FS 클레임 규칙 구성

가장 먼저 해야 할 일은 AD FS 클레임을 구성하는 것입니다. 두 개의 클레임 규칙을 만듭니다. 하나는 내부 회사 네트워크 클레임 유형에 대한 규칙이고 다른 하나는 사용자를 로그인 상태로 유지하기 위한 규칙입니다.

  1. AD FS 관리를 엽니다.

  2. 왼쪽에서 신뢰 당사자 트러스트을 선택합니다.

  3. Microsoft Office 365 Identity Platform에서 마우스 오른쪽 버튼을 클릭하고 클레임 규칙 편집... 선택

    ADFS 콘솔 - 클레임 규칙 편집

  4. 발급 변환 규칙에서 규칙 추가를 선택합니다.

    클레임 규칙 추가

  5. 변환 클레임 규칙 추가 마법사의 드롭다운에서 들어오는 클레임 통과 또는 필터링을 선택하고, 다음을 선택합니다.

    스크린샷은 들어오는 클레임 통과 또는 필터링을 선택하는 변환 클레임 규칙 추가 마법사를 보여줍니다.

  6. 클레임 규칙 이름 옆에 있는 상자에서 규칙 이름을 지정합니다. 예: InsideCorpNet.

  7. 드롭다운 메뉴에서 들어오는 클레임 유형 옆에 있는 회사 내부 네트워크 을 선택합니다.

    회사 네트워크 클레임 내부 추가

  8. 마침선택하세요.

  9. 발급 변환 규칙에서 규칙 추가를 선택합니다.

  10. 변환 클레임 규칙 추가 마법사의 드롭다운 메뉴에서 사용자 지정 규칙 사용하여 클레임 보내기를 선택한 다음, 다음을 선택합니다.

  11. 클레임 규칙 이름 아래의 상자에 로그인 유지입력합니다.

  12. 사용자 지정 규칙 상자에 다음을 입력합니다.

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    사용자 로그인을 유지하는 사용자 지정 클레임 만들기

  13. 마침선택합니다.

  14. 을(를) 적용하고을(를) 선택합니다.

  15. 확인선택합니다.

  16. AD FS 관리를 닫습니다.

페더레이션된 사용자를 위해 Microsoft Entra 다단계 인증의 신뢰할 수 있는 IP를 구성하십시오.

이제 클레임이 배치되었으므로 신뢰할 수 있는 IP를 구성할 수 있습니다.

  1. Microsoft Entra 관리 센터에 적어도 인증 정책 관리자로 로그인합니다.

  2. 조건부 액세스>명명된 위치로 이동하십시오.

  3. 조건부 액세스 - 명명된 위치 블레이드에서 MFA 신뢰할 수 있는 IP 구성

    Microsoft Entra 조건부 액세스 명명된 위치 및 MFA 신뢰할 수 있는 IP 구성

  4. 서비스 설정 페이지의 신뢰할 수 있는 IP아래에서 인트라넷페더레이션된 사용자의 요청에 대해 다단계 인증 건너뛰기를 선택합니다.

  5. 을 선택하고을 저장합니다.

그거에요! 이 시점에서 페더레이션된 Microsoft 365 사용자는 클레임이 회사 인트라넷 외부에서 발생하는 경우에만 MFA를 사용해야 합니다.