Microsoft Entra ID의 셀프 서비스 암호 재설정이란?

7분

여러분은 소매 조직의 기술 지원 팀 비용을 줄이는 방법을 평가하라는 요청을 받았습니다. 지원 담당자가 사용자에 대한 암호를 재설정하는 데 많은 시간을 소비하는 것을 확인했습니다. 사용자는 종종 이 프로세스의 지연에 관해 불평하며 이러한 지연은 생산성에 영향을 줍니다. 사용자가 자신의 암호를 관리할 수 있도록 Azure를 구성하는 방법을 이해하려고 합니다.

이 단원에서는 Microsoft Entra ID에서 SSPR(셀프 서비스 암호 재설정)이 작동하는 방법을 알아봅니다.

SSPR을 사용하는 이유는 무엇인가요?

Microsoft Entra ID에서 이미 로그인된 사용자는 암호를 변경할 수 있습니다. 그러나 로그인하지 않았거나 암호를 잊어버렸거나 만료된 경우 암호를 다시 설정해야 합니다. SSPR을 통해 사용자는 웹 브라우저 또는 Windows 로그인 화면에서 암호를 다시 설정하여 Azure, Microsoft 365 그리고 인증에 Microsoft Entra ID를 사용하는 그 밖의 애플리케이션에 대한 액세스 권한을 다시 얻을 수 있습니다.

SSPR은 사용자가 지원 센터에 전화하지 않고도 암호 문제를 직접 해결할 수 있으므로 관리자의 부하를 줄입니다. 또한 잊어버리거나 만료된 암호가 생산성에 미치는 영향이 최소화됩니다. 사용자는 관리자가 암호를 다시 설정할 수 있을 때까지 기다릴 필요가 없습니다.

SSPR 작동 방식

사용자는 암호 재설정 포털로 직접 이동하거나 로그인 페이지에서 계정에 액세스할 수 없음 링크를 선택하여 암호 재설정을 시작합니다. 재설정 포털에서 다음 단계를 수행합니다.

지역화: 포털에서는 브라우저의 로캘 설정을 확인하고 SSPR 페이지를 적절한 언어로 렌더링합니다.
검증: 사용자가 사용자 이름을 입력하고 CAPTCHA를 전달하여 봇이 아닌 사용자인지 확인합니다.
인증: 사용자는 신원을 인증하는 데 필요한 데이터를 입력합니다. 코드를 입력하거나 보안 질문에 대답할 수 있습니다.
암호 재설정: 사용자가 인증 테스트를 통과하면 새 암호를 입력하고 확인할 수 있습니다.
알림: 재설정을 확인하는 메시지가 사용자에게 전송됩니다.

SSPR 사용자 환경을 사용자 지정할 수 있는 여러 가지 방법이 있습니다. 예를 들어 사용자가 암호를 다시 설정할 올바른 위치에 있음을 알 수 있도록 회사 로고를 로그인 페이지에 추가할 수 있습니다.

암호 재설정 인증

암호 재설정을 허용하기 전에 사용자의 ID를 확인하는 것이 중요합니다. 악의적인 사용자가 시스템의 약점을 악용하여 해당 사용자를 가장할 수 있습니다. Azure는 재설정 요청을 인증하는 6가지 방법을 지원합니다.

관리자는 SSPR을 구성할 때 사용할 방법을 선택할 수 있습니다. 사용자가 쉽게 사용할 수 있는 방법을 선택할 수 있도록 이러한 방법 중 두 개 이상을 사용하도록 설정합니다. 방법은 다음과 같습니다.

인증 방법	등록 방법	암호 재설정을 위한 인증 방법
모바일 앱 알림	모바일 디바이스에 Microsoft Authenticator 앱을 설치하고 다단계 인증 설정 페이지에서 앱을 등록합니다.	Azure가 앱에 알림을 보내면 이 알림을 확인하거나 거부할 수 있습니다.
모바일 앱 코드	이 방법도 Authenticator 앱을 사용하며 동일한 방식으로 앱을 설치하고 등록합니다.	앱에서 코드를 입력합니다.
메일	Azure와 Microsoft 365 외부에 있는 메일 주소를 제공합니다.	Azure가 해당 주소에 코드를 보내면 재설정 마법사에 이 코드를 입력합니다.
휴대폰	휴대폰 번호를 제공합니다.	Azure가 휴대폰에 SMS 메시지로 코드를 보내면 재설정 마법사에 이 코드를 입력합니다. 자동 응답 통화를 받도록 선택할 수도 있습니다.
사무실 전화	휴대폰 이외 번호를 제공합니다.	이 번호로 자동 응답 통화를 받으면 # 키를 누릅니다.
본인 확인 질문	"당신의 어머니는 어느 도시에서 태어났나요?"와 같은 질문을 선택합니다. 응답을 저장합니다.	질문에 대답합니다.

Microsoft Entra 평가판 조직에서는 전화 통화 옵션이 지원되지 않습니다.

최소 인증 방법 수 필요

사용자가 설정해야 하는 최소 메서드 수를 하나 또는 두 개 지정할 수 있습니다. 예를 들어 모바일 앱 코드, 메일, 사무실 전화, 본인 확인 질문 방법을 사용하도록 설정하고 최소 두 가지 방법을 지정할 수 있습니다. 그러면 사용자는 모바일 앱 코드와 이메일 등 원하는 두 가지 방법을 선택할 수 있습니다.

본인 확인 질문 방법의 경우 사용자가 이 방법에 등록하기 위해 설정해야 하는 최소 질문 수를 지정할 수 있습니다. 암호를 재설정하기 위해 제대로 대답해야 하는 질문의 최소 개수도 지정할 수 있습니다.

사용자는 지정된 최소 방법 수에 필요한 정보를 등록한 후 SSPR에 등록된 것으로 간주됩니다.

권장 구성

두 개 이상의 인증 재설정 요청 방법을 사용하도록 설정합니다.
모바일 앱 알림 또는 코드를 기본 방법으로 사용합니다. 또한 전자 메일 또는 사무실 전화 방법을 사용하여 모바일 장치 없이 사용자를 지원할 수 있습니다.
휴대폰 방법은 사기성 SMS 메시지를 보낼 수 있기 때문에 권장하지 않습니다.
본인 확인 질문에 대한 대답이 다른 사람에게 알려질 수 있기 때문에 본인 확인 질문 옵션은 가장 권장하지 않는 방법입니다. 본인 확인 질문 방법은 하나 이상의 다른 방법과 함께 사용해야 합니다.

관리자 역할에 연결된 계정

강력한 2개 방법 인증 정책은 다른 사용자의 구성과 관계없이 항상 관리자 역할이 있는 계정에 적용됩니다.
관리자 역할과 연결된 계정에서는 보안 질문 방법을 사용할 수 없습니다.

알림 구성

관리자는 사용자에게 암호 변경을 알리는 방법을 선택할 수 있습니다. 사용하도록 설정할 수 있는 옵션은 두 가지가 있습니다.

사용자에게 암호 재설정에 대해 알림: 암호를 다시 설정하는 사용자에게 기본 및 보조 메일 주소를 알립니다. 악의적인 사용자가 재설정을 수행하는 경우 이 알림으로 위험 완화 단계를 수행할 수 있는 사용자에게 경고합니다.
다른 관리자가 암호를 재설정하면 모든 관리자에게 알림: 다른 관리자가 암호를 다시 설정하면 모든 관리자에게 알림이 제공됩니다.

라이선스 요구 사항

Microsoft Entra ID에는 Premium P1과 Premium P2의 두 가지 버전이 있습니다. 사용할 수 있는 암호 재설정 기능은 버전에 따라 달라집니다.

로그인한 사용자는 Microsoft Entra ID 버전과 관계없이 암호를 변경할 수 있습니다.

로그인하지 않았거나 암호를 잊어버렸거나 암호가 만료된 경우 어떻게 되나요? 이 경우 Microsoft Entra ID P1 또는 P2에서 SSPR을 사용할 수 있습니다. 비즈니스용 Microsoft 365 앱 또는 Microsoft 365에서도 사용할 수 있습니다.

온-프레미스에 Active Directory가 있고 클라우드에 Microsoft Entra ID가 있는 하이브리드 상황에서는 클라우드의 모든 암호 변경이 온-프레미스 디렉터리에 쓰기 저장되어야 합니다. 이 쓰기 저장은 Microsoft Entra ID P1 또는 P2에서 지원됩니다. 비즈니스용 Microsoft 365 앱에서도 사용할 수 있습니다.

SSPR 배포 옵션

사용자 요구에 따라 Microsoft Entra Connect 또는 cloud sync를 사용하여 비밀번호 쓰기 저장이 포함된 SSPR을 배포할 수 있습니다. 다양한 사용자 집합을 대상으로 하기 위해 각 옵션을 다양한 도메인에 병렬 배포할 수 있습니다. 이렇게 하면 회사 합병 또는 분할로 인해 연결이 끊어진 도메인의 사용자를 위한 옵션을 추가하면서 기존 온-프레미스 사용자가 암호 변경 내용을 쓰기 저장할 수 있습니다. 기존 온-프레미스 도메인의 사용자는 Microsoft Entra Connect를 사용할 수 있지만 합병을 통한 새 사용자는 다른 도메인에서 클라우드 동기화를 사용할 수 있습니다.

클라우드 동기화는 Microsoft Entra Connect의 단일 인스턴스를 사용하지 않으므로 더 뛰어난 가용성을 제공할 수도 있습니다. 두 배포 옵션 간의 기능 비교는 Microsoft Entra Connect와 클라우드 동기화 간의 비교를 참조하세요.