Microsoft 계정
Microsoft 계정이 사용자의 보안 및 개인 정보 보호를 강화하는 방법과 조직에서 소비자 계정 유형을 관리하는 방법을 알아보세요.
Microsoft 계정이란?
Windows 10을 실행하는 Microsoft 사이트, 서비스, 속성 및 컴퓨터는 사용자를 식별하는 방법으로 Microsoft 계정을 사용할 수 있습니다. 이전에는 Microsoft 계정을 Windows Live ID라고 불렀습니다. Microsoft 계정에는 사용자가 정의한 비밀 값이 있으며 고유한 이메일 주소와 암호로 구성됩니다.
사용자가 Microsoft 계정으로 로그인하면 디바이스가 클라우드 서비스에 연결됩니다. 사용자는 여러 디바이스에서 설정, 환경 설정 및 앱의 많은 부분을 공유할 수 있습니다.
Microsoft 계정 작동 방식
사용자는 단일 자격 증명 세트를 사용하여 이 서비스를 지원하는 웹사이트에 Microsoft 계정으로 로그인할 수 있습니다. 사용자의 자격 증명은 웹 사이트와 연결된 Microsoft 계정 인증 서버에서 유효성을 검사합니다. Microsoft Store가 이러한 연결의 예입니다. 새 사용자가 Microsoft 계정을 사용할 수 있는 웹 사이트에 로그인하면 사용자 이름과 비밀번호를 묻는 가장 가까운 인증 서버로 리디렉션됩니다. Windows는 Schannel 보안 지원 공급자를 사용하여 이 기능을 위한 TLS/SSL(전송 수준 보안/보안 소켓 계층) 연결을 엽니다. 사용자는 자격 증명 관리자를 사용하여 자격 증명을 저장할 수 있습니다.
사용자가 Microsoft 계정을 사용하도록 설정된 웹 사이트에 로그인하면 컴퓨터에 시간 제한 쿠키가 설치됩니다. 이 쿠키에는 3중 DES 암호화 ID 태그가 포함되어 있습니다. 암호화된 ID 태그는 인증 서버와 웹 사이트 간에 합의된 것입니다. ID 태그가 웹 사이트에 전송되고, 웹 사이트는 사용자의 컴퓨터에 시간 제한이 있는 또 다른 암호화된 HTTP 쿠키를 배치합니다. 쿠키가 유효한 동안에는 사용자 이름과 암호를 입력할 필요가 없습니다. 사용자가 Microsoft 계정에서 적극적으로 로그아웃하면 이 쿠키가 제거됩니다.
참고 항목
로컬 Windows 계정 기능은 관리되는 환경에서도 여전히 사용할 수 있는 옵션입니다.
Microsoft 계정 생성 방법
사기를 방지하기 위해 Microsoft 시스템에서는 사용자가 Microsoft 계정을 만들 때 사용자의 IP 주소를 확인합니다. 동일한 IP 주소를 사용하여 여러 개의 Microsoft 계정을 만들려고 하는 사용자는 더 이상 계정을 만들 수 없습니다. Microsoft 계정은 엔터프라이즈의 도메인 사용자 그룹과 같이 일괄적으로 만들 수 있도록 설계되지 않았습니다.
Microsoft 계정을 만들려면 사용자에게 다음과 같은 두 가지 옵션이 있습니다:
기존 전자 메일 주소를 사용하세요. 사용자는 유효한 이메일 주소를 사용하여 Microsoft 계정으로 등록할 수 있습니다. 이 서비스는 요청하는 사용자의 이메일 주소를 Microsoft 계정으로 전환합니다. 사용자는 Microsoft 계정에 사용할 별도의 암호를 선택할 수 있습니다.
Microsoft 이메일 주소에 등록합니다. 사용자는 Microsoft 웹메일 서비스를 통해 이메일 계정으로 등록할 수 있습니다. 사용자는 Microsoft 계정을 사용할 수 있도록 설정된 웹 사이트에 그 계정을 사용하여 로그인할 수 있습니다.
Microsoft 계정 정보 보호 방법
자격 증명 정보는 두 번 암호화됩니다. 첫 번째 암호화는 계정 암호를 기반으로 합니다. 인증 정보는 인터넷을 통해 전송될 때 다시 암호화됩니다. 저장된 자격 증명 데이터는 다른 Microsoft 서비스나 Microsoft가 아닌 타사 서비스에서 사용할 수 없습니다.
강력한 암호가 필요합니다. 공란 암호는 허용되지 않습니다.
자세한 내용은 마이크로 소프트 계정을 안전하게 유지하는 방법을 참조하세요.
보조 확인 증명 필요. 사용자가, 두 번째로 지원되는 Windows 컴퓨터에서 처음으로 사용자 프로필 정보 및 설정에 액세스하기 전에 먼저 해당 장치에 대한 신뢰를 설정해야 합니다. 신뢰를 구축하려면 사용자는 2차 신원 증명을 제공해야 합니다. 사용자는 휴대폰 번호로 전송된 코드를 입력하거나 사용자가 계정 설정에서 지정한 대체 이메일 주소로 전송되는 지침에 따라 신원을 증명할 수 있습니다.
모든 사용자 프로필 데이터는 클라우드로 전송되기 전에 클라이언트에서 암호화됩니다. 사용자 데이터는 기본적으로 무선 광역 네트워크를 통해 로밍되지 않으므로 프로필 데이터가 보호됩니다. 디바이스를 떠나는 모든 데이터와 설정은 TLS/SSL 프로토콜을 통해 전송됩니다.
Microsoft 계정 보안 정보
사용자는 지원되는 버전의 Windows를 실행하는 컴퓨터에서 계정 인터페이스를 통해 Microsoft 계정에 보안 정보를 추가할 수 있습니다. 계정에서 사용자는 계정을 만들 때 제공한 보안 정보를 업데이트할 수 있습니다. 이 보안 정보에는 대체 이메일 주소 또는 전화번호가 포함되어 있어 암호가 유출되거나 잊어버린 경우 본인 확인을 위해 인증 코드를 전송할 수 있습니다. 사용자는 잠재적으로 자신의 Microsoft 계정을 사용하여 개인용 OneDrive 또는 이메일 앱에 회사 데이터를 저장할 수 있습니다. 계정 소유자가 이 보안 정보를 최신 상태로 유지하는 것이 안전합니다.
엔터프라이즈의 Microsoft 계정
Microsoft 계정은 소비자를 위해 설계되었지만 도메인 사용자가 엔터프라이즈에서 개인 Microsoft 계정을 사용하여 혜택을 얻을 수 있는 상황이 있을 수 있습니다. 다음 목록은 그 몇 가지 이점을 대해 설명합니다:
Microsoft Store 앱 다운로드 엔터프라이즈에서 Microsoft Store를 통해 앱 또는 소프트웨어를 배포하기로 선택한 경우, 엔터프라이즈 사용자는 Microsoft 계정을 사용하여 모든 버전의 Windows 10, Windows 8.1, Windows 8 또는 Windows RT를 실행하는 최대 5개의 디바이스에서 앱을 다운로드하여 사용할 수 있습니다.
Single sign-on. 엔터프라이즈 사용자는 Microsoft 계정 자격 증명을 사용하여 Windows 10, Windows 8.1, Windows 8 또는 Windows RT를 실행하는 디바이스에 로그인할 수 있습니다. 이 시나리오에서는 Windows가 Microsoft Store 앱과 함께 작동하여 앱에서 인증된 환경을 제공합니다. 사용자는 Microsoft Store 앱 또는 웹 사이트의 로그인 자격 증명과 Microsoft 계정을 연결하여 이러한 자격 증명이 지원되는 버전을 실행하는 모든 장치에서 로밍되도록 할 수 있습니다.
개인 설정 동기화. 사용자는 가장 자주 사용되는 운영 체제 설정을 Microsoft 계정과 연결할 수 있습니다. 이러한 설정은 사용자가 지원되는 버전의 Windows를 실행하고 클라우드에 연결된 모든 디바이스에서 해당 계정으로 로그인할 때마다 사용할 수 있습니다. 사용자가 로그인하면 디바이스는 자동으로 클라우드에서 사용자의 설정을 가져와 디바이스에 적용하려는 시도를 합니다.
앱 동기화. Microsoft Store 앱은 모든 디바이스에서 이러한 설정을 사용할 수 있도록 사용자별 설정을 저장할 수 있습니다. 운영 체제 설정과 마찬가지로 이러한 사용자별 앱 설정은 지원되는 버전의 Windows를 실행하고 클라우드에 연결된 모든 디바이스에서 사용자가 동일한 Microsoft 계정으로 로그인할 때마다 사용할 수 있습니다. 사용자가 로그인하면 해당 디바이스가 자동으로 클라우드에서 설정을 다운로드하여 앱 설치 시 적용합니다.
통합 소셜 미디어 서비스: 사용자의 친구 및 동료에 대한 연락처 정보 및 상태는 Outlook, Facebook, Twitter 및 LinkedIn 등의 사이트에서 자동으로 최신 상태를 유지합니다. 또한 사용자는 OneDrive, Facebook 및 Flickr와 같은 사이트에서 사진, 문서 및 기타 파일에 액세스하고 공유할 수 있습니다.
도메인에서 Microsoft 계정 관리
IT 및 비즈니스 모델에 따라 엔터프라이즈에서 Microsoft 계정을 도입하는 것은 복잡성을 가중시킬 수도 있고 솔루션을 제공할 수도 있습니다. 엔터프라이즈에서 이러한 계정 유형의 사용을 허용하기 전에 다음 사항을 고려해야 합니다:
Microsoft 계정 사용 제한
다음 그룹 정책 설정은 엔터프라이즈에서 Microsoft 계정의 사용을 제어하는 데 도움이 됩니다:
앱 및 서비스: Microsoft 계정 사용자 인증 차단
이 설정은 사용자가 앱 또는 서비스에 대한 인증을 위해 Microsoft 계정 제공의 여부를 통제합니다.
이 설정을 사용하도록 설정하면 디바이스의 모든 앱과 서비스에서 Microsoft 계정을 인증에 사용할 수 없습니다. 이 설정은 기존 디바이스 사용자와 신규 사용자 모두에게 적용됩니다.
이미 Microsoft 계정을 사용한 사용자를 인증한 앱 또는 서비스는 인증 캐시가 만료될 때까지 이 설정을 사용하도록 설정해도 영향을 받지 않습니다. 캐시된 토큰이 Microsoft 계정을 인증하지 못하도록 하려면 사용자가 디바이스에 로그인하기 전에 이 설정을 사용하도록 설정하는 것이 좋습니다.
이 설정을 사용하지 않거나 구성하지 않으면 앱 및 서비스에서 Microsoft 계정을 인증에 사용할 수 있습니다. 이 설정은 기본적으로 사용하지 않도록 설정됩니다.
이 설정은 사용자가 Microsoft 계정을 사용하여 디바이스에 로그인할 수 있는지 여부 또는 웹 기반 앱 인증을 위해 브라우저를 통해 Microsoft 계정을 제공하는 기능에는 영향을 주지 않습니다.
이 설정의 경로는 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft 계정입니다.
계정: Microsoft 계정 차단
이 설정을 사용하면 설정 앱을 사용하여 Microsoft 서비스 및 일부 백그라운드 서비스에 대한 통합 인증에 Microsoft 계정을 추가하거나 다른 앱 또는 서비스에 대한 통합 인증에 Microsoft 계정을 사용할 수 없습니다.
이 설정을 활성화하면 사용자에게 다음 두 가지 옵션이 제공됩니다:
사용자가 Microsoft 계정을 추가할 수 없습니다. 기존 연결된 계정은 계속 디바이스에 로그인할 수 있습니다( 로그인 페이지에 표시됨). 그러나 사용자는 설정 앱을 사용하여 연결된 새 계정을 추가하거나 로컬 계정을 Microsoft 계정에 연결할 수 없습니다.
사용자가 Microsoft 계정을 추가하거나 로그인할 수 없습니다. 사용자는 설정을 통해 새로 연결된 계정을 추가(또는 로컬 계정을 Microsoft 계정에 연결)하거나 기존 연결된 계정을 사용할 수 없습니다.
이 설정은 앱 인증을 위해 Microsoft 계정 추가에는 영향을 미치지 않습니다. 예를 들어 이 설정을 사용하는 경우 사용자는 여전히 메일과 같은 앱의 인증에 Microsoft 계정을 제공할 수 있지만 사용자는 다른 앱 또는 서비스에 대한 통합 인증에는 Microsoft 계정을 사용할 수 없습니다. 다른 앱 및 서비스의 경우 사용자에게 인증을 요청하는 메시지가 표시됩니다.
이 설정은 기본적으로 구성되지 않습니다.
이 설정의 경로는 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션입니다.
연결된 계정 구성
사용자는 Microsoft 계정을 도메인 계정에 연결하고 계정 간에 설정 및 환경 설정을 동기화할 수 있습니다. 계정 간에 설정 및 환경 설정을 동기화하면 사용자는 다른 디바이스에서도 동일한 데스크톱 배경, 앱 설정, 브라우저 기록 및 즐겨찾기, 기타 Microsoft 계정 설정을 볼 수 있습니다.
연결된 계정 연결 해제
사용자는 언제든지 도메인 계정에서 Microsoft 계정에서 연결 해제할 수 있습니다: PC 설정에서 사용자>를 선택하고, 연결 해제>를 선택한 후 완료를 클릭하십시오.
참고 항목
Microsoft 계정을 도메인 계정에 연결하면 Windows의 일부 권한이 높은 작업에 대한 액세스가 제한될 수 있습니다. 예를 들어 Task Scheduler는 연결된 Microsoft 계정의 액세스 권한을 평가하고 실패합니다. 이 시나리오에서는 계정 소유자가 계정 연결을 해제해야 합니다.
엔터프라이즈에서 Microsoft 계정 프로비전하기
Microsoft 계정은 비공개 사용자 계정입니다. Microsoft는 엔터프라이즈용 Microsoft 계정을 프로비전하는 방법을 제공하지 않습니다. 기업은 반드시 도메인 계정을 사용해야 합니다.
계정 작업 감사
Microsoft 계정은 인터넷 기반이므로 해당 계정이 도메인 계정에 연결되어 있지 않으면 Windows에서 Microsoft 계정을 감사할 수 있는 방법이 없습니다. 사용자가 언제든지 계정 연결을 끊거나 도메인을 떠날 수 있으므로 도메인과 연결되지 않은 계정의 활동을 감사할 수 없습니다.
암호 재설정
Microsoft 계정의 소유자만 계정과 연결된 암호를 변경할 수 있습니다. 사용자는 Microsoft 계정 로그인 포털에서 Microsoft 계정의 암호를 변경할 수 있습니다.
앱 설치 및 사용 제한
조직 내에서 Microsoft 계정에 대한 앱 설치 및 사용을 규제하는 애플리케이션 제어 정책을 설정할 수 있습니다. 자세한 내용은 AppLocker 및 AppLocker의 패키지 앱 및 패키지 앱 설치 관리자 규칙을 참조하세요.