다음을 통해 공유

Microsoft Entra 인증이란?

ID 플랫폼의 주요 기능 중 하나는 사용자가 디바이스, 애플리케이션 또는 서비스에 로그인할 때 자격 증명을 확인하거나 인증하는 것입니다. Microsoft Entra ID에서 인증에는 사용자 이름과 암호를 확인하는 것 이상이 포함됩니다. 보안을 개선하고 지원 센터 지원의 필요성을 줄이기 위해 Microsoft Entra 인증에는 다음 구성 요소가 포함됩니다.

  • SSPR(셀프 서비스 암호 재설정)
  • MFA(다단계 인증)
  • 온-프레미스 환경에 암호 변경 내용을 다시 쓰는 하이브리드 통합
  • 온-프레미스 환경에 암호 보호 정책을 적용하기 위한 하이브리드 통합
  • 암호 없는 인증

이러한 인증 구성 요소에 대해 자세히 알아보려면 짧은 비디오를 시청하세요.

사용자 환경 개선

Microsoft Entra ID는 사용자의 ID를 보호하고 로그인 환경을 간소화하는 데 도움이 됩니다. SSPR과 같은 기능을 사용하면 사용자가 모든 디바이스에서 웹 브라우저를 사용하여 암호를 업데이트하거나 변경할 수 있습니다. 이 기능은 사용자가 암호를 잊어버리거나 계정이 잠겨 있는 경우에 특히 유용합니다. 기술 지원팀 또는 관리자가 지원을 제공할 때까지 기다리지 않고 사용자가 스스로 차단을 해제하고 계속 작업할 수 있습니다.

MFA를 사용하면 사용자가 로그인 중에 전화 통화 또는 모바일 앱 알림과 같은 추가 인증 형식을 선택할 수 있습니다. 이 기능은 하드웨어 토큰과 같은 고정된 단일 형태의 보조 인증에 대한 요구 사항을 줄입니다. 사용자에게 현재 한 가지 형태의 추가 인증이 없는 경우 다른 방법을 선택하고 계속 작동할 수 있습니다.

로그인 화면에서 사용 중인 인증 방법을 보여 주는 스크린샷

암호 없는 인증은 사용자가 보안 암호를 만들고 기억할 필요가 없습니다. 비즈니스용 Windows Hello 또는 FIDO2 보안 키와 같은 기능을 통해 사용자는 암호 없이 디바이스 또는 애플리케이션에 로그인할 수 있습니다. 이 기능을 사용하면 환경 전체에서 암호를 관리하는 복잡성을 줄일 수 있습니다.

셀프 서비스 암호 재설정

SSPR은 사용자에게 관리자 또는 지원 센터 개입 없이 암호를 변경하거나 재설정할 수 있는 기능을 제공합니다. 사용자의 계정이 잠겨 있거나 암호를 잊어버린 경우 프롬프트에 따라 스스로 차단을 해제하고 다시 작업할 수 있습니다. 이 기능은 사용자가 디바이스 또는 애플리케이션에 로그인할 수 없는 경우 지원 센터 호출 및 생산성 손실을 줄입니다.

SSPR은 다음 시나리오에서 작동합니다.

  • 암호 변경: 사용자가 암호를 알고 있지만 새 암호로 변경하려는 경우
  • 암호 재설정: 사용자가 로그인할 수 없는 경우(예: 암호를 잊은 후) 암호를 다시 설정하려고 합니다.
  • 계정 잠금 해제: 계정이 잠겨 있어 사용자가 로그인할 수 없는 경우 사용자가 계정의 잠금을 해제하려고 합니다.

사용자가 SSPR을 사용하여 암호를 업데이트하거나 재설정하는 경우 해당 암호를 온-프레미스 Active Directory 환경에 다시 쓸 수도 있습니다. 비밀번호 쓰기 저장을 사용하면 사용자가 온-프레미스 디바이스 및 애플리케이션에서 업데이트된 자격 증명을 즉시 사용할 수 있습니다.

다단계 인증

다단계 인증은 로그인하는 동안 사용자에게 추가 형식의 ID를 묻는 메시지가 표시되는 프로세스입니다. 예를 들어 사용자에게 휴대폰에 코드를 입력하거나 지문 검사를 제공하라는 메시지가 표시됩니다.

암호만 사용하여 사용자를 인증하는 경우 공격에 대해 안전하지 않은 벡터가 남습니다. 암호가 약하거나 다른 곳에서 노출되는 경우 실제로 사용자 이름 및 암호로 로그인하는 사용자인가요, 아니면 공격자입니까? 두 번째 형태의 인증을 요구하면 공격자가 이 추가 요소를 쉽게 가져오거나 복제할 수 없으므로 보안이 강화됩니다.

다양한 형태의 다단계 인증에 대한 개념 다이어그램

Microsoft Entra MFA는 다음 인증 방법 중 두 개 이상을 요구하여 작동합니다.

  • 사용자가 알고 있는 것, 일반적으로 암호
  • 사용자가 가지고 있는 항목(예: 신뢰할 수 있는 디바이스 또는 쉽게 복제되지 않는 하드웨어 키)
  • 사용자를 나타내는 것; 즉, 지문 또는 얼굴 스캔과 같은 생체 인식

사용자는 온보딩 환경을 간소화하기 위해 한 단계에서 SSPR 및 MFA 모두에 등록할 수 있습니다. 관리자는 사용할 보조 인증의 형태를 정의할 수 있습니다. 또한 관리자는 사용자가 셀프 서비스 암호 재설정을 수행할 때 MFA를 요구하여 해당 프로세스를 더욱 보호할 수 있습니다.

암호 보호

기본적으로 Microsoft Entra ID는 Password1과 같은 취약한 암호를 차단합니다. Microsoft Entra ID는 약한 것으로 알려진 금지된 암호 목록을 자동으로 업데이트하고 적용합니다. 이러한 취약한 암호 중 하나로 암호를 설정하려는 Microsoft Entra 사용자는 더 안전한 암호를 선택하라는 알림을 받습니다.

보안을 강화하기 위해 암호 보호를 위한 사용자 지정 정책을 정의할 수 있습니다. 이러한 정책은 필터를 사용하여 Contoso 와 같은 이름 또는 런던과 같은 위치가 포함된 암호의 변형을 차단할 수 있습니다.

하이브리드 보안을 위해 Microsoft Entra 암호 보호를 온-프레미스 Active Directory 환경과 통합할 수 있습니다. 온-프레미스 환경에 설치된 구성 요소는 금지된 암호 목록과 Microsoft Entra ID로부터 암호 보호를 위한 사용자 지정 정책을 받습니다. 그런 다음 도메인 컨트롤러는 해당 정보를 사용하여 암호 변경 내용을 처리합니다. 이 하이브리드 접근 방식은 사용자가 자격 증명을 변경하는 방법이나 위치에 관계없이 강력한 암호를 사용하도록 합니다.

암호 없는 인증

많은 환경의 목표는 로그인 이벤트의 일부로 암호 사용을 제거하는 것입니다. Azure 암호 보호 또는 Microsoft Entra MFA와 같은 기능은 보안을 개선하는 데 도움이 되지만 사용자 이름/암호 조합은 노출되거나 무차별 암호 대입 공격을 받을 수 있는 약한 형태의 인증으로 남아 있습니다.

암호 없는 로그인으로 이어지는 인증 프로세스의 보안과 편의를 보여 주는 다이어그램.

사용자가 암호 없이 로그인할 때 다음과 같은 방법을 사용하여 자격 증명을 제공합니다.

  • 비즈니스용 Windows Hello를 사용한 생체 인식
  • FIDO2 보안 키입니다.

공격자는 이러한 인증 방법을 쉽게 복제할 수 없습니다.

Microsoft Entra ID는 암호 없는 방법을 사용하여 기본적으로 인증하는 방법을 제공하여 사용자의 로그인 환경을 간소화하고 공격 위험을 줄입니다.

관련 콘텐츠