ID 플랫폼의 주요 기능 중 하나는 사용자가 디바이스, 애플리케이션 또는 서비스에 로그인할 때 자격 증명을 확인하거나 인증하는 것입니다. Microsoft Entra ID에서 인증에는 사용자 이름과 암호를 확인하는 것 이상이 포함됩니다. 보안을 개선하고 지원 센터 지원의 필요성을 줄이기 위해 Microsoft Entra 인증에는 다음 구성 요소가 포함됩니다.
- 셀프 서비스 암호 재설정
- Microsoft Entra 다단계 인증
- 하이브리드 통합을 통해 온-프레미스 환경으로 암호 변경 사항을 다시 기록합니다.
- 온-프레미스 환경에 암호 보호 정책을 적용하기 위한 하이브리드 통합
- 암호 없는 인증
이러한 인증 구성 요소에 대해 자세히 알아보려면 짧은 비디오를 살펴보세요.
최종 사용자 환경 개선
Microsoft Entra ID는 사용자의 ID를 보호하고 로그인 환경을 간소화하는 데 도움이 됩니다. 셀프 서비스 암호 재설정과 같은 기능을 사용하면 사용자가 모든 디바이스에서 웹 브라우저를 사용하여 암호를 업데이트하거나 변경할 수 있습니다. 이 기능은 사용자가 암호를 잊어버렸거나 계정이 잠겨 있는 경우에 특히 유용합니다. 기술 지원팀 또는 관리자가 지원을 제공할 때까지 기다리지 않고 사용자가 스스로 차단을 해제하고 작업을 계속할 수 있습니다.
Microsoft Entra 다단계 인증을 사용하면 사용자가 로그인하는 동안 전화 통화 또는 모바일 앱 알림과 같은 추가 인증 형식을 선택할 수 있습니다. 이 기능은 하드웨어 토큰과 같은 고정된 단일 형태의 보조 인증에 대한 요구 사항을 줄입니다. 사용자에게 현재 한 가지 형태의 추가 인증이 없는 경우 다른 방법을 선택하고 계속 작동할 수 있습니다.
암호 없는 인증은 사용자가 보안 암호를 만들고 기억할 필요가 없습니다. 비즈니스용 Windows Hello 또는 FIDO2 보안 키와 같은 기능을 사용하면 사용자가 암호 없이 디바이스 또는 애플리케이션에 로그인할 수 있습니다. 이 기능을 사용하면 다양한 환경에서 암호를 관리하는 복잡성을 줄일 수 있습니다.
셀프 서비스 암호 재설정
셀프 서비스 암호 재설정은 관리자 또는 지원 센터 개입 없이 사용자에게 암호를 변경하거나 재설정할 수 있는 기능을 제공합니다. 사용자의 계정이 잠겨 있거나 암호를 잊어버린 경우 프롬프트에 따라 스스로 차단을 해제하고 다시 작업할 수 있습니다. 이 기능은 사용자가 디바이스 또는 애플리케이션에 로그인할 수 없는 경우 지원 센터 호출 및 생산성 손실을 줄입니다.
셀프 서비스 암호 재설정은 다음 시나리오에서 작동합니다.
- 암호 변경 - 사용자가 암호를 알고 있지만 새 암호로 변경하려는 경우
- 암호 재설정 - 사용자가 암호를 잊어버린 경우와 같이 로그인할 수 없고 암호를 재설정하려는 경우입니다.
- 계정 잠금 해제 - 계정이 잠겨 있고 계정의 잠금을 해제하려고 하므로 사용자가 로그인할 수 없는 경우입니다.
사용자가 셀프 서비스 암호 재설정을 사용하여 암호를 업데이트하거나 재설정하는 경우 해당 암호를 온-프레미스 Active Directory 환경에 다시 쓸 수도 있습니다. 비밀번호 쓰기 저장을 사용하면 사용자가 온-프레미스 디바이스 및 애플리케이션에서 업데이트된 자격 증명을 즉시 사용할 수 있습니다.
Microsoft Entra 다단계 인증
다단계 인증은 로그인 프로세스 중에 휴대폰에 코드를 입력하거나 지문 스캔을 제공하는 것과 같은 추가 형태의 식별을 요청하는 프로세스입니다.
암호만 사용하여 사용자를 인증하는 경우 공격에 안전하지 않은 벡터가 남습니다. 암호가 약하거나 다른 곳에서 노출된 경우 실제로 사용자 이름 및 암호를 사용하여 로그인하는 사용자입니까, 아니면 공격자입니까? 두 번째 형태의 인증이 필요한 경우 이 추가 요소가 공격자가 쉽게 가져오거나 복제할 수 없으므로 보안이 강화됩니다.
Microsoft Entra 다단계 인증은 다음 인증 방법 중 둘 이상을 요구하여 작동합니다.
- 알고 있는 것, 일반적으로 암호입니다.
- 휴대폰 또는 하드웨어 키와 같이 쉽게 복제되지 않는 신뢰할 수 있는 디바이스와 같이 가지고 있는 항목입니다.
- 당신을 나타내는 것 - 지문이나 얼굴 스캔과 같은 생체 인식 정보.
사용자는 셀프 서비스 암호 재설정 및 Microsoft Entra 다단계 인증을 모두 등록하여 온보딩 환경을 간소화할 수 있습니다. 관리자는 어떤 형태의 보조 인증을 사용할 수 있는지 정의할 수 있습니다. 사용자가 셀프 서비스 암호 재설정을 수행하여 해당 프로세스를 더욱 안전하게 보호할 때 Microsoft Entra 다단계 인증이 필요할 수도 있습니다.
암호 보호
기본적으로 Microsoft Entra ID는 Password1과 같은 취약한 암호를 차단합니다. 알려진 취약한 암호를 포함하는 전역 금지 암호 목록이 자동으로 업데이트되고 적용됩니다. Microsoft Entra 사용자가 이러한 취약한 암호 중 하나로 암호를 설정하려고 하면 더 안전한 암호를 선택하라는 알림이 수신됩니다.
보안을 강화하기 위해 사용자 지정 암호 보호 정책을 정의할 수 있습니다. 이러한 정책은 필터를 사용하여 Contoso 와 같은 이름 또는 런던과 같은 위치를 포함하는 암호의 변형을 차단할 수 있습니다.
하이브리드 보안을 위해 Microsoft Entra 암호 보호를 온-프레미스 Active Directory 환경과 통합할 수 있습니다. 온-프레미스 환경에 설치된 구성 요소는 Microsoft Entra ID에서 전역 금지 암호 목록 및 사용자 지정 암호 보호 정책을 수신하고 도메인 컨트롤러는 이를 사용하여 암호 변경 이벤트를 처리합니다. 이 하이브리드 접근 방식은 사용자가 자격 증명을 변경하는 방법이나 위치에 관계없이 강력한 암호를 사용하도록 합니다.
암호 없는 인증
많은 환경의 최종 목표는 로그인 이벤트의 일부로 암호 사용을 제거하는 것입니다. Azure 암호 보호 또는 Microsoft Entra 다단계 인증과 같은 기능은 보안을 개선하는 데 도움이 되지만 사용자 이름과 암호는 노출되거나 무차별 암호 대입 공격을 받을 수 있는 약한 형태의 인증으로 남아 있습니다.
암호 없는 방법으로 로그인하는 경우 비즈니스용 Windows Hello 또는 FIDO2 보안 키와 함께 생체 인식과 같은 방법을 사용하여 자격 증명을 제공합니다. 이러한 인증 방법은 공격자가 쉽게 복제할 수 없습니다.
Microsoft Entra ID는 기본적으로 암호 없는 방법을 통해 인증하여 사용자의 로그인 환경을 간소화하고 공격 위험을 줄일 수 있습니다.
다음 단계
시작하려면 SSPR(셀프 서비스 암호 재설정)에 대한 자습서 및 Microsoft Entra 다단계 인증을 참조하세요.
셀프 서비스 암호 재설정 개념에 대한 자세한 내용은 Microsoft Entra 셀프 서비스 암호 재설정 작동 방법을 참조하세요.
다단계 인증 개념에 대한 자세한 내용은 Microsoft Entra 다단계 인증 작동 방식을 참조하세요.