Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하면 관리자 또는 지원 센터에서 개입하지 않고도 사용자가 암호를 변경하거나 다시 설정할 수 있습니다. 사용자의 계정이 잠겨 있거나 암호를 잊어버린 경우 프롬프트에 따라 스스로 차단을 해제하고 다시 작업할 수 있습니다. 이 기능은 사용자가 디바이스 또는 애플리케이션에 로그인할 수 없는 경우 지원 센터 호출 및 생산성 손실을 줄입니다. Microsoft Entra ID에서 SSPR을 사용하도록 설정하고 구성하는 방법에 대한 이 비디오를 권장합니다.
중요합니다
이 개념 문서에서는 셀프 서비스 암호 재설정의 작동 방식을 관리자에게 설명합니다. 셀프 서비스 암호 재설정에 이미 등록된 최종 사용자가 계정으로 다시 이동해야 하는 경우 https://aka.ms/sspr로 이동합니다.
IT 팀이 자신의 암호를 재설정 하는 기능을 사용하도록 설정하지 않은 경우, 추가 지원이 필요 하면 기술 지원팀에 문의하세요.
암호 재설정 프로세스 작동 방법
사용자는 SSPR 포털을 사용하여 암호를 재설정하거나 변경할 수 있습니다. 또한 SSPR은 최종 사용자에 대해서만 사용되므로 관리자용 SSPR은 기본적으로 테넌트에서 사용하도록 설정되지 않습니다. 먼저 원하는 인증 방법을 등록해야 합니다. 사용자가 SSPR 포털에 액세스하는 경우 Microsoft Entra 플랫폼은 다음 요소를 고려합니다.
- 페이지를 어떻게 지역화해야 하나요?
- 사용자 계정이 유효한가요?
- 사용자가 속한 조직은 무엇인가요?
- 사용자의 암호는 어디에 관리되는가?
사용자가 애플리케이션 또는 페이지에서 계정 링크에 액세스할 수 없음 을 선택하거나 직접 이동하면 https://aka.ms/ssprSSPR 포털에서 사용되는 언어는 다음 옵션을 기반으로 합니다.
- 기본적으로 브라우저 로캘은 SSPR을 적절한 언어로 표시하는 데 사용됩니다. 암호 재설정 환경은 Microsoft 365에서 지원하는 것과 동일한 언어로 지역화됩니다.
- 특정 지역화된 언어로 SSPR에 연결하려면 필요한 로캘과 함께 암호 재설정 URL의 끝에 추가
?mkt=합니다.- 예를 들어 스페인어 es-us 로케일을 지정하려면
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us를 사용합니다.
- 예를 들어 스페인어 es-us 로케일을 지정하려면
SSPR 포털이 필요한 언어로 표시되면 사용자에게 사용자 ID를 입력하고 captcha를 전달하라는 메시지가 표시됩니다. 이제 Microsoft Entra ID는 다음 검사를 수행하여 사용자가 SSPR을 사용할 수 있는지 확인합니다.
- 사용자가 SSPR을 사용하도록 설정했는지 확인합니다.
- 사용자가 SSPR에 대해 사용하도록 설정되지 않은 경우 사용자에게 암호를 재설정하도록 관리자에게 문의하라는 메시지가 표시됩니다.
- 사용자에게 관리자 정책에 따라 계정에 정의된 올바른 인증 방법이 있는지 확인합니다.
- 정책에 메서드가 하나만 필요한 경우 관리자 정책에서 사용하도록 설정된 인증 방법 중 하나 이상에 대해 정의된 적절한 데이터가 사용자에게 있는지 확인합니다.
- 인증 방법이 구성되지 않은 경우 사용자는 관리자에게 문의하여 암호를 재설정하는 것이 좋습니다.
- 정책에 두 가지 방법이 필요한 경우 관리자 정책에서 사용하도록 설정된 인증 방법 중 적어도 두 가지에 대해 정의된 적절한 데이터가 사용자에게 있는지 확인합니다.
- 인증 방법이 구성되지 않은 경우 사용자는 관리자에게 문의하여 암호를 재설정하는 것이 좋습니다.
- Azure 관리자 역할이 사용자에게 할당된 경우 강력한 2 게이트 암호 정책이 적용됩니다. 자세한 내용은 관리자 재설정 정책의 차이점을 참조하세요.
- 정책에 메서드가 하나만 필요한 경우 관리자 정책에서 사용하도록 설정된 인증 방법 중 하나 이상에 대해 정의된 적절한 데이터가 사용자에게 있는지 확인합니다.
- Microsoft Entra 테넌트가 페더레이션, 통과 인증 또는 암호 해시 동기화를 사용하는 경우와 같이 사용자의 암호가 온-프레미스에서 관리되는지 확인합니다.
- SSPR 쓰기 저장이 구성되고 사용자의 암호가 온-프레미스에서 관리되는 경우 사용자는 계속해서 암호를 인증하고 재설정할 수 있습니다.
- SSPR 쓰기 저장이 배포되지 않고 사용자의 암호가 온-프레미스에서 관리되는 경우 사용자에게 암호를 재설정하도록 관리자에게 문의하라는 메시지가 표시됩니다.
이전 검사가 모두 성공적으로 완료되면 사용자는 암호를 재설정하거나 변경하는 프로세스를 안내합니다.
비고
SSPR은 암호 재설정 프로세스의 일부로 사용자에게 이메일 알림을 보낼 수 있습니다. 이러한 전자 메일은 여러 지역에서 활성-활성 모드로 작동하는 SMTP 릴레이 서비스를 사용하여 전송됩니다.
SMTP 릴레이 서비스는 전자 메일 본문을 수신하고 처리하지만 저장하지 않습니다. 고객이 제공한 정보를 포함할 수 있는 SSPR 이메일 본문은 SMTP 릴레이 서비스 로그에 저장되지 않습니다. 로그에는 프로토콜 메타데이터만 포함됩니다.
SSPR을 시작하려면 다음 자습서를 완료합니다.
자습서: SSPR(셀프 서비스 암호 재설정) 사용 설정
사용자가 로그인할 때 등록하도록 요구
사용자가 최신 인증 또는 웹 브라우저를 사용하여 Microsoft Entra ID를 사용하여 애플리케이션에 로그인하는 경우 사용자가 SSPR 등록을 완료하도록 요구하는 옵션을 사용하도록 설정할 수 있습니다. 이 워크플로에는 다음 애플리케이션이 포함됩니다.
- 마이크로소프트 365
- Microsoft Entra 관리 센터
- 액세스 패널
- 페더레이션된 애플리케이션
- Microsoft Entra ID를 사용하는 사용자 지정 애플리케이션
등록이 필요하지 않은 경우 로그인하는 동안 사용자에게 메시지가 표시되지 않지만 수동으로 등록할 수 있습니다. 사용자는 액세스 패널의 https://aka.ms/ssprsetup 탭에서 암호 재설정 등록 링크를 방문 하거나 선택할 수 있습니다.
비고
사용자는 취소 를 선택하거나 창을 닫아 SSPR 등록 포털을 해제할 수 있습니다. 그러나 등록을 완료할 때까지 로그인할 때마다 등록하라는 메시지가 표시됩니다.
SSPR에 등록하기 위한 이 인터럽트는 이미 로그인한 경우 사용자의 연결을 끊지 않습니다.
인증 정보 다시 확인
사용자가 특정 기간 후에 인증 정보를 확인하도록 요구할 수 있습니다. 이 옵션은 사용자가 로그인할 때 등록하도록 요구하는 옵션을 사용하도록 설정한 경우에만 사용할 수 있습니다.
사용자에게 인증 정보를 확인하라는 메시지를 표시하는 유효한 값은 0 ~ 730 일입니다. 이 값을 0 으로 설정하면 사용자에게 인증 정보를 확인하라는 메시지가 표시되지 않습니다. 사용자가 자신의 정보를 다시 확인하려면 로그인해야 합니다.
비고
SSPR에 둘 이상의 인증 방법이 필요한 경우 메서드를 삭제하는 사용자는 인증 정보를 다시 확인하라는 요청을 받을 때까지 인증 정보를 확인할 필요가 없습니다.
인증 방법
사용자가 SSPR을 사용하도록 설정된 경우 하나 이상의 인증 방법을 등록해야 합니다. 사용자가 필요할 때 한 가지 메서드에 액세스할 수 없는 경우 더 많은 유연성을 갖도록 두 개 이상의 인증 방법을 선택하는 것이 좋습니다. 자세한 내용은 인증 방법이란?을 참조하세요.
SSPR에는 다음과 같은 인증 방법을 사용할 수 있습니다.
- 모바일 앱 알림
- 모바일 앱 코드
- 하드웨어 OATH 토큰
- 소프트웨어 OATH 토큰
- 전자 메일
- 휴대폰
- 사무실 전화(유료 구독이 있는 테넌트에만 사용 가능)
- 본인 확인 질문
사용자는 관리자가 사용하도록 설정한 인증 방법을 등록하는 경우에만 암호를 재설정할 수 있습니다.
경고
관리자재설정 정책 차이점 섹션에 정의된 대로 메서드를 사용하려면 Azure 관리자 역할이 할당된 계정이 필요합니다.
필요한 인증 방법 수
사용자가 암호를 재설정하거나 잠금을 해제하기 위해 제공해야 하는 사용 가능한 인증 방법의 수를 구성할 수 있습니다. 이 값은 하나 또는 두 개로 설정할 수 있습니다.
사용자는 한 메서드에 액세스할 수 없는 경우 다른 방법으로 로그인할 수 있도록 여러 인증 방법을 등록해야 합니다.
사용자가 필요한 메서드의 최소 수를 등록하지 않으면 SSPR을 사용하려고 할 때 오류 페이지가 표시됩니다. 관리자에게 암호를 재설정하도록 요청해야 합니다. 자세한 내용은 인증 방법 변경을 참조하세요.
모바일 앱 및 SSPR
Microsoft Authenticator와 같은 암호 재설정 방법으로 모바일 앱을 사용하는 경우 조직이 중앙 집중식 인증 방법 정책으로 마이그레이션하지 않은 경우 다음 고려 사항이 적용됩니다.
- 관리자가 암호를 재설정하는 데 한 가지 방법을 사용해야 하는 경우 확인 코드만 사용할 수 있습니다.
- 관리자가 암호를 재설정하는 데 두 가지 방법을 사용해야 하는 경우 사용자는 활성화된 다른 방법 외에도 알림 또는 확인 코드를 사용할 수 있습니다.
| 다시 설정하는 데 필요한 메서드 수 | 1 | 둘 |
|---|---|---|
| 사용 가능한 모바일 앱 기능 | 코드 | 코드 또는 알림 |
사용자는 다음 위치에서 또는 결합된 보안 정보 등록에서 https://aka.ms/mfasetup모바일 앱을 등록할 수 있습니다 https://aka.ms/setupsecurityinfo.
중요합니다
인증자는 하나의 방법만 필요한 경우 유일한 인증 방법으로 선택할 수 없습니다. 마찬가지로 두 메서드가 필요한 경우 Authenticator와 추가 메서드를 하나만 선택할 수 없습니다.
Authenticator 앱을 메서드로 포함하는 SSPR 정책을 구성하는 경우 한 메서드가 필요할 때 하나 이상의 추가 메서드를 선택해야 하며, 두 가지 메서드를 구성해야 할 때 두 개 이상의 추가 메서드를 선택해야 합니다.
인증 방법 변경
등록 초기화 또는 잠금 해제에 필요한 인증 방법이 하나만 있는 정책으로 시작하고 이를 두 가지 방법으로 변경하면 어떻게 되나요?
| 등록된 메서드 수 | 필요한 메서드 수 | 결과 |
|---|---|---|
| 1개 이상 | 1 | 다시 설정하거나 잠금 해제할 수 있습니다. |
| 1 | 2 | 다시 설정하거나 잠금 해제할 수 없음 |
| 2개 이상 | 2 | 다시 설정하거나 잠금 해제할 수 있습니다. |
사용 가능한 인증 방법을 변경하면 사용자에게 문제가 발생할 수도 있습니다. 사용 가능한 인증 방법을 변경하는 경우 사용 가능한 최소 데이터 양이 없는 사용자는 SSPR을 사용할 수 없습니다.
다음과 같은 경우를 고려합니다.
- 원래 정책은 필요한 두 가지 인증 방법으로 구성됩니다. 사무실 전화 번호와 보안 질문만 사용합니다.
- 관리자는 보안 질문을 더 이상 사용하지 않고 휴대폰과 대체 전자 메일을 사용할 수 있도록 정책을 변경합니다.
- 휴대폰 또는 대체 전자 메일 필드가 채워지지 않은 사용자는 이제 암호를 재설정할 수 없습니다.
공지
암호 이벤트에 대한 인식을 개선하기 위해 SSPR을 사용하면 사용자 및 ID 관리자 모두에 대한 알림을 구성할 수 있습니다.
사용자에게 암호 재설정에 대해 알림
이 옵션을 예로 설정하면 암호를 재설정하는 사용자는 암호가 변경되었음을 알리는 전자 메일을 받습니다. 전자 메일은 SSPR 포털을 통해 Microsoft Entra ID에 저장된 기본 및 대체 전자 메일 주소로 전송됩니다. 기본 또는 대체 전자 메일 주소가 정의되지 않은 경우 SSPR은 사용자 UPN(사용자 계정 이름)을 통해 이메일 알림을 시도합니다. 다른 누구도 재설정 이벤트에 대한 알림을 받지 않습니다.
다른 관리자가 암호를 재설정할 때 모든 관리자에게 알립니다.
이 옵션을 예로 설정하면 전역 관리자가 Microsoft Entra ID에 저장된 기본 전자 메일 주소로 전자 메일을 받습니다. 전자 메일은 다른 관리자가 SSPR을 사용하여 암호를 변경했음을 알릴 수 있습니다.
비고
SSPR 서비스의 이메일 알림은 작업 중인 Azure 클라우드를 기반으로 다음 주소에서 전송됩니다.
- 공공: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- 21Vianet에서 운영하는 Microsoft Azure(중국의 Azure): msonlineservicesteam@oe.21vianet.com21Vianetonlineservicesteam@21vianet.com
- 미국 정부용 Azure: msonlineservicesteam@azureadnotifications.usmsonlineservicesteam@microsoftonline.us
알림 수신 시 문제가 발생하는 경우 스팸 설정을 확인하세요.
사용자 지정 관리자가 알림 이메일을 수신하도록 하려면 SSPR 사용자 지정을 사용하고 사용자 지정 기술 지원팀 링크 또는 전자 메일을 설정합니다.
온-프레미스 통합
하이브리드 환경에서는 Microsoft Entra Connect 클라우드 동기화를 구성하여 Microsoft Entra ID에서 온-프레미스 디렉터리로 암호 변경 이벤트를 다시 작성할 수 있습니다.
Microsoft Entra ID는 현재 하이브리드 연결을 확인하고 Microsoft Entra 관리 센터에서 메시지를 제공합니다. 가능한 오류 해결에 대한 도움말은 Microsoft Entra Connect 문제 해결을 참조하세요.
SSPR 쓰기 저장을 시작하려면 다음 자습서를 완료합니다.
온-프레미스 디렉터리에 암호 다시 쓰기
Microsoft Entra 관리 센터를 사용하여 비밀번호 쓰기 저장을 사용하도록 설정할 수 있습니다. Microsoft Entra Connect를 다시 구성하지 않고도 비밀번호 쓰기 저장을 일시적으로 사용하지 않도록 설정할 수도 있습니다.
- 옵션이 Yes로 설정된 경우 쓰기 저장이 사용됩니다. 페더레이션, 통과 인증 또는 암호 해시 동기화된 사용자는 암호를 재설정할 수 있습니다.
- 옵션을 아니요로 설정하면 쓰기 저장이 비활성화됩니다. 페더레이션, 통과 인증 또는 암호 해시 동기화된 사용자는 암호를 재설정할 수 없습니다.
사용자가 암호를 재설정하지 않고 계정 잠금을 해제할 수 있도록 허용
기본적으로 Microsoft Entra ID는 암호 재설정을 수행할 때 계정의 잠금을 해제합니다. 유연성을 제공하기 위해 사용자가 암호를 재설정하지 않고도 온-프레미스 계정의 잠금을 해제할 수 있도록 선택할 수 있습니다. 이 설정을 사용하여 두 작업을 구분합니다.
- 예로 설정하면 암호를 재설정하고 계정 잠금을 해제하거나 암호를 재설정하지 않고도 계정 잠금을 해제할 수 있는 옵션이 사용자에게 제공됩니다.
- 아니요로 설정하면 사용자는 결합된 암호 재설정 및 계정 잠금 해제 작업만 수행할 수 있습니다.
온-프레미스 Active Directory 암호 필터
SSPR은 Active Directory에서 관리자가 시작한 암호 재설정과 동일한 작업을 수행합니다. 타사 암호 필터를 사용하여 사용자 지정 암호 규칙을 적용하고 Microsoft Entra 셀프 서비스 암호 재설정 중에 이 암호 필터를 확인해야 하는 경우 타사 암호 필터 솔루션이 관리자 암호 재설정 시나리오에 적용되도록 구성되어 있는지 확인합니다. Active Directory Domain Services에 대한 Microsoft Entra 암호 보호 는 기본적으로 지원됩니다.
B2B 사용자에 대한 암호 재설정
암호 재설정 및 변경은 모든 B2B(Business-to-Business) 구성에서 완전히 지원됩니다. B2B 사용자 암호 재설정은 다음 세 가지 경우에 지원됩니다.
- 기존 Microsoft Entra 테넌트가 있는 파트너 조직의 사용자: 파트너에 Microsoft Entra 테넌트가 있는 경우 해당 테넌트에서 사용하도록 설정된 모든 암호 재설정 정책을 준수합니다. 암호 재설정이 작동하려면 파트너 조직에서 Microsoft Entra SSPR을 사용하도록 설정하기만 하면 됩니다. Microsoft 365 고객에게는 다른 요금이 부과되지 않습니다.
- 셀프 서비스 등록을 통해 등록하는 사용자: 파트너가 셀프 서비스 등록 기능을 사용하여 테넌트에 로그인한 경우 등록한 전자 메일로 암호를 재설정할 수 있습니다.
- B2B 사용자: 새 Microsoft Entra B2B 기능을 사용하여 만든 모든 새 B2B 사용자는 초대 프로세스 중에 등록한 전자 메일로 암호를 재설정할 수도 있습니다.
이 시나리오를 테스트하려면 이러한 파트너 사용자 중 한 명과 함께 이동합니다 https://passwordreset.microsoftonline.com . 사용자가 대체 전자 메일 또는 인증 전자 메일을 정의한 경우 암호 재설정이 예상대로 작동합니다.
비고
Hotmail.com, Outlook.com 또는 기타 개인 전자 메일 주소와 같이 Microsoft Entra 테넌트에 대한 게스트 액세스 권한이 부여된 Microsoft 계정은 Microsoft Entra SSPR을 사용할 수 없습니다. 자세한 내용은 Microsoft 계정에 로그인할 수 없는 경우를 참조하세요.
다음 단계
SSPR을 시작하려면 다음 자습서를 완료합니다.
자습서: SSPR(셀프 서비스 암호 재설정) 사용 설정