다음을 통해 공유

Authenticator에서 패스키 활성화

이 문서에서는 Microsoft Entra ID용 Authenticator의 패스키를 활성화하고 사용하도록 적용하는 단계를 나열합니다. 먼저 인증 방법 정책을 업데이트하여 사용자가 Authenticator에서 암호를 등록하고 로그인할 수 있도록 합니다. 그런 다음 조건부 액세스 인증 강도 정책을 사용하여 사용자가 중요한 리소스에 액세스할 때 패스키 로그인을 사용하도록 적용할 수 있습니다.

요구 사항

  • Microsoft Entra MFA(다단계 인증).

  • Android 14 이상 또는 iOS 17 이상.

  • 디바이스 간 등록 및 인증의 경우:

    • 두 장치 모두 Bluetooth를 사용하도록 설정해야 합니다.
    • 조직에서 다음 두 엔드포인트에 대한 인터넷 연결을 허용해야 합니다.
      • https://cable.ua5v.com
      • https://cable.auth.com

    참고

    증명을 사용하도록 설정하는 경우 사용자는 디바이스 간 등록을 사용할 수 없습니다.

FIDO2 지원에 대한 자세한 내용은 Microsoft Entra ID를 사용한 FIDO2 인증 지원을 참조하세요.

참고

조건부 액세스 정책의 일부로 준수 제어로 표시되도록 요구 디바이스 를 부여하는 경우 UserAuthenticationMethod.Read 범위에 대한 Microsoft Authenticator 앱 액세스를 차단하지 않습니다. 인증자는 Authenticator 등록 중에 UserAuthenticationMethod.Read 범위에 액세스하여 사용자가 구성할 수 있는 자격 증명을 결정해야 합니다. 인증자는 자격 증명을 등록하기 위해 UserAuthenticationMethod.ReadWrite에 액세스해야 하며, 이때 디바이스가 준수하는 것으로 표시되어야 하는 검사를 우회하지 않습니다.

관리 센터에서 Authenticator의 패스키를 활성화합니다.

  1. Microsoft Entra 관리 센터에 인증 정책 관리자 이상으로 로그인합니다.

  2. Entra ID>인증 방법>인증 방법 정책으로 이동합니다.

  3. 메서드 암호(FIDO2)에서 모든 사용자 또는 그룹 추가를 선택하여 특정 그룹을 선택합니다. 보안 그룹만 지원됩니다.

  4. 구성 탭에서 다음을 수행 합니다.

    • 셀프 서비스 허용 설정을로 설정합니다. 아니요로 설정된 경우 인증 방법 정책에서 암호(FIDO2)를 사용하도록 설정한 경우에도 보안 정보를 사용하여 암호를 등록할 수 없습니다.

    • 증명 적용을 또는 아니요로 설정합니다. 사용자는 인증자 앱에서 직접 증명된 암호만 등록할 수 있습니다. 디바이스 간 등록 흐름은 검증된 패스키의 등록을 지원하지 않습니다.

      FIDO2(Passkey) 정책에서 증명을 사용하도록 설정하면 Microsoft Entra ID가 생성되는 암호의 정당성을 확인하려고 합니다. 사용자가 Authenticator에 암호를 등록하는 경우 증명은 합법적인 Authenticator 앱이 Apple 및 Google 서비스를 사용하여 암호를 생성했음을 확인합니다. 자세한 내용은 다음과 같습니다.

      • iOS: Authenticator 증명은 iOS 앱 증명 서비스를 사용하여 암호를 등록하기 전에 Authenticator 앱의 정당성을 보장합니다.

      • 안드로이드

        • 플레이 무결성 증명의 경우, Authenticator 앱 증명은 Play Integrity API를 사용하여 패스키를 등록하기 전에 Authenticator 앱의 정당성을 보장합니다.
        • 키 증명의 경우 Authenticator 증명은 Android의 키 증명 을 사용하여 등록되는 암호가 하드웨어 지원인지 확인합니다.

      참고

      iOS 및 Android의 경우 Authenticator 증명은 Apple 및 Google 서비스를 사용하여 Authenticator 앱의 신뢰성을 확인합니다. 서비스 사용량이 많을 경우 암호 등록에 실패할 수 있으며 사용자는 다시 시도해야 할 수 있습니다. Apple 및 Google 서비스가 중단된 경우 Authenticator 증명은 서비스가 복원될 때까지 증명이 필요한 등록을 차단합니다. Google Play 무결성 서비스의 상태를 모니터링하려면 Google Play 상태 대시보드를 참조하세요. iOS 앱 수집 서비스의 상태를 모니터링하려면 시스템 상태를 참조하세요.

    • 키 제한은 등록 및 인증 모두에 대한 특정 암호의 유용성을 설정합니다. 사용자가 Authenticator 앱에서 직접 암호 등록을 포함하여 지원되는 모든 암호를 등록할 수 있도록 키 제한 적용아니요 로 설정할 수 있습니다. 키 제한 적용로 설정하고 이미 활성 암호 사용량이 있는 경우 현재 사용 중인 암호의 AAGUID를 수집하고 추가해야 합니다.

      특정 키 제한을허용으로 설정하면 Microsoft Authenticator를 선택하여 Authenticator 앱 AAGUID를 키 제한 목록에 자동으로 추가합니다. 또한 사용자가 Authenticator 앱에 로그인하거나 보안 정보에 대한 안내 흐름을 통해 Authenticator에 암호를 등록할 수 있도록 다음 AAGUID를 수동으로 추가할 수도 있습니다.

      • Android용 인증자: de1e552d-db1d-4423-a619-566b625cdc84
      • iOS용 인증자: 90a3ccdf-635c-4729-a248-9b709135078f

      키 제한 사항을 변경하고 이전에 허용한 AAGUID를 제거하면 이전에 허용된 방법을 등록한 사용자는 더 이상 로그인에 해당 방법을 사용할 수 없습니다.

      참고

      키 제한을 해제하는 경우, 사용자가 보안 정보의 Authenticator 앱에서 암호 키를 설정하라는 메시지를 받지 않도록 Microsoft Authenticator 확인란의 선택을 해제해야 합니다.

    패스키에 대해 활성화된 Authenticator를 보여주는 스크린샷

  5. 구성을 완료한 후 저장을 선택합니다.

    저장하려고 할 때 오류가 표시되면 여러 그룹을 한 작업에서 단일 그룹으로 바꾼 다음 저장을 다시 선택합니다.

Graph 탐색기를 사용하여 Authenticator에서 패스키 활성화하기

Microsoft Entra 관리 센터를 사용하는 것 외에도 Graph 탐색기를 사용하여 Authenticator의 패스키를 활성화할 수도 있습니다. 인증 정책 관리자 역할이 적어도 할당된 경우 인증 방법 정책을 업데이트하여 인증자에 대한 AAGUID를 허용할 수 있습니다.

Graph 탐색기를 사용하여 정책을 구성하려면 다음 단계를 따릅니다.

  1. Graph Explorer에 로그인하고 Policy.Read.AllPolicy.ReadWrite.AuthenticationMethod 권한에 동의합니다.

  2. 인증 방법 정책을 검색합니다.

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. 증명 적용을 사용하지 않도록 설정하고 Authenticator에 대한 AAGUID만 허용하도록 키 제한을 적용하려면 다음 요청 본문을 사용하여 PATCH 작업을 수행합니다.

    PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": true,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. 패스키(FIDO2) 정책이 적절하게 업데이트되었는지 확인합니다.

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Authenticator에서 Bluetooth 사용량을 암호로 제한

일부 조직에서는 암호 사용을 포함하여 Bluetooth 사용을 제한합니다. 조직은 이러한 경우 암호 키가 가능한 FIDO2 인증 장치와 단독으로 Bluetooth 페어링을 허용하여 암호 키를 허용할 수 있습니다. 패스키에 대해서만 Bluetooth 사용을 구성하는 방법에 대한 자세한 내용은 'Bluetooth 제한 환경에서의 패스키'를 참조하세요.

패스키 삭제

사용자가 Authenticator에서 암호를 삭제하면 사용자의 로그인 메서드에서도 암호가 제거됩니다. 인증 정책 관리자는 다음 단계에 따라 사용자의 인증 방법에서 암호를 삭제할 수도 있지만 Authenticator에서 암호를 제거하지는 않습니다.

  1. Microsoft Entra 관리 센터에 로그인한 후 암호 키를 제거해야 하는 사용자를 검색합니다.

  2. 인증 방법을 선택하고, Passkey를 마우스 오른쪽 단추로 클릭한 다음, 삭제를 선택합니다.

    사용자가 Authenticator에서 암호 삭제를 직접 시작하지 않는 한 디바이스의 Authenticator에서 암호를 제거해야 합니다.

Authenticator에서 패스키로 로그인을 강제하다

사용자가 중요한 리소스에 액세스할 때 패스키를 사용하여 로그인하도록 하려면 기본 제공 피싱 방지 인증 강도를 사용하거나 다음 단계에 따라 사용자 지정 인증 강도를 만듭니다.

  1. 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

  2. Entra ID>인증 방법>인증 강도로 이동하십시오.

  3. 새 인증 강도를 선택합니다.

  4. 새 인증 강도에 대한 설명이 포함된 이름을 제공합니다.

  5. 필요에 따라 설명을 입력합니다.

  6. Passkeys(FIDO2)를 선택한 다음, 고급 옵션을 선택합니다.

  7. 피싱 방지 MFA 강도를 선택하거나 Authenticator에서 패스키에 대한 AAGUID를 추가합니다.

    • Android용 인증자: de1e552d-db1d-4423-a619-566b625cdc84
    • iOS용 인증자: 90a3ccdf-635c-4729-a248-9b709135078f

  8. 다음을 선택하고 정책 구성을 검토합니다.

관련 콘텐츠