Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하려면 사용자에 대한 인증 정보가 있어야 합니다. 대부분의 조직에서는 사용자가 다단계 인증을 위한 정보를 수집하는 동안 인증 데이터를 직접 등록하도록 합니다.
일부 조직에서는 Active Directory 도메인 서비스에 이미 있는 인증 데이터의 동기화를 통해 이 프로세스를 부트스트랩하는 것을 선호합니다. 이 동기화된 데이터는 사용자 개입 없이 Microsoft Entra ID 및 SSPR에 제공됩니다. 사용자가 암호를 변경하거나 다시 설정해야 할 때 이전에 등록된 연락처 정보가 없는 경우에도 이 작업을 수행할 수 있습니다.
다음 요구 사항을 충족하는 경우 인증 연락처 정보를 미리 채울 수 있습니다.
- 온-프레미스 디렉터리의 데이터 형식을 올바르게 지정했습니다.
- Microsoft Entra 테넌트에 대해 Microsoft Entra Connect 를 구성했습니다.
전화 번호는 +1 4251234567과 같은 +국가 번호 전화 번호 형식이어야 합니다. 추가 제한 사항은 다음과 같습니다.
- 국가 번호와 전화 번호 사이에 공백이 필요합니다.
- 암호 재설정은 내선 번호를 지원하지 않습니다. +1 4251234567X12345 형식에서도 전화를 걸기 전에 내선 번호가 제거됩니다.
채워진 항목
Microsoft Entra Connect의 기본 설정을 사용하는 경우 SSPR에 대한 인증 연락처 정보를 채우기 위해 다음 매핑이 수행됩니다.
| 온-프레미스 Active Directory | Microsoft Entra ID (마이크로소프트 엔트라 ID) |
|---|---|
telephoneNumber |
사무실 전화 |
mobile |
휴대폰 |
사용자가 자신의 휴대폰 번호를 확인하면 Microsoft Entra ID에서 인증 연락처 정보 아래의 전화 필드도 해당 번호로 채워집니다.
인증 연락처 정보
Microsoft Entra 관리 센터의 Microsoft Entra 사용자에 대한 인증 방법 페이지에서 최소한 권한 있는 인증 관리자 역할이 할당된 사용자는 모든 사용자의 인증 연락처 정보를 수동으로 설정할 수 있습니다. 사용 가능한 인증 방법 섹션에서 또는 +인증 방법 추가를 선택하여 기존 방법을 검토할 수 있습니다.
이 인증 연락처 정보에는 다음 고려 사항이 적용됩니다.
- 전화 필드가 채워지고 휴대폰이 SSPR 정책에서 활성화되는 경우 사용자는 암호 재설정 등록 페이지와 암호 재설정 워크플로 중 해당 번호를 볼 수 있습니다.
- 이메일 필드가 채워지고 이메일이 SSPR 정책에서 활성화되는 경우 사용자는 암호 재설정 등록 페이지와 암호 재설정 워크플로 중 해당 이메일을 볼 수 있습니다.
보안 질문 및 답변
보안 질문 및 답변은 Microsoft Entra 테넌트에 안전하게 저장되며 My Security-Info 결합된 등록 환경을 통해서만 사용자가 액세스할 수 있습니다. 관리자는 다른 사용자의 질문 및 답변의 내용을 보거나 설정하거나 수정할 수 없습니다.
사용자가 등록하면 어떻게 되나요?
사용자가 등록하면 등록 페이지에서 다음 필드를 설정합니다.
- 인증 전화
- 인증 메일
- 보안 질문 및 답변
관리자가 휴대폰 또는 대체 메일에 값을 입력하면 서비스에 등록하지 않은 사용자도 해당 값을 사용하여 자신의 암호를 즉시 재설정할 수 있습니다.
또한 사용자는 처음 등록할 때 이러한 값을 볼 수 있으며 원하는 경우 수정할 수 있습니다. 등록을 완료한 후에는 인증 전화 및 인증 이메일 필드에 해당하는 값이 유지됩니다.
PowerShell을 사용하여 인증 데이터 설정 및 읽기
PowerShell을 통해 다음 필드를 설정할 수 있습니다.
- 대체 메일
- 휴대폰
-
사무실 전화
- 온-프레미스 디렉터리와 동기화하지 않는 경우에만 설정할 수 있습니다.
Microsoft Graph PowerShell을 사용하여 Microsoft Entra ID와 상호 작용할 수 있습니다. Microsoft Graph REST API를 사용하여 인증 방법을 관리할 수도 있습니다.
Microsoft Graph PowerShell 사용
먼저 Microsoft Graph PowerShell 모듈을 다운로드하여 설치합니다.
Install-Module을 지원하는 최신 버전의 PowerShell에서 빠르게 설치하려면 다음 명령을 실행합니다. 첫 번째 줄은 모듈이 이미 설치되어 있는지 확인합니다.
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
모듈을 설치한 후 다음 단계를 사용하여 각 필드를 구성합니다.
Microsoft Graph PowerShell을 사용하여 인증 데이터 설정
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@___domain.com' -otherMails @("emails@___domain.com")
Update-MgUser -UserId 'user@___domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@___domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@___domain.com' -otherMails @("emails@___domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Microsoft Graph PowerShell을 사용하여 인증 데이터 읽기
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@___domain.com' | select otherMails
Get-MgUser -UserId 'user@___domain.com' | select mobilePhone
Get-MgUser -UserId 'user@___domain.com' | select businessPhones
Get-MgUser -UserId 'user@___domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
다음 단계
사용자에 대한 인증 연락처 정보가 미리 채워지면 다음 자습서를 완료하여 셀프 서비스 암호 재설정을 사용하도록 설정합니다.