자습서: Microsoft Entra 다단계 인증을 사용하여 사용자 로그인 이벤트 보호

  • 아티클

다단계 인증은 로그인 이벤트 중에 사용자에게 추가 식별 형식을 묻는 메시지가 표시되는 프로세스입니다. 예를 들어, 프롬프트는 휴대폰에서 코드를 입력하거나 지문 검사를 제공하는 것일 수 있습니다. 두 번째 형태의 식별을 요구하는 경우 이러한 추가 요소는 공격자가 쉽게 얻거나 복제할 수 있는 것이 아니기 때문에 보안이 향상됩니다.

Microsoft Entra 다단계 인증 및 조건부 액세스 정책은 특정 로그인 이벤트 중에 사용자에게 MFA를 요구할 수 있는 유연성을 제공합니다. MFA에 대한 개요는 테넌트에서 다단계 인증을 구성하고 시행하는 방법 비디오를 시청하는 것이 좋습니다.

Important

이 자습서에서는 관리자에게 Microsoft Entra 다단계 인증을 사용하도록 설정하는 방법을 보여줍니다. 사용자로 다단계 인증을 단계별로 실행하려면 2단계 인증 방법을 사용하여 회사 또는 학교 계정에 로그인을 참조하세요.

IT 팀이 Microsoft Entra 다단계 인증을 사용하는 기능을 사용하도록 설정하지 않았거나 로그인하는 동안 문제가 발생한 경우 추가 지원을 받으려면 기술 지원팀에 문의하세요.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • Microsoft Entra 다단계 인증을 사용자 그룹에 사용하도록 설정하는 조건부 액세스 정책 만들기
  • MFA를 요청하는 정책 조건 구성
  • 다단계 인증을 구성하고 사용자로 사용하는 방법을 테스트합니다.

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

  • Microsoft Entra ID P1 또는 평가판 라이선스가 사용하도록 설정된 작동하는 Microsoft Entra 테넌트입니다.

  • 조건부 액세스 관리자, 보안 관리자 또는 전역 관리자 권한이 있는 계정. 일부 MFA 설정은 인증 정책 관리자가 관리할 수도 있습니다. 자세한 내용은 인증 정책 관리자를 참조하세요.

  • 알고 있는 암호를 사용하는 비관리자 계정입니다. 이 자습서에서는 testuser라는 계정을 만들었습니다. 이 자습서에서는 Microsoft Entra 다단계 인증을 구성하고 사용하는 최종 사용자 경험을 테스트합니다.

  • 관리자가 아닌 사용자가 멤버인 그룹. 이 자습서에서는 MFA-Test-Group이라는 그룹을 만들었습니다. 이 자습서에서는 이 그룹에 대해 Microsoft Entra 다단계 인증을 사용하도록 설정합니다.

조건부 액세스 정책 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

Microsoft Entra 다단계 인증을 사용하도록 설정하고 이를 사용하는 데 권장되는 방법은 조건부 액세스 정책을 사용하는 것입니다. 조건부 액세스를 사용하면 이벤트 로그인에 반응하고 사용자에게 애플리케이션 또는 서비스에 대한 액세스 권한을 부여하기 전에 추가 작업을 요청하는 정책을 만들고 정의할 수 있습니다.

Overview diagram of how Conditional Access works to secure the sign-in process

조건부 액세스 정책은 특정 사용자, 그룹 및 앱에 적용할 수 있습니다. 목표는 조직을 보호하는 동시에 필요한 사용자에게 적절한 수준의 액세스를 제공하는 것입니다.

이 자습서에서는 사용자가 로그인할 때 MFA를 묻는 기본 조건부 액세스 정책을 만듭니다. 이 시리즈의 이후 자습서에서는 위험 기반 조건부 액세스 정책을 사용하여 Microsoft Entra 다단계 인증을 구성합니다.

먼저 다음과 같이 조건부 액세스 정책을 만들고 사용자의 테스트 그룹을 할당합니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>조건부 액세스로 이동하고 + 새 정책을 선택한 다음, 새 정책 만들기를 선택합니다.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. 정책 이름(예: MFA 파일럿)을 입력합니다.

  4. 할당에서 사용자 또는 워크로드 ID에서 현재 값을 선택합니다.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. 이 정책은 무엇에 적용되나요?에서 사용자 및 그룹이 선택되어 있는지 확인합니다.

  6. 포함에서 사용자 및 그룹 선택을 선택한 다음, 사용자 및 그룹을 선택합니다.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    아직 할당된 것이 없기 때문에 사용자 및 그룹 목록(다음 단계에 표시됨)이 자동으로 열립니다.

  7. Microsoft Entra 그룹(예: MFA-Test-Group)을 찾아서 선택한 다음, 선택을 선택합니다.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

정책을 적용할 그룹을 선택했습니다. 다음 섹션에서는 정책을 적용할 조건을 구성합니다.

다단계 인증 조건 구성

조건부 액세스 정책이 만들어지고 사용자의 테스트 그룹이 할당되면 이제 정책을 트리거하는 클라우드 앱 또는 작업을 정의합니다. 이러한 클라우드 앱 또는 작업은 다단계 인증을 요청하는 것과 같은 추가 처리가 필요하다고 결정하는 시나리오입니다. 예를 들어 재무 애플리케이션에 대한 액세스 또는 관리 도구 사용에 추가 인증 프롬프트가 필요하다고 결정할 수 있습니다.

다단계 인증이 필요한 앱 구성

이 자습서에서는 사용자가 로그인할 때 다단계 인증을 요구하도록 조건부 액세스 정책을 구성합니다.

  1. 클라우드 앱 또는 작업에서 현재 값을 선택한 다음, 이 정책이 적용되는 대상 선택에서 클라우드 앱이 선택되어 있는지 확인합니다.

  2. 포함에서 앱 선택을 선택합니다.

    아직 선택된 앱이 없기 때문에 앱 목록(다음 단계에 표시됨)이 자동으로 열립니다.

    조건부 액세스 정책을 모든 클라우드 앱 또는 앱 선택에 적용하도록 선택할 수 있습니다. 유연성을 제공하기 위해 정책에서 특정 앱을 제외할 수도 있습니다.

  3. 사용할 수 있는 사용 가능한 로그인 이벤트 목록을 찾습니다. 이 자습서에서는 정책이 로그인 이벤트에 적용되도록 Windows Azure 서비스 관리 API를 선택합니다. 그런 다음, 선택을 선택합니다.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

액세스를 위한 다단계 인증 구성

다음으로, 액세스 제어를 구성합니다. 액세스 제어를 사용하면 사용자에게 액세스 권한을 부여하기 위한 요구 사항을 정의할 수 있습니다. 승인된 클라이언트 앱 또는 Microsoft Entra ID에 하이브리드 조인된 디바이스를 사용하는 데 필요할 수 있습니다.

이 자습서에서는 로그인하는 동안 다단계 인증을 요구하도록 액세스 제어를 구성합니다.

  1. 액세스 제어에서 부여 아래의 현재 값을 선택한 다음, 액세스 허용을 선택합니다.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. 다단계 인증 필요를 선택한 다음, 선택을 선택합니다.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

정책 활성화

구성이 사용자에게 미치는 영향을 확인하려면 조건부 액세스 정책을 보고서 전용으로 설정하거나, 지금 정책을 사용하지 않으려면 끄기로 설정할 수 있습니다. 이 자습서에서 사용자 테스트 그룹을 대상으로 하므로 정책을 사용하도록 설정한 다음, Microsoft Entra 다단계 인증을 테스트해보겠습니다.

  1. 정책 사용에서 켜기를 선택합니다.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. 조건부 액세스 정책을 적용하려면 만들기를 선택합니다.

Microsoft Entra 다단계 인증 테스트

조건부 액세스 정책 및 Microsoft Entra 다단계 인증이 작동되는지 확인해 보겠습니다.

먼저 다음과 같이 MFA를 요구하지 않는 리소스에 로그인합니다.

  1. InPrivate 또는 incognito 모드에서 새 브라우저 창을 열고 https://account.activedirectory.windowsazure.com으로 이동합니다.

    브라우저의 비공개 모드를 사용하면 기존 자격 증명이 이 로그인 이벤트에 영향을 주지 않습니다.

  2. 관리자가 아닌 테스트 사용자(예: testuser) 권한으로 로그인합니다. 사용자 계정의 도메인 이름 및 @을 포함해야 합니다.

    이 계정으로 처음 로그인하는 경우 암호를 변경하라는 메시지가 표시됩니다. 그러나 다단계 인증을 구성하거나 사용하라는 메시지는 표시되지 않습니다.

  3. 브라우저 창을 닫습니다.

로그인에 추가 인증을 요구하도록 조건부 액세스 정책을 구성했습니다. 해당 구성 때문에 Microsoft Entra 다단계 인증을 사용하거나 아직 수행하지 않은 경우 방법을 구성하라는 메시지가 표시됩니다. Microsoft Entra 관리 센터에 로그인하여 이 새로운 요구 사항을 테스트합니다.

  1. InPrivate 또는 incognito 모드에서 새 브라우저 창을 열고, Microsoft Entra 관리 센터에 로그인합니다.

  2. 관리자가 아닌 테스트 사용자(예: testuser) 권한으로 로그인합니다. 사용자 계정의 도메인 이름 및 @을 포함해야 합니다.

    Microsoft Entra 다단계 인증을 등록하고 사용해야 합니다.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. 다음을 선택하여 프로세서를 시작합니다.

    인증을 위해 인증 전화, 사무실 전화 또는 모바일 앱을 구성하도록 선택할 수 있습니다. 인증 전화는 문자 메시지 및 전화 통화를 지원하고, 사무실 전화는 내선 번호가 있는 전화를 지원하며, 모바일 앱은 모바일 앱을 사용하여 인증 알림 수신 또는 인증 코드 생성을 지원합니다.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. 선택한 다단계 인증 방법을 구성하려면 화면의 지침을 완료합니다.

  5. 브라우저 창을 닫고 Microsoft Entra 관리 센터에 다시 로그인하여 구성한 인증 방법을 테스트합니다. 예를 들어 인증을 위해 모바일 앱을 구성한 경우 다음과 같은 프롬프트가 표시되어야 합니다.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. 브라우저 창을 닫습니다.

리소스 정리

이 자습서의 일부로 구성한 조건부 액세스 정책을 더 이상 사용하지 않으려면 다음 단계를 사용하여 정책을 삭제합니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>조건부 액세스로 이동한 다음, 만든 정책(예: MFA 파일럿)을 선택합니다.

  3. 삭제를 선택한 다음, 정책 삭제를 확인합니다.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

다음 단계

이 자습서에서는 선택한 사용자 그룹에 조건부 액세스 정책을 사용하여 Microsoft Entra 다단계 인증을 사용하도록 설정했습니다. 구체적으로 다음 작업 방법을 알아보았습니다.

  • Microsoft Entra 다단계 인증을 Microsoft Entra 사용자 그룹에 사용하도록 설정하는 조건부 액세스 정책을 만듭니다.
  • 다단계 인증을 요청하는 정책 조건을 구성합니다.
  • 다단계 인증을 구성하고 사용자로 사용하는 방법을 테스트합니다.

SSPR(셀프 서비스 암호 재설정)에 비밀번호 쓰기 저장 사용