Azure 및 기타 관리 포털에 대한 필수 다단계 인증 계획
Microsoft는 고객에게 최고 수준의 보안을 제공하기 위해 최선을 다하고 있습니다. 사용할 수 있는 가장 효과적인 보안 조치 중 하나는 MFA(다단계 인증)입니다. Microsoft의 연구에 따르면 MFA는 계정 손상 공격의 99.2% 이상을 차단할 수 있습니다.
따라서 2024년부터 모든 Azure 로그인 시도에 대해 필수 MFA(다단계 인증)를 적용합니다. 이 요구 사항에 대한 자세한 배경 정보는 블로그 게시물을 확인하세요. 이 항목에서는 영향을 받는 애플리케이션 및 필수 MFA를 준비하는 방법에 대해 설명합니다.
적용 범위
적용 범위에는 MFA를 적용할 애플리케이션 계획, 적용이 계획된 경우 및 필수 MFA 요구 사항이 있는 계정이 포함됩니다.
애플리케이션
| 애플리케이션 이름 | 앱 ID | 적용 단계 |
|---|---|---|
| Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Microsoft Entra 관리 센터 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Microsoft Intune 관리 센터 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024년 하반기 |
| Azure CLI(Azure 명령줄 인터페이스) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 2025년 초 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 2025년 초 |
| Azure 모바일 앱 | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 2025년 초 |
| IaC(Infrastructure as Code) 도구 | Azure CLI 또는 Azure PowerShell ID 사용 | 2025년 초 |
계정
CRUD(만들기, 읽기, 업데이트 또는 삭제) 작업을 수행하기 위해 이전에 나열된 애플리케이션에 로그인하는 모든 사용자는 적용이 시작될 때 MFA가 필요합니다. Azure에서 호스트되는 애플리케이션, 웹 사이트 또는 서비스에 액세스하지만 나열된 애플리케이션에 로그인하지 않는 최종 사용자는 MFA를 사용할 필요가 없습니다. 최종 사용자에 대한 인증 요구 사항은 애플리케이션, 웹 사이트 또는 서비스 소유자에 의해 제어됩니다.
적용이 시작된 후 MFA로 로그인하려면 비상 또는 긴급 액세스 계정도 필요합니다. 패스키(FIDO2)를 사용하거나 MFA에 대한 인증서 기반 인증을 구성하도록 이러한 계정을 업데이트하는 것이 좋습니다. 두 방법 모두 MFA 요구 사항을 충족합니다.
관리 ID 및 서비스 주체와 같은 워크로드 ID는 이 Azure MFA 적용의 어느 단계의 영향을 받지 않습니다. 사용자 ID를 자동화(스크립트 또는 기타 자동화된 작업 포함)를 실행하기 위해 서비스 계정으로 로그인하는 데 사용하는 경우 적용이 시작되면 해당 사용자 ID가 MFA로 로그인해야 합니다. 사용자 ID는 자동화에 권장되지 않습니다. 이러한 사용자 ID를 워크로드 ID로 마이그레이션해야 합니다.
팁
현재 사용자 계정을 서비스 계정으로 사용하는 고객은 워크로드 ID로 검색 및 마이그레이션 프로세스를 시작하는 것이 좋습니다. 워크로드 ID를 사용하려면 스크립트 및 자동화 프로세스를 업데이트해야 하는 경우가 많습니다.
다단계 인증 준비를 검토하여 2단계 애플리케이션에 로그인하는 모든 사용자 계정(서비스 계정으로 사용되는 사용자 계정 포함)을 식별합니다.
사용자 기반 서비스 계정에서 워크로드 ID로 이러한 애플리케이션으로 인증을 마이그레이션하는 방법에 대한 지침은 다음을 참조하세요.
- Azure CLI를 사용하여 관리 ID로 Azure에 로그인
- Azure CLI를 사용하여 서비스 주체로 Azure에 로그인
- 자동화 시나리오를 위해 비대화형으로 Azure PowerShell에 로그인(관리 ID 및 서비스 주체 사용 사례 모두에 대한 지침 포함)
사용자 기반 서비스 계정에 조건부 액세스 정책을 적용하는 고객은 이 사용자 기반 라이선스를 회수하고 워크로드 ID 라이선스를 적용하여 워크로드 ID에 조건부 액세스를 적용할 수 있습니다.
구현
로그인 시 MFA에 대한 이 요구 사항은 관리자 포털에서 구현됩니다. Microsoft Entra ID 로그인 로그는 MFA 요구 사항의 원본으로 표시됩니다.
이 요구 사항은 테넌트에서 구성한 액세스 정책 위에 구현됩니다. 예를 들어 조직에서 Microsoft의 보안 기본값을 유지하도록 선택하고 현재 보안 기본값을 사용하도록 설정한 경우 Azure 관리에 MFA가 이미 필요하므로 사용자에게 변경 내용이 표시되지 않습니다. 테넌트가 Microsoft Entra에서 조건부 액세스 정책을 사용 중이고 사용자에게 MFA를 사용하여 Azure에 로그인하는 조건부 액세스 정책이 이미 있는 경우 사용자에게 변경 내용이 표시되지 않습니다. 마찬가지로, Azure를 대상으로 하고 피싱 방지 MFA와 같은 더 강력한 인증이 필요한 제한적인 조건부 액세스 정책은 계속 적용됩니다. 사용자에게 변경 내용이 표시되지 않습니다.
적용 단계
MFA의 적용은 다음 두 단계로 롤아웃됩니다.
1단계: 2024년 하반기부터 Azure Portal, Microsoft Entra 관리 센터, Microsoft Intune 관리 센터에 로그인하는 데 MFA가 필요합니다. 이 정책은 전 세계 모든 테넌트에게 점진적으로 적용될 예정입니다. 이 단계는 Azure CLI, Azure PowerShell, Azure 모바일 앱 또는 IaC 도구와 같은 다른 Azure 클라이언트에는 영향을 미치지 않습니다.
2단계: 2025년 초부터 Azure CLI, Azure PowerShell, Azure 모바일 앱 및 IaC 도구에 로그인할 때 MFA가 점진적으로 적용될 예정입니다. 일부 고객은 Microsoft Entra ID의 사용자 계정을 서비스 계정으로 사용할 수 있습니다. 이러한 사용자 기반 서비스 계정을 마이그레이션하여 워크로드 ID를 통해 클라우드 기반 서비스 계정을 보호하는 것이 좋습니다.
알림 채널
Microsoft는 다음 채널을 통해 모든 Microsoft Entra 전역 관리자에게 알립니다.
이메일: 이메일 주소를 구성한 전역 관리자는 예정된 MFA 적용 및 준비에 필요한 작업을 이메일로 알 수 있습니다.
서비스 상태 알림: 전역 관리자는 추적 ID가 4V20-VX0인 Azure Portal을 통해 서비스 상태 알림을 받습니다. 이 알림에는 이메일과 동일한 정보가 포함됩니다. 전역 관리자는 이메일을 통해 서비스 상태 알림을 받도록 구독할 수도 있습니다.
포털 알림: 로그인할 때 Azure Portal, Microsoft Entra 관리 센터 및 Microsoft Intune 관리 센터에 알림이 표시됩니다. 필수 MFA 적용에 대한 자세한 내용은 포털 알림이 이 항목에 연결됩니다.
Microsoft 365 메시지 센터: 이메일 및 서비스 상태 알림과 동일한 정보가 포함된 메시지가 Microsoft 365 메시지 센터에 표시됩니다.
다단계 인증 준비
역할의 소유 여부와 관계없이 애플리케이션에 나열된 관리 포털 및 Azure 클라이언트에 액세스하는 모든 사용자는 MFA를 사용하도록 설정해야 합니다. 관리 포털에 액세스하는 모든 사용자는 MFA를 사용해야 합니다. 다음 리소스를 사용하여 사용자에 대한 MFA를 설정합니다.
- Microsoft Entra MFA 설정 방법에 대한 자습서는 자습서: Microsoft Entra 다단계 인증으로 사용자 로그인 이벤트 보안을 참조하세요.
- 현재 테넌트에 MFA가 필요하지 않은 경우 이를 설정하는 데 사용할 수 있는 몇 가지 옵션이 있습니다(기본 순서로 나열됨).
- 조건부 액세스 정책을 사용합니다. 보고서 전용 모드에서 시작하여 모든 사용자를 대상으로 합니다. 보고서 전용 모드에서는 예외를 구성하지 마세요. 이 구성은 Microsoft Entra MFA 프로그램의 적용 패턴을 보다 밀접하게 반영합니다.
- Microsoft 관리 포털(이 Microsoft Entra MFA 적용 범위의 포털 포함)
- 다단계 인증이 필요하거나 보다 세부적인 제어를 원하는 경우 인증 강도를 사용합니다.
- Microsoft 365 관리 센터 로그인하는 경우 Microsoft Entra ID에 대한 MFA 마법사를 사용합니다.
- Microsoft Entra ID P1 또는 P2 라이선스가 없는 경우 보안 기본값을 사용하도록 설정할 수 있습니다. 필요에 따라 MFA를 입력하라는 메시지가 표시되지만 동작을 제어하는 고유한 규칙을 정의할 수는 없습니다.
- 라이선스에 조건부 액세스가 포함되지 않고 보안 기본값을 사용하지 않으려는 경우 사용자별 MFA를 구성할 수 있습니다. 사용자를 개별적으로 사용하도록 설정하면 로그인할 때마다 MFA를 수행합니다. 인증 관리자는 몇 가지 예외를 사용하도록 설정할 수 있습니다.
- 조건부 액세스 정책을 사용합니다. 보고서 전용 모드에서 시작하여 모든 사용자를 대상으로 합니다. 보고서 전용 모드에서는 예외를 구성하지 마세요. 이 구성은 Microsoft Entra MFA 프로그램의 적용 패턴을 보다 밀접하게 반영합니다.
다음 리소스를 사용하여 MFA를 사용 및 사용하지 않고 로그인하는 사용자를 찾습니다.
- MFA로 보호되지 않는 사용자 로그인을 식별하려면 다단계 인증 간격 통합 문서를 사용합니다.
- 사용자 목록 및 해당 인증 방법을 내보내려면 PowerShell을 사용합니다.
쿼리를 실행하여 사용자 로그인을 분석하는 경우 이전에 나열된 애플리케이션의 애플리케이션 ID를 사용합니다.
외부 인증 방법 및 ID 공급자
외부 MFA 솔루션에 대한 지원은 외부 인증 방법으로 미리 보기로 제공되며 MFA 요구 사항을 충족하는 데 사용할 수 있습니다. 레거시 조건부 액세스 사용자 지정 컨트롤 미리 보기는 MFA 요구 사항을 충족하지 않습니다. 외부 솔루션을 Microsoft Entra ID와 함께 사용하려면 외부 인증 방법 미리 보기로 마이그레이션해야 합니다.
Active Directory Federation Services와 같은 페더레이션 IdP(ID 공급자)를 사용하고 MFA 공급자가 이 페더레이션 IdP와 직접 통합되는 경우 페더레이션 IdP는 MFA 클레임을 보내도록 구성되어야 합니다.
적용을 준비하는 데 더 많은 시간 요청
일부 고객은 이 MFA 요구 사항을 준비하는 데 추가 시간이 필요할 수 있습니다. Microsoft는 복잡한 환경 또는 기술 장벽이 있는 고객이 2025년 3월 15일까지 테넌트에 대한 적용을 연기할 수 있도록 허용하고 있습니다.
2024년 8월 15일부터 2024년 10월 15일까지 전역 관리자는 Azure Portal로 이동하여 테넌트에 대한 적용 시작 날짜를 2025년 3월 15일로 연기할 수 있습니다. 이 페이지에서 MFA 적용 시작일을 연기하려면 전역 관리자에게 상승된 액세스 권한이 있어야 합니다.
전역 관리자는 적용 시작 날짜를 연기하려는 모든 테넌트에 대해 이 작업을 수행해야 합니다.
적용 시작 날짜를 연기하면 Azure Portal과 같은 Microsoft 서비스에 액세스하는 계정이 위협 행위자의 매우 중요한 대상이기 때문에 추가적인 위험이 발생합니다. 이제 모든 테넌트가 클라우드 리소스를 보호하기 위해 MFA를 설정하는 것이 좋습니다.
FAQ
질문: 테넌트가 테스트에만 사용되는 경우 MFA가 필요한가요?
답변: 예, 모든 Azure 테넌트에는 MFA가 필요하며 예외는 없습니다.
질문: MFA는 모든 사용자에게 필수인가요? 아니면 관리자에게만 필수인가요?
답변: 앞서 나열된 애플리케이션에 로그인하는 모든 사용자는 활성화되어 있거나 자격이 있는 관리자 역할 또는 사용하도록 설정된 사용자 제외 여부에 관계없이 MFA를 완료해야 합니다.
질문: 로그인 상태를 유지하는 옵션을 선택하는 경우 MFA를 완료해야 하나요?
답변: 예, 로그인 상태 유지를 선택하더라도 이러한 애플리케이션에 로그인하려면 먼저 MFA를 완료해야 합니다.
질문: B2B 게스트 계정에 적용될까요?
답변: 예, 파트너 리소스 테넌트 또는 사용자의 홈 테넌트에서 테넌트 간 액세스를 사용하여 리소스 테넌트에 MFA 요청을 보내도록 올바르게 설정된 경우 사용자의 홈 테넌트에서 MFA를 준수해야 합니다.
질문: 다른 ID 공급자 또는 MFA 솔루션을 사용하여 MFA를 적용하고 Microsoft Entra MFA를 사용하여 적용하지 않는 경우 어떻게 규정을 준수할 수 있나요?
답변: ID 공급자 솔루션을 올바르게 구성하여 MFAAuthN 클레임을 Entra ID로 보내야 합니다. 자세한 내용은 Microsoft Entra 다단계 인증 외부 방법 공급자 참조를 참조하세요.
질문: 필수 MFA의 1단계 또는 2단계가 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 동기화하는 기능에 영향을 주나요?
답변: 아니요. 동기화 서비스 계정은 필수 MFA 요구 사항의 영향을 받지 않습니다. 이전에 나열된 애플리케이션만 로그인을 위해 MFA가 필요합니다.
질문: 옵트아웃할 수 있나요?
옵트아웃할 수 있는 방법은 없습니다. 이 보안 동작은 Azure 플랫폼의 모든 안전 및 보안에 중요하며 클라우드 공급업체에서 반복되고 있습니다. 예를 들어 디자인별 보안: 2024년 MFA 요구 사항을 개선하기 위한 AWS를 참조하세요.
고객이 적용 시작 날짜를 연기하는 옵션을 사용할 수 있습니다. 2024년 8월 15일부터 2024년 10월 15일까지 전역 관리자는 Azure Portal로 이동하여 테넌트에 대한 적용 시작 날짜를 2025년 3월 15일로 연기할 수 있습니다. 전역 관리자는 이 페이지에서 MFA 적용 시작 날짜를 연기하기 전에 상승된 액세스 권한이 있어야 하며 적용 시작 날짜를 연기하려는 모든 테넌트에 대해 이 작업을 수행해야 합니다.
질문: Azure에서 정책을 적용하기 전에 MFA를 테스트하여 중단이 없는지 확인할 수 있나요?
답변: 예, 고객은 MFA에 대한 수동 설정 프로세스를 통해 MFA를 테스트할 수 있습니다. 이를 설정하고 테스트하는 것이 좋습니다. 조건부 액세스를 사용하여 MFA를 적용하는 경우 조건부 액세스 템플릿을 사용하여 정책을 테스트할 수 있습니다. 자세한 내용은 Microsoft 관리 포털에 액세스하는 관리자에게 다단계 인증 요구를 참조하세요. 무료 버전의 Microsoft Entra ID를 실행하는 경우 보안 기본값을 사용할 수 있습니다.
질문: MFA를 이미 사용하도록 설정한 경우 다음에는 어떻게 되나요?
답변: 이전에 나열된 애플리케이션에 액세스하는 사용자에 대해 이미 MFA가 필요한 고객은 변경 내용을 볼 수 없습니다. 사용자의 하위 집합에 대해서만 MFA가 필요한 경우 MFA를 아직 사용하지 않는 사용자는 이제 애플리케이션에 로그인할 때 MFA를 사용해야 합니다.
질문: Microsoft Entra ID에서 MFA 활동을 검토하려면 어떻게 해야 하나요?
답변: 사용자에게 MFA로 로그인하라는 메시지가 표시되는 시점에 대한 세부 정보를 검토하려면 Microsoft Entra 로그인 보고서를 사용합니다. 자세한 내용은 Microsoft Entra 다단계 인증에 대한 로그인 이벤트 세부 정보를 참조하세요.
질문: "비상" 시나리오가 있는 경우 어떻게 해야 하나요?
답변: 이러한 계정을 업데이트하여 패스키(FIDO2)를 사용하거나 MFA에 대한 인증서 기반 인증을 구성하는 것이 좋습니다. 두 방법 모두 MFA 요구 사항을 충족합니다.
질문: MFA가 적용되기 전에 MFA를 사용하도록 설정하는 방법에 대한 이메일을 받지 못하면 어떻게 해야 하나요? 어떻게 해결해야 하나요?
답변: 사용자가 잠기지 않아야 하지만 테넌트에 대한 적용이 시작되면 MFA를 사용하도록 설정하라는 메시지가 표시될 수 있습니다. 사용자가 잠긴 경우 다른 문제가 있을 수 있습니다. 자세한 내용은 계정이 잠겨 있음을 참조하세요.
다음 단계
MFA를 구성하고 배포하는 방법에 대해 자세히 알아보려면 다음 항목을 검토하세요.