시스템 기본 설정 다단계 인증 - 인증 방법 정책

  • 아티클

시스템 기본 설정 MFA(다단계 인증)는 사용자가 등록한 가장 안전한 방법을 사용하여 로그인하라는 메시지를 표시합니다. 이는 통신 전송을 사용하여 인증하는 사용자를 위한 중요한 보안 강화 기능입니다. 관리자는 시스템 선호 MFA를 활성화하여 로그인 보안을 개선하고 SMS(단문 메시지 서비스)와 같이 보안이 취약한 로그인 방법을 사용하지 않도록 할 수 있습니다.

예를 들어 사용자가 SMS와 Microsoft Authenticator 푸시 알림을 모두 MFA에 대한 메서드로 등록한 경우 시스템 기본 설정 MFA는 더 안전한 푸시 알림 방법을 사용하여 사용자에게 로그인하라는 메시지를 표시합니다. 사용자는 여전히 다른 방법을 사용하여 로그인하도록 선택할 수 있지만 먼저 등록한 가장 안전한 방법을 시도하라는 메시지가 표시됩니다.

시스템 기본 설정 MFA는 Microsoft에서 관리하는 설정으로 3상 정책입니다. 시스템 기본 설정 MFA의 Microsoft 관리 값은 활성화입니다. 시스템 기본 MFA를 사용하지 않으려면 상태를 Microsoft 관리에서 사용 안 함으로 변경하거나 정책에서 사용자 및 그룹을 제외하세요.

시스템 기본 설정 MFA가 사용하도록 설정되면 인증 시스템이 모든 작업을 수행합니다. 시스템은 항상 사용자가 등록한 가장 안전한 방법을 결정하고 제시하기 때문에 사용자는 어떤 인증 방법도 기본값으로 설정할 필요가 없습니다.

Microsoft Entra 관리 센터에서 시스템 기본 설정 MFA 사용

기본적으로 시스템 기본 MFA는 Microsoft에서 관리하며 모든 사용자에 대해 사용하지 않도록 설정됩니다.

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>인증 방법>설정으로 이동합니다.

  3. 시스템 기본 다단계 인증의 경우 기능을 명시적으로 사용 또는 사용 안 함으로 설정할지 여부를 선택하고 모든 사용자를 포함하거나 제외합니다. 제외된 그룹은 포함 그룹보다 우선합니다.

    예를 들어, 다음 스크린샷은 엔지니어링 그룹에 대해서만 시스템 기본 MFA를 명시적으로 사용하도록 설정하는 방법을 보여 줍니다.

    푸시 인증 모드에 대해 Microsoft Authenticator 설정을 사용하는 방법의 스크린샷.

  4. 변경을 완료한 후 저장을 클릭합니다.

Graph API를 사용하여 시스템 기본 설정 MFA 사용

시스템 기본 설정 MFA를 미리 사용하도록 설정하려면 요청 예에 표시된 대로 스키마 구성에 대한 단일 대상 그룹을 선택해야 합니다.

인증 방법 기능 구성 속성

기본적으로 시스템 기본 설정 MFA는 Microsoft 관리 및 사용 설정입니다.

속성 Type 설명
excludeTarget featureTarget 이 기능에서 제외되는 단일 엔터티입니다.
동적 또는 중첩 그룹일 수 있는 시스템 기본 MFA에서 하나의 그룹만 제외할 수 있습니다.
includeTarget featureTarget 이 기능에 포함된 단일 엔터티입니다.
동적 또는 중첩 그룹일 수 있는 시스템 기본 MFA에 대해 하나의 그룹만 포함할 수 있습니다.
상태 advancedConfigState 가능한 값은 다음과 같습니다.
enabled는 선택한 그룹에 대해 기능을 명시적으로 사용하도록 설정합니다.
disabled는 선택한 그룹의 기능을 명시적으로 사용하지 않도록 설정합니다.
default를 사용하면 Microsoft Entra ID에서 선택한 그룹에 대해 기능이 사용하도록 설정되었는지 여부를 관리할 수 있습니다.

기능 대상 속성

시스템 기본 MFA는 동적 또는 중첩 그룹일 수 있는 단일 그룹에 대해서만 사용하도록 설정할 수 있습니다.

속성 Type 설명
ID 문자열 대상 엔터티의 ID입니다.
targetType featureTargetType 그룹, 역할 또는 관리 단위와 같이 대상 엔터티의 종류입니다. 가능한 값은 'group', 'administrativeUnit', 'role', 'unknownFutureValue'입니다.

다음 API 엔드포인트를 사용하여 systemCredentialPreferences를 사용하도록 설정하고 그룹을 포함하거나 제외합니다.

https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy

참고 항목

Graph Explorer에서 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.

요청

다음 예에서는 샘플 대상 그룹을 제외하고 모든 사용자를 포함합니다. 자세한 내용은 authenticationMethodsPolicy 업데이트를 참조하세요.

PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

FAQ

시스템 기본 설정 MFA는 가장 안전한 방법을 어떻게 결정하나요?

사용자가 로그인하면 인증 프로세스에서 사용자에 대해 등록된 인증 방법을 확인합니다. 사용자는 다음 순서에 따라 가장 안전한 방법으로 로그인하라는 메시지가 표시됩니다. 인증 방법의 순서는 동적입니다. 보안 환경이 변화하고 더 나은 인증 방법이 등장함에 따라 업데이트됩니다. 인증서 기반 인증(CBA) 및 시스템 선호 MFA의 알려진 문제로 인해 CBA를 목록의 맨 아래로 이동했습니다. 각 방법에 대한 더 많은 정보를 보려면 링크를 클릭합니다.

  1. 임시 액세스 패스
  2. FIDO2 보안 키
  3. Microsoft Authenticator 알림
  4. TOTP(시간 제약이 있는 일회성 암호)1
  5. 전화 통신2
  6. 인증서 기반 인증

1 Microsoft Authenticator, 인증자 라이트 또는 타사 애플리케이션의 하드웨어 또는 소프트웨어 TOTP를 포함합니다.

2 SMS 및 음성 통화가 포함됩니다.

시스템 기본 MFA는 NPS 확장에 어떤 영향을 주나요?

시스템 기본 MFA는 NPS(네트워크 정책 서버) 확장을 사용하여 로그인하는 사용자에게 영향을 주지 않습니다. 해당 사용자는 로그인 환경에 어떠한 변화도 느끼지 못합니다.

인증 방법 정책에 지정되지 않았지만 레거시 MFA 테넌트 전체 정책에서 사용하도록 설정된 사용자는 어떻게 되나요?

시스템 기본 MFA는 레거시 MFA 정책에서 MFA를 사용하도록 설정된 사용자에게도 적용됩니다.

레거시 MFA 설정의 스크린샷.

다음 단계