Microsoft Entra 다단계 인증에 관해 자주 하는 질문

Multi-Factor Authentication 서버를 사용하면 사용자 데이터가 온-프레미스 서버에만 저장됩니다. 영구 사용자 데이터는 클라우드에 저장되지 않습니다. 사용자가 2단계 인증을 수행하는 경우 MFA 서버는 인증을 위해 Microsoft Entra 다단계 인증 클라우드 서비스에 데이터를 보냅니다. Multi-factor Authentication 서버와 Multi-factor Authentication 클라우드 서비스 간의 통신에는 포트 443 아웃바운드를 통해 SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안)가 사용됩니다.

클라우드 서비스에 인증 요청을 보내는 경우 인증 및 사용 보고서를 위한 데이터를 수집합니다. 다음 데이터 필드는 2단계 인증 로그에 포함됩니다.

• 고유 ID (사용자 이름 또는 온-프레미스 Multi-Factor Authentication 서버 ID)
• 이름과 성 (선택 사항)
• 전자 메일 주소 (선택 사항)
• 전화 번호(음성 통화 또는 문자 메시지 인증을 수행할 때)
• 디바이스 토큰 (모바일 앱 인증을 수행할 때)
• 인증 모드
• 인증 결과
• Multi-Factor Authentication 서버 이름
• Multi-Factor Authentication 서버 IP
• 클라이언트 IP (사용 가능한 경우)

Multi-Factor Authentication 서버에 선택적 필드를 구성할 수 있습니다.

인증 결과(성공 또는 거부) 및 거부 사유는 인증 데이터와 함께 저장됩니다. 이 데이터는 인증 및 사용 보고서에서 사용할 수 있습니다.

자세한 내용은 Microsoft Entra 다단계 인증에 대한 데이터 보존 및 고객 데이터를 참조하세요.

미국에서는 다음과 같은 짧은 코드를 사용합니다.

• 97671
• 69829
• 51789
• 99399

캐나다에서는 다음과 같은 짧은 코드를 사용합니다.

• 759731
• 673801

동일한 번호를 사용한 일관적인 문자 메시지 또는 음성 기반 다단계 인증 즉시 전송을 보장하지 않습니다. 사용자를 위해 문자 메시지 전달 가능성을 향상하기 위한 조정 작업을 수시로 진행하면서 언제든지 짧은 코드를 추가하거나 제거할 수 있습니다.

미국 및 캐나다 외의 국가 또는 지역에서는 짧은 코드를 지원하지 않습니다.

예. 일반적으로 짧은 기간 동안 반복되는 인증 요청이 수반되는 특정 경우 Microsoft Entra 다단계 인증은 전기통신 네트워크를 보호하고, MFA 피로 스타일 공격을 완화하며, 모든 고객의 이익을 위해 자체 시스템을 보호하기 위해 사용자 로그인 시도를 제한합니다.

특정 제한 한도를 공유하지는 않지만 적절한 사용량을 기반으로 합니다.

아니요. Microsoft Entra 다단계 인증을 통해 사용자에게 전달된 개별 전화 통화 또는 문자 메시지에 대한 요금이 부과되지 않습니다. 인증 단위 MFA 공급자를 사용하는 경우 사용된 방법이 아닌 인증마다 비용이 청구됩니다.

사용자는 자신의 개인 전화 서비스에 따라 수신한 전화 통화 또는 문자 메시지 수신에 대한 요금이 부과될 수 있습니다.

대금 청구는 해당 월에 2단계 인증을 수행했는지 여부에 관계없이 다단계 인증을 사용하도록 구성된 사용자 수를 기준으로 합니다.

사용자 단위 또는 인증 단위 MFA 공급자를 만들 때 해당 조직의 Azure 구독이 사용량을 기준으로 매월 청구됩니다. 이 청구 모델은 가상 머신 및 Web Apps의 사용량에 대해 Azure에서 청구하는 방식과 유사합니다.

Microsoft Entra 다단계 인증에 대한 구독을 구매하는 경우 조직은 각 사용자에 대해 연간 라이선스 요금만 지급합니다. MFA 라이선스 및 Microsoft 365, Microsoft Entra ID P1 또는 P2 또는 Enterprise Mobility + Security 번들은 이 방법으로 청구됩니다.

자세한 내용은 Microsoft Entra 다단계 인증을 받는 방법을 참조하세요.

보안 기본값은 Microsoft Entra ID 무료 계층에서 사용할 수 있습니다. 보안 기본값을 사용하면 모든 사용자가 Microsoft Authenticator 앱을 사용하여 다단계 인증을 사용할 수 있습니다. 보안 기본값은 문자 메시지 또는 전화 확인과 함께 사용할 수 없으며 Microsoft Authenticator 앱에서만 사용할 수 있습니다.

자세한 내용은 보안 기본값이란?을 참조하세요.

조직에서 사용량 기반 청구를 포함하는 독립 실행형 서비스로 MFA를 구입한 경우 MFA 공급자를 만들 때 청구 모델을 선택합니다. MFA 공급자를 만든 후에는 청구 모델을 변경할 수 없습니다.

MFA 공급자가 Microsoft Entra 테넌트에 연결되어 있지 ‘않거나’ 새 MFA 공급자를 다른 Microsoft Entra 테넌트에 연결한 경우 사용자 설정 및 구성 옵션이 전송되지 않습니다. 또한 새 MFA 공급자를 통해 생성된 활성화 자격 증명을 사용하여 기존 MFA 서버를 다시 활성화해야 합니다. MFA 서버를 새 MFA 공급자에 연결하기 위해 다시 활성화해도 전화 및 문자 메시지 인증에는 영향을 미치지 않지만 모바일 앱을 다시 활성화할 때까지 모바일 앱 알림이 모든 사용자에 대해 작동 중지됩니다.

Azure 다단계 인증 공급자 시작에서 MFA 공급자에 대해 자세히 알아보세요.

일부 경우에 그렇습니다.

디렉터리에 사용자당 Microsoft Entra 다단계 인증 공급자가 있는 경우 MFA 라이선스를 추가할 수 있습니다. 라이선스가 있는 사용자는 사용자별 사용량 기반 청구 요금에 계산되지 않습니다. 라이선스가 없는 사용자는 계속해서 MFA 공급자를 통해 MFA 사용을 설정할 수 있습니다. 다단계 인증을 사용하도록 구성된 모든 사용자를 위한 라이선스를 구입 및 할당하면 Microsoft Entra 다단계 인증 공급자를 삭제할 수 있습니다. 향후 라이선스보다 더 많은 사용자가 생기면 항상 다른 사용자 단위 MFA 공급자를 만들 수 있습니다.

디렉터리에 인증 단위 Microsoft Entra 다단계 인증 공급자가 있는 경우 MFA 공급자가 구독에 연결되기만 한다면 인증마다 요금이 항상 청구됩니다. 사용자에게 MFA 라이선스를 할당할 수 있지만 사용자의 MFA 라이선스 할당 여부에 관계없이 2단계 인증 요청마다 요금이 계속 청구됩니다.

조직에서 사용량 기반 청구 모델을 사용하는 경우 Microsoft Entra ID는 선택 사항이며 필수가 아닙니다. MFA 공급자가 Microsoft Entra 테넌트에 연결되어 있지 않은 경우 Azure Multi-Factor Authentication 서버 온-프레미스만 배포할 수 있습니다.

라이선스를 구입하고 디렉터리의 사용자에게 할당할 때 라이선스가 Microsoft Entra 테넌트에 추가되기 때문에 라이선스 모델에 대해 Microsoft Entra ID가 필요합니다.

5분 동안 5회까지 인증용 문자 메시지 수신이나 전화 통화를 시도해 볼 것을 안내합니다. Microsoft는 여러 공급자를 통해 전화를 걸고 문자 메시지를 전송합니다. 이 접근 방식이 작동하지 않으면 지원 사례를 열어 추가로 문제로 해결합니다.

타사 보안 앱은 확인 코드 문자 메시지 또는 전화 통화를 차단할 수도 있습니다. 타사 보안 앱을 사용하는 경우 보호를 사용하지 않도록 설정한 후 다른 MFA 확인 코드를 보내도록 요청합니다.

위 단계가 작동하지 않는 경우 사용자가 둘 이상의 확인 방법에 대해 구성되었는지 확인합니다. 다시 로그인을 시도하지만 로그인 페이지에서 다른 인증 방법을 선택합니다.

자세한 내용은 최종 사용자 문제 해결 가이드를 참조하세요.

등록 프로세스를 다시 진행하도록 하여 사용자 계정을 재설정할 수 있습니다. 클라우드에서 Microsoft Entra 다단계 인증을 사용하여 사용자 및 디바이스 설정 관리에 관해 자세히 알아봅니다.

무단 액세스를 방지하려면 모든 사용자 앱 암호를 삭제합니다. 사용자에게 교체용 디바이스가 있는 경우 암호를 다시 만들 수 있습니다. 클라우드에서 Microsoft Entra 다단계 인증을 사용하여 사용자 및 디바이스 설정 관리에 관해 자세히 알아봅니다.

조직에서 레거시 클라이언트를 계속 사용하고 앱 암호 사용을 허용한 경우 사용자는 자신의 사용자 이름 및 암호로 이러한 레거시 클라이언트에 로그인할 수 없습니다. 대신, 앱 암호를 설정해야 합니다. 사용자는 로그인 정보를 지우고(삭제)하고 앱을 다시 시작한 후 일반 암호 대신 앱 암호와 사용자 이름을 사용하여 로그인해야 합니다.

조직에 레거시 클라이언트가 없는 경우 사용자가 앱 암호를 만들도록 허용하지 않아야 합니다.

서비스의 안정성에 영향을 줄 수 있는 제어할 수 없는 요소가 있기 때문에 문자 메시지 전송이 보장되지 않습니다. 이 요소에는 대상 국가나 지역, 이동 통신 사업자 및 신호 강도가 포함됩니다.

타사 보안 앱은 확인 코드 문자 메시지 또는 전화 통화를 차단할 수도 있습니다. 타사 보안 앱을 사용하는 경우 보호를 사용하지 않도록 설정한 후 다른 MFA 확인 코드를 보내도록 요청합니다.

사용자에게 문자 메시지를 안정적으로 수신하는 데 문제가 있는 경우 대신 Microsoft Authenticator 앱 또는 휴대폰 전화 방법을 사용하도록 지시합니다. Microsoft Authenticator 앱은 셀룰러 및 Wi-Fi 연결 모두를 통해 알림을 받을 수 있습니다. 또한 디바이스에 신호가 전혀 없는 경우에도 모바일 앱은 인증 코드를 생성할 수 있습니다. Microsoft Authenticator 앱은 Android, iOS 및 Windows Phone에서 사용할 수 있습니다.

경우에 따라 가능합니다.

MFA 서버 v7.0 이상을 사용하는 단방향 SMS의 경우 레지스트리 키를 설정하여 시간 제한 설정을 구성할 수 있습니다. MFA 클라우드 서비스가 텍스트 메시지를 보내면 확인 코드(또는 일회용 암호)가 MFA 서버에 반환됩니다. MFA 서버는 코드를 기본적으로 300초 동안 메모리에 저장합니다. 300초가 경과하기 전에 사용자가 코드를 입력하지 않으면 인증이 거부됩니다. 기본 시간 제한 설정을 변경하려면 다음 단계를 사용합니다.

1. HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor(으)로 이동합니다.
2. pfsvc_pendingSmsTimeoutSeconds라는 DWORD 레지스트리 키를 만들고 MFA 서버에서 일회용 암호를 저장할 시간(초)을 설정합니다.

사용자가 정의된 시간 제한 기간 내 SMS에 응답하지 않는 경우 해당 인증이 거부됩니다.

클라우드에서 Microsoft Entra 다단계 인증을 사용하는 단방향 SMS(AD FS 어댑터 또는 네트워크 정책 서버 확장 포함)의 경우 시간 제한 설정을 구성할 수 없습니다. Microsoft Entra ID는 180초 동안 확인 코드를 저장합니다.

Multi-Factor Authentication 서버를 사용하는 경우 타사 OATH(공개 인증), TOTP(시간 기반, 일회용 암호) 토큰을 가져온 후 2단계 인증에 사용할 수 있습니다.

비밀 키를 CSV 파일에 추가하고 Multi-Factor Authentication 서버에 가져올 수 있는 경우 OATH TOTP 토큰에 해당하는 ActiveIdentity 토큰을 사용할 수 있습니다. OATH 토큰은 클라이언트 시스템에서 사용자 입력을 수락할 수 있는 한 ADFS(Active Directory Federation Services), IIS(Internet Information Server) 폼 기반 인증 및 RADIUS(Remote Authentication Dial-In User Service)에서 사용할 수 있습니다.

다음 형식으로 타사 OATH TOTP 토큰을 가져올 수 있습니다.

• 휴대용 대칭 키 컨테이너(PSKC)
• 파일에 일련 번호, Base 32 형식인 암호 키 및 시간 간격이 있는 경우 CSV

예. 그렇지만 Windows Server 2012 R2 이상을 사용하는 경우 RD 게이트웨이(원격 데스크톱 게이트웨이)를 사용해야 터미널 서비스를 보호할 수 있습니다.

Windows Server 2012 R2의 보안 변경 때문에 Multi-Factor Authentication 서버가 Windows Server 2012 및 이전 버전에서 LSA(로컬 보안 기관) 보안 패키지에 연결하는 방식이 변경되었습니다. Windows 2012 이전의 터미널 서비스 버전의 경우 Windows 인증으로 애플리케이션 보호를 수행할 수 있습니다. Windows Server 2012 R2를 사용하는 경우 RD 게이트웨이가 필요합니다.

경우에 따라 다단계 인증 호출이 공용 전화망을 통해 이루어진 경우 발신자 번호를 지원하지 않는 통신 회사를 통해 라우팅됩니다. 이와 같은 이동 통신 사업자 동작 때문에 항상 다단계 인증 시스템에서 발신자 ID를 보내더라도 이 ID가 보장되지 않습니다.

사용자에게 보안 정보를 등록하라는 메시지가 표시되는 데는 여러 가지 이유가 있습니다.

• Microsoft Entra ID의 관리자가 MFA를 사용할 수 있도록 사용자를 설정했지만 사용자의 계정에 대한 보안 정보가 아직 등록되어 있지 않습니다.
• 사용자가 Microsoft Entra ID에서 셀프 서비스 암호 재설정을 사용하도록 설정되었습니다. 보안 정보를 통해 향후 암호를 재설정(분실한 경우)할 수 있습니다.
• 사용자가 MFA를 요구하는 조건부 액세스 정책이 있는 애플리케이션에 액세스했고 MFA에 이전에 등록되지 않았습니다.
• 사용자는 Microsoft Entra ID(Microsoft Entra 조인 포함)에 디바이스를 등록하고 있으며 조직에는 디바이스 등록을 위해 MFA가 필요하지만 사용자는 이전에 MFA에 등록하지 않았습니다.
• 사용자는 Windows 10에서 비즈니스용 Windows Hello를 생성하고 있으며(MFA 필요) MFA에 이전에 등록되지 않았습니다.
• 조직에서 사용자에게 적용된 MFA 등록 정책을 만들고 사용하도록 설정했습니다.
• 사용자는 MFA에 대해 이전에 등록되었지만 관리자가 사용하지 않도록 설정한 인증 방법을 선택했습니다. 따라서 사용자는 MFA 등록 과정을 다시 거쳐서 새로운 기본 인증 방법을 선택해야 합니다.

사용자에게 다음 절차를 완료하여 Microsoft Authenticator 계정을 제거한 다음, 다시 추가하도록 요청합니다.

1. 계정 프로필로 이동하여 조직 계정으로 로그인합니다.
2. 추가 보안 인증을 선택합니다.
3. Microsoft Authenticator 앱에서 기존 계정을 제거합니다.
4. 구성을 클릭하고 지침에 따라 Microsoft Authenticator 앱을 다시 구성합니다.

2단계 인증이 필요한 계정에서 작동하지 않는 로컬 컴퓨터에 설치된 비브라우저 애플리케이션에 로그인을 시도할 때 0x800434D4L 오류가 발생합니다.

이 오류를 해결하려면 관리 관련 작업용 사용자 계정과 비관리 관련 작업용 사용자 계정을 따로 두어야 합니다. 나중에 관리 계정과 비관리 계정 간의 사서함을 연결하면 비관리 계정을 사용하여 Outlook에 로그인할 수 있습니다. 이 해결책에 대한 자세한 내용은 관리자에게 사용자의 사서함 내용을 열고 보는 기능을 제공하는 방법을 참조하세요.

오류 1073741715 = 상태 로그온 실패 -> 시도된 로그온이 잘못되었습니다. 이것은 잘못된 사용자 이름 또는 인증 때문입니다.

이 오류의 타당한 이유: 입력한 기본 자격 증명이 올바르면 MFA 서버에서 지원되는 NTLM 버전과 도메인 컨트롤러가 일치하지 않을 수 있습니다. MFA 서버는 NTLMv2(LmCompatabilityLevel=5)가 아닌 NTLMv1(LmCompatabilityLevel=1~4)만 지원합니다.

다음 단계

여기에서 질문에 대한 대답을 찾지 못한 경우 다음 지원 옵션을 사용할 수 있습니다.

• Microsoft 지원 기술 자료에서 일반적인 기술 문제에 대한 솔루션을 검색합니다.
• 커뮤니티에서 기술 질문 및 대답을 검색하고 찾아보거나 Microsoft Entra Q&A에서 직접 원하는 질문을 할 수 있습니다.
• Multi-Factor Authentication 서버 지원을 통해 Microsoft 전문가에게 문의하세요. 문의하는 경우 가능한 문제에 대한 많은 정보를 제공해주시면 도움이 됩니다. 오류를 발견한 페이지, 특정 오류 코드, 특정 세션 ID 및 오류를 발견한 사용자의 ID를 포함하는 정보를 제공해 주시면 됩니다.