다음을 통해 공유


자습서: Microsoft Entra 다단계 인증을 사용하여 사용자 로그인 이벤트 보호

다단계 인증은 로그인 이벤트 중에 사용자에게 추가 식별 형식을 묻는 메시지가 표시되는 프로세스입니다. 예를 들어, 프롬프트는 휴대폰에서 코드를 입력하거나 지문 검사를 제공하는 것일 수 있습니다. 두 번째 형태의 식별을 요구하는 경우 이러한 추가 요소는 공격자가 쉽게 얻거나 복제할 수 있는 것이 아니기 때문에 보안이 향상됩니다.

Microsoft Entra 다단계 인증 및 조건부 액세스 정책은 특정 로그인 이벤트 중에 사용자에게 MFA를 요구할 수 있는 유연성을 제공합니다.

Important

이 자습서에서는 관리자에게 Microsoft Entra 다단계 인증을 사용하도록 설정하는 방법을 보여줍니다. 사용자로서 다단계 인증을 진행하려면 2단계 인증 방법을 사용하여 회사 또는 학교 계정에 로그인을 참조하세요.

IT 팀이 Microsoft Entra 다단계 인증을 사용하는 기능을 사용하도록 설정하지 않았거나 로그인하는 동안 문제가 발생한 경우 추가 지원을 받으려면 기술 지원팀에 문의하세요.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • Microsoft Entra 다단계 인증을 사용자 그룹에 사용하도록 설정하는 조건부 액세스 정책 만들기
  • MFA를 요청하는 정책 조건 구성
  • 다단계 인증을 구성하고 사용자로 사용하는 방법을 테스트합니다.

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

조건부 액세스 정책 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

Microsoft Entra 다단계 인증을 사용하도록 설정하고 이를 사용하는 데 권장되는 방법은 조건부 액세스 정책을 사용하는 것입니다. 조건부 액세스를 사용하면 이벤트 로그인에 반응하고 사용자에게 애플리케이션 또는 서비스에 대한 액세스 권한을 부여하기 전에 추가 작업을 요청하는 정책을 만들고 정의할 수 있습니다.

조건부 액세스를 적용하여 로그인 프로세스를 보호하는 방법에 대한 개략적인 다이어그램

조건부 액세스 정책은 특정 사용자, 그룹 및 앱에 적용할 수 있습니다. 목표는 조직을 보호하는 동시에 필요한 사용자에게 적절한 수준의 액세스를 제공하는 것입니다.

이 자습서에서는 사용자가 로그인할 때 MFA를 묻는 기본 조건부 액세스 정책을 만듭니다. 이 시리즈의 이후 자습서에서는 위험 기반 조건부 액세스 정책을 사용하여 Microsoft Entra 다단계 인증을 구성합니다.

먼저 다음과 같이 조건부 액세스 정책을 만들고 사용자의 테스트 그룹을 할당합니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>조건부 액세스로 이동하고 + 새 정책을 선택한 다음, 새 정책 만들기를 선택합니다.

    조건부 액세스 페이지에서 '새 정책'을 선택한 다음, '새 정책 만들기'를 선택하는 스크린샷

  3. 정책 이름(예: MFA 파일럿)을 입력합니다.

  4. 할당에서 사용자 또는 워크로드 ID에서 현재 값을 선택합니다.

    '사용자 또는 워크로드 ID'에서 현재 값을 선택하는 조건부 액세스 페이지의 스크린샷.

  5. 이 정책은 무엇에 적용되나요?에서 사용자 및 그룹이 선택되어 있는지 확인합니다.

  6. 포함에서 사용자 및 그룹 선택을 선택한 다음, 사용자 및 그룹을 선택합니다.

    사용자 및 그룹을 지정하는 옵션을 선택하는 새 정책을 만들기 위한 페이지의 스크린샷.

    아직 할당된 것이 없기 때문에 사용자 및 그룹 목록(다음 단계에 표시됨)이 자동으로 열립니다.

  7. Microsoft Entra 그룹(예: MFA-Test-Group)을 찾아서 선택한 다음, 선택을 선택합니다.

    MFA 문자로 필터링된 결과와 'MFA-Test-Group'이 선택된 사용자 및 그룹 목록의 스크린샷.

정책을 적용할 그룹을 선택했습니다. 다음 섹션에서는 정책을 적용할 조건을 구성합니다.

다단계 인증 조건 구성

조건부 액세스 정책이 만들어지고 사용자의 테스트 그룹이 할당되면 이제 정책을 트리거하는 클라우드 앱 또는 작업을 정의합니다. 이러한 클라우드 앱 또는 작업은 다단계 인증을 요청하는 것과 같은 추가 처리가 필요하다고 결정하는 시나리오입니다. 예를 들어 재무 애플리케이션에 대한 액세스 또는 관리 도구 사용에 추가 인증 프롬프트가 필요하다고 결정할 수 있습니다.

다단계 인증이 필요한 앱 구성

이 자습서에서는 사용자가 로그인할 때 다단계 인증을 요구하도록 조건부 액세스 정책을 구성합니다.

  1. 클라우드 앱 또는 작업에서 현재 값을 선택한 다음, 이 정책이 적용되는 대상 선택에서 클라우드 앱이 선택되어 있는지 확인합니다.

  2. 포함에서 리소스 선택을 선택합니다.

    아직 선택된 앱이 없기 때문에 앱 목록(다음 단계에 표시됨)이 자동으로 열립니다.

    조건부 액세스 정책을 모든 리소스(이전의 '모든 클라우드 앱') 에 적용하거나 리소스를 선택할 수 있습니다. 유연성을 제공하기 위해 정책에서 특정 앱을 제외할 수도 있습니다.

  3. 사용할 수 있는 사용 가능한 로그인 이벤트 목록을 찾습니다. 이 자습서에서는 정책이 로그인 이벤트에 적용되도록 Windows Azure Service Management API를 선택합니다. 그런 다음, 선택을 선택합니다.

    새 정책이 적용될 Windows Azure Service Management API 앱을 선택하는 조건부 액세스 페이지의 스크린샷.

액세스를 위한 다단계 인증 구성

다음으로, 액세스 제어를 구성합니다. 액세스 제어를 사용하면 사용자에게 액세스 권한을 부여하기 위한 요구 사항을 정의할 수 있습니다. 승인된 클라이언트 앱 또는 Microsoft Entra ID에 하이브리드 조인된 디바이스를 사용하는 데 필요할 수 있습니다.

이 자습서에서는 로그인하는 동안 다단계 인증을 요구하도록 액세스 제어를 구성합니다.

  1. 액세스 제어에서 부여 아래의 현재 값을 선택한 다음, 액세스 허용을 선택합니다.

    '권한 부여'를 선택한 다음, '액세스 권한 부여'를 선택하는 조건부 액세스 페이지의 스크린샷.

  2. 다단계 인증 필요를 선택한 다음, 선택을 선택합니다.

    '다단계 인증 필요'를 선택하는 액세스 권한을 부여하는 옵션의 스크린샷.

정책 활성화

구성이 사용자에게 미치는 영향을 확인하려면 조건부 액세스 정책을 보고서 전용으로 설정하거나, 지금 정책을 사용하지 않으려면 끄기로 설정할 수 있습니다. 이 자습서에서 사용자 테스트 그룹을 대상으로 하므로 정책을 사용하도록 설정한 다음, Microsoft Entra 다단계 인증을 테스트해보겠습니다.

  1. 정책 사용에서 켜기를 선택합니다.

    정책을 사용할지 여부를 지정하는 웹 페이지 아래쪽에 있는 컨트롤의 스크린샷.

  2. 조건부 액세스 정책을 적용하려면 만들기를 선택합니다.

Microsoft Entra 다단계 인증 테스트

조건부 액세스 정책 및 Microsoft Entra 다단계 인증이 작동되는지 확인해 보겠습니다.

먼저 다음과 같이 MFA를 요구하지 않는 리소스에 로그인합니다.

  1. InPrivate 또는 incognito 모드에서 새 브라우저 창을 열고 https://account.activedirectory.windowsazure.com으로 이동합니다.

    브라우저의 비공개 모드를 사용하면 기존 자격 증명이 이 로그인 이벤트에 영향을 주지 않습니다.

  2. 관리자가 아닌 테스트 사용자(예: testuser) 권한으로 로그인합니다. 사용자 계정의 도메인 이름 및 @을 포함해야 합니다.

    이 계정으로 처음 로그인하는 경우 암호를 변경하라는 메시지가 표시됩니다. 그러나 다단계 인증을 구성하거나 사용하라는 메시지는 표시되지 않습니다.

  3. 브라우저 창을 닫습니다.

로그인에 추가 인증을 요구하도록 조건부 액세스 정책을 구성했습니다. 해당 구성 때문에 Microsoft Entra 다단계 인증을 사용하거나 아직 수행하지 않은 경우 방법을 구성하라는 메시지가 표시됩니다. Microsoft Entra 관리 센터에 로그인하여 이 새로운 요구 사항을 테스트합니다.

  1. InPrivate 또는 incognito 모드에서 새 브라우저 창을 열고, Microsoft Entra 관리 센터에 로그인합니다.

  2. 관리자가 아닌 테스트 사용자(예: testuser) 권한으로 로그인합니다. 사용자 계정의 도메인 이름 및 @을 포함해야 합니다.

    Microsoft Entra 다단계 인증을 등록하고 사용해야 합니다.

    '추가 정보가 필요합니다.'라는 메시지가 표시됩니다. 이 사용자에 대한 다단계 인증 방법을 구성하라는 프롬프트입니다.

  3. 다음을 선택하여 프로세서를 시작합니다.

    인증을 위해 인증 전화, 사무실 전화 또는 모바일 앱을 구성하도록 선택할 수 있습니다. 인증 전화는 문자 메시지 및 전화 통화를 지원하고, 사무실 전화는 내선 번호가 있는 전화를 지원하며, 모바일 앱은 모바일 앱을 사용하여 인증 알림 수신 또는 인증 코드 생성을 지원합니다.

    '추가 보안 확인'이라고 표시되는 프롬프트입니다. 이 사용자에 대한 다단계 인증 방법을 구성하라는 프롬프트입니다. 인증 전화, 사무실 전화 또는 모바일 앱 방법으로 선택할 수 있습니다.

  4. 선택한 다단계 인증 방법을 구성하려면 화면의 지침을 완료합니다.

  5. 브라우저 창을 닫고 Microsoft Entra 관리 센터에 다시 로그인하여 구성한 인증 방법을 테스트합니다. 예를 들어 인증을 위해 모바일 앱을 구성한 경우 다음과 같은 프롬프트가 표시되어야 합니다.

    로그인하려면 브라우저의 프롬프트에 따라 다단계 인증을 위해 등록한 디바이스의 프롬프트를 따릅니다.

  6. 브라우저 창을 닫습니다.

리소스 정리

이 자습서의 일부로 구성한 조건부 액세스 정책을 더 이상 사용하지 않으려면 다음 단계를 사용하여 정책을 삭제합니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. "정책>조건부 액세스로 이동한 다음, 만든 정책(예: MFA 파일럿)을 선택합니다."

  3. 삭제를 선택한 다음, 정책 삭제를 확인합니다.

    열려 있는 조건부 액세스 정책을 삭제하려면 정책 이름 아래에 있는 삭제를 선택합니다.

다음 단계

이 자습서에서는 선택한 사용자 그룹에 조건부 액세스 정책을 사용하여 Microsoft Entra 다단계 인증을 사용하도록 설정했습니다. 구체적으로 다음 작업 방법을 알아보았습니다.

  • Microsoft Entra 다단계 인증을 Microsoft Entra 사용자 그룹에 사용하도록 설정하는 조건부 액세스 정책을 만듭니다.
  • 다단계 인증을 요청하는 정책 조건을 구성합니다.
  • 다단계 인증을 구성하고 사용자로 사용하는 방법을 테스트합니다.