다음을 통해 공유

Outlook 모바일에 Authenticator Lite 사용

  • 아티클

Authenticator Lite는 Microsoft Entra 사용자가 Android 또는 iOS 디바이스에서 푸시 알림 또는 시간 기반 TOTP(일회성 암호)를 사용하여 MFA(다단계 인증)를 완료할 수 있는 또 다른 표면입니다. Authenticator Lite를 사용하면 사용자는 익숙한 앱의 편리함에서 MFA 요구 사항을 충족할 수 있습니다. Authenticator Lite는 현재 Outlook 모바일에서 사용하도록 설정되어 있습니다.

사용자는 로그인을 승인하거나 거부하라는 알림을 Outlook 모바일에서 받거나 로그인 중에 사용할 TOTP를 복사할 수 있습니다.

참고 항목

통신 전송을 통해 인증하는 경우 다음과 같은 중요한 보안 향상 기능을 사용합니다.

  • 이 기능의 Microsoft 관리 값은 인증 방법 정책에서 사용하도록 설정됩니다. 이 기능을 사용하지 않으려면 상태를 기본에서 사용 안 함으로 변경하거나 특정 사용자 그룹에만 기능을 제한하십시오.
  • Authenticator Lite는 사용자별 MFA 정책에서 모바일 앱 확인 옵션을 통해 알림의 일부로 사용하도록 설정됩니다. 이 기능을 사용하지 않으려면 이 문서의 단계에 따라 인증 방법 정책에서 사용하지 않도록 설정할 수 있습니다.

필수 조건

  • 조직에서는 모든 사용자 또는 선택 그룹에 대해 Authenticator(두 번째 단계) 푸시 알림을 사용하도록 설정해야 합니다. 최신 인증 방법 정책사용하여 Authenticator를 사용하도록 설정하는 것이 좋습니다. Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용하여 인증 방법 정책을 편집할 수 있습니다. Authenticator Lite는 활성 MFA 서버가 있는 온-프레미스 사용자 계정 또는 조직에 적합하지 않습니다.

    Authenticator Lite를 활성화할 때 시스템 기본 MFA도 활성화할 것을 권장합니다. 시스템 기본 설정 MFA를 사용하도록 설정하면 사용자는 SMS 또는 음성 통화와 같은 덜 안전한 전화 통신 방법을 시도하기 전에 Authenticator Lite로 로그인하려고 합니다.

  • 조직에서 AD FS(Active Directory Federation Services) 어댑터 또는 NPS(네트워크 정책 서버) 확장을 사용하는 경우 일관된 환경을 위해 최신 버전으로 업그레이드합니다.

  • Outlook 모바일에서 공유 디바이스 모드를 사용하도록 설정된 사용자는 Authenticator Lite에 적합하지 않습니다.

  • 사용자는 최소 Outlook 모바일 버전을 실행해야 합니다.

    운영 체제 Outlook 버전
    Android 4.2310.1
    iOS 4.2312.1

Authenticator Lite 사용

기본적으로 Authenticator Lite는 인증 방법 정책에서 Microsoft에서 관리됩니다. 6월 26일에 이 기능의 Microsoft 관리 값이 disabled에서 enabled로 변경되었습니다. 또한 Authenticator Lite는 사용자별 MFA 정책에서 모바일 앱 확인을 통한 알림 옵션의 일부로 포함됩니다.

Microsoft Entra 관리 센터에서 Authenticator Lite 사용 안 함

Microsoft Entra 관리 센터에서 Authenticator Lite를 사용하지 않도록 설정하려면 다음 단계를 수행합니다.

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>인증 방법>Microsoft Authenticator로 이동합니다.

  3. 사용 및 대상 설정 탭에서 사용모든 사용자에 대해 인증자 정책을 사용하도록 설정하거나, 선택된 그룹을 추가합니다. 이러한 사용자 또는 그룹에 대한 인증 모드를 어떤 또는 푸시로 설정합니다.

    Authenticator에 대해 사용하도록 설정되지 않은 사용자는 이 기능을 볼 수 없습니다. Outlook이 다운로드된 동일한 장치에서 Authenticator를 다운로드한 사용자는 Outlook에서 Authenticator Lite에 등록하라는 메시지가 표시되지 않습니다. 디바이스에서 개인 및 회사 프로필을 사용하는 Android 사용자는 Authenticator가 Outlook 애플리케이션과 다른 프로필에 있는 경우 등록하라는 메시지가 표시될 수 있습니다.

    Microsoft Entra 관리 센터 Authenticator 설정

  4. 구성 탭에서 도우미 응용 프로그램의 Microsoft Authenticator의 상태를 사용 안 함으로변경한 후, 저장을선택합니다.

    Authenticator Lite 구성 설정

조직에서 인증 방법을 사용자별 MFA 정책에서 계속 관리하는 경우 이전 단계 외에도 모바일 앱을 통한 알림을 확인 옵션으로 사용하지 않도록 설정해야 합니다. 인증 방법 정책에서 Authenticator를 사용하도록 설정한 후에만 이 단계를 수행하는 것이 좋습니다.

Authenticator는 최신 인증 방법 정책에서 관리되는 동안 사용자별 MFA 정책에서 인증 방법의 나머지 부분을 계속 관리할 수 있습니다. 그러나 모든 인증 방법의 관리를 최신 인증 방법 정책으로 마이그레이션할 것이 좋습니다. 사용자별 MFA 정책에서 인증 방법을 관리하는 기능은 2025년 9월 30일에 사용 중지됩니다.

Graph API를 통해 Authenticator Lite 사용

속성 Type 설명
excludeTarget featureTarget 이 기능에서 제외되는 단일 엔터티입니다.
동적 또는 중첩된 그룹일 수 있는 Authenticator Lite에서 하나의 그룹만 제외할 수 있습니다.
includeTarget featureTarget 이 기능에 포함된 단일 엔터티입니다.
동적 또는 중첩된 그룹일 수 있는 Authenticator Lite에 대해 하나의 그룹만 포함할 수 있습니다.
State advancedConfigState 가능한 값:
사용 선택한 그룹에 대한 기능을 명시적으로 사용하도록 설정합니다.
사용 안 함 선택한 그룹에 대한 기능을 명시적으로 사용하지 않도록 설정합니다.
기본 사용하면 Microsoft Entra ID가 선택한 그룹에 대해 기능을 사용할지 여부를 관리할 수 있습니다.

단일 대상 그룹을 식별한 후 다음 API 엔드포인트를 사용하여 featureSettings아래의 CompanionAppsAllowedState 속성을 변경합니다.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

그래프 탐색기에서 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.

Request

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

사용자 등록

사용자가 Authenticator Lite를 사용하도록 설정된 경우 Outlook 모바일에서 직접 계정을 등록하라는 메시지가 표시됩니다. 내 로그인을 사용하여 Authenticator Lite 등록이 불가능합니다. 사용자는 Outlook 모바일 내에서 Authenticator Lite를 활성화하거나 사용 안 함으로 설정할 수 있습니다. 사용자 환경에 대한 자세한 내용은 Authenticator Lite 지원을 참조하세요.

Authenticator Lite를 등록하는 방법을 보여 주는 스크린샷

사용자가 MFA 메서드를 등록하지 않은 경우 등록 흐름을 시작할 때 Authenticator를 다운로드하라는 메시지가 표시됩니다. 가장 원활한 환경을 위해, Authenticator Lite 등록 중 사용자가 TAP(임시 액세스 패스)를 받을 수 있도록 합니다.

Authenticator Lite 사용량 모니터링

로그인 로그는 사용자 인증을 완료하는 데 사용된 앱을 표시할 수 있습니다. 최신 로그인을 보려면 베타 API 엔드포인트에서 다음 호출을 사용합니다.

GET auditLogs/signIns

전화 앱 알림으로 로그인을 수행한 경우, authenticationAppDeviceDetailsclientApp 필드가 microsoftAuthenticator 또는 Outlook를 반환합니다.

사용자가 Authenticator Lite를 등록한 경우 사용자의 등록된 인증 방법에는 Microsoft Authenticator(Outlook)포함됩니다.

Authenticator Lite의 푸시 알림

Authenticator Lite에서 보낸 푸시 알림은 구성할 수 없으며 Authenticator 기능 설정에 의존하지 않습니다. Authenticator Lite는 암호 없는 인증 모드를 지원하지 않습니다. 다음 표에서는 Authenticator Lite 환경에 포함된 기능에 대한 설정을 나열합니다. 모든 인증에는 숫자 일치 프롬프트가 포함되며 Authenticator 기능 설정에 관계없이 앱 및 위치 컨텍스트가 포함되지 않습니다.

인증자 기능 Authenticator Lite의 경험
숫자 일치 Enabled
위치 컨텍스트 사용 안 함
애플리케이션 컨텍스트 사용 안 함

다음 스크린샷은 Authenticator Lite가 푸시 알림을 보낼 때 사용자에게 표시되는 내용을 보여 줍니다.

Outlook 모바일의 푸시 알림을 보여 주는 스크린샷

AD FS 어댑터 및 NPS 확장

Authenticator Lite는 모든 인증에서 번호 일치를 적용합니다. 테넌트가 AD FS 어댑터 또는 NPS 확장을 사용하는 경우 사용자가 Authenticator Lite 알림을 완료하지 못할 수 있습니다. 자세한 내용은 AD FS 어댑터NPS 확장을 참조하세요.

확인 알림에 대한 자세한 내용은 Microsoft Authenticator 인증 방법을 참조하세요.

일반적인 질문

다음 섹션에서는 일반적인 질문을 나열합니다.

Authenticator Lite는 broker 앱으로 작동하나요?

아니요, Authenticator Lite는 푸시 알림 및 TOTP에만 사용할 수 있습니다.

Authenticator Lite를 SSPR에 사용할 수 있나요?

아니요, Authenticator Lite는 푸시 알림 및 TOTP에만 사용할 수 있습니다.

Outlook 데스크톱 앱에서 Authenticator Lite를 사용할 수 있나요?

아니요, Authenticator Lite는 Outlook 모바일에서만 사용할 수 있습니다.

사용자는 어디에서 Authenticator Lite에 등록할 수 있나요?

사용자는 모바일 Outlook에서만 Authenticator Lite에 등록할 수 있습니다. Authenticator Lite 등록은 내 로그인에서관리됩니다.

사용자가 Authenticator 및 Authenticator Lite를 등록할 수 있나요?

디바이스에 Authenticator가 있는 사용자는 동일한 디바이스에 Authenticator Lite를 등록할 수 없습니다. 사용자에게 Authenticator Lite 등록이 있고 나중에 Authenticator를 다운로드하는 경우 둘 다 등록할 수 있습니다. 사용자에게 두 개의 디바이스가 있는 경우 한 디바이스에 Authenticator Lite를 등록하고 다른 하나는 Authenticator를 등록할 수 있습니다.

알려진 문제

다음과 같은 문제가 알려져 있습니다.

SSPR 알림

Outlook의 TOTP 코드는 SSPR에 대해 작동하지만 푸시 알림이 작동하지 않고 오류가 반환됩니다.

추가된 조건부 액세스 평가를 보여 주는 로그

조건부 액세스 정책은 사용자가 Outlook 앱을 열 때마다 평가되어 Authenticator Lite에 등록할 수 있는지 여부를 결정합니다. 이러한 검사는 로그에 나타날 수 있습니다.

관련 콘텐츠