다음을 통해 공유

Authenticator에서 Microsoft Entra ID 테넌트 내의 비밀번호 키 지원

  • 아티클

이 문서에서는 사용자가 Authenticator에서 암호를 사용할 때 볼 수 있는 문제와 관리자가 이를 해결할 수 있는 방법에 대해 설명합니다.

Android 프로필에 암호 저장

Android의 Passkey는 저장된 프로필에서만 사용됩니다. 암호가 Android 회사 프로필에 저장되면 해당 프로필에서 사용됩니다. 암호가 Android 개인 프로필에 저장되면 해당 프로필에서 사용됩니다. 사용자가 필요한 암호에 액세스하고 사용할 수 있도록 하려면 Android 개인 프로필과 Android 회사 프로필이 모두 있는 사용자는 각 프로필에 대해 Authenticator에서 암호를 만들어야 합니다.

해결 방법

Authenticator 암호 문제에 대해 다음 해결 방법을 사용합니다.

인증 강도 조건부 액세스 정책 루프에 대한 해결 방법

조건부 액세스 정책에서 피싱 방지 인증이 필요한 경우, Authenticator에서 암호 키를 추가하려고 하면 반복 루프에 빠질 수 있습니다. 이 경우에는 모든 리소스(이전의 '모든 클라우드 앱')에 접근이 문제가 될 수 있습니다 . 예를 들어:

  • 조건: 모든 디바이스 (Windows, Linux, macOS, Android)
  • 대상 리소스: 모든 리소스(이전의 '모든 클라우드 앱')
  • 제어 권한 부여: 인증 강도 – Authenticator에서 암호 필요

이 정책은 대상 사용자가 Passkey를 사용하여 Authenticator 앱을 포함하는 모든 클라우드 애플리케이션에 로그인하도록 강제합니다. 사용자가 Android 또는 iOS에서 Authenticator에서 암호를 추가하려고 할 때 암호를 사용해야 합니다.

몇 가지 해결 방법은 다음과 같습니다.

  • 애플리케이션을 필터링하고 정책 대상을 모든 리소스(이전의 '모든 클라우드 앱')에서 특정 애플리케이션으로 전환할 수 있습니다. 테넌트에서 사용되는 애플리케이션의 검토로 시작합니다. 필터를 사용하여 Authenticator 및 기타 애플리케이션에 태그를 지정합니다.

  • 지원 비용을 추가로 줄이기 위해 사용자가 패스키를 활용하도록 내부 캠페인을 실행하여 이를 강제하기 전에 미리 도입할 수 있도록 지원할 수 있습니다. 암호 사용을 적용할 준비가 되면 다음 두 가지 조건부 액세스 정책을 만듭니다.

    • OS(모바일 운영 체제) 버전에 대한 정책
    • 데스크톱 OS 버전에 대한 정책

    각 정책에 대해 다른 인증 강도가 필요하고 다음 표에 나열된 다른 정책 설정을 구성합니다. 사용자에 대해 TAP(임시 액세스 패스) 사용하도록 설정하거나 사용자가 암호를 등록하는 데 도움이 되는 다른 인증 방법을 사용하도록 설정할 수 있습니다.

    TAP은 사용자가 암호를 등록할 수 있는 시간을 제한합니다. 암호 등록을 허용하는 모바일 플랫폼에서만 수락할 수 있습니다.

    조건부 액세스 정책 데스크톱 OS 모바일 OS
    속성 데스크톱 OS에 액세스하려면 Authenticator의 암호가 필요합니다. 모바일 OS에 액세스하려면 TAP, 피싱 방지 자격 증명 또는 기타 지정된 인증 방법이 필요합니다.
    조건 특정 디바이스(데스크톱 운영 체제). 특정 디바이스(모바일 운영 체제).
    장치 해당하지 않습니다. Android, iOS.
    디바이스 제외 Android, iOS. 해당하지 않습니다.
    대상 리소스 모든 리소스. 모든 리소스.
    제어 권한 부여 인증 강도. 인증 강도.1
    메서드 Authenticator의 Passkey입니다. TAP, Authenticator의 passkey.
    정책 결과 Authenticator에서 암호를 사용하여 로그인할 수 없는 사용자는 내 로그인 마법사 모드로 전달됩니다. 등록 후 모바일 디바이스에서 Authenticator에 로그인하라는 메시지가 표시됩니다. TAP 또는 다른 허용된 메서드를 사용하여 Authenticator에 로그인하는 사용자는 Authenticator에서 직접 암호를 등록할 수 있습니다. 사용자가 인증 요구 사항을 충족하므로 루프가 발생하지 않습니다.

    1사용자가 새 로그인 방법을 등록하려면 모바일 정책에 대한 권한 부여 제어가 조건부 액세스 정책과 일치하여 보안 정보를 등록해야 합니다.

참고 항목

두 방법 중 하나를 사용하더라도 사용자는 보안 정보 등록을 대상으로 하는 조건부 액세스 정책을 충족해야 합니다. 그렇지 않으면 패스키를 등록할 수 없습니다. 모든 리소스 정책으로 설정된 다른 조건이 있는 경우 암호를 등록할 때 해당 조건을 충족해야 합니다.

승인된 클라이언트 앱 필요 또는 앱 보호 정책 조건부 액세스 권한 부여 컨트롤 필요로 인해 암호를 등록할 수 없는 사용자

다음 조건부 액세스 정책에 포함된 경우 사용자는 Authenticator에 암호를 등록할 수 없습니다.

  • 조건: 모든 디바이스 (Windows, Linux, macOS, Android)
  • 대상 리소스: 모든 리소스(이전의 '모든 클라우드 앱')
  • 제어 권한 부여: 승인된 클라이언트 앱 필요 또는 앱 보호 정책 필요

이 정책은 사용자가 Microsoft Intune 앱 보호 정책을 지원하는 앱을 사용하여 모든 클라우드 애플리케이션에 로그인하도록 강제합니다. 인증자는 Android 또는 iOS에서 이 정책을 지원하지 않습니다.

몇 가지 해결 방법은 다음과 같습니다.

  • 애플리케이션을 필터링하고 정책 대상을 모든 리소스(이전의 '모든 클라우드 앱')에서 특정 애플리케이션으로 전환할 수 있습니다. 테넌트에서 사용되는 애플리케이션의 검토로 시작합니다. 필터를 사용하여 적절한 애플리케이션에 태그를 지정합니다.

  • 모바일 디바이스 관리(MDM) 및 디바이스가 준수로 표시되도록 요구 기능을 사용할 수 있습니다. MDM이 디바이스를 완전히 관리하고 규정을 준수하는 경우 인증자는 이 권한 부여 제어를 충족할 수 있습니다. 예를 들어:

    • 조건: 모든 디바이스 (Windows, Linux, macOS, Android)
    • 대상 리소스: 모든 리소스(이전의 '모든 클라우드 앱')
    • 제어 권한 부여: 승인된 클라이언트 앱필요, 또는 앱 보호 정책필요, 또는 디바이스를 준수로 표시 해야 합니다.

  • 조건부 액세스 정책에서 사용자에게 임시 예외를 부여할 수 있습니다. 하나 이상의 보상 컨트롤을 사용하는 것이 좋습니다.

    • 제한된 기간 동안만 예외를 허용합니다. 패스키를 등록할 수 있을 때 사용자에게 알립니다. 기간 후에 예외를 제거합니다. 그런 다음 사용자가 시간을 놓친 경우 지원 센터에 전화하도록 지시합니다.
    • 다른 조건부 액세스 정책을 사용하여 사용자가 특정 네트워크 위치 또는 규격 디바이스에서만 등록하도록 요구합니다.

참고 항목

제안된 해결 방법이 있을 경우, 사용자는 보안 정보 등록을(를) 대상으로 하는 조건부 액세스 정책을 충족해야 하며, 그렇지 않으면 암호키를 등록할 수 없습니다. 모든 리소스 정책에 다른 조건이 설정된 경우, 사용자들이 패스키를 등록하기 전에 이 조건들도 충족해야 합니다.

Authenticator에서 Bluetooth 사용량을 암호로 제한

일부 조직에서는 암호 사용을 포함하여 Bluetooth 사용을 제한합니다. 이러한 경우 조직은 암호 사용 FIDO2 인증자와 단독으로 Bluetooth 페어링을 허용하여 암호를 허용할 수 있습니다. 암호에 대해서만 Bluetooth 사용을 구성하는 방법에 대한 자세한 내용은 Bluetooth 제한 환경에서 Passkeys를 참조 하세요.

관련 콘텐츠

  • Authenticator의 암호에 대한 자세한 내용은 Microsoft Authenticator 인증 방법을 참조하세요.
  • 사용자가 로그인하는 방법으로 Authenticator에서 암호를 사용하도록 설정하려면 Microsoft Authenticator암호 사용 설정을 참조하세요.