다음을 통해 공유

셀프 서비스 암호 재설정 배포 옵션

  • 아티클

Important

2022년 9월, Microsoft는 Azure Multi-Factor Authentication 서버의 사용 중단을 발표했습니다. 2024년 9월 30일부터 Azure Multi-Factor Authentication 서버 배포는 더 이상 MFA(다단계 인증) 요청을 서비스하지 않습니다. Azure Multi-Factor Authentication 서버의 고객은 MIM SSPR에서 사용자 지정 MFA 공급자를 대신 사용하거나 MIM SSPR 대신 Microsoft Entra SSPR을 사용하도록 이동해야 합니다.

Microsoft Entra ID P1 또는 P2에 대한 라이선스가 부여된 신규 고객의 경우 Microsoft Entra 셀프 서비스 암호 재설정을 사용하여 최종 사용자 환경을 제공하는 것이 좋습니다. Microsoft Entra 셀프 서비스 암호 재설정은 사용자가 자신의 암호를 재설정할 수 있는 웹 기반 및 Windows 통합 환경을 모두 제공하며, 대체 전자 메일 및 Q&A 게이트를 포함하여 MIM과 동일한 많은 기능을 지원합니다. Microsoft Entra 셀프 서비스 암호 재설정을 배포할 때 새 암호를 AD DS에 다시 쓰도록 Microsoft Entra Connect를 구성할 수 있으며 MIM 암호 변경 알림 서비스를 사용하여 다른 공급업체의 디렉터리 서버와 같은 다른 시스템에 암호를 전달할 수 있습니다. 암호 관리를 위해 MIM을 배포해도 MIM 서비스 또는 MIM 셀프 서비스 암호 재설정 또는 등록 포털을 배포할 필요가 없습니다. 대신 다음 단계를 수행할 수 있습니다.

  • 먼저 Microsoft Entra ID 및 AD DS 이외의 디렉터리에 암호를 보내야 하는 경우 커넥터와 MIM 동기화를 배포하여 Active Directory 도메인 Services 및 추가 대상 시스템에 배포하고 암호 관리를 위해 MIM을 구성하고 암호 변경 알림 서비스를 배포합니다.
  • 그런 다음, Microsoft Entra ID가 아닌 다른 디렉터리에 암호를 보내야 하는 경우 새 암호를 AD DS다시 쓰도록 Microsoft Entra Connect를 구성합니다.
  • 필요에 따라 사용자를 미리 등록합니다.
  • 마지막으로 Microsoft Entra 셀프 서비스 암호 재설정을 최종 사용자에게 롤아웃합니다.

Microsoft Entra ID P1 또는 P2에 대해 라이선스가 부여된 FIM(Forefront Identity Manager) 또는 MIM 고객의 경우 Microsoft Entra 셀프 서비스 암호 재설정으로 전환하는 것이 좋습니다. PowerShell을 통해 사용자의 대체 전자 메일 주소 또는 휴대폰 번호를 동기화하거나 설정하여 다시 등록할 필요 없이 최종 사용자를 Microsoft Entra 셀프 서비스 암호 재설정으로 전환할 수 있습니다. 사용자가 Microsoft Entra 셀프 서비스 암호 재설정에 등록되면 FIM 암호 재설정 포털을 서비스 해제할 수 있습니다.

Microsoft Entra MFA를 사용하던 MIM 2016 배포는 사용자 지정 MFA 공급자와 함께 MIM SSPR을 사용하거나 Microsoft Entra 셀프 서비스 암호 재설정으로 이동해야 합니다. 새 배포는 사용자 지정 MFA 공급자 또는 Microsoft Entra 셀프 서비스 암호 재설정을 사용해야 합니다.

다단계 인증을 위해 사용자 지정 공급자를 사용하여 MIM 셀프 서비스 암호 재설정 포털 배포

다음 섹션에서는 다단계 인증을 위해 공급자를 사용하여 MIM 셀프 서비스 암호 재설정 포털을 배포하는 방법을 설명합니다. 이러한 단계는 사용자에 대해 Microsoft Entra 셀프 서비스 암호 재설정을 사용하지 않는 고객에게만 필요합니다.

MFA를 사용하면 사용자는 자신의 계정 및 리소스에 대한 액세스를 다시 시도하는 동안 ID를 확인하기 위해 외부 공급자를 통해 인증합니다. SMS 또는 전화 통화를 통해 인증할 수 있습니다. 인증이 강할수록 액세스 권한을 얻으려는 사람이 실제로 ID를 소유한 실제 사용자라는 신뢰도가 높아집니다. 인증되고 나면 사용자는 새 암호를 선택하여 이전 암호를 바꿀 수 있습니다.

MFA를 사용하여 셀프 서비스 계정 잠금 해제 및 암호 재설정을 설정하기 위한 필수 구성 요소

이 섹션에서는 다음 구성 요소 및 서비스를 포함하여 Microsoft Identity Manager 2016 MIM 동기화, MIM 서비스 및 MIM 포털 구성 요소의 배포를 다운로드하고 완료했다고 가정합니다.

  • 지정된 도메인이 있는 Active Directory 도메인 컨트롤러('회사' 도메인)

  • 그룹 정책이 계정 잠금에 대해 정의되었습니다.

  • MIM 2016 동기화 서비스(동기화)가 설치되어 AD 도메인에 도메인에 가입된 서버에서 실행됩니다.

  • SSPR 등록 포털 및 SSPR 재설정 포털을 포함한 MIM 2016 서비스 및 포털이 설치되어 서버에 실행되고 있습니다(동기화와 공동 배치될 수 있음).

  • MIM 동기화는 다음을 포함하여 AD-MIM ID 동기화에 대해 구성됩니다.

    • AD DS에 연결하기 위해 ADMA(Active Directory Management Agent)를 구성하고 프로필을 실행하여 ID 데이터를 가져와 Active Directory로 내보냅니다.

    • FIM 서비스 데이터베이스에 연결하기 위해 MIM MA(MIM 관리 에이전트)를 구성하고 프로필을 실행하여 ID 데이터를 가져와서 FIM 데이터베이스로 내보냅니다.

    • MIM 서비스에서 사용자 데이터 동기화를 허용하고 동기화 기반 작업이 용이하도록 MIM 포털에 동기화 규칙 구성

  • SSPR Windows 로그인 통합 클라이언트를 포함한 MIM 2016 추가 기능 및 확장은 서버 또는 별도의 클라이언트 컴퓨터에 배포됩니다.

MFA를 사용하도록 MIM 준비

암호 재설정 및 계정 잠금 해제 기능을 지원하도록 MIM 동기화를 구성합니다. 자세한 내용은 FIM 추가 기능 및 확장 설치, FIM SSPR 설치, SSPR 인증 게이트 및 SSPR 테스트 랩 가이드를 참조하세요.

전화 게이트 또는 일회용 암호 SMS 게이트 구성

  1. Internet Explorer를 시작하고 MIM 포털로 이동하여 MIM 관리자로 인증한 다음 왼쪽 탐색 모음에서 워크플로 를 클릭합니다.

    MIM 포털 탐색 이미지

  2. 암호 재설정 인증 워크플로를 확인 합니다.

    MIM 포털 워크플로 이미지

  3. 활동 탭을 클릭한 다음 아래로 스크롤하여 활동 추가

  4. 전화 게이트 또는 일회용 암호 SMS 게이트를 선택하고 확인을 클릭합니다.

    참고 항목

    일회성 암호 자체를 생성하는 다른 공급자를 사용하는 경우 구성된 길이 필드가 MFA 공급자가 생성한 길이와 같은지 확인합니다.

이제 조직의 사용자가 암호 재설정을 위해 등록할 수 있습니다. 이 과정에서 사용자는 회사 전화 번호나 휴대폰 번호를 입력하게 되며, 이를 통해 시스템은 사용자에게 전화할(또는 SMS 메시지 보내기) 방법을 파악할 수 있습니다.

암호 재설정을 위한 사용자 등록

  1. 사용자가 웹 브라우저를 시작하고 MIM 암호 재설정 등록 포털로 이동합니다. 일반적으로 이 포털은 Windows 인증으로 구성됩니다. 포털 내에서 사용자의 사용자 이름과 암호를 다시 제공하여 본인의 ID를 확인합니다.

    암호 등록 포털을 시작하고 해당 사용자 이름과 암호를 사용하여 인증해야 합니다.

  2. 전화 번호 또는 휴대폰 필드에서 국가 코드, 공간 및 전화 번호를 입력하고 다음을 클릭해야 합니다.

    MIM 전화 확인 이미지

    MIM 휴대폰 확인 이미지

사용자를 위해 이 기능이 어떻게 작동하나요?

이제 모든 항목이 구성되고 실행되고 있으므로 휴가 직전에 암호를 바꾼 사용자가 휴가에서 돌아와 암호를 기억하지 못하는 경우 어떤 과정을 거쳐 암호를 재설정할 수 있는지 알아보겠습니다.

사용자가 Windows 로그인 화면 또는 셀프 서비스 포털에서 암호 재설정 및 계정 잠금 해제 기능을 사용할 수 있는 두 가지 방법이 있습니다.

사용자는 조직 네트워크를 통해 MIM 서비스에 연결된 도메인 가입 컴퓨터에 MIM 추가 기능 및 확장을 설치하여 데스크톱 로그인 환경에서 잊은 암호를 복구할 수 있습니다. 다음 단계에서는 프로세스를 안내합니다.

Windows 데스크톱 로그인과 암호 재설정의 통합

  1. 사용자가 잘못된 암호를 여러 번 입력하면 로그인 화면에서 로그인 문제를 클릭할 수 있는 옵션이 있습니다.

    로그인 화면 이미지

    이 링크를 클릭하면 암호를 변경하거나 계정 잠금을 해제할 수 있는 MIM 암호 재설정 화면으로 연결됩니다.

    MIM 암호 재설정 이미지

  2. 인증이 진행됩니다. MFA가 구성된 경우 사용자는 전화를 받게 됩니다.

  3. 백그라운드에서 MFA 공급자는 사용자가 서비스에 등록할 때 사용자가 제공한 번호로 전화를 걸게 됩니다.

  4. 사용자가 전화에 응답하면 전화에서 파운드 키 #을 누르기 위해 상호 작용하라는 메시지가 표시될 수 있습니다. 그런 다음 사용자가 포털에서 다음클릭합니다.

    다른 게이트도 설정한 경우 다음 화면에 추가 정보를 제공하라는 메시지가 표시됩니다.

    참고 항목

    사용자가 참을성이 없으며 파운드 키 #을 누르기 전에 다음 을 클릭하면 인증이 실패합니다.

  5. 인증이 성공하면 사용자에게 두 가지 옵션이 제공됩니다. 계정의 잠금을 해제하고 현재 암호를 유지하거나 새 암호를 설정할 수 있습니다.

  6. 이때 사용자는 새 암호를 두 번 입력해야 하고 그런 다음 암호가 재설정됩니다.

셀프 서비스 포털에서 액세스

  1. 사용자는 웹 브라우저를 열고 암호 재설정 포털로 이동하여 사용자 이름을 입력하고 다음을 클릭할 수 있습니다.

    MFA가 구성된 경우 사용자는 전화를 받게 됩니다. 백그라운드에서 Microsoft Entra 다단계 인증은 사용자가 서비스에 등록할 때 제공한 번호로 전화를 걸게 됩니다.

    사용자가 전화를 받으면 우물정자(#)를 누르라는 안내가 나옵니다. 그런 다음 사용자가 포털에서 다음클릭합니다.

  2. 다른 게이트도 설정한 경우 다음 화면에 추가 정보를 제공하라는 메시지가 표시됩니다.

    참고 항목

    사용자가 참을성이 없으며 파운드 키 #을 누르기 전에 다음 을 클릭하면 인증이 실패합니다.

  3. 사용자는 암호를 재설정할지 또는 계정 잠금을 해제할지 선택해야 합니다. 계정 잠금을 해제하도록 선택하면 계정이 잠금 해제됩니다.

    MIM 로그인 도우미 계정 잠금 해제 이미지

  4. 인증에 성공하면 사용자에게 현재 암호를 유지하거나 새 암호를 설정하는 두 가지 옵션이 제공됩니다.

  5. MIM 계정 잠금 해제 성공 이미지

  6. 사용자가 암호를 재설정하도록 선택하는 경우 새 암호를 두 번 입력하고 다음을 클릭하여 암호를 변경해야 합니다.