Microsoft Entra ID를 사용한 FIDO2 인증 지원
Microsoft Entra ID를 사용하면 암호 없는 인증에 암호를 사용할 수 있습니다. 이 문서에서는 Microsoft Entra ID가 있는 암호를 사용하여 암호 없는 인증을 지원하는 네이티브 애플리케이션, 웹 브라우저 및 운영 체제에 대해 설명합니다.
참고 항목
Microsoft Entra ID는 현재 FIDO2 보안 키 및 Microsoft Authenticator에 저장된 디바이스 바인딩 암호를 지원합니다. Microsoft는 암호 키를 사용하여 고객과 사용자를 보호하기 위해 최선을 다하고 있습니다. 회사 계정에 대해 동기화된 암호와 디바이스 바인딩된 암호 모두에 투자하고 있습니다.
네이티브 애플리케이션 지원
인증 브로커를 사용한 네이티브 애플리케이션 지원(미리 보기)
Microsoft 애플리케이션은 운영 체제에 대해 인증 브로커가 설치된 모든 사용자를 위해 미리 보기에서 FIDO2 인증에 대한 기본 지원을 제공합니다. FIDO2 인증은 인증 브로커를 사용하는 타사 애플리케이션에 대한 미리 보기에서도 지원됩니다.
다음 표에서는 다양한 운영 체제에 대해 지원되는 인증 브로커를 나열합니다.
| OS | 인증 브로커 | FIDO2 지원 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Intune 회사 포털 1 | ✅ |
| Android2 | 인증자 또는 회사 포털 | ❌ |
1macOS에서 인증 브로커로 회사 포털 사용하려면 Microsoft Enterprise SSO(Single Sign-On) 플러그 인이 필요합니다. macOS를 실행하는 디바이스는 모바일 디바이스 관리 등록을 포함하여 SSO 플러그 인 요구 사항을 충족해야 합니다. FIDO2 인증의 경우 최신 버전의 네이티브 애플리케이션을 실행해야 합니다.
2Android의 FIDO2에 대한 네이티브 애플리케이션 지원이 개발 중입니다.
사용자가 인증 브로커를 설치한 경우 Outlook과 같은 애플리케이션에 액세스할 때 보안 키로 로그인하도록 선택할 수 있습니다. FIDO2를 사용하여 로그인하도록 리디렉션되고 인증에 성공한 후 로그인한 사용자로 Outlook으로 다시 리디렉션됩니다.
인증 브로커가 없는 Microsoft 애플리케이션 지원
사용자에게 iOS, macOS 및 Android에 인증 브로커가 없는 경우 FIDO2 인증을 사용하여 Microsoft 네이티브 애플리케이션에 로그인하는 것은 현재 지원되지 않습니다.
인증 브로커가 없는 타사 애플리케이션 지원
사용자가 아직 인증 브로커를 설치하지 않은 경우 MSAL 지원 애플리케이션에 액세스할 때 보안 키를 사용하여 로그인할 수 있습니다. MSAL 지원 애플리케이션에 대한 요구 사항에 대한 자세한 내용은 개발하는 앱에서 FIDO2 키를 사용하여 암호 없는 인증 지원을 참조하세요.
웹 브라우저 지원
이 표에서는 FIDO2를 사용하여 Microsoft Entra ID 및 Microsoft 계정을 인증하기 위한 브라우저 지원을 보여 줍니다. 소비자는 Xbox, Skype 또는 Outlook.com 같은 서비스에 대한 Microsoft 계정을 만듭니다.
| OS | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | 해당 없음 |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | 해당 없음 | 해당 없음 | 해당 없음 |
| Linux | ✅ | ❌ | ❌ | 해당 없음 |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | 해당 없음 |
참고 항목
Authenticator의 암호는 Android 디바이스의 Google Chrome 또는 Microsoft Edge와 같은 브라우저에서 작동하지 않습니다. 브라우저에서 Authenticator 암호를 사용하여 만들고 로그인하는 지원은 Android 플랫폼에서 사용할 수 있도록 하는 API 업데이트에 따라 달라집니다.
각 플랫폼에 대한 웹 브라우저 지원
다음 표는 각 플랫폼에 대해 지원되는 전송을 보여 줍니다. 지원되는 디바이스 유형에는 USB, NFC(근거리 통신), BLE(Bluetooth Low Energy)가 포함됩니다.
Windows
| 브라우저 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
최소 브라우저 버전
다음은 Windows의 최소 브라우저 버전 요구 사항입니다.
| 브라우저 | 최소 버전 |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 버전 19031 |
| Firefox | 66 |
1새 Chromium 기반 Microsoft Edge의 모든 버전은 FIDO2를 지원합니다. Microsoft Edge 레거시 지원은 1903에 추가되었습니다.
macOS
| 브라우저 | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | 해당 없음 | 해당 없음 |
| Chrome | ✅ | 해당 없음 | 해당 없음 |
| Firefox2 | ✅ | 해당 없음 | 해당 없음 |
| Safari2 | ✅ | 해당 없음 | 해당 없음 |
1Apple은 macOS에서 NFC 및 BLE 보안 키를 지원하지 않습니다.
2이 macOS 브라우저에서는 생체 인식 또는 PIN을 설정하라는 메시지가 표시되지 않으므로 새로운 보안 키 등록이 작동하지 않습니다.
ChromeOS
| 브라우저1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1ChromeOS 또는 Chrome 브라우저에서는 보안 키 등록이 지원되지 않습니다.
Linux
| 브라우저 | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| 브라우저1 | 광원 | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | 해당 없음 |
| Chrome | ✅ | ✅ | 해당 없음 |
| Firefox | ✅ | ✅ | 해당 없음 |
| Safari | ✅ | ✅ | 해당 없음 |
1iOS 브라우저에서는 생체 인식 또는 PIN을 설정하라는 메시지가 표시되지 않으므로 새 보안 키 등록이 작동하지 않습니다.
2Apple은 iOS에서 BLE 보안 키를 지원하지 않습니다.
Android
| 브라우저1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Microsoft Entra ID를 사용한 보안 키 등록은 Android에서 아직 지원되지 않습니다.
2BLE 보안 키는 Google에서 Android에서 지원되지 않습니다.
알려진 문제
PowerShell 지원
Microsoft Graph PowerShell 은 FIDO2를 지원합니다. Edge 대신 Internet Explorer를 사용하는 일부 PowerShell 모듈은 FIDO2 인증을 수행할 수 없습니다. 예를 들어 SharePoint Online 또는 Teams용 PowerShell 모듈 또는 관리자 자격 증명이 필요한 PowerShell 스크립트는 FIDO2를 묻는 메시지를 표시하지 않습니다.
해결 방법으로 대부분의 공급업체는 FIDO2 보안 키에 인증서를 배치할 수 있습니다. CBA(인증서 기반 인증)는 모든 브라우저에서 작동합니다. 해당 관리자 계정에 대해 CBA를 사용하도록 설정할 수 있는 경우 중간에 FIDO2 대신 CBA를 요구할 수 있습니다.