Azure Active Directory Multi-Factor Authentication 배포 계획

Azure AD(Azure Active Directory) MFA(Multi-Factor Authentication)는 데이터와 애플리케이션에 대한 액세스를 보호하고, 두 번째 형태의 인증을 사용하여 다른 보안 계층을 제공하는 데 도움이 됩니다. 조직은 조건부 액세스로 다단계 인증을 사용하도록 설정하여 솔루션을 특정 요구 사항에 맞게 만들 수 있습니다.

이 배포 가이드에서는 Azure AD MFA 롤아웃을 계획하고 구현하는 방법을 보여 줍니다.

Azure AD MFA를 배포하기 위한 필수 조건

배포를 시작하기 전에 관련 시나리오에 대한 다음 필수 조건을 충족해야 합니다.

시나리오 필수 요소
최신 인증을 사용하는 클라우드 전용 ID 환경 필수 선행 작업 없음
하이브리드 ID 시나리오 Azure AD Connect를 배포하고 온-프레미스 AD DS(Active Directory Domain Services)와 Azure AD 간에 사용자 ID를 동기화합니다.
클라우드 액세스용으로 게시된 온-프레미스 레거시 애플리케이션 Azure AD 애플리케이션 프록시 배포

MFA 인증 방법 선택

2단계 인증에 사용할 수 있는 여러 가지 방법이 있습니다. 사용 가능한 인증 방법 목록에서 선택하여 보안, 유용성, 가용성 측면에서 각각 평가할 수 있습니다.

중요

사용자가 기본 방법을 사용할 수 없는 경우 백업 방법을 사용할 수 있도록 둘 이상의 MFA 방법을 사용하도록 설정합니다. 메서드에는 다음이 포함됩니다.

테넌트에서 사용할 인증 방법을 선택하는 경우 다음 방법의 보안과 유용성을 고려합니다.

적합한 인증 방법 선택

각 방법의 강도와 보안, 작동 방식에 대한 자세한 내용은 다음 리소스를 참조하세요.

PowerShell 스크립트를 사용하여 사용자의 MFA 구성을 분석하고 적절한 MFA 인증 방법을 제안할 수 있습니다.

최상의 유연성과 유용성을 얻으려면 Microsoft Authenticator 앱을 사용합니다. 이 인증 방법은 암호 없음, MFA 푸시 알림 및 OATH 코드와 같은 최상의 사용자 환경과 여러 모드를 제공합니다. 또한 Microsoft Authenticator 앱은 NIST(미국 국립표준기술원) 인증자 보증 수준 2 요구 사항을 충족합니다.

테넌트에서 사용 가능한 인증 방법을 제어할 수 있습니다. 예를 들어 SMS와 같은 가장 안전하지 않은 몇 가지 방법을 차단할 수 있습니다.

인증 방법 관리 위치 범위 지정
Microsoft Authenticator(푸시 알림 및 암호 없는 휴대폰 로그인) MFA 설정 또는
인증 방법 정책 Authenticator 암호 없는 휴대폰 로그인의 범위를 사용자와 그룹으로 지정할 수 있음
FIDO2 보안 키 인증 방법 정책 범위를 사용자와 그룹으로 지정할 수 있음
소프트웨어 또는 하드웨어 OATH 토큰 MFA 설정
SMS 확인 MFA 설정 인증 정책에서 기본 인증을 위한 SMS 로그인을 관리합니다. SMS 로그인의 범위를 사용자와 그룹으로 지정할 수 있습니다.
음성 통화 인증 방법 정책

조건부 액세스 정책 계획

Azure AD MFA는 조건부 액세스 정책으로 적용됩니다. 이 정책을 사용하면 보안이 필요한 경우 사용자에게 다단계 인증을 요청하는 메시지를 표시하고, 필요하지 않은 경우 사용자를 방해하지 않을 수 있습니다.

개념적 조건부 액세스 프로세스 흐름

Azure Portal의 Azure Active Directory > 보안 > 조건부 액세스 에서 조건부 액세스 정책을 구성합니다.

조건부 액세스 정책을 만드는 방법에 대한 자세한 내용은 사용자가 Azure Portal에 로그인할 때 Azure AD MFA 확인 메시지를 표시하는 조건부 액세스 정책을 참조하세요. 이 문서는 다음 작업에 도움이 됩니다.

  • 사용자 인터페이스를 숙지합니다.
  • 조건부 액세스의 작동 방식을 체험합니다.

Azure AD 조건부 액세스 배포에 대한 엔드투엔드 지침은 조건부 액세스 배포 계획을 참조하세요.

Azure AD MFA에 대한 일반 정책

Azure AD MFA를 요구하는 일반적인 사용 사례는 다음과 같습니다.

명명된 위치

조건부 액세스 정책을 관리하기 위해 조건부 액세스 정책의 위치 조건을 사용하여 사용자의 네트워크 위치에 액세스 제어 설정을 연결할 수 있습니다. IP 주소 범위나 국가와 지역의 논리적 그룹을 만들 수 있도록 명명된 위치를 사용하는 것이 좋습니다. 이렇게 하면 명명된 위치의 로그인을 차단하는, 모든 앱에 대한 정책이 생성됩니다. 관리자는 이 정책에서 제외해야 합니다.

위험 기반 정책

조직에서 Azure AD ID 보호를 사용하여 위험 신호를 탐지하는 경우 명명된 위치 대신 위험 기반 정책을 사용하는 것이 좋습니다. 손상된 ID 위협이 있을 때 암호 변경을 강제 적용하거나 로그인이 유출된 자격 증명, 익명 IP 주소에서의 로그인 등의 이벤트로 인해 위험한 것으로 간주될 때 다단계 인증을 요구하는 정책을 만들 수 있습니다.

위험 정책에는 다음이 포함됩니다.

사용자별 MFA의 사용자를 조건부 액세스 기반 MFA로 변환

사용자가 사용자별로 적용된 Azure AD Multi-Factor Authentication을 사용하도록 설정했다면 다음 PowerShell을 사용하여 조건부 액세스 기반 Azure AD Multi-Factor Authentication으로 변환하는 데 도움을 받을 수 있습니다.

ISE 창에서 이 PowerShell을 실행하거나 로컬에 실행할 .PS1 파일로 저장합니다. MSOnline 모듈을 통해서만 작업을 수행할 수 있습니다.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

사용자 세션 수명 계획

MFA 배포를 계획할 때는 사용자에게 메시지를 표시하는 빈도를 고려하는 것이 중요합니다. 사용자에게 자격 증명을 요청하는 것은 합리적으로 보이는 경우가 많지만, 역효과를 낳을 수도 있습니다. 사용자가 생각하지도 않고 자격 증명을 입력하도록 학습된 경우, 이를 실수로 악의적인 자격 증명 프롬프트에 제공할 수 있습니다. Azure AD에는 사용자가 다시 인증해야 하는 빈도를 결정하는 여러 설정이 있습니다. 비즈니스 및 사용자의 요구 사항을 이해하고, 사용자 환경에 가장 적합한 균형을 제공하는 설정을 구성합니다.

최종 사용자 환경을 개선하기 위해 PRT(기본 새로 고침 토큰)가 있는 디바이스를 사용하고 특정 비즈니스 사용 사례에서만 로그인 빈도 정책을 사용하여 세션 수명을 줄이는 것이 좋습니다.

자세한 내용은 Azure AD MFA의 재인증 프롬프트 최적화 및 세션 수명 이해를 참조하세요.

사용자 등록 계획

모든 MFA 배포의 주요 단계는 MFA를 사용하도록 사용자를 등록하는 것입니다. 음성 및 SMS와 같은 인증 방법은 사전 등록을 허용하고 Authenticator 앱과 같은 다른 방법은 사용자 조작이 필요합니다. 관리자는 어떻게 사용자가 방법을 등록할지 결정해야 합니다.

SSPR 및 Azure AD MFA를 위한 결합된 등록

Azure AD MFA와 Azure AD SSPR(셀프 서비스 암호 재설정)을 위해 결합된 등록 환경을 사용하는 것이 좋습니다. SSPR를 사용하면 사용자가 Azure AD MFA에 사용하는 것과 동일한 방법으로 암호를 안전하게 재설정할 수 있습니다. 결합된 등록은 한 단계로 수행되는 최종 사용자용 작업입니다.

ID 보호를 사용하여 등록

Azure AD ID 보호는 Azure AD MFA 사례에 대한 등록 정책과 자동화된 위험 검색 및 수정 정책에 모두 기여합니다. 손상된 ID 위협이 있을 때 암호 변경을 강제 적용하거나 로그인이 위험한 것으로 간주되는 경우 MFA를 요구하는 정책을 만들 수 있습니다. Azure AD ID 보호를 사용하는 경우, 사용자가 다음에 대화형으로 로그인할 때 등록하라는 메시지를 표시하도록 Azure AD MFA 등록 정책을 구성합니다.

ID 보호를 사용하지 않는 등록

Azure AD ID 보호를 사용할 수 있는 라이선스가 없는 경우 다음에 로그인 시 MFA가 필요할 때 MFA를 등록하라는 메시지가 사용자에게 표시됩니다. 사용자가 MFA를 사용하도록 요구하려면 조건부 액세스 정책을 사용하고 HR 시스템과 같은, 자주 사용하는 애플리케이션을 대상으로 지정할 수 있습니다. 사용자의 암호가 손상된 경우 계정을 제어하고 MFA에 등록하는 데 사용할 수 있습니다. 따라서 신뢰할 수 있는 디바이스와 위치를 요구하는 조건부 액세스 정책을 사용하여 보안 등록 프로세스를 보호하는 것이 좋습니다. 임시 액세스 패스도 요청하여 프로세스 보안을 강화할 수 있습니다. 강력한 인증 요구 사항을 충족하고 암호 없는 방법을 비롯한 다른 인증 방법을 온보딩하는 데 사용할 수 있는, 관리자가 발급한 시간 제한형 암호입니다.

등록된 사용자의 보안 강화

SMS 또는 음성 통화를 사용하여 MFA에 등록한 사용자가 있는 경우 Microsoft Authenticator 앱과 같은 더 안전한 방법으로 이동하는 것이 좋습니다. 이제 Microsoft는 로그인하는 동안 사용자에게 Microsoft Authenticator 앱을 설정하라는 메시지를 표시하는 기능을 퍼블릭 미리 보기로 제공합니다. 그룹으로 프롬프트를 설정하여 메시지가 표시되는 사용자를 제어하고 대상 캠페인에서 사용자를 더 안전한 방법으로 이동하도록 설정할 수 있습니다.

복구 시나리오 계획

앞서 언급했듯이, 한 방법을 사용할 수 없는 경우 백업을 이용할 수 있도록 사용자에 대해 둘 이상의 MFA 방법이 등록되어 있는지 확인합니다. 사용자에게 사용할 수 있는 백업 방법이 없는 경우 다음을 수행할 수 있습니다.

  • 사용자가 고유한 인증 방법을 관리할 수 있도록 임시 액세스 패스를 제공합니다. 임시 액세스 패스를 제공하여 리소스에 대한 임시 액세스를 허용할 수도 있습니다.
  • 관리자 권한으로 방법을 업데이트합니다. 이렇게 하려면 Azure Portal에서 사용자를 선택한 다음, 인증 방법을 선택하고 방법을 업데이트합니다. 사용자 통신

사용자에게 예정된 변경 내용, Azure AD MFA 등록 요구 사항, 필요한 모든 사용자 작업에 대해 알리는 것이 중요합니다. Microsoft는 통신 템플릿최종 사용자 설명서를 제공하여 통신 초안을 간단하게 작성할 수 있도록 지원합니다. 사용자를 https://myprofile.microsoft.com으로 보내 해당 페이지에서 보안 정보 링크를 선택하여 등록하게 합니다.

온-프레미스 시스템과 통합 계획

Azure AD에서 직접 인증하고 최신 인증(WS-Fed, SAML, OAuth, OpenID Connect)을 보유하는 애플리케이션은 조건부 액세스 정책을 사용할 수 있습니다. Azure AD에 직접 인증하지 않는 일부 레거시 및 온-프레미스 애플리케이션에는 다음을 포함하여 Azure AD MFA를 사용하는 추가 단계가 필요합니다. Azure AD 애플리케이션 프록시나 네트워크 정책 서비스를 사용하여 통합할 수 있습니다.

AD FS 리소스와 통합

AD FS(Active Directory Federation Services)로 보호되는 애플리케이션을 Azure AD로 마이그레이션하는 것이 좋습니다. 그러나 Azure AD로 마이그레이션할 준비가 되지 않은 경우 AD FS 2016 이상에서 Azure MFA 어댑터를 사용할 수 있습니다. 조직이 Azure AD와 페더레이션된 경우 온-프레미스와 클라우드 둘 다에서 AD FS 리소스를 사용하여 Azure AD MFA를 인증 공급자로 구성할 수 있습니다.

RADIUS 클라이언트 및 Azure AD MFA

RADIUS 인증을 사용하는 애플리케이션의 경우 SAML, Open ID Connect 또는 Azure AD의 OAuth와 같은 최신 프로토콜로 클라이언트 애플리케이션을 이동하는 것이 좋습니다. 애플리케이션을 업데이트할 수 없는 경우 Azure MFA 확장을 통해 NPS(네트워크 정책 서버)를 배포할 수 있습니다. NPS(네트워크 정책 서버) 확장은 RADIUS 기반 애플리케이션과 Azure AD MFA 간 어댑터 역할을 하여 두 번째 인증 요소를 제공합니다.

일반적인 통합

이제 많은 공급업체가 해당 애플리케이션에서 SAML 인증을 지원합니다. 가능한 경우, Azure AD와 애플리케이션을 페더레이션하고 조건부 액세스를 통해 MFA를 적용하는 것이 좋습니다. 공급업체에서 최신 인증을 지원하지 않는 경우 NPS 확장을 사용할 수 있습니다. 일반적인 RADIUS 클라이언트 통합에는 원격 데스크톱 게이트웨이VPN 서버 같은 애플리케이션이 포함됩니다.

그 밖에 다음 항목도 포함할 수 있습니다.

  • Citrix 게이트웨이

    Citrix 게이트웨이는 RADIUS와 NPS 확장 통합 및 SAML 통합을 모두 지원합니다.

  • Cisco VPN

    • Cisco VPN은 RADIUS와 SSO용 SAML 인증을 모두 지원합니다.
    • RADIUS 인증에서 SAML으로 전환하면 NPS 확장을 배포하지 않고 Cisco VPN을 통합할 수 있습니다.
  • 모든 VPN

Azure AD MFA 배포

MFA 출시 계획에는 파일럿 배포와 지원 용량 내에 있는 배포 웨이브가 포함되어야 합니다. 소그룹의 파일럿 사용자에 조건부 액세스 정책을 적용하여 출시를 시작합니다. 파일럿 사용자, 사용된 프로세스 및 등록 동작에 미치는 영향을 평가한 후 정책에 그룹을 더 추가하거나 기존 그룹에 사용자를 더 추가할 수 있습니다.

아래 단계를 따릅니다.

  1. 필요한 모든 필수 조건 충족
  2. 선택한 인증 방법 구성
  3. 조건부 액세스 정책 구성
  4. 세션 수명 설정 구성
  5. Azure AD MFA 등록 정책 구성

Azure AD MFA 관리

이 섹션에서는 Azure AD MFA에 대한 보고 및 문제 해결 정보를 제공합니다.

보고 및 모니터링

Azure AD에는 기술 및 비즈니스 정보를 제공하고, 배포 진행 상황을 따르고, 사용자가 MFA를 사용하여 로그인에 성공했는지 확인하는 보고서가 있습니다. 비즈니스 및 기술 애플리케이션 소유자에게 조직의 요구 사항에 따라 이러한 보고서를 소유하고 사용하도록 합니다.

인증 방법 작업 대시보드를 사용하여 조직 전체의 인증 방법 등록과 사용 현황을 모니터링할 수 있습니다. 이렇게 하면 등록되는 방법과 사용 방법을 파악하는 데 도움이 됩니다.

MFA 이벤트를 검토하기 위한 로그인 보고서

Azure AD 로그인 보고서에는 사용자에게 다단계 인증 메시지를 표시할 때, 그리고 조건부 액세스 정책이 사용 중인 경우 이벤트 인증 세부 정보가 포함됩니다. MFA에 등록된 사용자 보고를 위해 PowerShell을 사용할 수도 있습니다.

NPS 확장과 AD FS 로그는 보안 > MFA > 작업 보고서 에서 볼 수 있습니다.

자세한 내용과 추가 MFA 보고서는 Azure AD Multi-Factor Authentication 이벤트 검토를 참조하세요.

Azure AD MFA 문제 해결

일반적인 문제는 Azure AD MFA 문제 해결을 참조하세요.

다음 단계

다른 ID 기능 배포