결합된 보안 정보 등록 문제 해결

이 문서의 정보는 관리자가 결합된 등록 환경의 사용자로부터 보고받은 문제를 해결하도록 안내하는 정보입니다.

감사 로그

결합된 등록에 대해 기록된 이벤트는 Microsoft Entra 감사 로그의 인증 방법 서비스에 있습니다.

다음 표는 결합된 등록에 의해 생성된 모든 감사 이벤트를 보여 줍니다.

활동	Status	이유	설명
사용자가 필수 보안 정보를 모두 등록함	성공	사용자가 필수 보안 정보를 모두 등록했습니다.	해당 이벤트는 사용자가 성공적으로 등록을 완료했을 때 발생합니다.
사용자가 필수 보안 정보를 모두 등록함	실패	사용자가 보안 정보 등록을 취소했습니다.	이 이벤트는 사용자가 인터럽트 모드에서 등록을 취소할 때 발생합니다.
사용자가 보안 정보를 등록함	성공	사용자가 등록한 ‘메서드’입니다.	이 이벤트는 사용자가 개별 메서드를 등록할 때 발생합니다. ‘메서드’는 Authenticator 앱, 전화, 메일, 본인 확인 질문, 앱 암호, 대체 전화 등이 될 수 있습니다.
사용자가 보안 정보를 검토함	성공	사용자가 보안 정보를 검토했습니다.	해당 이벤트는 사용자가 보안 정보 검토 페이지에서 확인을 선택하는 경우에 발생합니다.
사용자가 보안 정보를 검토함	실패	사용자가 보안 정보를 검토하지 못했습니다.	해당 이벤트는 사용자가 보안 정보 검토 페이지에서 확인을 선택했지만 백 엔드에서 문제가 생긴 경우에 발생합니다.
사용자가 보안 정보를 삭제함	성공	사용자가 ‘메서드’를 삭제했습니다.	해당 이벤트는 사용자가 개별 메서드를 삭제한 경우에 발생합니다. ‘메서드’는 Authenticator 앱, 전화, 메일, 본인 확인 질문, 앱 암호, 대체 전화 등이 될 수 있습니다.
사용자가 보안 정보를 삭제함	실패	사용자가 ‘메서드’를 삭제하지 못했습니다.	해당 이벤트는 메서드를 삭제하려는 사용자의 시도가 어떤 이유로 인해 실패한 경우에 발생합니다. ‘메서드’는 Authenticator 앱, 전화, 메일, 본인 확인 질문, 앱 암호, 대체 전화 등이 될 수 있습니다.
사용자가 기본 보안 정보를 변경함	성공	사용자가 ‘메서드’에 대한 기본 보안 정보를 변경했습니다.	해당 이벤트는 사용자가 기본 메서드를 변경한 경우에 발생합니다. ‘메서드’는 Authenticator 앱 알림, 인증자 앱이나 토큰의 코드, +X XXXXXXXXXX에 전화하기, +X XXXXXXXXX에 코드를 문자로 보내기 등이 될 수 있습니다.
사용자가 기본 보안 정보를 변경함	실패	사용자가 ‘메서드’에 대한 기본 보안 정보를 변경하지 못했습니다.	해당 이벤트는 메서드를 변경하려는 사용자의 시도가 어떤 이유로 인해 실패한 경우에 발생합니다. ‘메서드’는 Authenticator 앱 알림, 인증자 앱이나 토큰의 코드, +X XXXXXXXXXX에 전화하기, +X XXXXXXXXX에 코드를 문자로 보내기 등이 될 수 있습니다.

인터럽트 모드 문제 해결

증상	문제 해결 단계
보여야 하는 메서드가 보이지 않습니다.	1. 사용자에게 Microsoft Entra 관리자 역할이 있는지 확인합니다. 있다면, SSPR 관리자 정책의 차이점을 확인합니다. 2. 다단계 인증 등록 적용 또는 SSPR 등록 적용으로 인해 사용자가 중단되었는지 여부를 확인합니다. 보여야 하는 메서드를 확인하려면 “결합된 등록 모드”에서 순서도를 참조하세요. 3. 최근 다단계 인증 또는 SSPR 정책이 어떻게 변경되었는지 확인합니다. 최근에 변경된 경우, 업데이트된 정책이 보급되는 데 다소 시간이 걸릴 수 있습니다.

관리 모드 문제 해결

증상	문제 해결 단계
특정 메서드를 추가할 수 있는 옵션이 없습니다.	1. 다단계 인증 또는 SSPR을 위한 메서드 사용이 설정되었는지 확인합니다. 2. 메서드 사용이 설정된 경우, 정책을 다시 저장하고 1~2시간 기다린 후에 다시 테스트합니다. 3. 메서드 사용이 설정된 경우, 사용자가 설정할 수 있는 최대 메서드를 이미 설정하지 않았는지 확인합니다.

사용자를 롤백하는 방법

관리자 권한으로 사용자의 다단계 인증 설정을 초기화하려면 다음 섹션에서 제공하는 PowerShell 스크립트를 사용할 수 있습니다. 이 스크립트는 사용자의 모바일 앱 및/또는 전화번호에 대한 StrongAuthenticationMethods 속성을 지웁니다. 사용자를 대상으로 해당 스크립트를 실행하는 경우, 필요에 따라 사용자는 다단계 인증을 다시 등록해야 합니다. 영향을 받는 모든 사용자를 롤백하기 전에 한두 명의 사용자로 롤백을 테스트하는 것이 좋습니다.

다음 단계는 사용자 또는 사용자 그룹을 롤백하는 데 도움을 줍니다.

필수 조건

참고 항목

Azure AD와 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.

1. 적절한 Azure AD PowerShell 모듈을 설치합니다. PowerShell 창에서 다음 명령을 실행하여 모듈을 설치합니다.

   Install-Module -Name MSOnline
   Import-Module MSOnline
   

2. 영향을 받는 사용자 개체 ID 목록을 컴퓨터에 텍스트 파일로 한 줄에 ID 하나씩 저장합니다. 파일 위치를 적어 둡니다.

3. 컴퓨터에 다음 스크립트를 저장하고 스크립트 위치를 기록해 둡니다.

   <# 
   //********************************************************
   //*                                                      *
   //*   Copyright (C) Microsoft. All rights reserved.      *
   //*                                                      *
   //********************************************************
   #>
   
   param($path)
   
   # Define Remediation Fn
   function RemediateUser {
   
       param  
       (
           $ObjectId
       )
   
       $user = Get-MsolUser -ObjectId $ObjectId
   
       Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow
   
       $hasMfaRelyingParty = $false
       foreach($p in $user.StrongAuthenticationRequirements)
       {
           if ($p.RelyingParty -eq "*")
           {
               $hasMfaRelyingParty = $true
               Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
           }
       }
   
       if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
       {
           Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
           Write-Host "Rolling back user ..." -ForegroundColor Yellow
           Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
           Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
       }
       else
       {
           Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
       }
   
       Write-Host ""
       Start-Sleep -Milliseconds 750
   }
   
   # Connect
   Import-Module MSOnline
   Connect-MsolService
   
   foreach($line in Get-Content $path)
   {
       RemediateUser -ObjectId $line
   }
   

롤백

PowerShell 창에서 다음 명령을 실행하여 스크립트와 사용자 파일 위치를 제공합니다. 메시지가 표시되면 글로벌 관리자 자격 증명을 입력합니다. 스크립트가 각 사용자 업데이트 작업의 결과를 출력합니다.

<script location> -path <user file location>

다음 단계

• 셀프 서비스 암호 재설정과 Microsoft Entra 다단계 인증의 통합 등록에 대해 자세히 알아보기