Microsoft Entra ID의 암호 정책 및 계정 제한
Microsoft Entra ID에는 암호 복잡성, 길이 또는 나이와 같은 설정을 정의하는 암호 정책이 있습니다. 사용자 이름에 허용되는 문자와 길이를 정의하는 정책도 있습니다.
SSPR(셀프 서비스 암호 재설정)을 사용하여 Microsoft Entra ID에서 암호를 변경하거나 재설정하는 경우 암호 정책이 확인됩니다. 암호가 정책 요구 사항을 충족하지 않으면 사용자에게 다시 시도하라는 메시지가 표시됩니다. Azure 관리자는 일반 사용자 계정과 다른 SSPR 사용에 대한 몇 가지 제한 사항이 있으며, Microsoft Entra ID 평가판 및 무료 버전에는 사소한 예외가 있습니다.
이 문서에서는 사용자 계정과 관련된 암호 정책 설정 및 복잡성 요구 사항에 대해 설명합니다. 또한 PowerShell을 사용하여 암호 만료 설정을 확인하거나 설정하는 방법도 다룹니다.
사용자 이름 정책
Microsoft Entra ID에 로그인하는 모든 계정에는 해당 계정에 연결된 고유한 UPN(사용자 계정 이름) 특성 값이 있어야 합니다. Microsoft Entra Connect를 사용하여 AD DS(온-프레미스 Active Directory Domain Services) 환경이 Microsoft Entra ID에 동기화된 하이브리드 환경에서는 기본적으로 Microsoft Entra UPN이 온-프레미스 UPN으로 설정됩니다.
다음 표에서는 Microsoft Entra ID에 동기화되는 온-프레미스 AD DS 계정과 Microsoft Entra ID에서 직접 만든 클라우드 전용 사용자 계정에 적용되는 사용자 이름 정책을 간략하게 설명합니다.
| 속성 | UserPrincipalName 요구 사항 |
|---|---|
| 허용되는 문자 | A-Z a-z 0-9 ' . - _ ! #^~ |
| 허용되지 않는 문자 | 도메인에서 사용자 이름을 구분하지 않는 모든 "@" 문자입니다. "@" 기호 바로 앞에는 “.”(마침표) 문자를 사용할 수 없습니다. |
| 길이 제약 조건 | 총 길이는 113자를 초과할 수 없습니다. "@" 기호 앞에는 최대 64자가 올 수 있습니다. "@" 기호 뒤에는 최대 48자가 올 수 있습니다. |
Microsoft Entra 암호 정책
암호 정책은 Microsoft Entra ID에서 직접 만들고 관리하는 모든 사용자 계정에 적용됩니다. 이러한 암호 정책 설정 중 일부는 수정할 수 없지만 계정 차단 매개 변수 또는 Microsoft Entra 암호 보호를 위한 사용자 지정 금지 암호를 구성할 수 있습니다.
기본적으로 잘못된 암호를 사용하여 로그인을 10회 시도했다가 실패하면 계정이 차단됩니다. 사용자는 1분 동안 차단됩니다. 잘못된 로그인을 더 시도하면 사용자가 잠기는 시간이 더 늘어납니다. 스마트 잠금 기능은 동일한 암호에 대해 잠금 카운터가 증가하는 것을 방지하기 위해 마지막 세 개의 잘못된 암호 해시를 추적합니다. 누군가가 동일한 잘못된 암호를 여러 번 입력하더라도 계정이 잠기지 않습니다. 스마트 잠금 임계값과 기간을 정의할 수 있습니다.
EnforceCloudPasswordPolicyForPasswordSyncedUsers를 사용하도록 설정하지 않으면 Microsoft Entra 암호 정책이 Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 환경에서 동기화된 사용자 계정에 적용되지 않습니다.
다음 Microsoft Entra 암호 정책 옵션이 정의되어 있습니다. 다음 설정은 변경이 가능하다고 명시되지 않는 한 변경할 수 없습니다.
| 속성 | 요구 사항 |
|---|---|
| 허용되는 문자 | A-Z a-z 0-9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> 공백 |
| 허용되지 않는 문자 | 유니코드 문자 |
| 암호 제한 | 최소 8자, 최대 256자 다음 문자 형식 중 4개 중 3개가 필요합니다. - 소문자 - 대문자 - 숫자(0-9) - 기호(이전 암호 제한 참조) |
| 암호 만료 기간(최대 암호 사용 기간) | 기본값: 90일 테넌트가 2021년 이후에 만들어진 경우 기본 만료 값이 없습니다. Get-MgDo기본 사용하여 현재 정책을 검사 수 있습니다. 값은 PowerShell용 Microsoft Graph 모듈의 Update-MgDo기본 cmdlet을 사용하여 구성할 수 있습니다. |
| 암호 만료(암호가 만료되지 않도록 함) | 기본값: false(암호에 만료 날짜가 있음을 나타냄). Update-MgUser cmdlet을 사용하여 개별 사용자 계정에 대해 값을 구성할 수 있습니다. |
| 암호 변경 기록 | 사용자 암호를 변경할 때 마지막 암호를 다시 사용할 수 없습니다. |
| 암호 재설정 기록 | 사용자가 잊어버린 암호를 재설정할 때 마지막 암호를 다시 사용할 수 있습니다. |
관리자 재설정 정책의 차이점 문서를 참조하세요.
기본적으로 관리자 계정은 셀프 서비스 암호 재설정을 사용하도록 설정되며 강력한 기본 ‘두 게이트’ 암호 재설정 정책이 적용됩니다. 이 정책은 사용자에 대해 정의한 정책과 다를 수 있으며 변경할 수 없습니다. 항상 Azure 관리자 역할이 할당되지 않은 사용자로 암호 재설정 기능을 테스트해야 합니다.
두 게이트 정책은 이메일 주소, 인증 앱, 전화번호 등 두 가지 인증 데이터가 필요하며 보안 질문을 금지합니다. Microsoft Entra ID 평가판 또는 무료 버전에서는 Office 및 모바일 음성 통화도 금지됩니다.
다음과 같은 경우에 두 게이트 정책이 적용됩니다.
다음과 같은 모든 Azure 관리자 역할이 영향을 받습니다.
- 애플리케이션 관리자
- 애플리케이션 프록시 서비스 관리자
- 인증 관리자
- 청구 관리자
- 준수 관리자
- 디바이스 관리자
- 디렉터리 동기화 계정
- 디렉터리 작성자
- Dynamics 365 관리자
- Exchange 관리자
- 전역 관리자 또는 회사 관리자
- 헬프데스크 관리자
- Intune 관리자
- 사서함 관리자
- Microsoft Entra Joined Device Local 관리istrator
- 파트너 계층1 지원
- 파트너 계층2 지원
- 비밀번호 관리자
- Power BI 서비스 관리자
- 권한 있는 인증 관리자
- 권한 있는 역할 관리자
- 보안 관리자
- 서비스 지원 관리자
- SharePoint 관리자
- 비즈니스용 Skype 관리자
- Teams 관리자
- Teams 통신 관리자
- Teams 디바이스 관리자
- 사용자 관리자
평가판 구독에서 30일이 경과한 경우 또는
Microsoft Entra 테넌트에 대해 사용자 지정 도메인이 구성된 경우(예: contoso.com),
또는 Microsoft Entra Connect가 온-프레미스 디렉터리에서 ID를 동기화하는 경우
Update-MgPolicyAuthorizationPolicy PowerShell cmdlet을 사용하여 관리자 계정에 대해 SSPR을 사용하지 않도록 설정할 수 있습니다. -AllowedToUseSspr:$true|$false 매개 변수는 관리자에 대해 SSPR를 사용하거나 사용하지 않도록 설정합니다. 관리자 계정에 대해 SSPR을 사용하거나 사용하지 않도록 설정하는 정책 변경 내용을 적용하는 데 최대 60분이 걸릴 수 있습니다.
예외
한 게이트 정책에는 전자 메일 주소 또는 전화 번호와 같은 인증 데이터 한 가지가 필요합니다. 다음과 같은 경우에 한 게이트 정책이 적용됩니다.
평가판 구독의 처음 30일 이내인 경우
-또는-
사용자 지정 도메인이 구성되지 않고(테넌트가 프로덕션용으로 권장되지 않는 기본 *.onmicrosoft.com을 사용 중임) Microsoft Entra Connect는 ID를 동기화하지 않습니다.
암호 만료 정책
Global 관리istrator 또는 User 관리istrator는 Microsoft Graph를 사용하여 사용자 암호가 만료되지 않도록 설정할 수 있습니다.
또한 PowerShell cmdlet을 사용하여 만료되지 않는 구성을 제거하거나 어떤 사용자 암호가 만료되지 않도록 설정되어 있는지 확인할 수 있습니다.
이 지침은 ID 및 디렉터리 서비스로 Microsoft Entra ID를 사용하는 Intune, Microsoft 365와 같은 다른 공급자에 제공됩니다. 암호 만료는 정책에서 변경할 수 있는 유일한 부분입니다.
참고 항목
기본적으로 Microsoft Entra Connect를 통해 동기화되지 않는 사용자 계정의 암호만 만료되지 않도록 구성할 수 있습니다. 디렉터리 동기화에 대한 자세한 내용은 Microsoft Entra ID와 AD 연결을 참조하세요.
PowerShell을 사용하여 암호 정책 설정 또는 확인
시작 하려면 Microsoft Graph PowerShell 모듈 을 다운로드하여 설치하고 Microsoft Entra 테넌트에 연결합니다.
모듈을 설치한 후 다음 단계를 사용하여 필요에 따라 각 작업을 완료합니다.
암호에 대한 만료 정책 확인
PowerShell 프롬프트를 열고 전역 관리자 또는 사용자 관리자 계정을 사용하여 Microsoft Entra 테넌트에 연결합니다.
개별 사용자 또는 모든 사용자에 대해 다음 명령 중 하나를 실행합니다.
단일 사용자의 암호가 만료되지 않도록 설정되어 있는지 확인하려면 다음 cmdlet을 실행합니다. 검사 사용자의 사용자 ID로 바꿉니다
<user ID>.Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}암호가 모든 사용자에 대한 설정이 만료되지 않는지 확인하려면 다음 cmdlet을 실행합니다.
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
암호가 만료되도록 설정
PowerShell 프롬프트를 열고 전역 관리자 또는 사용자 관리자 계정을 사용하여 Microsoft Entra 테넌트에 연결합니다.
개별 사용자 또는 모든 사용자에 대해 다음 명령 중 하나를 실행합니다.
특정 사용자의 암호가 만료되도록 설정하려면 다음 cmdlet을 실행합니다. 검사 사용자의 사용자 ID로 바꿉니다
<user ID>.Update-MgUser -UserId <user ID> -PasswordPolicies None조직의 모든 사용자가 만료되도록 암호를 설정하려면 다음 명령을 사용합니다.
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
암호가 만료되지 않도록 설정
PowerShell 프롬프트를 열고 전역 관리자 또는 사용자 관리자 계정을 사용하여 Microsoft Entra 테넌트에 연결합니다.
개별 사용자 또는 모든 사용자에 대해 다음 명령 중 하나를 실행합니다.
특정 사용자의 암호가 만료되지 않도록 설정하려면 다음 cmdlet을 실행합니다. 검사 사용자의 사용자 ID로 바꿉니다
<user ID>.Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration조직의 모든 사용자의 암호가 만료되지 않도록 설정하려면 다음 cmdlet을 실행합니다.
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Warning
-PasswordPolicies DisablePasswordExpiration로 설정된 암호는 계속해서LastPasswordChangeDateTime특성에 따라 사용 기간이 계산됩니다.LastPasswordChangeDateTime특성에 따라, 만료를-PasswordPolicies None로 변경한 경우LastPasswordChangeDateTime이 90일보다 오래된 모든 암호는 다음 번에 로그인할 때 변경해야 합니다. 이 변경으로 많은 사용자가 영향을 받을 수 있습니다.
다음 단계
SSPR을 시작하려면 자습서: 사용자가 Microsoft Entra 셀프 서비스 암호 재설정을 사용하여 계정의 잠금을 해제하거나 암호를 다시 설정할 수 있도록 설정을 참조하세요.
사용자의 SSPR에 문제가 발생하는 경우 셀프 서비스 암호 재설정 문제 해결을 참조하세요.