Microsoft Authenticator로 암호 없는 로그인을 사용하도록 설정

  • 아티클

Microsoft Authenticator를 사용하면 암호를 사용하지 않고 모든 Microsoft Entra 계정에 로그인할 수 있습니다. Microsoft Authenticator는 키 기반 인증을 사용하여 디바이스에 연결된 사용자 자격 증명을 사용하도록 설정합니다. 여기서 디바이스는 PIN 또는 생체 인식 기능을 사용합니다. 비즈니스용 Windows Hello는 비슷한 기술을 사용합니다.

이 인증 기술은 모바일을 비롯한 모든 디바이스 플랫폼에서 사용할 수 있습니다. 이 기술은 Microsoft 인증 라이브러리와 통합된 모든 앱 또는 웹 사이트에서 사용할 수도 있습니다.

사용자에게 로그인 동의를 요청하는 브라우저 로그인의 예를 보여 주는 스크린샷.

Microsoft Authenticator에서 휴대폰 로그인을 사용하도록 설정하는 사람은 앱에서 번호를 탭하도록 요청하는 메시지가 표시됩니다. 사용자 이름 또는 암호를 묻는 메시지가 표시되지 않습니다. 앱에서 로그인 프로세스를 완료하려면 사용자가 다음 작업을 수행해야 합니다.

  1. 로그인 화면에 표시되는 숫자를 Microsoft Authenticator 대화 상자에 입력합니다.
  2. 승인을 선택합니다.
  3. PIN 또는 생체 인식 기능을 제공합니다.

iOS의 여러 계정

지원되는 모든 iOS 디바이스의 Microsoft Authenticator에서 여러 계정에 대해 암호 없는 휴대폰 로그인을 사용하도록 설정할 수 있습니다. Microsoft Entra ID에 여러 계정이 있는 컨설턴트, 학생 및 기타 사용자는 각 계정을 Microsoft Authenticator에 추가하고 동일한 iOS 디바이스에서 모든 계정에 대해 암호 없는 휴대폰 로그인을 사용할 수 있습니다.

이전에는 관리자가 로그인을 위해 더 많은 디바이스를 휴대해야 하므로 여러 계정이 있는 사용자에게 암호 없는 로그인이 필요하지 않을 수 있습니다. 관리자는 디바이스에서 한 사용자 로그인의 제한을 제거하여 사용자가 암호 없는 휴대폰 로그인을 등록하고 기본 로그인 방법으로 사용하도록 보다 자신 있게 장려할 수 있습니다.

Microsoft Entra 계정은 동일한 테넌트에 있을 수도 있고 다른 테넌트에 있을 수도 있습니다. 게스트 계정은 하나의 디바이스에서 여러 계정 로그인을 수행하는 경우 지원되지 않습니다.

필수 조건

Microsoft Authenticator에서 암호 없는 휴대폰 로그인을 사용하려면 다음 사전 요구 사항을 충족해야 합니다.

  • 권장 사항: 확인 방법으로 푸시 알림이 허용되는 Microsoft Entra 다단계 인증. 스마트폰 또는 태블릿에 알림을 푸시하여 Authenticator 앱에서 계정에 대한 무단 액세스를 방지하고 사기성 트랜잭션을 중지하도록 할 수 있습니다. Authenticator 앱은 푸시 알림을 설정하면 자동으로 코드를 생성합니다. 사용자는 디바이스가 연결되지 않은 경우에도 백업 로그인 방법을 사용할 수 있습니다.
  • iOS 또는 Android를 실행하는 디바이스에 설치된 최신 버전의 Microsoft Authenticator
  • Android의 경우 Microsoft Authenticator를 실행하는 디바이스를 개별 사용자에게 등록해야 합니다. Android에서 여러 계정을 사용하도록 설정하기 위해 적극적으로 노력하고 있습니다.
  • iOS의 경우 로그인하는 데 사용되는 각 테넌트에 디바이스를 등록해야 합니다. 예를 들어 모든 계정에서 로그인하려면 다음 디바이스를 Contoso 및 Wingtiptoys에 등록해야 합니다.
    • balas@contoso.com
    • balas@wingtiptoys.com 및 bsandhu@wingtiptoys

Microsoft Entra ID에서 암호 없는 인증을 사용하려면 먼저 결합된 등록 환경을 사용하도록 설정한 다음 사용자에게 암호 없는 방법을 사용하도록 설정합니다.

암호 없는 휴대폰 로그인 인증 방법 사용

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

Microsoft Entra ID를 사용하면 로그인 프로세스 중에 사용할 수 있는 인증 방법을 선택할 수 있습니다. 그런 다음 사용자가 사용하려는 메서드에 등록합니다. Microsoft Authenticator 인증 방법 정책은 기존의 푸시 MFA 방법과 암호 없는 인증 방법을 모두 관리합니다.

참고 항목

PowerShell을 사용하여 암호 없는 로그인 Microsoft Authenticator 사용하도록 설정한 경우 전체 디렉터리에 대해 사용하도록 설정되었습니다. 이 새 메서드를 사용하도록 설정하면 PowerShell 정책에 우선합니다. 새 인증 메서드 메뉴를 통해 테넌트의 모든 사용자에 대해 사용하도록 설정하는 것이 좋습니다. 그렇지 않으면 새 정책에 없는 사용자는 암호 없이 로그인 할 수 없습니다.

암호 없는 휴대폰 로그인에 대한 인증 방법을 사용하도록 설정하려면 다음 단계를 완료합니다.

  1. 최소한 인증 정책 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>인증 방법>정책으로 이동합니다.

  3. Microsoft Authenticator에서 다음 옵션을 선택합니다.

    1. 사용 - 예 또는 아니요
    2. 대상 - 모든 사용자 또는 사용자 선택

  4. 추가된 각 그룹이나 사용자는 기본 값으로 암호 없는 및 푸시 알림 모드("Any" 모드) 모두에서 Microsoft Authenticator를 사용하도록 설정됩니다. 모드를 변경하려면 인증 모드의 각 행에 대해 모두 또는 암호 없음을 선택합니다. 푸시를 선택하면 암호가 없는 전화 로그인 자격 증명을 사용할 수 없습니다.

  5. 새 정책을 적용하려면 저장을 클릭합니다.

    참고 항목

    저장하려고 할 때 오류가 표시되는 경우 원인은 추가되는 사용자 또는 그룹의 수 때문일 수 있습니다. 이 문제를 해결하려면 동일한 작업에서 추가하려는 사용자와 그룹을 단일 그룹으로 바꾼 다음 저장을 다시 선택합니다.

사용자 등록

사용자는 Microsoft Entra ID의 암호 없는 인증 방법을 위해 자신을 등록합니다. 다단계 인증을 위해 Microsoft Authenticator 앱을 이미 등록한 사용자의 경우 다음 섹션인 휴대폰 로그인 사용으로 건너뜁니다.

직접 휴대폰 로그인 등록

사용자는 먼저 Microsoft Authenticator를 자신의 계정으로 등록할 필요 없이 Microsoft Authenticator 앱 내에서 직접 암호 없는 휴대폰 로그인에 등록할 수 있으며 동시에 암호가 발생하지 않습니다. 이 경우 가능한 방법은 다음과 같습니다.

  1. 관리자 또는 조직에서 임시 액세스 패스를 얻습니다.
  2. 모바일 디바이스에 Microsoft Authenticator 앱을 다운로드하여 설치합니다.
  3. Microsoft Authenticator를 열고 계정 추가를 클릭한 다음 회사 또는 학교 계정을 선택합니다.
  4. 로그인을 선택합니다.
  5. 지침에 따라 관리자 또는 조직에서 제공한 임시 액세스 패스를 사용하여 계정에 로그인합니다.
  6. 로그인한 후 계속해서 추가 단계에 따라 휴대폰 로그인을 설정합니다.

내 로그인을 통한 단계별 안내

참고 항목

Microsoft Authenticator 인증 모드가 Any 또는 Push인 경우에만 결합된 등록을 통해서만 Microsoft Authenticator를 등록할 수 있습니다.

Microsoft Authenticator 앱을 등록하려면 다음 단계를 따릅니다.

  1. https://aka.ms/mysecurityinfo 으로 이동합니다.
  2. 로그인한 다음 방법 추가>Authenticator 앱>추가를 선택하여 Microsoft Authenticator를 추가합니다.
  3. 지침에 따라 디바이스에 Microsoft Authenticator 앱을 설치하고 구성합니다.
  4. 완료를 선택하여 Microsoft Authenticator 구성을 완료합니다.

휴대폰 로그인 활성화

사용자가 Microsoft Authenticator 앱에 등록한 후 휴대폰 로그인을 사용하도록 설정해야 합니다.

  1. Microsoft Authenticator에서 등록된 계정을 선택합니다.
  2. 휴대폰 로그인 사용을 선택합니다.
  3. 앱의 지침에 따라 암호 없는 휴대폰 로그인에 대한 계정 등록을 완료합니다.

조직에서는 암호를 사용하지 않고 사용자에게 전화를 통해 로그인하도록 지시할 수 있습니다. Microsoft Authenticator를 구성하고 휴대폰 로그인을 사용하도록 설정하는 추가 지원이 필요한 경우 Microsoft Authenticator 앱을 사용하여 계정에 로그인을 참조하세요.

참고 항목

정책에서 휴대폰 로그인을 사용하도록 허용하지 않은 사용자는 더 이상 Microsoft Authenticator 내에서 사용하도록 설정할 수 없습니다.

암호 없는 자격 증명으로 로그인

사용자는 다음 작업이 모두 완료된 후 암호 없는 로그인을 사용할 수 있습니다.

  • 관리자가 사용자의 테넌트를 사용하도록 설정했습니다.
  • 사용자가 로그인 방법으로 Microsoft Authenticator를 추가했습니다.

사용자가 휴대폰 로그인 프로세스를 처음 시작할 때 사용자는 다음 단계를 수행합니다.

  1. 로그인 페이지에서 해당 이름을 입력합니다.
  2. 다음을 선택합니다.
  3. 필요한 경우 다른 로그인 방법을 선택합니다.
  4. 내 Authenticator 앱에서 요청 승인을 선택합니다.

그러면 사용자에게 숫자가 표시됩니다. 앱은 사용자에게 암호를 입력하는 대신 적절한 번호를 입력하여 인증하라는 메시지를 표시합니다.

사용자가 암호 없는 휴대폰 로그인을 사용한 후 앱은 이 방법을 통해 사용자를 계속 안내합니다. 그러나 사용자에게 다른 방법을 선택하는 옵션이 표시됩니다.

Microsoft Authenticator 앱을 사용한 브라우저 로그인의 예를 보여주는 스크린샷.

임시 액세스 패스

테넌트 관리자가 SSPR(셀프 서비스 암호 재설정)을 사용하도록 설정하고 사용자가 임시 액세스 암호를 사용하여 처음으로 Authenticator 앱에서 암호 없는 로그인을 설정하는 경우 다음 단계를 수행해야 합니다.

  1. 사용자는 모바일 디바이스 또는 데스크톱에서 브라우저를 열고 mySecurity 정보 페이지로 이동해야 합니다.
  2. 사용자는 Authenticator 앱을 로그인 방법으로 등록해야 합니다. 이 작업은 사용자의 계정을 앱에 연결합니다.
  3. 그런 다음 사용자는 모바일 디바이스로 돌아가 Authenticator 앱을 통해 암호 없는 로그인을 활성화해야 합니다.

관리

인증 방법 정책은 Microsoft Authenticator를 관리하는 데 권장되는 방법입니다. 인증 정책 관리자는 이 정책을 편집하여 Microsoft Authenticator를 사용하거나 사용하지 않도록 설정할 수 있습니다. 관리자는 특정 사용자 및 그룹이 사용하지 못하도록 포함하거나 제외할 수 있습니다.

관리자는 매개 변수를 구성하여 Microsoft Authenticator 사용 방법을 더 잘 제어할 수도 있습니다. 예를 들어, 로그인 요청에 위치 또는 앱 이름을 추가하여 사용자가 승인하기 전에 더 많은 컨텍스트를 얻을 수 있습니다.

전역 관리자는 레거시 MFA 및 SSPR 정책을 사용하여 테넌트 전체에서 Microsoft Authenticator를 관리할 수도 있습니다. 이러한 정책을 통해 테넌트의 모든 사용자에 대해 Microsoft Authenticator를 사용하거나 사용하지 않도록 설정할 수 있습니다. 다른 사람을 포함 또는 제외하거나 로그인에 Microsoft Authenticator를 사용하는 방법을 제어하는 옵션이 없습니다.

알려진 문제

다음의 알려진 문제가 존재합니다.

암호 없는 휴대폰 로그인에 대한 옵션을 표시하지 않음

한 가지 시나리오에서 사용자는 보류 중인 암호 없는 휴대폰 로그인을 확인할 수 있습니다. 사용자가 다시 로그인을 시도하면 암호를 입력하는 옵션만 표시될 수 있습니다.

이 시나리오를 해결하려면 다음 단계를 따릅니다.

  1. Microsoft Authenticator를 엽니다.
  2. 알림 메시지에 응답합니다.

그런 다음 사용자는 암호 없는 휴대폰 로그인을 계속 사용할 수 있습니다.

AuthenticatorAppSignInPolicy가 지원되지 않음

AuthenticatorAppSignInPolicy는 Microsoft Authenticator와 지원되지 않는 레거시 정책입니다. 사용자가 Authenticator 앱에서 푸시 알림 또는 암호 없는 휴대폰 로그인을 사용하도록 설정하려면 인증 방법 정책을 사용합니다.

페더레이션된 계정

사용자가 암호 없는 자격 증명을 사용하도록 설정한 경우 Microsoft Entra 로그인 프로세스는 login_hint 사용을 중지합니다. 따라서 프로세스가 페더레이션 로그인 위치에 대해 더 이상 사용자를 가속화하지 않습니다.

이 논리는 일반적으로 하이브리드 테넌트의 사용자가 로그인 확인을 위해 AD FS(Active Directory 페더레이션된 서비스)로 전달되지 않도록 합니다. 그러나 사용자는 대신 암호 사용을 클릭하는 옵션을 유지합니다.

온-프레미스 사용자

최종 사용자는 온-프레미스 ID 공급자를 통해 다단계 인증을 사용하도록 설정할 수 있습니다. 사용자는 여전히 단일 암호 없는 휴대폰 로그인 자격 증명을 만들고 활용할 수 있습니다.

사용자가 암호 없는 휴대폰 로그인 자격 증명으로 Microsoft Authenticator의 여러 설치(5개 이상)를 업그레이드하려고 시도하면 이 변경으로 인해 오류가 발생할 수 있습니다.

다음 단계

Microsoft Entra 인증 및 암호 없는 방법에 대해 알아보려면 다음 문서를 참조하세요.