Share via

온-프레미스 Microsoft Entra 암호 보호 사용

  • 아티클

사용자가 학교, 스포츠 팀 또는 유명 인사와 같은 일반적인 로컬 단어를 사용하는 암호를 만드는 경우가 많습니다. 이러한 암호는 쉽게 추측할 수 있으며 사전 기반 공격에 취약합니다. 조직에서 강력한 암호를 적용하기 위해 Microsoft Entra 암호 보호는 전역 및 사용자 지정 금지 암호 목록을 제공합니다. 해당 금지 암호 목록에 일치하는 항목이 있으면 암호 변경 요청이 실패합니다.

온-프레미스 AD DS(Active Directory Domain Services) 환경을 보호하기 위해 온-프레미스 DC와 함께 작동하도록 Microsoft Entra 암호 보호를 설치하고 구성할 수 있습니다. 이 문서에서는 온-프레미스 환경에 대해 Microsoft Entra 암호 보호를 사용하도록 설정하는 방법을 보여 줍니다.

온-프레미스 환경에서 Microsoft Entra 암호 보호가 작동하는 방법에 대한 자세한 내용은 Windows Server Active Directory에 Microsoft Entra 암호 보호를 적용하는 방법을 참고하세요.

시작하기 전에

이 문서에서는 온-프레미스 환경에 대해 Microsoft Entra 암호 보호를 사용하도록 설정하는 방법을 보여 줍니다. 이 문서를 완료하기 전에 온-프레미스 AD DS 환경에 Microsoft Entra 암호 보호 프록시 서비스 및 DC 에이전트를 설치하고 등록합니다.

온-프레미스 암호 보호 사용

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. 최소한 인증 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>인증 방법>암호 보호로 이동합니다.

  3. Windows Server Active Directory에서 암호 보호 사용 옵션을 로 설정합니다.

    이 설정을 아니요로 설정하면 배포된 모든 Microsoft Entra 암호 보호 DC 에이전트는 모든 암호가 있는 그대로 허용되는 대기 모드로 전환됩니다. 유효성 검사 활동이 수행되지 않으며 감사 이벤트가 생성되지 않습니다.

  4. 처음에는 모드를 ‘감사’로 설정하는 것이 좋습니다. 기능 및 조직의 사용자에게 미치는 영향에 익숙해진 후에는 모드를 ‘강제 적용’으로 전환할 수 있습니다. 자세한 내용은 작업 모드에 대한 다음 섹션을 참고하세요.

  5. 준비되면 저장을 선택합니다.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

작동 모드

온-프레미스 Microsoft Entra 암호 보호를 사용하도록 설정하면 감사 모드 또는 강제 모드를 사용할 수 있습니다. 초기 배포 및 테스트는 항상 감사 모드로 시작하는 것이 좋습니다. 그런 다음, 이벤트 로그의 항목을 모니터링하여 ‘강제 적용’ 모드가 활성화되면 기존 운영 프로세스가 방해를 받을지 예상해야 합니다.

감사 모드

‘감사’ 모드는 “what if” 모드에서 소프트웨어를 실행하기 위한 방법으로 고안되었습니다. 각 Microsoft Entra 암호 보호 DC 에이전트 서비스는 현재 활성화된 정책에 따라 수신 암호를 평가합니다.

현재 정책이 감사 모드로 구성된 경우 “잘못된” 암호로 인해 이벤트 로그 메시지가 발생하지만 처리 및 업데이트됩니다. 이 동작이 감사 모드와 강제 적용 모드의 유일한 차이점입니다. 다른 모든 작업은 동일하게 실행됩니다.

강제 적용 모드

‘강제 적용’ 모드는 최종 구성으로 사용됩니다. 감사 모드에서와 마찬가지로 각 Microsoft Entra 암호 보호 DC 에이전트 서비스는 현재 활성화된 정책에 따라 들어오는 암호를 평가합니다. 그러나 강제 적용 모드를 사용하도록 설정하면 정책에 따라 안전하지 않은 것으로 간주되는 암호가 거부됩니다.

Microsoft Entra 암호 보호 DC 에이전트가 강제 적용 모드에서 암호를 거부하면 기존 온-프레미스 암호 복잡성을 적용하여 암호가 거부되는 경우에 표시되는 것과 동일한 에러가 최종 사용자에게 표시됩니다. 예를 들어 사용자의 Windows 로그온 또는 암호 변경 화면에 다음과 같은 기존 오류 메시지가 표시될 수 있습니다.

"암호를 업데이트할 수 없습니다. 새 암호로 입력된 값이 도메인의 길이, 복잡성 또는 기록 요구 사항을 충족하지 않습니다."

이 메시지는 여러 가지 가능한 결과 중 한 가지 예일 뿐입니다. 안전하지 않은 암호를 설정하려고 시도하는 실제 소프트웨어 또는 시나리오에 따라 오류 메시지가 달라질 수 있습니다.

영향을 받는 최종 사용자는 IT 직원의 도움을 받아 새 요구 사항을 이해하고 안전한 암호를 선택해야 합니다.

참고 항목

Microsoft Entra 암호 보호는 취약한 암호가 거부될 때 클라이언트 컴퓨터에 표시되는 특정 오류 메시지를 제어할 수 없습니다.

다음 단계

조직의 금지 암호 목록을 사용자 지정하려면 Microsoft Entra 암호 보호 사용자 지정 금지 암호 목록 구성을 참조하세요.

온-프레미스 이벤트를 모니터링하려면 온-프레미스 Microsoft Entra 암호 보호 모니터링을 참조하세요.