자습서: Microsoft Entra 암호 보호를 위해 사용자 지정 금지 암호 구성

사용자가 학교, 스포츠 팀 또는 유명 인사와 같은 일반적인 로컬 단어를 사용하는 암호를 만드는 경우가 많습니다. 이러한 암호는 쉽게 추측할 수 있으며 사전 기반 공격에 취약합니다. 조직에 강력한 암호를 적용하기 위해 Microsoft Entra 사용자 지정 금지 암호 목록을 사용하면 평가하고 차단할 특정 문자열을 추가할 수 있습니다. 사용자 지정 금지 암호 목록에 일치하는 항목이 있으면 암호 변경 요청이 실패합니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 사용자 지정 금지 암호 사용
• 사용자 지정 금지 암호 목록에 항목 추가
• 금지 암호를 사용하여 암호 변경 테스트

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

• 최소한 Microsoft Entra ID P1 또는 평가판 라이선스가 사용하도록 설정된 작동 중인 Microsoft Entra 테넌트.
  • 필요한 경우, 체험 계정을 만드세요.
• 글로벌 관리자 권한이 있는 계정
• 알고 있는 암호가 있는 관리자가 아닌 사용자(예: testuser). 이 자습서에서는 이 계정을 사용하여 암호 변경 이벤트를 테스트합니다.
  • 사용자를 만들어야 하는 경우 빠른 시작: Microsoft Entra ID에 새 사용자 추가의 정보를 사용할 수 있습니다.
  • 금지된 암호를 사용하여 암호 변경 작업을 테스트하려면 Microsoft Entra 테넌트가 셀프 서비스 암호 재설정을 위해 구성되어야 합니다.

금지 암호 목록이란?

Microsoft Entra ID에는 전역 금지 암호 목록이 포함되어 있습니다. 글로벌 금지 암호 목록의 내용은 외부 데이터 원본을 기반으로 하지 않습니다. 대신, 전역 금지 암호 목록은 Microsoft Entra 보안 원격 분석 및 분석의 지속적인 결과를 기반으로 합니다. 사용자 또는 관리자가 자격 증명을 변경하거나 다시 설정하려고 하면 금지 암호 목록과 대조하여 원하는 암호를 확인합니다. 글로벌 금지 암호 목록에 일치하는 항목이 있으면 암호 변경 요청이 실패합니다. 이 기본 글로벌 금지 암호 목록은 편집할 수 없습니다.

허용되는 암호를 유연하게 제공하기 위해 사용자 지정 금지 암호 목록을 정의할 수도 있습니다. 사용자 지정 금지 암호 목록은 조직에서 강력한 암호를 적용하기 위해 글로벌 금지 암호 목록과 함께 작동합니다. 다음 예와 같은 조직 특정 용어를 사용자 지정 금지 암호 목록에 추가할 수 있습니다.

• 브랜드 이름
• 제품 이름
• 회사 본부와 같은 위치
• 회사 특정 내부 용어
• 회사 고유의 의미가 있는 약어
• 회사의 로컬 언어를 사용한 월 및 평일

사용자가 암호를 글로벌 또는 사용자 지정 금지 암호 목록에 있는 특정 항목으로 다시 설정하려고 하면 다음 오류 메시지 중 하나가 표시됩니다.

• 암호에 쉽게 추측할 수 있는 단어, 구 또는 패턴이 포함되어 있습니다. 다른 암호로 다시 시도하세요.
• 관리자가 차단한 단어 또는 문자가 포함되어 있으므로 해당 암호를 사용할 수 없습니다. 다른 암호로 다시 시도하세요.

사용자 지정 금지 암호 목록은 최대 1,000개의 용어로 제한됩니다. 많은 암호 목록을 차단하도록 설계되지 않았습니다. 사용자 지정 금지 암호 목록의 이점을 극대화하려면 사용자 지정 금지 암호 목록 개념 및 암호 평가 알고리즘 개요을 검토하세요.

사용자 지정 금지 암호 목록 구성

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

사용자 지정 금지 암호 목록을 사용하도록 설정하고 일부 항목을 추가해 보겠습니다. 항목은 언제든지 사용자 지정 금지 암호 목록에 추가할 수 있습니다.

사용자 지정 금지 암호 목록을 사용하도록 설정하고 항목을 이 목록에 추가하려면 다음 단계를 완료합니다.

1. 최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 보호>인증 방법과 암호 보호로 이동합니다.

3. 사용자 지정 목록 적용 옵션을 예로 설정합니다.

4. 문자열을 한 줄에 하나씩 사용자 지정 금지 암호 목록에 추가합니다. 사용자 지정 금지 암호 목록에 적용되는 고려 사항과 제한 사항은 다음과 같습니다.

   • 사용자 지정 금지 암호 목록에는 최대 1,000개의 용어가 포함될 수 있습니다.
   • 사용자 지정 금지 암호 목록에서는 대/소문자가 구별됩니다.
   • 사용자 지정 금지 암호 목록에서는 일반적인 문자를 바꾸는 것이 좋습니다(예: "o" 및 "0" 또는 "a" 및 "\@").
   • 최소 문자열 길이는 4자이며, 최대 길이는 16자입니다.

   다음 예와 같이 사용자 고유의 사용자 지정 금지 암호를 지정합니다.

   

5. Windows Server Active Directory에 대한 암호 보호를 사용하도록 설정 옵션을 아니요로 둡니다.

6. 사용자 지정 금지 암호 및 항목을 사용하도록 설정하려면 저장을 선택합니다.

사용자 지정 금지 암호 목록을 적용하기 위한 업데이트에는 몇 시간 정도가 소요됩니다.

하이브리드 환경의 경우 Microsoft Entra 암호 보호 기능을 온-프레미스 환경에 배포할 수도 있습니다. 클라우드 및 온-프레미스 암호 변경 요청 모두에 동일한 글로벌 및 사용자 지정 금지 암호 목록이 사용됩니다.

사용자 지정 금지 암호 목록에 대한 테스트

사용자 지정 금지 암호 목록이 실제로 작동하는지 확인하려면 암호를 이전 섹션에서 추가한 항목의 변형으로 변경하여 시도합니다. Microsoft Entra ID가 암호 변경을 처리하려고 하면 해당 암호가 사용자 지정 금지 암호 목록의 항목과 일치하는지 확인됩니다. 그러면 오류가 사용자에게 표시됩니다.

참고 항목

사용자가 웹 기반 포털에서 암호를 초기화하려면 먼저 Microsoft Entra 테넌트를 셀프 서비스 암호 재설정을 위해 구성해야 합니다. 필요한 경우 사용자는 https://aka.ms/ssprsetup에서 SSPR에 등록할 수 있습니다.

1. https://myapps.microsoft.com에서 내 앱 페이지로 이동합니다.

2. 오른쪽 위 모서리에서 이름을 선택한 다음, 드롭다운 메뉴에서 프로필을 선택합니다.

   

3. 프로필 페이지에서 암호 변경을 선택합니다.

4. 암호 변경 페이지에서 기존(이전) 암호를 입력합니다. 이전 섹션에서 정의한 사용자 지정 금지 암호 목록에 있는 새 암호를 입력하고 확인한 다음, 제출을 선택합니다.

5. 다음 예와 같이 관리자가 암호를 차단했다고 알리는 오류 메시지가 반환됩니다.

   

리소스 정리

이 자습서의 일부로 구성한 사용자 지정 금지 암호 목록을 더 이상 사용하지 않으려면 다음 단계를 완료합니다.

1. 최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>인증 방법과 암호 보호로 이동합니다.
3. 사용자 지정 목록 적용 옵션을 아니요로 설정합니다.
4. 사용자 지정 금지 암호 구성을 업데이트하려면 저장을 선택합니다.

다음 단계

이 자습서에서는 Microsoft Entra ID에 대한 사용자 지정 암호 보호 목록을 사용하도록 설정하고 구성했습니다. 구체적으로 다음 작업 방법을 알아보았습니다.

• 사용자 지정 금지 암호 사용
• 사용자 지정 금지 암호 목록에 항목 추가
• 금지 암호를 사용하여 암호 변경 테스트

위험 기반 Microsoft Entra 다단계 인증 사용