Microsoft 계정
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
Microsoft 계정이 사용자의 보안 및 개인 정보를 향상시키기 위해 작동하는 방식과 조직에서 소비자 계정 유형을 관리하는 방법을 이해합니다.
Microsoft 계정이란?
Windows 10을 실행하는 Microsoft 사이트, 서비스, 속성 및 컴퓨터는 사용자를 식별하는 방법으로 Microsoft 계정을 사용할 수 있습니다. 이전에 Microsoft 계정을 Windows Live ID라고 했습니다. Microsoft 계정에는 사용자 정의 비밀이 있으며 고유한 전자 메일 주소와 암호로 구성됩니다.
사용자가 Microsoft 계정으로 로그인하면 디바이스가 클라우드 서비스에 연결됩니다. 사용자는 여러 디바이스에서 많은 설정, 기본 설정 및 앱을 공유할 수 있습니다.
Microsoft 계정 작동 방식
사용자는 Microsoft 계정을 사용하여 단일 자격 증명 집합을 사용하여 이 서비스를 지원하는 웹 사이트에 로그인할 수 있습니다. 사용자의 자격 증명은 웹 사이트와 연결된 Microsoft 계정 인증 서버에서 유효성을 검사합니다. Microsoft Store는 이 연결의 예입니다. 새 사용자가 Microsoft 계정을 사용하도록 설정된 웹 사이트에 로그인하면 사용자가 가장 가까운 인증 서버로 리디렉션되어 사용자 이름 및 암호를 요청합니다. Windows는 Schannel 보안 지원 공급자를 사용하여 이 함수에 대한 TLS/SSL(전송 수준 보안/보안 소켓 계층) 연결을 엽니다. 사용자는 자격 증명 관리자를 사용하여 자격 증명을 저장할 수 있습니다.
사용자가 Microsoft 계정을 사용하도록 설정된 웹 사이트에 로그인하면 컴퓨터에 시간 제한 쿠키가 설치됩니다. 쿠키에는 삼중 DES 암호화 ID 태그가 포함됩니다. 암호화된 ID 태그는 인증 서버와 웹 사이트 간에 합의되었습니다. ID 태그는 웹 사이트로 전송되고, 웹 사이트는 사용자의 컴퓨터에 다른 시간 제한 암호화 HTTP 쿠키를 배치합니다. 쿠키는 유효하지만 사용자는 사용자 이름과 암호를 입력할 필요가 없습니다. 사용자가 Microsoft 계정에서 적극적으로 로그아웃하면 이러한 쿠키가 제거됩니다.
참고 항목
로컬 Windows 계정 기능은 관리되는 환경에서 사용할 수 있는 옵션입니다.
Microsoft 계정을 만드는 방법
사기 행위를 방지하기 위해 Microsoft 시스템은 사용자가 Microsoft 계정을 만들 때 사용자의 IP 주소를 확인합니다. 동일한 IP 주소를 사용하여 여러 Microsoft 계정을 만들려고 시도하는 사용자가 더 많은 계정을 만들지 못하도록 중지됩니다. Microsoft 계정은 엔터프라이즈의 할 일기본 사용자 그룹과 같이 일괄 처리로 만들어지도록 설계되지 않았습니다.
Microsoft 계정을 만들려면 사용자에게 다음 두 가지 옵션이 있습니다.
기존 전자 메일 주소를 사용합니다. 사용자는 유효한 전자 메일 주소를 사용하여 Microsoft 계정에 등록할 수 있습니다. 서비스는 요청 중인 사용자의 전자 메일 주소를 Microsoft 계정으로 바꿉니다. 사용자는 Microsoft 계정에 사용할 별도의 암호를 선택할 수 있습니다.
Microsoft 전자 메일 주소에 등록합니다. 사용자는 Microsoft 웹 메일 서비스를 통해 전자 메일 계정에 등록할 수 있습니다. 사용자는 계정을 사용하여 Microsoft 계정을 사용하도록 설정된 웹 사이트에 로그인할 수 있습니다.
Microsoft 계정 정보를 보호하는 방법
자격 증명 정보는 두 번 암호화됩니다. 첫 번째 암호화는 계정 암호를 기반으로 합니다. 자격 증명은 인터넷을 통해 전송될 때 다시 암호화됩니다. 저장된 자격 증명 데이터는 다른 Microsoft 서비스 또는 비 Microsoft 서비스 사용할 수 없습니다.
강력한 암호가 필요합니다. 빈 암호는 허용되지 않습니다.
자세한 내용은 Microsoft 계정을 안전하고 안전하게 유지하는 방법을 참조하세요.
보조 확인 증명 필요. 사용자가 지원되는 두 번째 Windows 컴퓨터에서 처음으로 사용자 프로필 정보 및 설정에 액세스하려면 먼저 해당 디바이스에 대한 트러스트를 설정해야 합니다. 신뢰를 설정하려면 사용자가 보조 ID 증명을 제공해야 합니다. 사용자는 휴대폰 번호로 전송되는 코드를 입력하거나 사용자가 계정 설정에서 지정하는 대체 전자 메일 주소로 전송되는 지침에 따라 ID를 증명할 수 있습니다.
모든 사용자 프로필 데이터는 클라우드로 전송되기 전에 클라이언트에서 암호화됩니다. 사용자 데이터는 기본적으로 무선 광역 네트워크를 통해 로밍되지 않으므로 프로필 데이터가 보호됩니다. 디바이스를 떠나는 모든 데이터 및 설정은 TLS/SSL 프로토콜을 통해 전송됩니다.
Microsoft 계정 보안 정보
사용자는 지원되는 버전의 Windows를 실행하는 컴퓨터의 계정 인터페이스를 통해 Microsoft 계정에 보안 정보를 추가할 수 있습니다. 계정에서 사용자는 계정을 만들 때 제공한 보안 정보를 업데이트할 수 있습니다. 이 보안 정보에는 암호가 손상되거나 잊어버린 경우 ID를 확인하기 위해 확인 코드를 보낼 수 있도록 대체 전자 메일 주소 또는 전화 번호가 포함됩니다. 사용자는 잠재적으로 자신의 Microsoft 계정을 사용하여 개인 OneDrive 또는 전자 메일 앱에 회사 데이터를 저장할 수 있습니다. 계정 소유자가 이 보안 정보를 최신 상태로 유지하는 것이 안전한 방법입니다.
엔터프라이즈의 Microsoft 계정
Microsoft 계정은 소비자에게 서비스를 제공하도록 설계되었지만, 사용자가 기업에서 개인 Microsoft 계정을 사용하여 혜택을 받을 수 기본 있는 상황이 있을 수 있습니다. 다음 목록에서는 몇 가지 장점을 설명합니다.
Microsoft Store 앱을 다운로드합니다. 엔터프라이즈에서 Microsoft Store를 통해 앱 또는 소프트웨어를 배포하도록 선택하는 경우 엔터프라이즈 사용자는 Microsoft 계정을 사용하여 모든 버전의 Windows 10, Windows 8.1, Windows 8 또는 Windows RT를 실행하는 최대 5개의 디바이스에서 앱을 다운로드하고 사용할 수 있습니다.
Single Sign-On. 엔터프라이즈 사용자는 Microsoft 계정 자격 증명을 사용하여 Windows 10, Windows 8.1, Windows 8 또는 Windows RT를 실행하는 디바이스에 로그인할 수 있습니다. 이 시나리오에서 Windows는 Microsoft Store 앱과 협력하여 앱에서 인증된 환경을 제공합니다. 사용자는 Microsoft Store 앱 또는 웹 사이트에 대한 로그인 자격 증명과 Microsoft 계정을 연결하여 이러한 자격 증명이 지원되는 버전을 실행하는 모든 장치에서 로밍되도록 할 수 있습니다.
개인 설정 동기화. 사용자는 가장 일반적으로 사용되는 운영 체제 설정을 Microsoft 계정과 연결할 수 있습니다. 이러한 설정은 사용자가 지원되는 버전의 Windows를 실행하고 클라우드에 연결된 모든 디바이스에서 해당 계정으로 로그인할 때마다 사용할 수 있습니다. 사용자가 로그인하면 디바이스는 자동으로 클라우드에서 사용자의 설정을 가져와 디바이스에 적용하려고 시도합니다.
앱 동기화. Microsoft Store 앱은 모든 디바이스에서 이러한 설정을 사용할 수 있도록 사용자별 설정을 저장할 수 있습니다. 운영 체제 설정과 마찬가지로 사용자가 지원되는 버전의 Windows를 실행하고 클라우드에 연결된 모든 디바이스에서 동일한 Microsoft 계정으로 로그인할 때마다 이러한 사용자별 앱 설정을 사용할 수 있습니다. 사용자가 로그인하면 해당 디바이스가 자동으로 클라우드에서 설정을 다운로드하여 앱 설치 시 적용합니다.
통합 소셜 미디어 서비스. 사용자의 친구 및 동료를 위한 연락처 정보 및 상태 Outlook, Facebook, Twitter 및 LinkedIn과 같은 사이트에서 자동으로 최신 상태를 유지합니다. 또한 사용자는 OneDrive, Facebook 및 Flickr와 같은 사이트에서 사진, 문서 및 기타 파일에 액세스하고 공유할 수 있습니다.
할 일에서 Microsoft 계정을 관리합니다기본
IT 및 비즈니스 모델에 따라 엔터프라이즈에 Microsoft 계정을 도입하면 복잡성이 더해지거나 솔루션을 제공할 수 있습니다. 엔터프라이즈에서 이러한 계정 유형을 사용하도록 허용하기 전에 다음 고려 사항을 해결해야 합니다.
Microsoft 계정 사용 제한
다음 그룹 정책 설정은 엔터프라이즈에서 Microsoft 계정의 사용을 제어하는 데 도움이 됩니다.
앱 및 서비스: Microsoft 계정 사용자 인증 차단
이 설정은 사용자가 앱 또는 서비스에 대한 인증을 위해 Microsoft 계정을 제공할 수 있는지 여부를 제어합니다.
이 설정을 사용하도록 설정하면 디바이스의 모든 앱과 서비스가 인증에 Microsoft 계정을 사용할 수 없습니다. 이 설정은 기존 디바이스 사용자와 모든 새 사용자에게 모두 적용됩니다.
Microsoft 계정을 사용한 사용자를 이미 인증한 앱 또는 서비스는 인증 캐시가 만료될 때까지 이 설정을 사용하도록 설정해도 영향을 받지 않습니다. 캐시된 토큰이 Microsoft 계정을 인증하지 못하도록 사용자가 디바이스에 로그인하기 전에 이 설정을 사용하도록 설정하는 것이 좋습니다.
이 설정을 사용하지 않도록 설정하거나 구성하지 않으면 앱 및 서비스에서 인증에 Microsoft 계정을 사용할 수 있습니다. 이 설정은 기본적으로 사용하지 않도록 설정됩니다.
이 설정은 사용자가 Microsoft 계정을 사용하여 디바이스에 로그인할 수 있는지 또는 웹 기반 앱 인증을 위해 브라우저를 통해 Microsoft 계정을 제공할 수 있는지 여부에 영향을 주지 않습니다.
이 설정의 경로는 Computer Configuration\관리istrative Templates\Windows Components\Microsoft 계정입니다.
계정: Microsoft 계정 차단
이 설정은 설정 앱을 사용하여 Microsoft 서비스 및 일부 백그라운드 서비스에 대한 Single Sign-On 인증을 위한 Microsoft 계정을 추가하거나 다른 앱 또는 서비스에 Single Sign-On을 위해 Microsoft 계정을 사용하는 것을 방지합니다.
이 설정을 사용하도록 설정하면 사용자에게 다음 두 가지 옵션이 있습니다.
사용자가 Microsoft 계정을 추가할 수 없습니다. 기존 연결된 계정은 여전히 디바이스에 로그인할 수 있습니다(로그인 페이지에 표시됨). 그러나 사용자는 설정 앱을 사용하여 연결된 새 계정을 추가하거나 로컬 계정을 Microsoft 계정에 연결할 수 없습니다.
사용자가 Microsoft 계정으로 추가하거나 로그인할 수 없습니다. 사용자는 새 연결된 계정을 추가하거나(또는 Microsoft 계정에 로컬 계정을 연결) 설정 통해 기존 연결된 계정을 사용할 수 없습니다.
이 설정은 앱 인증을 위해 Microsoft 계정을 추가하는 데 영향을 주지 않습니다. 예를 들어 이 설정을 사용하는 경우 사용자는 메일과 같은 앱으로 인증을 위해 Microsoft 계정을 제공할 수 있지만 사용자는 다른 앱 또는 서비스에 대한 Single Sign-On 인증에 Microsoft 계정을 사용할 수 없습니다. 다른 앱 및 서비스의 경우 인증하라는 메시지가 사용자에게 표시됩니다.
이 설정은 기본적으로 구성되지 않습니다.
이 설정의 경로는 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션입니다.
연결된 계정 구성
사용자는 Microsoft 계정을 do기본 계정에 연결하고 계정 간의 설정과 기본 설정을 동기화할 수 있습니다. 계정 간에 설정 및 기본 설정을 동기화하면 사용자는 다른 장치에서 동일한 데스크톱 배경, 앱 설정, 브라우저 기록 및 즐겨찾기 및 기타 Microsoft 계정 설정을 볼 수 있습니다.
연결된 계정 연결 끊기
사용자는 언제든지 할 일기본 계정에서 Microsoft 계정의 연결을 끊을 수 있습니다. PC 설정에서 사용자>연결 끊기>완료를 선택합니다.
참고 항목
Microsoft 계정을 할 일기본 계정에 커넥트 Windows의 일부 높은 권한 작업에 대한 액세스를 제한할 수 있습니다. 예를 들어 작업 스케줄러는 연결된 Microsoft 계정의 액세스를 평가하고 실패합니다. 이 시나리오에서는 계정 소유자가 계정 연결을 끊어야 합니다.
엔터프라이즈에서 Microsoft 계정 프로비전
Microsoft 계정은 개인 사용자 계정입니다. Microsoft는 엔터프라이즈용 Microsoft 계정을 프로비전하는 방법을 제공하지 않습니다. 기업은 do기본 계정을 사용해야 합니다.
계정 작업 감사
Microsoft 계정은 인터넷 기반이므로 계정이 do기본 계정에 연결되어 있지 않으면 Windows에서 Microsoft 계정을 감사할 수 없습니다. 사용자가 계정 연결을 끊거나 할 일기본 언제든지 할 일기본 떠날 수 있으므로 사용자의 작업과 연결되지 않은 계정의 활동을 감사할 수 없습니다.
암호 재설정
Microsoft 계정의 소유자만 계정과 연결된 암호를 변경할 수 있습니다. 사용자는 Microsoft 계정 로그인 포털에서 Microsoft 계정의 암호를 변경할 수 있습니다.
앱 설치 및 사용 제한
조직 내에서 Microsoft 계정의 앱 설치 및 사용을 규제하도록 애플리케이션 제어 정책을 설정할 수 있습니다. 자세한 내용은 AppLocker의 AppLocker 및 패키지된 앱 및 패키지된 앱 설치 관리자 규칙을 참조하세요.