시스템 기본 설정 인증은 사용자가 등록한 가장 안전한 방법을 사용하여 로그인하라는 메시지를 표시합니다. 암호 또는 SMS와 같은 덜 안전한 방법을 사용하여 인증하는 사용자에게 중요한 보안 향상 기능입니다.
예를 들어 사용자가 비밀번호와 패스키를 모두 등록한 경우, 시스템 기본 인증은 사용자에게 비밀번호 대신 패스키로 로그인하라는 메시지를 표시합니다. 사용자는 여전히 다른 방법을 사용하여 로그인하도록 선택할 수 있지만 먼저 등록한 가장 안전한 방법을 시도하라는 메시지가 표시됩니다.
시스템 기본 인증은 Microsoft에서 관리하는 설정이며, 3가지 상태 정책(사용, 사용 안 함 또는 Microsoft에서 관리함)입니다. 시스템 기본 설정 인증을 사용하도록 설정하지 않으려면 상태를 Microsoft 관리형에서 Disabled로 변경하거나 정책에서 사용자 및 그룹을 제외합니다.
시스템 기본 설정 인증을 사용하도록 설정하면 인증 시스템에서 모든 작업을 수행합니다. 시스템은 항상 사용자가 등록한 가장 안전한 방법을 결정하고 제시하기 때문에 사용자는 어떤 인증 방법도 기본값으로 설정할 필요가 없습니다.
시스템 기본 설정 인증이 로그인에 적용되는 방법
시스템 기본 설정 인증에는 다음 세 가지 모드가 있습니다.
- 사용 안 함 - 로그인 논리는 변경되지 않습니다.
- 사용됨 - 시스템 기본 인증은 2차 인증에만 적용됩니다. 기존 로그인 동작은 1단계 인증에 계속 적용됩니다.
- Microsoft 관리 - 시스템 기본 설정 인증은 1단계 인증과 2단계 인증 모두에 적용됩니다. 시스템은 사용자에 대해 등록된 자격 증명을 평가하고 각 인증 단계에 대해 가장 높은 순위의 방법을 선택합니다.
사용 모드와 Microsoft 관리 모드를 모두 사용하면 관리자가 특정 사용자 또는 그룹을 포함하거나 제외할 수 있습니다.
Tip
시스템 기본 인증을 일단계 인증에 적용하지 않으려면 Microsoft 관리형에서 Enabled 전환합니다. 활성화 상태는 시스템 기본 논리를 2차 인증에만 적용합니다.
메모
시스템 기본 설정 인증은 디바이스가 아닌 사용자로 범위가 지정됩니다. 관리자는 사용자 또는 그룹을 포함하거나 제외하지만 특정 디바이스 또는 디바이스 그룹에 기능을 할당할 수 없습니다.
알려진 제한 사항
- 대상 그룹에 대한 정책을 변경하는 경우 변경 내용이 사용자의 바로 다음 로그인에 적용되지 않을 수 있습니다. 이후의 모든 후속 로그인에 적용됩니다.
- 조건부 액세스 정책은 2단계 인증에 대해서만 유효성이 검사되며 1단계 인증에는 적용되지 않습니다. 인증이 먼저 수행되고 조건부 액세스가 권한 부여를 평가합니다. 시스템 기본 설정 인증은 조건부 액세스 정책 또는 인증 강도 요구 사항을 재정의하지 않습니다.
Microsoft Entra 관리 센터에서 시스템 기본 설정 인증 사용
기본적으로 시스템 기본 설정 인증은 모든 사용자에 대해 Microsoft 관리됩니다.
- Microsoft Entra 관리 센터에 적어도 인증 정책 관리자의 역할로 로그인합니다.
- Microsoft Entra ID>인증 방법>설정으로 이동합니다.
- 시스템 기본 설정 인증의 경우 Microsoft 관리, 사용 또는 사용 안 함을 선택하고 사용자를 포함하거나 제외합니다. 제외된 그룹은 포함 그룹보다 우선합니다.
- 변경 작업을 완료한 후 저장을 선택합니다.
Graph API를 사용하여 시스템 기본 설정 인증 사용
시스템 기본 설정 인증을 미리 사용하도록 설정하려면 요청 예제와 같이 스키마 구성에 대한 단일 대상 그룹을 선택합니다.
인증 방법 기능 구성 속성
기본적으로 시스템 기본 설정 인증은 Microsoft에서 관리됩니다.
| 재산 | Type | Description |
|---|---|---|
| excludeTarget | featureTarget | 이 기능에서 제외되는 단일 엔터티입니다. 동적 또는 중첩된 그룹일 수 있는 시스템 기본 설정 인증에서 하나의 그룹만 제외할 수 있습니다. |
| 대상 포함하기 | featureTarget | 이 기능에 포함된 단일 엔터티입니다. 동적 또는 중첩된 그룹일 수 있는 시스템 기본 설정 인증을 위해 하나의 그룹만 포함할 수 있습니다. |
| 상태 | advancedConfigState | 가능한 값은 다음과 같습니다. 사용하도록 명시적으로 설정 하면 선택한 그룹에 대한 기능이 활성화됩니다. disabled 는 선택한 그룹에 대한 기능을 명시적으로 사용하지 않도록 설정합니다. 기본값 을 사용하면 Microsoft Entra ID가 선택한 그룹에 대해 기능을 사용할 수 있는지 여부를 관리할 수 있습니다. |
기능의 대상 속성
시스템 기본 설정 인증은 동적 또는 중첩된 그룹일 수 있는 단일 그룹에 대해서만 사용하도록 설정할 수 있습니다.
| 재산 | Type | Description |
|---|---|---|
| 아이디 | 스트링 | 대상 엔터티의 ID입니다. |
| 타겟 유형 | 기능 타겟 유형 | 그룹, 역할 또는 관리 단위와 같이 대상 엔터티의 종류입니다. 가능한 값은 'group'(그룹), 'administrativeUnit'(관리 단위), 'role'(역할), 'unknownFutureValue'(알려지지 않은 미래 값)입니다. |
다음 API 엔드포인트를 사용하여 systemCredentialPreferences를 사용하도록 설정하고 그룹을 포함하거나 제외합니다.
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
메모
Graph Explorer에서 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.
요청
다음 예에서는 샘플 대상 그룹을 제외하고 모든 사용자를 포함합니다. 자세한 내용은 AuthenticationMethodsPolicy 업데이트를 참조하세요.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
시스템 기본 설정 인증에서 가장 안전한 방법은 어떻게 결정하나요?
사용자가 로그인하면 인증 프로세스에서 등록된 메서드를 확인합니다. 사용자에게 다음 순서에 따라 가장 안전한 방법으로 로그인하라는 메시지가 표시됩니다. 메서드 순서는 동적이며 보안 환경이 변경되면 업데이트됩니다. 사용자는 항상 취소하고 사용 가능한 다른 로그인 방법을 선택할 수 있습니다. 조직에 특정 인증 방법이 필요한 조건부 액세스 정책이 있는 경우 해당 정책은 계속해서 시스템 기본 인증 순서보다 우선합니다.
Microsoft 관리 상태에서 시스템은 사용 가능한 자격 증명을 평가하고 1단계 및 2단계 인증 모두에 대해 가장 높은 순위의 방법을 선택합니다.
| Rank | Credential | 카테고리 | 에 대한 요구 사항을 충족합니다. |
|---|---|---|---|
| 1 | TAP(임시 액세스 패스) | 복구 | 1FA(단일 인증) + MFA(다중 인증) |
| 2 | Passkey1 | 피싱 저항 | 1FA(단일 인증) + MFA(다중 인증) |
| 3 | CBA(인증서 기반 인증) | 피싱 저항 | 1FA 또는 1FA + MFA |
| 4 | Microsoft Authenticator 알림 | 암호 없음 | 1FA(단일 인증) + MFA(다중 인증) |
| 5 | 외부 MFA(다단계 인증) | — | MFA |
| 6 | TOTP(시간 기반 일회용 암호)2 | — | MFA |
| 7 | 전화 통신3 | — | MFA |
| 8 | QR 코드 | 최전선 근로자 | 1FA |
| 9 | 암호 | — | 1FA |
1보안 키, Authenticator 앱의 암호, 동기화된 암호, 비즈니스용 Windows Hello 및 macOS Platform SSO를 포함합니다.
2개Microsoft Authenticator, Authenticator Lite 또는 타사 애플리케이션의 하드웨어 또는 소프트웨어 TOTP를 포함합니다.
3SMS 및 음성 통화를 포함합니다.
Important
CBA(인증서 기반 인증)는 이전에 CBA 및 시스템 기본 인증과 관련된 알려진 문제로 인해 시스템 기본 인증 순서에서 마지막에 배치되었습니다. 이러한 문제가 해결되었으므로 2026년 3월 18일부터 인증서 기반 인증이 인증 순서의 세 번째 위치로 이동되었습니다.
현재 Microsoft 관리되는 동작을 사용하면 사용자는 시스템 기본 설정 MFA 순서에 따라 첫 번째 및 두 번째 요소 모두에 사용할 수 있는 최상의 인증 방법으로 전달됩니다. 이렇게 하면 기본적으로 암호 페이지가 표시되지 않지만 인증서가 없는 디바이스의 사용자는 CBA 중에 즉시 실패하고 다른 방법으로 계속 하려면 수동으로 로그인을 선택해야 합니다.
시스템 기본 설정 인증은 NPS 확장에 어떤 영향을 주나요?
시스템 기본 설정 인증은 NPS(네트워크 정책 서버) 확장을 사용하여 로그인하는 사용자에게 영향을 주지 않습니다. 해당 사용자는 로그인 환경에 어떠한 변화도 느끼지 못합니다.
시스템 기본 설정 인증은 일단계 로그인에 어떤 영향을 주나요?
Microsoft 관리로 설정하면 시스템은 1단계 및 2단계 인증 모두에 자격 증명 순위를 적용합니다. 예를 들어 사용자가 비밀번호와 패스키를 모두 등록한 경우, 1차 인증 로그인 시 비밀번호 대신 패스키가 표시됩니다. 사용자는 여전히 다른 로그인 옵션을 선택할 수 있습니다.
Enabled로 설정하면 자격 증명 순위는 2단계 인증에만 적용됩니다. 첫 번째 요소 로그인 동작은 변경되지 않은 상태로 유지됩니다.
사용자가 여전히 다른 로그인 방법을 선택할 수 있나요?
예. 시스템 기본 설정 인증은 가장 높은 순위의 자격 증명을 가진 사용자에게 메시지를 표시하지만 사용자는 로그인하는 동안 허용되는 다른 방법을 선택할 수 있습니다.