조건부 액세스: 인증 전송(미리 보기)

인증 전송은 Microsoft 앱용 PC에서 모바일로의 디바이스 간 로그인을 간소화하는 인증 흐름입니다. 사용자는 PC의 인증된 Microsoft 앱에서 QR 코드를 사용하여 자격 증명을 다시 입력하지 않고도 모바일 디바이스에서 동일한 앱에 로그인할 수 있습니다. 인증 전송은 여러 플랫폼에서 사용자를 연결하여 사용자 참여를 증가합니다.

메모

인증 전송은 현재 미리 보기로 제공됩니다. 미리 보기에 대한 자세한 내용은 온라인 서비스에 대한 유니버설 사용 약관을 참조하세요.

블록 제어를 사용하여 인증 전송을 사용하는 조건부 액세스 정책 예제를 보여 주는 스크린샷.

사전 요구 사항

  • 인증 전송을 관리하는 조건부 액세스 정책이 적용되는 각 사용자에 대해 Microsoft Entra ID P1 라이선스가 필요합니다. 라이선스에 대한 자세한 내용은 조건부 액세스 배포 계획을 참조하세요.
  • 인증 전송을 관리하는 조건부 액세스 정책을 만들거나 수정하려면 적어도 조건부 액세스 관리자로 로그인합니다.
  • 인증 전송은 기본적으로 모든 사용자에 대해 사용하도록 설정됩니다. 사용자가 이 기능을 사용하려면 초기 구성이 필요하지 않습니다.

인증 전송 작동 방식

인증 전송을 사용하면 데스크톱 PC에서 모바일 디바이스와 같이 한 디바이스에서 다른 디바이스로 인증 클레임을 전송할 수 있습니다. 다음 단계에서는 흐름을 설명합니다.

  1. 사용자가 PC에서 지원되는 Microsoft 앱에 로그인하고 MFA(다단계 인증)를 비롯한 모든 필수 인증을 완료합니다.
  2. 앱은 사용자가 모바일 디바이스로 검색할 수 있는 QR 코드를 표시합니다.
  3. 사용자는 모바일 디바이스에서 지원되는 Microsoft 앱을 사용하여 QR 코드를 검색합니다.
  4. Microsoft Entra ID는 대상 모바일 앱에 적용 가능한 모든 조건부 액세스 정책을 평가합니다.
  5. 정책이 충족되면 인증 클레임이 모바일 디바이스로 전송되고 사용자가 자동으로 로그인됩니다.
  6. 정책이 충족되지 않으면 전송이 실패하고 사용자에게 모바일 디바이스에서 수동으로 로그인하라는 메시지가 표시됩니다.

인증 전송은 인증 클레임만 전송합니다. 디바이스 준수 상태와 같은 디바이스 관련 클레임은 대상 디바이스로 전송되지 않습니다. 모바일 디바이스는 디바이스 기반 조건부 액세스 요구 사항을 독립적으로 충족해야 합니다.

사용자가 인증 전송을 수행할 때 세션은 추적된 프로토콜로 간주됩니다. 프로토콜 추적은 세션 상태가 후속 토큰 새로 고침을 통해 유지된다는 것을 의미합니다. 동일한 세션 내의 후속 로그인 시도는 인증 전송을 사용하지 않더라도 인증 흐름 정책 적용을 받을 수 있습니다.

지원되는 앱

인증 전송은 디바이스 간 QR 코드 흐름을 지원하는 Microsoft 앱에서 사용할 수 있습니다. 예를 들어 사용자는 데스크톱 버전의 Outlook에서 모바일 장치에서 스캔할 때 인증된 상태를 모바일 버전의 Outlook으로 전송하는 QR 코드를 볼 수 있습니다. 지원은 앱 및 버전에 따라 다릅니다. 관련 Microsoft 앱 설명서를 확인하여 인증 전송을 지원하는지 확인합니다.

Important

인증 전송은 타사 앱에서 지원되지 않습니다.

최종 사용자 환경

인증 전송 환경은 여러 디바이스에서 작업하는 사용자의 마찰을 줄이기 위해 설계되었습니다.

데스크톱(원본 디바이스):

  • 사용자가 PC에서 지원되는 Microsoft 앱에 로그인됩니다.
  • QR 코드가 앱 내에 표시되며 세션을 모바일 디바이스로 전송할 수 있습니다.

모바일 디바이스(대상 디바이스):

  • 사용자가 지원되는 Microsoft 앱을 열고 QR 코드를 검사합니다.
  • 모든 조건부 액세스 정책이 충족되면 사용자는 자격 증명을 다시 입력하거나 MFA를 다시 완료하지 않고 자동으로 로그인됩니다.
  • 모바일 디바이스에 대한 조건부 액세스 정책이 충족되지 않으면 사용자에게 수동으로 로그인하라는 메시지가 표시됩니다. 사용자는 MFA를 완료하거나 모바일 디바이스의 다른 요구 사항을 충족해야 할 수 있습니다.

인증 전송 및 조건부 액세스

인증 전송 중에는 모든 Microsoft Entra 조건부 액세스 정책이 평가됩니다. 정책이 인증 전송과 상호 작용하는 방식을 이해하면 사용자 생산성을 유지하면서 조직을 보호할 수 있습니다.

인증 클레임은 전송되고, 기기 클레임은 전송되지 않습니다.

  • 인증 전송은 인증 클레임만 전송합니다. 규정 준수 상태 또는 관리 상태와 같은 디바이스 관련 클레임을 전송하지 않습니다.
  • 조건부 액세스 정책에 디바이스 규정 준수 또는 관리 디바이스가 필요한 경우 모바일 디바이스는 이러한 요구 사항을 독립적으로 충족해야 합니다.

이미 완료된 경우 MFA가 다시 필요하지 않습니다.

  • 사용자가 PC에서 MFA를 완료하는 경우 인증 전송 중에 모바일 디바이스에서 MFA를 다시 수행할 필요가 없습니다.

조건부 액세스 정책은 전송 전에 평가됩니다.

  • 조건부 액세스 정책은 인증 전송이 완료되기 전에 평가됩니다. 모바일 디바이스에 대한 정책이 충족되지 않으면 사용자에게 수동으로 로그인하라는 메시지가 표시됩니다.

비 마이크로소프트 MDM 바이패스:

  • 인증 전송은 모바일 디바이스로 인증을 전송할 때 타사 MDM(모바일 디바이스 관리) 솔루션을 무시합니다. 이 바이패스는 액세스 제어를 적용하기 위해 타사 MDM 솔루션에 의존하는 조직이 인증 전송 중에 보안 격차를 가질 수 있음을 의미합니다. 조직에서 타사 MDM 솔루션을 사용하는 경우 영향을 받는 사용자 또는 앱에 대한 인증 전송을 차단하는 것이 좋습니다.

PRT(기본 새로 고침 토큰) 재인증:

  • 사용자는 기본 새로 고침 토큰과 같은 보호된 세션 토큰이 있더라도 인증 전송을 시작하려면 PC에서 다시 인증해야 합니다. PC에서 다시 인증한 후에는 사용자가 모바일 앱에서 다시 인증할 필요가 없습니다.

알려진 제한 사항

조직에서 인증 전송을 사용하거나 관리하기 전에 다음 제한 사항을 검토합니다.

  • 디바이스 클레임은 전송되지 않습니다. 인증 클레임만 모바일 디바이스로 전송됩니다. 디바이스 준수, 관리 상태 및 기타 디바이스 관련 클레임은 모바일 디바이스에서 독립적으로 충족되어야 합니다.
  • 비 Microsoft MDM 바이패스입니다. 인증 전송은 타사 MDM 솔루션을 무시합니다. 모바일 액세스 제어를 위해 비 Microsoft MDM에 의존하는 조직은 보안 영향을 평가해야 합니다. 자세한 내용은 인증 전송 차단에 대한 제로 트러스트 지침을 참조하세요.
  • Microsoft 앱만 해당합니다. 인증 전송은 Microsoft 앱에서만 사용할 수 있습니다. 타사 앱은 이 흐름을 지원하지 않습니다.
  • 프로토콜 추적. 사용자가 인증 전송을 수행하면 세션이 프로토콜 추적됩니다. 동일한 세션 내의 다른 로그인 시도는 다른 인증 흐름을 사용하는 경우에도 인증 흐름 정책의 적용을 받을 수 있습니다.
  • PRT 재인증이 필요합니다. 사용자는 기존 기본 새로 고침 토큰 세션이 있더라도 인증 전송을 시작하려면 PC에서 다시 인증해야 합니다.

보안 고려 사항

조직에서 사용자에게 인증 전송이 필요한지 여부를 평가하는 것이 좋습니다. ID를 보호하기 위한 제로 트러스트 지침은 보안 모범 사례로 인증 전송을 차단하는 것이 좋습니다.

인증 전송을 차단하면 디바이스 토큰을 사용하여 다른 디바이스에서 자동으로 인증하는 것을 방지하여 토큰 도난 및 재생 공격으로부터 보호할 수 있습니다. 인증 전송을 사용하도록 설정하면 한 디바이스에 대한 액세스 권한을 얻는 위협 행위자가 승인되지 않은 디바이스의 리소스에 잠재적으로 액세스하여 표준 인증 및 디바이스 준수 검사를 무시할 수 있습니다.

다음 권장 사항을 살펴 보십시오.

  • 디바이스 간 로그인에 대한 문서화된 비즈니스 요구 사항이 없는 한 인증 전송을 차단합니다. 조건부 액세스 정책을 사용하여 인증 전송을 차단합니다.
  • 먼저 보고서 전용 모드를 사용하여 블록을 적용하기 전에 조직에서 인증 전송을 사용하는 방법을 이해합니다.
  • 인증 전송을 차단하는 정책에서 응급 액세스 계정을 제외합니다.

로그인 로그의 인증 전송

관리자는 Microsoft Entra 로그인 로그를 확인하여 사용자가 인증 전송을 사용하여 로그인하는지 확인할 수 있습니다. 인증 전송 이벤트는 다시 다시 표시되며 첫 번째 이벤트는 인증 방법으로 QR 코드를 표시합니다.

로그인의 프로토콜 추적 상태를 확인하려면 로그인 이벤트를 선택하고 활동 세부 정보의기본 정보 부분인 로그인 창에서 원래 전송 메서드 속성을 찾습니다. 인증 전송이 수행된 세션의 경우 원래 전송 방법이인증 전송으로 설정됩니다.

특정 사용자 및 앱에 대한 인증 전송 관리

인증 전송은 기본적으로 모든 사용자에 대해 사용하도록 설정됩니다. 관리자는 조건부 액세스 정책 및 인증 흐름 조건을 사용하여 인증 전송을 관리합니다. 이 조건은 특정 사용자, 앱으로의 인증 전송을 제한하거나 기능을 완전히 사용하지 않도록 설정합니다.

인증 전송은 사용자가 모바일 앱에 로그인하기 전에 적용 가능한 모든 조건부 액세스 정책을 확인합니다. 필요한 조건이 충족되지 않으면 사용자에게 모바일 앱에 로그인하라는 메시지가 표시됩니다.

인증 전송 조건을 사용하는 정책을 만들려면 조건부 액세스 정책을 사용하여 인증 전송 차단을 참조하세요.

Troubleshooting

다음 단계를 사용하여 인증 전송 문제를 해결합니다.

사용자에 대한 인증 전송이 실패합니다.

  1. 로그인 로그에서 인증 전송 이벤트를 확인합니다. QR 코드 인증 방법 항목을 찾습니다.
  2. 로그인 이벤트를 선택하고 조건부 액세스 탭으로 이동하여 평가된 정책과 전송이 차단되었는지 여부를 식별합니다.
  3. 대상 모바일 디바이스가 디바이스 준수 및 위치 정책을 비롯한 모든 조건부 액세스 요구 사항을 충족하는지 확인합니다.

인증 전송을 사용한 후 예기치 않은 블록:

  1. 로그인이 이전 인증 전송 또는 디바이스 코드 흐름 세션의 프로토콜 추적 상태에 의해 차단되었는지 확인합니다.
  2. 로그인 로그에서 차단된 로그인을 선택하고 기본 정보 섹션에서 원래 전송 방법 속성을 확인합니다. 인증 전송 또는 디바이스 코드 흐름이 표시되면 세션이 프로토콜 추적되었습니다.
  3. 인증 흐름 정책이 모든 애플리케이션에 적용되는 경우 오류 코드 AADSTS530036가 표시될 수 있습니다. 이 오류는 조건부 액세스의 인증 흐름 검사로 인해 새로 고침 토큰이 잘못되었음을 나타냅니다.

사용자는 인증 전송을 시작할 수 없습니다.

  • 조건부 액세스 정책이 사용자에 대한 인증 전송을 관리하는 경우 사용자에게 Microsoft Entra ID P1 라이선스가 할당되어 있는지 확인합니다.
  • 조건부 액세스 정책이 사용자의 그룹 또는 대상 앱에 대한 인증 전송을 차단하지 않는지 확인합니다.
  • 사용자가 원본 및 대상 디바이스 모두에서 지원되는 Microsoft 앱을 사용하고 있는지 확인합니다.

인증 흐름 문제 해결에 대한 자세한 내용은 예기치 않은 블록 문제 해결을 참조하세요.

관련 콘텐츠

  • Last updated on