Azure Active Directory B2C에서 다단계 인증 사용

시작하기 전에 이 페이지 위쪽의 정책 유형 선택 선택기를 사용하여 설정하려는 정책 유형을 선택합니다. Azure Active Directory B2C는 사용자가 애플리케이션과 상호 작용하는 방법을 정의하는 두 가지 방법, 즉 미리 정의된 사용자 흐름 또는 완전히 구성 가능한 사용자 지정 정책을 통해 제공합니다. 이 게시물에서 필요한 단계는 각 방법마다 다릅니다.

Azure AD B2C(Azure Active Directory B2C)는 Microsoft Entra 다단계 인증과 직접 통합되므로 애플리케이션의 등록 및 로그인 환경에 두 번째 보안 계층을 추가할 수 있습니다. 이미 가입 및 로그인 사용자 흐름을 만든 경우에도 다단계 인증을 사용하도록 설정할 수 있습니다.

이 기능 애플리케이션을 사용하면 다음과 같은 여러 시나리오를 처리할 수 있습니다.

• 하나의 애플리케이션에 액세스하는 데 다단계 인증이 필요하지만 다른 애플리케이션에 액세스하려면 다단계 인증이 필요하지 않습니다. 예를 들어 고객이 소셜 또는 로컬 계정을 사용하여 자동차 보험 애플리케이션에 로그인할 수 있지만 동일한 디렉터리에 등록된 주택 보험 애플리케이션에 액세스하기 전에 전화번호를 확인해야 합니다.
• 일반적으로 애플리케이션에 액세스하는 데 다단계 인증이 필요하지만 해당 애플리케이션 내의 중요한 부분에 액세스하려면 다단계 인증이 필요하지 않습니다. 예를 들면 고객이 소셜 또는 로컬 계정으로 은행 애플리케이션에 로그인하여 계정 잔액을 확인할 수 있지만, 전신 송금을 시도하기 전에 전화번호를 확인해야 합니다.

필수 조건

확인 방법

조건부 액세스를 사용하면 관리자로서 결정할 수 있는 구성에 따라 사용자에게 MFA 문제가 발생할 수도 있고, 그렇지 않을 수도 있습니다. 다단계 인증 방법은 다음과 같습니다.

• 이메일 - 로그인할 때 사용자에게 OTP(일회용 암호)가 포함된 확인 이메일이 전송됩니다. 사용자가 애플리케이션에 이메일로 전송된 OTP 코드를 입력합니다.
• SMS 또는 전화 통화 - 처음 가입하거나 로그인할 때 사용자에게 전화번호를 입력하고 확인하라는 메시지가 표시됩니다. 후속 로그인 시 사용자에게 코드 보내기 또는 전화 번호 옵션을 선택하라는 메시지가 표시됩니다. 사용자의 선택에 따라 확인된 전화번호로 문자 메시지를 보내거나 전화를 걸어 사용자를 식별합니다. 사용자는 문자 메시지를 통해 전송된 OTP 코드를 입력하거나 전화 통화를 승인합니다.
• 전화 통화만 - SMS 또는 전화 통화 옵션과 동일한 방식으로 작동하지만 전화 통화만 이루어집니다.
• SMS만 - SMS 또는 전화 통화 옵션과 동일한 방식으로 작동하지만 문자 메시지만 전송됩니다.
• Authenticator 앱 - TOTP - 사용자는 Microsoft Authenticator 앱과 같이 TOTP(시간 기반 일회용 암호) 확인 기능을 지원하는 인증자 앱을 자신이 소유한 디바이스에 설치해야 합니다. 처음 가입하거나 로그인할 때 사용자가 QR 코드를 스캔하거나 인증자 앱을 이용해 코드를 수동으로 입력합니다. 후속 로그인 중에는 사용자가 인증자 앱에 표시되는 TOTP 코드를 입력합니다. Microsoft Authenticator 앱을 설정하는 방법을 참조하세요.

다단계 인증 설정

인증자 앱을 사용하여 TOTP에 사용자 등록(최종 사용자)

Azure AD B2C 애플리케이션에서 TOTP 옵션을 MFA에 사용하는 경우 최종 사용자는 인증자 앱을 사용하여 TOTP 코드를 생성해야 합니다. 사용자는 Microsoft Authenticator 앱 또는 TOTP 확인 기능을 지원하는 다른 인증자 앱을 이용할 수 있습니다. Microsoft Authenticator 앱을 사용하는 경우 Azure AD B2C 시스템 관리자는 다음 단계를 이용하여 최종 사용자에게 Microsoft Authenticator 앱을 설정하라고 알려주어야 합니다.

1. Android 또는 iOS 모바일 디바이스에 Microsoft Authenticator 앱을 다운로드하여 설치합니다.
2. TOTP를 MFA에 사용해야 하는 Azure AD B2C 애플리케이션(예: Contoso 웹앱)을 연 다음, 필수 정보를 입력하여 로그인하거나 가입합니다.
3. 인증자 앱으로 QR 코드를 스캔하여 계정을 등록하라는 메시지가 표시되면 휴대폰에서 Microsoft Authenticator 앱을 열고 오른쪽 상단에서 3개의 점이 있는 메뉴 아이콘(Android) 또는 + 메뉴 아이콘(iOS)을 선택합니다.
4. + 계정 추가를 선택합니다.
5. 기타 계정(Google, Facebook 등)을 선택한 다음, Azure AD B2C 애플리케이션에 표시된 QR 코드를 스캔하여 계정을 등록합니다. QR 코드를 스캔할 수 없는 경우 계정을 수동으로 추가하면 됩니다.
   1. 휴대폰의 Microsoft Authenticator 앱에서 그렇지 않은 경우 수동으로 코드 입력을 선택합니다.
   2. Azure AD B2C 애플리케이션에서 여전히 문제가 있나요?를 선택합니다. 그러면 계정 이름과 비밀이 표시됩니다.
   3. Microsoft Authenticator 앱에서 계정 이름과 비밀을 입력한 다음, 마침을 선택합니다.
6. Azure AD B2C 애플리케이션에서 계속을 선택합니다.
7. Microsoft Authenticator 앱에 표시되는 코드를 코드 입력에 입력합니다.
8. 선택 후확인합니다.
9. 차후 애플리케이션에 로그인할 때 Microsoft Authenticator 앱에 표시되는 코드를 입력합니다.

OATH 소프트웨어 토큰에 대해 알아보세요.

사용자의 TOTP 인증자 등록 삭제(시스템 관리자용)

Azure AD B2C에서 사용자의 TOTP 인증자 앱 등록을 삭제할 수 있습니다. 그런 다음 사용자기 TOTP 인증을 다시 이용하려면 계정을 재등록해야 합니다. 사용자의 TOTP 등록을 삭제하려면 Azure Portal 또는 Microsoft Graph API를 사용하면 됩니다.

Azure Portal을 사용하여 TOTP 인증자 앱 등록 삭제

1. Azure Portal에 로그인합니다.
2. 여러 테넌트에 액세스할 수 있는 경우 상단 메뉴의 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 Azure AD B2C 테넌트로 전환합니다.
3. 왼쪽 메뉴에서 사용자를 선택합니다.
4. TOTP 인증자 앱 등록을 삭제할 사용자를 검색하여 선택합니다.
5. 왼쪽 메뉴에서 인증 방법을 선택합니다.
6. 사용 가능한 인증 방법에서 소프트웨어 OATH 토큰을 찾은 다음, 그 옆에 있는 줄임표 메뉴를 선택합니다. 이 인터페이스가 표시되지 않으면 "새 사용자 인증 방법 환경으로 전환하세요! 지금 이 환경을 사용하려면 여기를 클릭하세요." 옵션을 선택하여 새로운 인증 방법 환경으로 전환합니다.
7. 삭제를 선택한 다음, 예를 선택하여 확인합니다.

Microsoft Graph API를 사용하여 TOTP 인증자 앱 등록 삭제

Microsoft Graph API를 이용하여 사용자의 소프트웨어 OATH 토큰 인증 방법을 삭제하는 방법에 대해 알아봅니다.

국가/지역별 SMS 가격 책정

다음 표는 다양한 국가 또는 지역의 SMS 기반 인증 서비스에 대한 다양한 가격 책정 계층에 대한 세부 정보를 제공합니다. 가격 책정에 관한 세부 정보는 Azure AD B2C 가격 책정을 참조하세요.

SMS는 추가 기능이므로 연결된 구독이 필요합니다. 구독이 만료되거나 취소된 경우 최종 사용자는 더 이상 SMS를 사용하여 인증할 수 없으므로 MFA 정책에 따라 로그인을 차단할 수 있습니다.