4. 사용자가 MS Entra 셀프 서비스 암호 재설정을 통해 암호를 초기화 할 수 있도록 허용

Microsoft Entra ID의 셀프 서비스 암호 재설정이란?

SSPR = 셀프 서비스 암호 재설ㄹ정

SSPR 쓰는 이유

이미 로그인 된 사용자는 암호 변경이 가능함. 하지만 로그아웃 상태이거나 암호를 잊었다면? SSPR을 통해 브라우저나 Windows 로그인 화면에서 암호를 재설정 하면 됨 ㅇㅇ

지원 센터에 전화 안해도 스스로 문제 해결 가능해짐. 암호 잊어버려도 큰 걱정이 없어짐. 관리자가 재설정 해줄 때 까지 기다리지 않아도 됨.

SSPR 작동 방식

암호 재설정 포털이나 로그인 화면의 링크로 재설정 가능. 재설정 과정은..

1. 지역화: 브라우저 위치 확인, 이에 따른 언어로 SSPR 페이지 렌더링
2. 검증: 사용자가 이름 입력하고 CAPCHA로 사람임을 인증
3. 인증: 신원 확인에 필요한 데이터 입력(코드, 보안 질문 등)
4. 암호 재설정: 새 암호 입력하고 확인
5. 알림: 재설정 알림 메세지 전송

SSPR 환경을 사용자 지정 할 수도 있음 (회사 로고를 넣는다거나)

암호 재설정 인증

암호 바꾸기 전에 ID 확인하는건 당연한거죠 ㅇㅇ 올바른 사용자 확인을 위한 6가지 방법이 있음…

• 모바일 앱 알림
  • Microsoft Authenticator 앱으로 다단계 인증
• 모바일 앱 코드
  • 위와 같은 방법임
• 메일
  • M365 외부 메일주소 제공하면 코드 받음
• 휴대전화
  • 메세지로 코드 옴
• 사무실 전화
  • 전화받음
• 본인 확인 질문

최소 인증 방법 수 필요

인증 방법의 최소 갯수를 하나 or 두개 지정 가능. 최소 두개 하면 안전하겠죠 ㅇㅇ 아무튼 최소 인증 수 만큼 등록하면 SSPR에 등록 된 것으로 간주됨.

권장 구성

• 두 개 이상 인증 방법 사용을 권장함.
• 앱 알림 or 코드가 기본값. 이메일이나 사무실 전화로도 가능.
• 휴대폰은 스팸때문에 비권장
• 본인 확인 질문도 마찬가지임

관리자 역할에 연결된 계정

• 2개 인증 정책은 항상 관리자 역할 계정에 적용됨.
• 관리자 역할 계정에는 본인 확인 질문 << 사용 불가

알림 구성

관리자가 암호 변경된거 알리는 방법 선택할 수 있음:

• 사용자에게 암호 재설정 알림
• 다른 관리자가 재설정 시 모든 관리자에게 알림

라이선스 요구 사항

로그인 한 사용자 << Entra ID 버전 무관 암호 변경 가능 로그인 안함 or 암호 잊음 or 암호 만료 << P1 or P2, SSPR 사용 온프레미스 AD + Entra ID >> 클라우드의 암호 변경이 온프레미스 리렉토리에 쓰기 저장(P1, P2에서 지원) 되어야 함.

SSPR 배포 옵션

Entra Connect, cloud sync로 비번 쓰기 저장이 포함된 SSPR 배포 가능. 옵션별로 다양한 도메인에 병렬 배포 가능. 만약 회사가 합병되거나 분할되었다 → 옵션 변경 → 온프레미스 사용자가 변경 내용 쓰기 저장 가능. (기존 외 합병된)새로운 사용자 → 다른 도메인에서 클라우드 동기화 가능

cloud sync << Entra Connect 인스턴스 사용 X << 가용성 좋음

Microsoft Entra 셀프 서비스 암호 재설정 구현

너네 조직에서 SSPR 쓰기로 했고, 너네 부서에 20명에게 SSPR 사용 시작하려고 함. 이걸 전제로 함 해보자고.

필수 조건

SSPR 구성을 시작하기 전에 필요한 것들

• MS Entra 조직: 당연
• 전역 관리자 권한의 Entra 계정: 당연
• 비관리 사용자 계정: 우리 사용자 실험체
• 구성 테스트 할 보안 그룹: 우리 부서 실험체

SSPR 출시 범위

SSPR 사용 속성에 대한 세 가지 설정이 있음.

• 없음
  • Entra의 어떤 조직도 SSPR 사용 못 함
  • 기본값
• 선택됨
  • 지정된 보안 그룹 멤버만 사용 가능
  • 테스트 후 적용에 사용됨
  • 광범위 배포 준비 되면 ‘사용’으로 속성 변경
• 전체
  • Entra 조직의 모든 사용자가 SSPR 사용 가능

SSPR 구성

SSPR 구성하기 위한 단계임.

1. Azure Portal에서 MS Entra ID → 관리 → 암호
2. properties
   1. SSPR 사용하도록 설정
   2. 모든 사용자 or 선택 사용자 사용할 수 있게 설정
   3. 선택 사용자 설정하려면 보안 그룹 지정해야 함. 이 그룹 멤버는 SSPR 사용가능
3. 인증 방법
   1. 재설정에 필요한 방법 수 선택
   2. 사용 가능한 인증 방법 선택
4. 등록
   1. 다음 로그인 시 SSPR 등록해야 하는지 여부 지정
   2. 인증 정보 다시 확인해야하는 빈도 지정
5. 알림
   1. 사용자, 관리자에게 암호 재설정 알릴지 여부 선택