[M365] 레거시 MFA 및 SSPR 정책의 인증 방법을 Azure AD 인증 방법 정책으로 마이그레이션

Microsoft로부터 2024년 9월 30일 이후 레거시 MFA(다단계 인증) 및 SSPR(셀프 서비스 암호 재설정) 정책에서 인증 방법 관리 지원 만료(종료?ㅎㅎ)에 대한 내용이 techcommunity blog에 공지 되었습니다. MFA 및 SSPR 인증 방법 관리가 나눠져 있다가 한 곳에 모여지는 것을 보면 마이그레이션 + 통합 관리와 같은 개념으로 이해됩니다.

​

당장 마이그레이션을 진행해야 하는 것은 아니지만 레거시 MFA 및 SSPR을 사용하고 있는 환경은 이후 마이그레이션을 위해 현재 설정된 MFA 및 SSPR에 대한 인증 방법/적용 대상을 미리 파악하고 기록해두는 것이 좋겠습니다.

https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/microsoft-entra-change-announcements-march-2023-train/ba-p/2967448

Microsoft Entra Change Announcements – March 2023 Train

 

관련하여 아래와 같은 전자 메일을 수신할 수도 있습니다.

​

Azure AD에 대한 인증 방법 관리는 다음 내용을 참고하시기 바랍니다.

https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-methods-manage

Manage authentication methods - Microsoft Entra

 

MFA(다단계 인증)를 사용하고는 있는데... 레거시 MFA가 무엇인지 궁금하다면... 많이 봐온 아래 화면이 레거시 MFA 라고 보시면 됩니다.

SSPR은 무엇일까요? SSPR은 셀프 암호 재설정을 지원하는 기능입니다.

간단히 말해 계정의 암호를 잊은 경우 암호 변경 등과 같은 작업을 꼭 IT 관리자/담당자가 관리하는 것이 아닌 일반 사용자가 셀프로 자신의 암호를 재설정 할 수 있는 기능입니다. M365 Hybrid 환경인 경우 SSPR Writeback 기능으로 불리기도 합니다.

​

SSPR의 인증방법 정책은 아래 화면과 같습니다.

​

레거시 MFA 와 SSPR을 간단하게 알아보았으니 다음은 마이그레이션 방법을 살펴보겠습니다.

아래 링크 참고하면 이해에 더 도움될 것 같습니다.

https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-authentication-methods-manage

How to migrate to the Authentication methods policy - Microsoft Entra

 

​

1. 마이그레이션 전 테넌트 관리자는 레거시 MFA 및 SSPR의 인증 방법 그리고 적용 대상을 파악 및 기록해야 합니다.​

• 레거시 MFA 서비스 설정 경로

- Azure Active Directory 관리센터 > 사용자 > 모든 사용자 > 사용자별 MFA > 서비스 설정 > 확인(인증) 옵션​

• SSPR 서비스 설정 경로

- Azure Active Directory 관리센터 > 암호 재설정 > 인증 방법

​

예를 들어 마이그레이션 전 기준으로 레거시 MFA 인증 방법과 SSPR 인증 방법을 캡처할 수 있겠죠.

또한 사용자별 MFA 적용 방식을 가져가고 있는지? 또는 조건부 액세스를 통해 MFA 적용하고 있는지? CA를 통한 MFA와 SSPR의 경우 배포 대상이 모든 사용자인지? 특정 그룹 대상인지?를 확인하고 기록할 수 있겠습니다.

​

기록하는 이유는 기존의 인증 방법을 가지고 MFA 또는 SSPR 인증을 받아가고 있는 사용자들에게 Azure AD 인증 방법으로 마이그레이션(통합) 한 이후 잘못된 설정 파악으로 인해 기존과 다른 인증 방법 정책으로 변경되어 발생할 혼선을 방지하기 위함입니다.

기존에 MFA 정책이나 SSPR을 사용하지 않은 환경이라면 관리하려는 설정만 체크해두면 됩니다.

​

2. 기존 정책 현황 기록이 완료되면 마이그레이션을 진행합니다.​

• Azure Active Directory > 보안 > 인증 방법 > 정책 경로로 이동하여 "마이그레이션 관리" 를 클릭합니다.

• "마이그레이션 진행"을 클릭 및 저장합니다.
• 마이그레이션 완료 단계로 넘어가게 되면 새 암호 정책을 적용하도록 설정이 변경되기 때문에 이 단계에서 기존 정책과 새로운 정책을 매칭합니다.

※ 새로운 Azure AD 인증 방법 정책에서는 각 인증 방법에 대해 모든 사용자 또는 특정 그룹을 대상으로 옵션을 설정할 수 있습니다.

이는 정책 대상자들에게 이러한 인증 방법을 제공하겠다는 뜻이고 MFA 를 적용한다는 뜻은 아님을 인지해주시면 되겠습니다.

​

이 단계에서 다음 내용을 함께 참고하시면 좋습니다. 아래에서 안내하는 "메서드"는 인증 방법을 뜻합니다.

https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-authentication-methods-manage#start-the-migration

How to migrate to the Authentication methods policy - Microsoft Entra

 

※ 중요 - 마이그레이션 완료 상태로 변경 전 레거시 MFA 및 SSPR 인증 방법을 비활성화 시켜야 합니다.

​

• 레거시 MFA 인증 방법 비활성화

• SSPR 인증 방법 비활성화

3. 2번 과정의 설정 및 작업 완료 후 레거시 MFA 및 SSPR 정책의 인증 방법을 Azure AD 인증 방법 정책으로 마이그레이션 하기 위해 "마이그레이션 완료" 옵션으로 변경하여 저장합니다.

• 만약 "마이그레이션 완료"으로 변경 및 저장 시 아래와 같이 오류 문구가 나타난다면 기본적으로 활성화된 "이메일 OTP" 옵션 외 다른 인증 옵션 중 하나는 무조건 구성되어야 한다는 내용으로 예를 들어 Microsoft Authenticator 또는 SMS 인증 옵션으로 구성 할 수 있습니다. 2번 과정을 정상적으로 진행하였다면 발생하지 않을 문구이니 참고만 해주세요.

"Persistance of policy failed with error: Cannot disable all auth methods in the user credential policy. Enable at lease one auth method to prevent lockout. [policyMigrationState: MigrationComplete]"

• 만약 "마이그레이션 완료"으로 변경 및 저장 시 아래와 같이 오류 문구가 나타난다면 레거시 MFA 및 SSPR 인증 방법이 비활성화 되지 않은 것입니다. 2번 과정을 참고해주세요.

"새 마이그레이션 상태를 저장할 수 없습니다. 레거시 MFA 및 SSPR 정책에서 모든 메서드를 사용하지 않도록 설정하기 전에는 마이그레이션 완료로 넘어갈 수 없습니다."

4. 레거시 MFA 및 SSPR 정책이 더 이상 필요하지 않다고 판단되고, 정상적으로 설정된 경우 마이그레이션을 완료할 수 있습니다.

​

※ SSPR 정책의 보안 질문을 제외하고 마이그레이션 완료가 설정된 경우 기존의 레거시 정책을 변경할 수 없습니다.

단, 어떠한 이유로 인해 다시 레거시 인증 방법 정책으로 돌아가야 하는 경우 마이그레이션 상태를 마이그레이션 진행 중으로 다시 변경하여 레거시 정책을 관리할 수 있습니다.

​

이상으로 레거시 MFA 및 SSPR 정책의 인증 방법을 Azure AD 인증 방법 정책으로 마이그레이션에 대한 내용을 알아보았습니다.