Microsoft Entra ID를 사용하여 Windows 10 및 11 디바이스에 FIDO2 보안 키 로그인 사용
이 문서에서는 Windows 10 및 11 디바이스에서 FIDO2 보안 키 기반 암호 없는 인증을 사용하도록 설정하는 데 중점을 둡니다. 이 문서의 단계를 완료한 후에는 FIDO2 보안 키를 사용하여 Microsoft Entra ID와 Microsoft Entra 하이브리드 조인 Windows 디바이스에 Microsoft Entra 계정으로 로그인할 수 있습니다.
요구 사항
| 장치 유형 | Microsoft Entra 조인됨 | Microsoft Entra 하이브리드 조인됨 |
|---|---|---|
| Microsoft Entra 다단계 인증 FAQ | X | X |
| 결합된 보안 정보 등록 | X | X |
| 호환되는 FIDO2 보안 키 | X | X |
| WebAuthN에는 Windows 10 버전 1903 이상이 필요 | X | X |
| Microsoft Entra 조인 디바이스에는 Windows 10 버전 1909 이상이 필요 | X | |
| Microsoft Entra 하이브리드 조인 디바이스에는 Windows 10 버전 2004 이상이 필요 | X | |
| Windows Server 2016/2019 도메인 컨트롤러를 완전히 패치했습니다. | X | |
| Microsoft Entra 하이브리드 인증 관리 모듈 | X | |
| Microsoft Intune(옵션) | X | X |
| 프로비저닝 패키지(옵션) | X | X |
| 그룹 정책(옵션) | X |
지원되지 않는 시나리오
다음 시나리오는 지원되지 않습니다.
- Microsoft Authenticator에서 암호를 사용하여 Windows 디바이스에 로그인하거나 잠금을 해제합니다.
- Windows Server AD DS(Active Directory Domain Services) 도메인 조인(온-프레미스 전용 디바이스) 배포
- WEBauthn 리디렉션 이외의 보안 키를 사용하는 RDP, VDI 및 Citrix와 같은 시나리오
- 보안 키를 사용하는 S/MIME
- 보안 키를 사용하여 실행합니다.
- 보안 키를 사용하여 서버에 로그인합니다.
- 온라인 상태에서 보안 키를 사용하여 디바이스에 로그인하지 않는 경우 이를 사용하여 오프라인으로 로그인하거나 잠금을 해제할 수 없습니다.
- 여러 Microsoft Entra 계정이 포함된 보안 키를 사용하여 Windows 디바이스에 로그인하거나 잠금을 해제합니다. 본 시나리오에서는 보안 키에 추가한 마지막 계정을 사용합니다. 사용자는 WebAuthN을 통해 사용할 계정 키를 선택할 수 있습니다.
- Windows 10 버전 1809를 실행하는 디바이스 잠금 해제 최상의 환경을 위해 Windows 10 버전 1903 이상을 사용합니다.
디바이스 준비
Microsoft Entra 조인 디바이스는 Windows 10 버전 1909 이상을 실행해야 합니다.
Microsoft Entra 하이브리드 조인 디바이스는 Windows 10 버전 2004 이상을 실행해야 합니다.
Windows 로그인을 위한 보안 키 활성화
조직에서는 다음 방법 중 하나 이상을 사용하여 조직의 요구 사항에 따라 Windows 로그인에 보안 키를 사용하도록 설정할 수 있습니다.
- Microsoft Intune으로 사용하도록 설정
- 대상 Microsoft Intune 배포
- 프로비저닝 패키지로 활성화
- 그룹 정책으로 사용하도록 설정(Microsoft Entra 하이브리드 조인 디바이스에만 해당)
Important
Microsoft Entra 하이브리드 조인 디바이스를 사용하는 조직은 Windows 10 FIDO2 보안 키 인증이 작동하기 전에 온-프레미스 리소스에 대한 FIDO2 인증 사용 문서의 단계를 완료해야 합니다.
Microsoft Entra 조인 디바이스를 사용하는 조직은 해당 디바이스가 FIDO2 보안 키를 사용하여 온-프레미스 리소스에 인증하기 전에 이 작업을 수행해야 합니다.
Microsoft Intune으로 사용하도록 설정
Intune을 사용해 보안 키 사용을 활성화하려면 다음 단계를 완료합니다.
- Microsoft Intune 관리 센터에 로그인합니다.
- 디바이스>디바이스 등록>Windows 등록>비즈니스용 Windows Hello로 이동합니다.
- 로그인에 보안 키 사용을 사용으로 설정합니다.
로그인을 위한 보안 키 구성은 비즈니스용 Windows Hello 구성에 종속되지 않습니다.
참고 항목
이렇게 하면 이미 프로비전된 디바이스에서 보안 키를 사용할 수 없습니다. 이 경우 다음 메서드(대상 지정 Intune 배포)를 사용
대상 Intune 배포
자격 증명 공급자를 사용하도록 특정 디바이스 그룹을 지정하려면, Intune을 통해 다음 사용자 지정 설정을 사용합니다.
- Microsoft Intune 관리 센터에 로그인합니다.
- 디바이스>Windows>구성 프로필>프로필 만들기로 이동합니다.
- 새 프로필을 다음 설정으로 구성합니다.
- 플랫폼 Windows 10 이상
- 프로필 유형: 템플릿 > 사용자 지정
- 이름: Windows 로그인 보안 키
- 설명: Windows 로그인 도중 사용할 FIDO 보안 키 사용
- 다음>추가를 선택하고 행 추가에서 다음 사용자 지정 OMA-URI 설정을 추가합니다.
- 이름: Windows 로그인용 FIDO 보안 키 켜기
- 설명: (선택 사항)
- OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
- 데이터 형식: 정수
- 값: 1
- 특정 사용자, 디바이스 또는 그룹을 포함하여 정책 설정의 다시 기본der를 할당합니다. 자세한 내용은 Microsoft Intune에서 사용자 및 디바이스 프로필 할당 문서를 참조하세요.
프로비저닝 패키지로 활성화
Microsoft Intune으로 관리하지 않는 디바이스의 경우, 해당 기능을 사용하기 위해 프로비전 패키지를 설치할 수 있습니다. Microsoft Store에서 Windows 구성 디자이너 앱을 설치할 수 있습니다. 프로비저닝 패키지를 만들려면 다음 단계를 완료합니다.
- Windows 구성 디자이너를 시작합니다.
- 파일>새 프로젝트를 선택합니다.
- 프로젝트에 이름을 지정하고 프로젝트 생성 경로를 기록한 뒤 다음을 선택합니다.
- 프로비저닝 패키지를 선택한 프로젝트 워크플로가 선택된 상태로 두고 다음을 선택합니다.
- 모든 Windows 데스크톱 버전을 표시 및 구성할 설정 선택에서 선택한 뒤 다음을 선택합니다.
- 마침을 선택합니다.
- 새로 만든 프로젝트에서 런타임 설정>WindowsHelloForBusiness>SecurityKeys>UseSecurityKeyForSignIn으로 이동합니다.
- UseSecurityKeyForSignIn을 사용으로 설정합니다.
- 내보내기>프로비저닝 패키지를 선택
- 빌드 창은 프로비저닝 패키지 설명 아래의 기본값을 그대로 두고 다음을 선택합니다.
- 빌드 창은 프로비저닝 패키지 보안 세부 정보 선택 아래의 기본값을 그대로 두고 다음을 선택합니다.
- 빌드 창의 경로는 프로비저닝 패키지 저장 위치 선택 아래에 경로를 기록하거나 변경한 뒤 다음을 선택합니다.
- 빌드를 프로비저닝 패키지 빌드 페이지에서 선택합니다.
- 생성된 파일 두 개(ppkg 및 cat)를 나중에 머신에 적용할 수 있는 위치에 저장합니다.
- 만든 프로비저닝 패키지를 적용하려면 프로비저닝 패키지 적용을 참조하세요.
참고 항목
Windows 10 버전 1903을 실행하는 디바이스가 공유 PC 모드(EnableSharedPCMode)도 사용하도록 설정해야 합니다. 해당 기능 사용 설정과 관련된 자세한 내용은 Windows 10을 사용하여 공유 또는 게스트 PC 설정하기를 참조하세요.
그룹 정책으로 활성화
Microsoft Entra 하이브리드 조인 디바이스의 경우 조직은 FIDO 보안 키 로그인을 사용하도록 다음 그룹 정책 설정을 구성할 수 있습니다. 컴퓨터 구성>관리 템플릿>시스템>로그온>보안 키 로그인 켜기에서 설정을 확인할 수 있습니다.
- 이 정책을 사용으로 설정하면 사용자가 보안 키를 통해 로그인할 수 있습니다.
- 이 정책을 사용하지 않음 또는 구성되지 않음으로 설정하면 사용자가 보안 키를 통해 로그인할 수 없게 됩니다.
해당 그룹 정책 설정에는 업데이트된 버전의 CredentialProviders.admx 그룹 정책 템플릿이 필요합니다. 이 새 템플릿은 Windows Server 및 Windows 10 20H1 다음 버전에서 사용할 수 있습니다. 이 설정은 이러한 최신 버전의 Windows 중 하나를 실행하는 디바이스로 관리하거나 다음 지침에 따라 중앙에서 관리할 수 있습니다. 그룹 정책용 중앙 저장소를 만들고 관리하는 방법관리 Windows의 기존 템플릿.
FIDO2 보안 키로 로그인
이 예제에서 Bala Sandhu라는 사용자가 이전 문서 인 암호 없는 보안 키 로그인 사용의 단계를 사용하여 FIDO2 보안 키를 이미 프로비전했습니다. Microsoft Entra 하이브리드 조인 디바이스의 경우 온-프레미스 리소스에 암호 없는 보안 키 로그인도 사용하도록 설정했는지 확인합니다. Bala는 Windows 10 잠금 화면에서 보안 키 자격 증명 공급자를 선택하고 Windows에 로그인하도록 보안 키를 삽입할 수 있습니다.
보안 키 생체 인식, PIN 관리 또는 보안 키 다시 설정
- Windows 10 버전 1903 이상
- 사용자는 디바이스의 >계정>보안 키에서 Windows 설정을 열 수 있습니다.
- 사용자는 자신의 PIN을 변경하고, 생체 인식을 업데이트하거나 보안 키를 다시 설정할 수 있습니다.
문제 해결 및 피드백
본 기능과 관련된 피드백을 공유하고자 하거나 문제가 발생한 경우 다음 단계에 따라 Windows 피드백 허브 앱을 통해 공유합니다.
- 피드백 허브를 시작하고 로그인했는지 확인합니다.
- 다음 분류에 따라 피드백을 제출합니다.
- 범주: 보안 및 개인 정보
- 하위 범주: FIDO
- 로그를 캡처하려면 옵션을 통해 문제 다시 만들기를 실행합니다.
다음 단계
Microsoft Entra ID 및 Microsoft Entra 하이브리드 조인 디바이스에 대한 온-프레미스 리소스 액세스 사용