다음을 통해 공유


Configuration Manager 비즈니스용 Windows Hello 설정

적용 대상: Configuration Manager(현재 분기)

Configuration Manager 비즈니스용 Windows Hello 통합됩니다. (이 기능은 이전에 Microsoft Passport for Work라고 했습니다.) 비즈니스용 Windows Hello Windows 10 디바이스에 대한 대체 로그인 방법입니다. Active Directory 또는 Microsoft Entra 계정을 사용하여 암호, 스마트 카드 또는 가상 스마트 카드 대체합니다. 비즈니스용 Hello를 사용하면 사용자 제스처 를 사용하여 암호 대신 로그인할 수 있습니다. 사용자 제스처는 PIN, 생체 인식 인증 또는 지문 판독기 같은 외부 디바이스일 수 있습니다.

중요

버전 2203부터 이 회사 리소스 액세스 기능은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.

ADFS RA(Active Directory Federation Services 등록 기관) 배포는 더 간단하고, 더 나은 사용자 환경을 제공하며, 보다 결정적인 인증서 등록 환경을 제공합니다. 비즈니스용 Windows Hello 인증서 기반 인증에 ADFS RA를 사용합니다.

자세한 내용은 비즈니스용 Windows Hello를 참조하세요.

참고

Configuration Manager 기본적으로 이 선택적 기능을 사용하도록 설정하지 않습니다. 이 기능을 사용하려면 먼저 이 기능을 사용하도록 설정해야 합니다. 자세한 내용은 업데이트에서 선택적 기능 사용을 참조하세요.

Configuration Manager 다음과 같은 방법으로 비즈니스용 Windows Hello 통합됩니다.

  • 사용자가 로그인하는 데 사용할 수 있고 사용할 수 없는 제스처를 제어합니다.

  • 인증 인증서를 비즈니스용 Windows Hello KSP(키 스토리지 공급자)에 저장합니다. 자세한 내용은 인증서 프로필을 참조하세요.

  • 비즈니스용 Windows Hello 프로필을 만들고 배포하여 Configuration Manager 클라이언트를 실행하는 도메인 가입 Windows 10 디바이스에 대한 설정을 제어합니다. 버전 1910부터 인증서 기반 인증을 사용할 수 없습니다. 키 기반 인증을 사용하는 경우 인증서 프로필을 배포할 필요가 없습니다.

프로필 구성

  1. Configuration Manager 콘솔에서 자산 및 호환성 작업 영역으로 이동합니다. 준수 설정을 확장하고 회사 리소스 액세스를 확장한 다음 비즈니스용 Windows Hello 프로필 노드를 선택합니다.

  2. 리본에서 비즈니스용 Windows Hello 프로필 만들기를 선택하여 프로필 마법사를 시작합니다.

  3. 일반 페이지에서 이 프로필에 대한 이름 및 선택적 설명을 지정합니다.

  4. 지원되는 플랫폼 페이지에서 이 프로필이 적용되어야 하는 OS 버전을 선택합니다.

  5. 설정 페이지에서 다음 설정을 구성합니다.

    • 비즈니스용 Windows Hello 구성: 이 프로필이 비즈니스용 Hello를 사용하도록 설정, 사용 안 함 또는 구성하지 않는지 여부를 지정합니다.

    • TPM(신뢰할 수 있는 플랫폼 모듈) 사용: TPM은 추가적인 데이터 보안 계층을 제공합니다. 다음 값 중 하나를 선택합니다.

      • 필수: 액세스 가능한 TPM이 있는 디바이스만 비즈니스용 Windows Hello 프로비전할 수 있습니다.

      • 기본 설정: 디바이스는 먼저 TPM을 사용하려고 시도합니다. 사용할 수 없는 경우 소프트웨어 암호화를 사용할 수 있습니다.

    • 인증 방법: 이 옵션을 구성되지 않음 또는 키 기반으로 설정합니다.

      참고

      버전 1910부터 Configuration Manager 비즈니스용 Windows Hello 설정을 사용한 인증서 기반 인증은 지원되지 않습니다.

    • 최소 PIN 길이 구성: 사용자의 PIN에 최소 길이가 필요한 경우 이 옵션을 사용하도록 설정하고 값을 지정합니다. 사용하도록 설정하면 기본값은 입니다 4.

    • 최대 PIN 길이 구성: 사용자의 PIN에 최대 길이가 필요한 경우 이 옵션을 사용하도록 설정하고 값을 지정합니다. 사용하도록 설정하면 기본값은 입니다 127.

    • PIN 만료(일) 필요: 사용자가 디바이스 PIN을 변경해야 하는 일 수를 지정합니다.

    • 이전 PIN 재사용 방지: 사용자가 이전에 사용한 PIN을 사용하도록 허용하지 않습니다.

    • PIN에서 대문자 필요: 사용자가 비즈니스용 Windows Hello PIN에 대문자를 포함해야 하는지 여부를 지정합니다. 다음 중에서 선택합니다.

      • 허용됨: 사용자는 PIN에서 대문자를 사용할 수 있지만 사용할 필요는 없습니다.

      • 필수: 사용자는 PIN에 하나 이상의 대문자를 포함해야 합니다.

      • 허용되지 않음: 사용자는 PIN에서 대문자를 사용할 수 없습니다.

    • PIN에서 소문자 필요: 사용자가 비즈니스용 Windows Hello PIN에 소문자를 포함해야 하는지 여부를 지정합니다. 다음 중에서 선택합니다.

      • 허용됨: 사용자는 PIN에서 소문자를 사용할 수 있지만 사용할 필요는 없습니다.

      • 필수: 사용자는 PIN에 하나 이상의 소문자를 포함해야 합니다.

      • 허용되지 않음: 사용자는 PIN에서 소문자를 사용할 수 없습니다.

    • 특수 문자 구성: PIN에서 특수 문자를 사용하도록 지정합니다. 다음 중에서 선택합니다.

      참고

      특수 문자에는 다음 집합이 포함됩니다.

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • 허용됨: 사용자는 PIN에 특수 문자를 사용할 수 있지만 사용할 필요는 없습니다.

      • 필수: 사용자는 PIN에 하나 이상의 특수 문자를 포함해야 합니다.

      • 허용되지 않음: 사용자는 PIN에서 특수 문자를 사용할 수 없습니다. 설정이 구성되지 않은 경우에도 이 동작이 수행됩니다.

    • PIN에서 숫자 사용 구성: PIN에서 숫자 사용을 지정합니다. 다음 중에서 선택합니다.

      • 허용됨: 사용자는 PIN에서 숫자를 사용할 수 있지만 사용할 필요는 없습니다.

      • 필수: 사용자가 PIN에 하나 이상의 숫자를 포함해야 합니다.

      • 허용되지 않음: 사용자는 PIN에서 숫자를 사용할 수 없습니다.

    • 생체 인식 제스처 사용: 얼굴 인식 또는 지문과 같은 생체 인식 인증을 사용합니다. 이러한 모드는 비즈니스용 Windows Hello PIN 대신 사용할 수 있습니다. 생체 인식 인증이 실패할 경우 사용자는 여전히 PIN을 구성합니다.

      예로 설정하면 비즈니스용 Windows Hello 생체 인식 인증을 허용합니다. 아니요로 설정하면 비즈니스용 Windows Hello 모든 계정 유형에 대한 생체 인식 인증을 방지합니다.

    • 향상된 스푸핑 방지 사용: 스푸핑 방지를 지원하는 디바이스에서 향상된 스푸핑 방지를 구성합니다. 지원되는 경우 예로 설정하면 모든 사용자가 얼굴 기능에 스푸핑 방지를 사용해야 합니다.

    • 휴대폰 로그인 사용: 휴대폰으로 2단계 인증을 구성합니다.

  6. 마법사를 완료합니다.

다음 스크린샷은 비즈니스용 Windows Hello 프로필 설정의 예입니다.

사용 가능한 설정 목록을 보여 주는 비즈니스용 Windows Hello 정책 마법사

권한 구성

  1. 도메인 관리자 또는 동등한 자격 증명으로 RSAT: Active Directory Domain Services 및 경량 디렉터리 서비스 도구라는 선택적 기능이 설치된 안전한 관리 워크스테이션에 로그인합니다.

  2. Active Directory 사용자 및 컴퓨터 콘솔을 엽니다.

  3. 도메인을 선택하고 작업 메뉴로 이동한 다음 속성을 선택합니다.

  4. 보안 탭으로 전환하고 고급을 선택합니다.

    보안 탭이 표시되지 않으면 속성 창을 닫습니다. 보기 메뉴로 이동하여 고급 기능을 선택합니다.

  5. 추가를 선택합니다.

  6. 보안 주체 선택을 선택하고 를 입력합니다Key Admins.

  7. 적용 대상 목록에서 하위 사용자 개체를 선택합니다.

  8. 페이지 아래쪽에서 모두 지우기를 선택합니다.

  9. 속성 섹션에서 msDS-KeyCredentialLink 읽기를 선택합니다.

  10. 확인을 선택하여 변경 내용을 저장하고 모든 창을 닫습니다.

다음 단계

인증서 프로필