iOS 및 macOS의 Microsoft Entra 인증서 기반 인증
이 항목에서는 macOS 및 iOS 디바이스에 대한 Microsoft Entra CBA(인증서 기반 인증) 지원을 다룹니다.
macOS 디바이스의 Microsoft Entra 인증서 기반 인증
macOS를 실행하는 디바이스는 CBA를 사용하여 X.509 클라이언트 인증서를 사용하여 Microsoft Entra ID에 대해 인증할 수 있습니다. Microsoft Entra CBA는 디바이스 내 인증서 및 외부 하드웨어 보호 보안 키를 통해 지원됩니다. macOS에서 Microsoft Entra CBA는 모든 브라우저와 Microsoft 자사 애플리케이션에서 지원됩니다.
macOS에서 지원되는 브라우저
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Microsoft Entra CBA를 사용한 macOS 디바이스 로그인
현재 Microsoft Entra CBA는 macOS 컴퓨터에 대한 디바이스 기반 로그인이 지원되지 않습니다. 디바이스에 로그인하는 데 사용되는 인증서는 브라우저 또는 데스크톱 애플리케이션에서 Microsoft Entra ID를 인증하는 데 사용되는 것과 동일한 인증서일 수 있지만 디바이스 로그인 자체는 아직 Microsoft Entra ID에 대해 지원되지 않습니다.
iOS 디바이스의 Microsoft Entra 인증서 기반 인증
iOS를 실행하는 디바이스는 CBA(인증서 기반 인증)를 사용하여 다음에 연결할 때 디바이스의 클라이언트 인증서를 사용하여 Microsoft Entra ID를 인증할 수 있습니다.
- Microsoft Outlook 및 Microsoft Word와 같은 Office 모바일 애플리케이션
- EAS(Exchange ActiveSync) 클라이언트
Microsoft Entra CBA는 네이티브 브라우저의 디바이스 내 인증서와 iOS 디바이스의 Microsoft 자사 애플리케이션에서 지원됩니다.
필수 조건
- iOS 버전은 iOS 9 이상이어야 합니다.
- Microsoft Authenticator는 iOS의 Office 애플리케이션 및 Outlook에 필요합니다.
디바이스 내 인증서 및 외부 스토리지 지원
디바이스 내 인증서는 디바이스에서 프로비전됩니다. 고객은 MDM(모바일 디바이스 관리)을 사용하여 디바이스에서 인증서를 프로비전할 수 있습니다. iOS는 하드웨어 보호 키를 기본적으로 지원하지 않으므로 고객은 인증서에 외부 스토리지 디바이스를 사용할 수 있습니다.
지원되는 플랫폼
- 네이티브 브라우저만 지원됩니다.
- 최신 MSAL 라이브러리 또는 Microsoft Authenticator를 사용하는 애플리케이션은 CBA를 수행할 수 있습니다.
- 프로필이 있는 Edge, 사용자가 계정을 추가하고 프로필에 로그인하면 CBA를 지원합니다.
- 최신 MSAL 라이브러리 또는 Microsoft Authenticator가 있는 Microsoft 자사 앱은 CBA를 수행할 수 있습니다.
브라우저
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ❌ | ❌ | ✅ | ❌ |
Microsoft 모바일 애플리케이션 지원
| 애플리케이션 | 지원 |
|---|---|
| Azure Information Protection 앱 | ✅ |
| 회사 포털 | ✅ |
| Microsoft Teams | ✅ |
| Office(모바일) | ✅ |
| OneNote | ✅ |
| OneDrive | ✅ |
| Outlook | ✅ |
| Power BI | ✅ |
| 비즈니스용 Skype | ✅ |
| Word / Excel / PowerPoint | ✅ |
| Yammer | ✅ |
Exchange ActiveSync 클라이언트에 대한 지원
iOS 9 이상에서, 네이티브 iOS 메일 클라이언트가 지원됩니다.
이메일 애플리케이션이 Microsoft Entra CBA를 지원하는지 확인하려면 애플리케이션 개발자에게 문의하세요.
하드웨어 보안 키에 대한 인증서 지원
프라이빗 키 액세스를 보호하기 위해 PIN과 함께 하드웨어 보안 키와 같은 인증서를 외부 디바이스에서 프로비전할 수 있습니다. 하드웨어 보안 키와 결합된 Microsoft의 모바일 인증서 기반 솔루션은 간단하고 편리한 FIPS(Federal Information Processing Standard) 인증 피싱 방지 MFA 방법입니다.
iOS 16/iPadOS 16.1의 경우 Apple 디바이스는 USB-C 또는 Lightning 연결 CCID 규격 스마트 카드에 대한 네이티브 드라이버 지원을 제공합니다. 즉, iOS 16/iPadOS 16.1의 Apple 디바이스는 추가 드라이버 또는 타사 앱을 사용하지 않고 USB-C 또는 Lightning 연결 CCID 규격 디바이스를 스마트 카드로 볼 수 있습니다. Microsoft Entra CBA는 USB-A, USB-C 또는 Lightning 연결 CCID 호환 스마트 카드에서 작동합니다.
하드웨어 보안 키에 대한 인증서의 이점
인증서가 있는 보안 키:
- 모든 디바이스에서 사용할 수 있으며 사용자의 모든 디바이스에서 인증서를 프로비저닝할 필요가 없습니다.
- PIN으로 하드웨어를 보호하여 피싱을 방지합니다.
- 인증서의 프라이빗 키에 액세스하기 위한 두 번째 요소로 PIN을 사용하여 다단계 인증을 제공합니다.
- 별도의 디바이스에 MFA를 설치해야 하는 업계 요구 사항을 충족합니다.
- FIDO2(Fast Identity Online 2) 키를 포함하는 여러 자격 증명을 저장할 수 있는 향후 언어 교정에 도움이 됩니다.
YubiKey를 사용하는 iOS 모바일의 Microsoft Entra CBA
네이티브 Smartcard/CCID 드라이버는 Lightning 연결 CCID 규격 스마트 카드용 iOS/iPadOS에서 사용할 수 있지만 YubiKey 5Ci Lightning 커넥터는 Yubico Authenticator와 같은 PIV(개인 ID 검증) 미들웨어를 사용하지 않고도 이러한 디바이스에서 연결된 스마트 카드로 표시되지 않습니다.
일회성 등록 필수 구성 요소
- 스마트 카드 인증서가 프로비저닝된 PIV 지원 YubiKey
- v14.2 이상이 있는 iPhone에서 iOS용 Yubico Authenticator 앱 다운로드
- 앱을 열고 YubiKey를 삽입하거나 NFC(근거리 통신)를 탭하고 단계에 따라 iOS 키 집합에 인증서 업로드
iOS 모바일의 Microsoft 앱에서 YubiKey를 테스트하는 단계
- 최신 Microsoft Authenticator 앱을 설치합니다.
- Outlook을 열고 YubiKey를 연결합니다.
- 계정 추가를 선택하고 UPN(사용자 계정 이름)을 입력합니다.
- 계속을 클릭하면 iOS 인증서 선택기가 나타납니다.
- 사용자 계정과 연결된 YubiKey에서 복사한 퍼블릭 인증서를 선택합니다.
- YubiKey 필요를 클릭하여 YubiKey Authenticator 앱을 엽니다.
- PIN을 입력하여 YubiKey에 액세스하고 왼쪽 위 모서리에서 뒤로 단추를 선택합니다.
사용자가 성공적으로 로그인되어 Outlook 홈페이지로 리디렉션되어야 합니다.
하드웨어 보안 키에서 인증서 문제 해결
사용자가 iOS 디바이스와 YubiKey 모두에 인증서를 가지고 있으면 어떻게 되나요?
iOS 인증서 선택기는 iOS 디바이스와 YubiKey에서 iOS 디바이스로 복사된 인증서의 모든 인증서를 표시합니다. 사용자가 선택한 인증서에 따라 YubiKey 인증자로 이동하여 PIN을 입력하거나 직접 인증할 수 있습니다.
PIN을 3번 잘못 입력하면 내 YubiKey가 잠깁니다. 수정 방법
- 사용자에게 PIN 시도가 너무 수행되었음을 알리는 대화 상자가 표시됩니다. 이 대화 상자는 인증서 또는 스마트 카드 사용을 선택하는 후속 시도 중에도 나타납니다.
- YubiKey 관리자는 YubiKey의 PIN을 다시 설정할 수 있습니다.
CBA가 실패하면 '기타 로그인 방법' 링크의 CBA 옵션도 실패합니다. 해결 방법이 있나요?
이 문제는 인증서 캐싱으로 인해 발생합니다. 캐시를 지우는 업데이트 작업이 진행 중입니다. 이 문제를 해결하려면 취소를 클릭하고 로그인을 다시 시도한 다음 새 인증서를 선택합니다.
YubiKey를 사용하는 Microsoft Entra CBA가 실패합니다. 문제를 디버그하는 데 도움이 되는 정보는 무엇인가요?
- Microsoft Authenticator 앱을 열고 오른쪽 위 모서리에 있는 점 3개 아이콘을 클릭하고 피드백 보내기를 선택합니다.
- 문제가 있나요?를 클릭합니다.
- 옵션 선택에서 계정 추가 또는 로그인을 선택합니다.
- 추가하려는 세부 정보를 설명합니다.
- 오른쪽 위 모서리에서 보내기 화살표를 클릭합니다. 표시되는 대화 상자에 제공된 코드를 확인합니다.
모바일의 브라우저 기반 애플리케이션에서 하드웨어 보안 키를 사용하여 피싱 방지 MFA를 적용하려면 어떻게 해야 하나요?
인증서 기반 인증 및 조건부 액세스 인증 강도 기능을 사용하면 고객이 인증 요구 사항을 적용할 수 있습니다. Edge as a profile(계정 추가)은 YubiKey와 같은 하드웨어 보안 키와 작동하며, 인증 강도 기능이 있는 조건부 액세스 정책은 CBA로 피싱 방지 인증을 적용할 수 있습니다.
YubiKey에 대한 CBA 지원은 최신 MSAL(Microsoft 인증 라이브러리) 라이브러리 및 최신 MSAL을 통합하는 모든 타사 애플리케이션에서 사용할 수 있습니다. 모든 Microsoft 자사 애플리케이션은 CBA 및 조건부 액세스 인증 강도를 사용할 수 있습니다.
지원되는 운영 체제
| 운영 체제 | 디바이스의 인증서/파생 PIV | 스마트 카드/보안 키 |
|---|---|---|
| iOS | ✅ | 지원되는 공급업체만 |
지원되는 브라우저
| 운영 체제 | 디바이스의 Chrome 인증서 | Chrome 스마트 카드/보안 키 | 디바이스의 Safari 인증서 | Safari 스마트 카드/보안 키 | 디바이스의 Edge 인증서 | Edge 스마트 카드/보안 키 |
|---|---|---|---|---|---|---|
| iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
보안 키 공급자
| Provider | iOS |
|---|---|
| YubiKey | ✅ |
알려진 문제
- iOS에서는 인증서 기반 인증을 두 번 사용하는 옵션을 클릭해야 하는 “이중 프롬프트”가 인증서 기반 인증을 사용하는 사용자에게 표시됩니다.
- iOS에서 Microsoft Authenticator 앱을 사용하는 사용자는 CBA를 적용하는 인증 강도 정책이 있거나 CBA를 두 번째 요소로 사용하는 경우 CBA로 인증하라는 시간별 로그인 프롬프트가 표시됩니다.