Share via

지원되는 ID 및 인증 방법

  • 아티클

이 문서에서는 Azure Virtual Desktop에서 사용할 수 있는 ID 및 인증 방법 종류에 대해 간략하게 설명합니다.

ID

Azure Virtual Desktop은 선택한 구성에 따라 다양한 유형의 ID를 지원합니다. 이 섹션에서는 각 구성에 사용할 수 있는 ID에 대해 설명합니다.

Important

Azure Virtual Desktop은 하나의 사용자 계정으로 Microsoft Entra ID에 로그인한 다음, 별도의 사용자 계정으로 Windows에 로그인하는 것을 지원하지 않습니다. 두 개의 서로 다른 계정으로 동시에 로그인하면 사용자가 잘못된 세션 호스트에 다시 연결하고, Azure Portal에서 정보가 잘못되거나 누락되고, MSIX 앱 연결을 사용하는 동안 발생하는 오류 메시지가 표시될 수 있습니다.

온-프레미스 ID

Azure Virtual Desktop에 액세스하려면 Microsoft Entra ID를 통해 사용자를 검색할 수 있어야 하므로 AD DS(Active Directory Domain Services)에만 존재하는 사용자 ID는 지원되지 않습니다. 여기에는 AD FS(Active Directory Federation Services)를 포함하는 독립 실행형 Active Directory 배포가 포함됩니다.

하이브리드 ID

Azure Virtual Desktop은 AD FS를 사용하여 페더레이션된 ID를 포함하여 Microsoft Entra ID를 통해 하이브리드 ID를 지원합니다. AD DS에서 이러한 사용자 ID를 관리하고 Microsoft Entra Connect를 사용하여 Microsoft Entra ID와 동기화할 수 있습니다. Microsoft Entra ID를 사용하여 이러한 ID를 관리하고 Microsoft Entra Domain Services에 동기화할 수도 있습니다.

하이브리드 ID를 사용하여 Azure Virtual Desktop에 액세스할 때 AD(Active Directory)의 사용자에 대한 UPN(사용자 보안 이름) 또는 SID(보안 식별자)가 Microsoft Entra ID의 해당 항목과 일치하지 않는 경우가 있습니다. 예를 들어 AD 계정 user@contoso.local은 Microsoft Entra ID의 user@contoso.com과 일치할 수 있습니다. Azure Virtual Desktop은 AD 및 Microsoft Entra ID 계정에 대한 UPN 또는 SID가 일치하는 경우에만 이러한 유형의 구성을 지원합니다. SID는 AD의 사용자 개체 속성 "ObjectSID"와 Microsoft Entra ID의 "OnPremisesSecurityIdentifier"를 나타냅니다.

클라우드 전용 ID

Azure Virtual Desktop은 Microsoft Entra 조인 VM을 사용할 때 클라우드 전용 ID를 지원합니다. 이러한 사용자는 Microsoft Entra ID에서 직접 만들어지고 관리됩니다.

참고 항목

조인된 Microsoft Entra ID 조인 유형의 세션 호스트를 호스트하는 Azure Virtual Desktop 애플리케이션 그룹에 하이브리드 ID를 할당할 수도 있습니다.

타사 ID 공급자

Microsoft Entra ID 이외의 IdP(ID 공급자)를 사용하여 사용자 계정을 관리하는 경우 다음을 확인해야 합니다.

외부 ID

Azure Virtual Desktop은 현재 외부 ID를 지원하지 않습니다.

인증 방법

원격 세션에 연결하는 사용자의 경우 다음 세 가지 인증 지점이 있습니다.

  • Azure Virtual Desktop에 대한 서비스 인증: 클라이언트에 액세스할 때 사용자가 액세스할 수 있는 리소스 목록을 검색합니다. 환경은 Microsoft Entra 계정 구성에 따라 달라집니다. 예를 들어 사용자가 다단계 인증을 사용하도록 설정한 경우 사용자에게 다른 서비스에 액세스하는 것과 같은 방식으로 사용자 계정 및 두 번째 형태의 인증을 묻는 메시지가 표시됩니다.

  • 세션 호스트: 원격 세션을 시작할 때 세션 호스트에는 사용자 이름과 암호가 필요하지만 SSO(Single Sign-On)를 사용하도록 설정하면 사용자에게 원활하게 연결됩니다.

  • 세션 내 인증: 원격 세션 내의 다른 리소스에 연결.

다음 섹션에서는 이러한 각 인증 지점을 자세히 설명합니다.

서비스 인증

Azure Virtual Desktop 리소스에 액세스하려면 먼저 Microsoft Entra 계정으로 로그인하여 서비스에 인증해야 합니다. 리소스를 검색하고 앱 또는 데스크톱에 연결하기 위해 작업 영역을 구독할 때마다 인증이 수행됩니다. Microsoft Entra ID와 페더레이션되기만 하면 타사 ID 공급자를 사용할 수 있습니다.

다단계 인증

배포에 Microsoft Entra ID 다단계 인증을 적용하는 방법을 알아보려면 조건부 액세스를 사용하여 Azure Virtual Desktop에 대해 Microsoft Entra ID 다단계 인증 적용의 지침을 따릅니다. 또한 이 문서에서는 사용자에게 자격 증명을 입력하라는 메시지가 표시되는 빈도를 구성하는 방법을 알려줍니다. Microsoft Entra 조인 VM을 배포할 때 Microsoft Entra 조인 세션 호스트 VM에 대한 추가 단계를 확인합니다.

암호 없는 인증

비즈니스용 Windows Hello 및 기타 암호 없는 인증 옵션(예: FIDO 키)과 같이 Microsoft Entra ID에서 지원하는 모든 인증 형식을 사용하여 서비스에 인증할 수 있습니다.

스마트 카드 인증

스마트 카드를 사용하여 Microsoft Entra ID에 인증하려면 먼저 사용자 인증서 인증에 대해 AD FS를 구성하거나 Microsoft Entra 인증서 기반 인증을 구성해야 합니다.

세션 호스트 인증

아직 Single Sign-On을 사용하도록 설정하지 않았거나 자격 증명을 로컬로 저장하지 않은 경우 연결을 시작할 때 세션 호스트에도 인증해야 합니다. 다음 목록에서는 각 Azure Virtual Desktop 클라이언트에서 현재 지원하는 인증 형식에 대해 설명합니다. 일부 클라이언트는 특정 버전을 사용해야 할 수 있고, 해당 항목은 각 인증 유형에 대한 링크에서 찾을 수 있습니다.

클라이언트 지원되는 인증 유형
Windows 데스크톱 클라이언트 사용자 이름 및 암호
스마트 카드
비즈니스용 Windows Hello 인증서 신뢰
비즈니스용 Windows Hello 인증서를 사용한 키 신뢰
Microsoft Entra 인증
Azure Virtual Desktop 스토어 앱 사용자 이름 및 암호
스마트 카드
비즈니스용 Windows Hello 인증서 신뢰
비즈니스용 Windows Hello 인증서를 사용한 키 신뢰
Microsoft Entra 인증
원격 데스크톱 앱 사용자 이름 및 암호
웹 클라이언트 사용자 이름 및 암호
Microsoft Entra 인증
Android 클라이언트 사용자 이름 및 암호
Microsoft Entra 인증
iOS 클라이언트 사용자 이름 및 암호
Microsoft Entra 인증
macOS 클라이언트 사용자 이름 및 암호
스마트 카드: NLA가 협상되지 않으면 Winlogon 프롬프트에서 스마트 카드 리디렉션을 사용하여 스마트 카드 기반 로그인을 지원합니다.
Microsoft Entra 인증

Important

인증이 제대로 작동하려면 로컬 컴퓨터에서 원격 데스크톱 클라이언트에 필요한 URL에도 액세스할 수 있어야 합니다.

SSO(Single Sign-On)

SSO를 사용하면 연결에서 세션 호스트 자격 증명 프롬프트를 건너뛰고 사용자를 Windows에 자동으로 로그인할 수 있습니다. Microsoft Entra에 조인 또는 하이브리드 조인된 세션 호스트의 경우 Microsoft Entra 인증을 사용하여SSO를 사용하도록 설정하는 것이 좋습니다. Microsoft Entra 인증은 암호 없는 인증 및 타사 ID 공급자에 대한 지원을 포함하여 다른 이점을 제공합니다.

Azure Virtual Desktop은 Windows Desktop 및 웹 클라이언트에 대해 AD FS(Active Directory Federation Services)를 사용하는 SSO도 지원합니다.

SSO를 사용하지 않으면 사용자에게 클라이언트에서 모든 연결에 대한 세션 호스트 자격 증명을 묻는 메시지를 표시합니다. 메시지가 표시되지 않도록 방지하는 유일한 방법은 자격 증명을 클라이언트에 저장하는 것입니다. 다른 사용자가 리소스에 액세스하지 못하도록 자격 증명을 보안 디바이스에만 저장하는 것이 좋습니다.

스마트 카드 및 비즈니스용 Windows Hello

Azure Virtual Desktop은 세션 호스트 인증을 위해 NTLM(NT LAN Manager) 및 Kerberos를 모두 지원하지만, 스마트 카드 및 비즈니스용 Windows Hello는 Kerberos만 사용하여 로그인할 수 있습니다. Kerberos를 사용하려면 클라이언트가 도메인 컨트롤러에서 실행되는 KDC(키 배포 센터) 서비스에서 Kerberos 보안 티켓을 가져와야 합니다. 티켓을 가져오려면 클라이언트는 도메인 컨트롤러에 대한 직접 네트워킹 가시권이 있어야 합니다. 회사 네트워크 내에서 직접 연결하거나, VPN 연결을 사용하거나, KDC 프록시 서버를 설정하면 이러한 가시권을 얻을 수 있습니다.

세션 내 인증

RemoteApp 또는 데스크톱에 연결되면 세션 내에서 인증을 받으라는 메시지가 표시될 수 있습니다. 이 섹션에서는 이 시나리오에서 사용자 이름 및 암호 이외의 자격 증명을 사용하는 방법을 설명합니다.

세션 내 암호 없는 인증

Azure Virtual Desktop은 Windows Desktip 클라이언트를 사용할 때 비즈니스용 Windows Hello 또는 FIDO 키와 같은 보안 디바이스를 사용하여 세션 내 암호 없는 인증을 지원합니다. 세션 호스트 및 로컬 PC에서 다음 운영 체제를 사용하는 경우 암호 없는 인증이 자동으로 사용하도록 설정됩니다.

호스트 풀에서 암호 없는 인증을 사용하지 않으려면 RDP 속성을 사용자 지정해야 합니다. Azure Portal의 디바이스 리디렉션 탭에서 WebAuthn 리디렉션 속성을 찾거나 PowerShell을 사용하여 redirectwebauthn 속성을 0으로 설정할 수 있습니다.

사용하도록 설정되면 세션의 모든 WebAuthn 요청이 로컬 PC로 리디렉션됩니다. 비즈니스용 Windows Hello 또는 로컬로 연결된 보안 디바이스를 사용하여 인증 프로세스를 완료할 수 있습니다.

비즈니스용 Windows Hello 또는 보안 디바이스를 사용하여 Microsoft Entra 리소스에 액세스하려면 사용자에 대한 인증 방법으로 FIDO2 보안 키를 사용하도록 설정해야 합니다. 이 방법을 사용하도록 설정하려면 FIDO2 보안 키 방법 사용의 단계를 따릅니다.

세션 내 스마트 카드 인증

세션에서 스마트 카드를 사용하려면 스마트 카드 드라이버를 세션 호스트에 설치하고 스마트 카드 리디렉션을 사용하도록 설정했는지 확인합니다. 클라이언트 비교 차트를 검토하여 클라이언트가 스마트 카드 리디렉션을 지원하는지 확인합니다.

다음 단계