지원되는 ID 및 인증 방법

이 문서에서는 Azure Virtual Desktop에서 사용할 수 있는 ID 및 인증 방법 종류에 대해 간략하게 설명합니다.

ID

Azure Virtual Desktop은 선택한 구성에 따라 다양한 유형의 ID를 지원합니다. 이 섹션에서는 각 구성에 사용할 수 있는 ID에 대해 설명합니다.

Important

Azure Virtual Desktop은 하나의 사용자 계정으로 Microsoft Entra ID에 로그인한 다음, 별도의 사용자 계정으로 Windows에 로그인하는 것을 지원하지 않습니다. 두 개의 서로 다른 계정으로 동시에 로그인하면 사용자가 잘못된 세션 호스트에 다시 연결하고, Azure Portal에서 정보가 잘못되거나 누락되고, 앱 연결 또는 MSIX 앱 연결을 사용하는 동안 발생하는 오류 메시지가 표시될 수 있습니다.

온-프레미스 ID

Azure Virtual Desktop에 액세스하려면 Microsoft Entra ID를 통해 사용자를 검색할 수 있어야 하므로 AD DS(Active Directory Domain Services)에만 존재하는 사용자 ID는 지원되지 않습니다. 여기에는 AD FS(Active Directory Federation Services)를 포함하는 독립 실행형 Active Directory 배포가 포함됩니다.

하이브리드 ID

Azure Virtual Desktop은 AD FS를 사용하여 페더레이션된 ID를 포함하여 Microsoft Entra ID를 통해 하이브리드 ID를 지원합니다. AD DS에서 이러한 사용자 ID를 관리하고 Microsoft Entra Connect를 사용하여 Microsoft Entra ID와 동기화할 수 있습니다. Microsoft Entra ID를 사용하여 이러한 ID를 관리하고 Microsoft Entra Domain Services에 동기화할 수도 있습니다.

하이브리드 ID를 사용하여 Azure Virtual Desktop에 액세스할 때 AD(Active Directory)의 사용자에 대한 UPN(사용자 보안 이름) 또는 SID(보안 식별자)가 Microsoft Entra ID의 해당 항목과 일치하지 않는 경우가 있습니다. 예를 들어 AD 계정 user@contoso.local은 Microsoft Entra ID의 user@contoso.com과 일치할 수 있습니다. Azure Virtual Desktop은 AD 및 Microsoft Entra ID 계정에 대한 UPN 또는 SID가 일치하는 경우에만 이러한 유형의 구성을 지원합니다. SID는 AD의 사용자 개체 속성 "ObjectSID"와 Microsoft Entra ID의 "OnPremisesSecurityIdentifier"를 나타냅니다.

클라우드 전용 ID

Azure Virtual Desktop은 Microsoft Entra 조인 VM을 사용할 때 클라우드 전용 ID를 지원합니다. 이러한 사용자는 Microsoft Entra ID에서 직접 만들어지고 관리됩니다.

참고 항목

조인된 Microsoft Entra ID 조인 유형의 세션 호스트를 호스트하는 Azure Virtual Desktop 애플리케이션 그룹에 하이브리드 ID를 할당할 수도 있습니다.

페더레이션 ID

Microsoft Entra ID 또는 Active Directory Domain Services 이외의 타사 IdP(ID 공급자)를 사용하여 사용자 계정을 관리하는 경우 다음을 확인해야 합니다.

• IdP는 Microsoft Entra ID와 페더레이션됩니다.
• 세션 호스트가 Microsoft Entra에 조인되었거나 Microsoft Entra에 하이브리드 조인되어 있습니다.
• 세션 호스트에 대해 Microsoft Entra 인증을 사용하도록 설정합니다.

외부 ID

Azure Virtual Desktop은 현재 외부 ID를 지원하지 않습니다.

인증 방법

Azure Virtual Desktop 리소스에 액세스할 때 세 가지 별도의 인증 단계가 있습니다.

• 클라우드 서비스 인증: 리소스 구독 및 게이트웨이 인증을 포함하는 Azure Virtual Desktop 서비스를 인증할 때 Microsoft Entra ID를 사용합니다.
• 원격 세션 인증: 원격 VM에 인증합니다. 권장되는 SSO(Single Sign-On)를 포함하여 원격 세션을 인증하는 방법에는 여러 가지가 있습니다.
• 세션 내 인증: 원격 세션 내에서 애플리케이션 및 웹 사이트를 인증합니다.

각 인증 단계의 다양한 클라이언트에서 사용할 수 있는 자격 증명 목록을 보려면 플랫폼 간 클라이언트를 비교합니다.

Important

인증이 제대로 작동하려면 로컬 컴퓨터에서 원격 데스크톱 클라이언트에 필요한 URL에도 액세스할 수 있어야 합니다.

다음 섹션에서는 이러한 인증 단계에 대한 자세한 정보를 제공합니다.

클라우드 서비스 인증

Azure Virtual Desktop 리소스에 액세스하려면 먼저 Microsoft Entra ID 계정으로 로그인하여 서비스에 인증해야 합니다. 인증은 리소스 검색을 위해 구독할 때마다 발생하며 연결을 시작하거나 서비스에 진단 정보를 보내는 경우 게이트웨이에 연결할 때마다 발생합니다. 이 인증에 사용되는 Microsoft Entra ID 리소스는 Azure Virtual Desktop(앱 ID 9cdead84-a844-4324-93f2-b2e6bb768d07)입니다.

다단계 인증

배포에 Microsoft Entra ID 다단계 인증을 적용하는 방법을 알아보려면 조건부 액세스를 사용하여 Azure Virtual Desktop에 대해 Microsoft Entra ID 다단계 인증 적용의 지침을 따릅니다. 또한 이 문서에서는 사용자에게 자격 증명을 입력하라는 메시지가 표시되는 빈도를 구성하는 방법을 알려줍니다. Microsoft Entra 조인 VM을 배포할 때 Microsoft Entra 조인 세션 호스트 VM에 대한 추가 단계를 확인합니다.

암호 없는 인증

비즈니스용 Windows Hello 및 기타 암호 없는 인증 옵션(예: FIDO 키)과 같이 Microsoft Entra ID에서 지원하는 모든 인증 형식을 사용하여 서비스에 인증할 수 있습니다.

스마트 카드 인증

스마트 카드를 사용하여 Microsoft Entra ID에 인증하려면 먼저 Microsoft Entra 인증서 기반 인증을 구성하거나 사용자 인증서 인증을 위해 AD FS를 구성해야 합니다.

타사 ID 공급자

Microsoft Entra ID와 페더레이션되기만 하면 타사 ID 공급자를 사용할 수 있습니다.

원격 세션 인증

아직 Single Sign-On을 사용하도록 설정하지 않았거나 자격 증명을 로컬로 저장하지 않은 경우 연결을 시작할 때 세션 호스트에도 인증해야 합니다.

SSO(Single Sign-On)

SSO를 사용하면 연결이 세션 호스트 자격 증명 프롬프트를 건너뛰고 Microsoft Entra 인증을 통해 사용자가 Windows에 자동으로 로그인할 수 있습니다. Microsoft Entra에 조인 또는 하이브리드 조인된 세션 호스트의 경우 Microsoft Entra 인증을 사용하여SSO를 사용하도록 설정하는 것이 좋습니다. Microsoft Entra 인증은 암호 없는 인증 및 타사 ID 공급자에 대한 지원을 포함하여 다른 이점을 제공합니다.

Azure Virtual Desktop은 Windows Desktop 및 웹 클라이언트에 대해 AD FS(Active Directory Federation Services)를 사용하는 SSO도 지원합니다.

SSO가 없으면 클라이언트는 모든 연결에 대해 사용자에게 세션 호스트 자격 증명을 묻는 메시지를 표시합니다. 메시지가 표시되지 않도록 방지하는 유일한 방법은 자격 증명을 클라이언트에 저장하는 것입니다. 다른 사용자가 리소스에 액세스하지 못하도록 자격 증명을 보안 디바이스에만 저장하는 것이 좋습니다.

스마트 카드 및 비즈니스용 Windows Hello

Azure Virtual Desktop은 세션 호스트 인증을 위해 NTLM(NT LAN Manager) 및 Kerberos를 모두 지원하지만, 스마트 카드 및 비즈니스용 Windows Hello는 Kerberos만 사용하여 로그인할 수 있습니다. Kerberos를 사용하려면 클라이언트가 도메인 컨트롤러에서 실행되는 KDC(키 배포 센터) 서비스에서 Kerberos 보안 티켓을 가져와야 합니다. 티켓을 가져오려면 클라이언트는 도메인 컨트롤러에 대한 직접 네트워킹 가시권이 있어야 합니다. 회사 네트워크 내에서 직접 연결하거나, VPN 연결을 사용하거나, KDC 프록시 서버를 설정하면 이러한 가시권을 얻을 수 있습니다.

세션 내 인증

RemoteApp 또는 데스크톱에 연결되면 세션 내에서 인증을 받으라는 메시지가 표시될 수 있습니다. 이 섹션에서는 이 시나리오에서 사용자 이름 및 암호 이외의 자격 증명을 사용하는 방법을 설명합니다.

세션 내 암호 없는 인증

Azure Virtual Desktop은 Windows Desktip 클라이언트를 사용할 때 비즈니스용 Windows Hello 또는 FIDO 키와 같은 보안 디바이스를 사용하여 세션 내 암호 없는 인증을 지원합니다. 세션 호스트 및 로컬 PC에서 다음 운영 체제를 사용하는 경우 암호 없는 인증이 자동으로 사용하도록 설정됩니다.

• Windows 11용 2022년 10월 누적 업데이트(KB5018418) 이상이 설치된 Windows 11 단일 또는 다중 세션.
• 2022-10 Windows 10용 누적 업데이트(KB5018410) 이상이 설치된 Windows 10 단일 또는 다중 세션, 버전 20H2 이상.
• Microsoft 서버 운영 체제용 2022년 10월 누적 업데이트(KB5018421) 이상이 설치된 Windows Server 2022.

호스트 풀에서 암호 없는 인증을 사용하지 않으려면 RDP 속성을 사용자 지정해야 합니다. Azure Portal의 디바이스 리디렉션 탭에서 WebAuthn 리디렉션 속성을 찾거나 PowerShell을 사용하여 redirectwebauthn 속성을 0으로 설정할 수 있습니다.

사용하도록 설정되면 세션의 모든 WebAuthn 요청이 로컬 PC로 리디렉션됩니다. 비즈니스용 Windows Hello 또는 로컬로 연결된 보안 디바이스를 사용하여 인증 프로세스를 완료할 수 있습니다.

비즈니스용 Windows Hello 또는 보안 디바이스를 사용하여 Microsoft Entra 리소스에 액세스하려면 사용자에 대한 인증 방법으로 FIDO2 보안 키를 사용하도록 설정해야 합니다. 이 방법을 사용하도록 설정하려면 FIDO2 보안 키 방법 사용의 단계를 따릅니다.

세션 내 스마트 카드 인증

세션에서 스마트 카드를 사용하려면 스마트 카드 드라이버를 세션 호스트에 설치하고 스마트 카드 리디렉션을 사용하도록 설정했는지 확인합니다. 클라이언트 비교 차트를 검토하여 클라이언트가 스마트 카드 리디렉션을 지원하는지 확인합니다.

다음 단계

• 배포를 안전하게 유지하는 다른 방법이 궁금하나요? 보안 모범 사례를 확인하세요.
• Microsoft Entra 조인 VM에 연결하는 데 문제가 있나요? Microsoft Entra 조인 VM에 대한 연결 문제 해결을 참조하세요.
• 세션 내 암호 없는 인증 문제가 있나요? WebAuthn 리디렉션 문제 해결을 참조하세요.
• 회사 네트워크 외부에서 스마트 카드를 사용하려고 하나요? KDC 프록시 서버를 설정하는 방법을 검토합니다.