Windows 11 SE 버전 22H2 및 Windows 11 Pro Edu/Education 버전 22H2 부터는 KB5022913 사용자가 웹 로그인 환경을 통해 IdP(페더레이션 ID 공급자)를 사용하여 로그인할 수 있습니다.
페더레이션 ID로 로그인하는 것은 사용자의 로그인 프로세스를 간소화하는 좋은 방법이 될 수 있습니다. Microsoft Entra ID에 정의된 사용자 이름과 암호를 기억하지 않고 IdP에서 기존 자격 증명을 사용하여 로그인할 수 있습니다. 예를 들어 학생과 교육자는 QR 코드 배지를 사용하여 로그인할 수 있습니다.
페더레이션 로그인의 이점
페더레이션 로그인 환경을 사용하면 학생들이 더 적은 시간 내에 로그인할 수 있으며 마찰이 줄어듭니다.
기억해야 할 자격 증명이 적고 로그인 프로세스가 간소화되면 학생들은 학습에 더 적극적으로 참여하고 집중합니다.
페더레이션 로그인 환경을 사용하도록 설정하는 두 가지 Windows 기능이 있습니다.
1:1 학생 디바이스용으로 설계된 페더레이션 로그인입니다. 최적의 환경을 위해 공유 디바이스에서 페더레이션 로그인을 사용하도록 설정해서는 안 됩니다.
조직에서 타사 페더레이션 솔루션을 사용하는 경우 솔루션이 Microsoft Entra ID와 호환되는 경우 Microsoft Entra ID에 대한 Single Sign-On을 구성할 수 있습니다. 호환성에 대한 질문은 ID 공급자에게 문의하세요. IdP이고 상호 운용성을 위해 솔루션의 유효성을 검사하려면 다음 지침을 참조하세요.
웹 로그인은 Windows 11 SE/Pro Edu/Education 버전 22H2부터 지원되며 KB5026446.
페더레이션 로그인 환경 구성
학생 할당(1:1) 디바이스 또는 학생 공유 디바이스에 대한 페더레이션 로그인 환경을 구성할 수 있습니다.
학생 할당(1:1) 디바이스에 대해 페더레이션 로그인이 구성된 경우 페더레이션 로그인이라는 Windows 기능을 사용합니다. 페더레이션 ID를 사용하여 디바이스에 로그인하는 첫 번째 사용자가 기본 사용자가 됩니다. 기본 사용자는 항상 로그인 화면의 왼쪽 아래 모서리에 표시됩니다.
학생 공유 디바이스에 대해 페더레이션 로그인이 구성된 경우 웹 로그인이라는 Windows 기능을 사용합니다. 웹 로그인에는 기본 사용자가 없으며 로그인 화면에는 기본적으로 디바이스에 로그인한 마지막 사용자가 표시됩니다.
구성은 각 시나리오에 따라 다르며 다음 섹션에 설명되어 있습니다.
학생 할당(1:1) 디바이스에 대한 페더레이션 로그인 구성
다음 지침을 검토하여 Microsoft Intune 또는 PPKG(프로비저닝 패키지)를 사용하여 디바이스를 구성합니다.
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment 데이터 형식: int 값: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUser 데이터 형식: int 값: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 데이터 형식: 문자열 값: 세미콜론으로 구분된 도메인 목록(예: samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames** 데이터 형식: 문자열 값: 이 설정은 선택 사항이며 로그인 프로세스 중에 웹캠을 사용해야 하는 경우 구성해야 합니다. 로그인 프로세스 중에 웹캠을 사용할 수 있는 도메인 목록을 세미콜론으로 구분하여 지정합니다. 예를 들어: clever.com
프로비저닝 패키지를 사용하여 페더레이션 로그인을 구성하려면 다음 설정을 사용합니다.
설정
경로: Education/IsEducationEnvironment 값: 사용
경로: FederatedAuthentication/EnableWebSignInForPrimaryUser 값: 사용
경로: Policies/Authentication/ConfigureWebSignInAllowedUrls 값: 세미콜론으로 구분된 도메인 목록(예: samlidp.clever.com;clever.com;mobile-redirector.clever.com
경로: Policies/Authentication/ConfigureWebCamAccessDomainNames 값: 이 설정은 선택 사항이며 로그인 프로세스 중에 웹캠을 사용해야 하는 경우 구성해야 합니다. 로그인 프로세스 중에 웹캠을 사용할 수 있는 도메인 목록을 세미콜론으로 구분하여 지정합니다. 예를 들어: clever.com
페더레이션 로그인이 필요한 1:1 디바이스에 프로비저닝 패키지를 적용합니다.
중요
OOBE 중에 프로비저닝 패키지를 사용할 때 Windows 11 버전 22H2에 영향을 주는 문제가 있었습니다. 이 문제는 KB5020044 업데이트로 해결되었습니다. OOBE 중에 프로비저닝 패키지로 페더레이션 로그인을 구성하려는 경우 디바이스에 업데이트가 설치되어 있는지 확인합니다. 자세한 내용은 KB5020044 참조하세요.
학생 공유 디바이스에 대한 웹 로그인 구성
다음 지침을 검토하여 Microsoft Intune 또는 프로비저닝 패키지(PPKG)를 사용하여 공유 디바이스를 구성합니다.
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironment 데이터 형식: int 값: 1
OMA-URI: ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSync 데이터 형식: 부울 값: True
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn 데이터 형식: 정수 값: 1
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 데이터 형식: 문자열 값: 세미콜론으로 구분된 도메인 목록(예: samlidp.clever.com;clever.com;mobile-redirector.clever.com
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames 데이터 형식: 문자열 값: 이 설정은 선택 사항이며 로그인 프로세스 중에 웹캠을 사용해야 하는 경우 구성해야 합니다. 로그인 프로세스 중에 웹캠을 사용할 수 있는 도메인 목록을 세미콜론으로 구분하여 지정합니다. 예를 들어: clever.com
경로: Policies/Authentication/ConfigureWebSignInAllowedUrls 값: 세미콜론으로 구분된 도메인 목록(예: samlidp.clever.com;clever.com;mobile-redirector.clever.com
경로: Policies/Authentication/ConfigureWebCamAccessDomainNames 값: 이 설정은 선택 사항이며 로그인 프로세스 중에 웹캠을 사용해야 하는 경우 구성해야 합니다. 로그인 프로세스 중에 웹캠을 사용할 수 있는 도메인 목록을 세미콜론으로 구분하여 지정합니다. 예를 들어: clever.com
웹 로그인이 필요한 공유 디바이스에 프로비저닝 패키지를 적용합니다.
중요
OOBE 중에 프로비저닝 패키지를 사용할 때 Windows 11 버전 22H2에 영향을 주는 문제가 있었습니다. 이 문제는 KB5020044 업데이트로 해결되었습니다. OOBE 중에 프로비저닝 패키지로 페더레이션 로그인을 구성하려는 경우 디바이스에 업데이트가 설치되어 있는지 확인합니다. 자세한 내용은 KB5020044 참조하세요.
페더레이션 로그인을 사용하는 방법
디바이스가 구성되면 새 로그인 환경을 사용할 수 있게 됩니다.
사용자가 사용자 이름을 입력하면 ID 공급자 로그인 페이지로 리디렉션됩니다. Idp가 사용자를 인증하면 로그인됩니다. 다음 애니메이션에서는 할당된 학생(1:1) 디바이스에 대해 첫 번째 로그인 프로세스가 작동하는 방식을 관찰할 수 있습니다.
중요
학생 할당(1:1) 디바이스의 경우 정책이 사용하도록 설정되면 디바이스에 로그인한 첫 번째 사용자도 명확성 페이지를 디바이스의 ID 공급자 도메인으로 설정합니다. 즉, 디바이스가 해당 IdP로 기본 설정됩니다. 사용자는 Ctrl+Alt+Delete 를 눌러 표준 Windows 로그인 화면으로 돌아가 페더레이션 로그인 흐름을 종료할 수 있습니다.
기본 설정 Microsoft Entra 테넌트 이름이 구성되지 않는 한 명확하게 구분 페이지가 항상 표시되는 학생 공유 디바이스의 동작은 다릅니다.
중요 고려 사항
학생 할당(1:1) 디바이스에 영향을 주는 알려진 문제
할당된 학생(1:1) 디바이스에 대한 페더레이션 로그인은 사용하도록 설정된 다음 설정에서 작동하지 않습니다.
SharedPC CSP의 일부인 EnableSharedPCMode 또는 EnableSharedPCModeWithOneDriveSync
사용자 환경을 개선하기 위해 기본 설정 Microsoft Entra 테넌트 이름 기능을 구성할 수 있습니다.
기본 설정 Microsoft Entra 테넌트 이름을 사용하는 경우 사용자는 명확성 페이지를 무시하고 ID 공급자 로그인 페이지로 리디렉션됩니다. 이 구성은 명확성 페이지가 항상 표시되는 학생 공유 디바이스에 특히 유용할 수 있습니다.
Microsoft Entra 사용자가 페더레이션되면 IdP의 사용자 ID가 Microsoft Entra ID의 기존 사용자 개체와 일치해야 합니다.
IdP에서 보낸 토큰의 유효성을 검사한 후 Microsoft Entra ID는 ImmutableId라는 특성을 사용하여 테넌트에서 일치하는 사용자 개체를 검색합니다.
참고
ImmutableId는 테넌트의 각 사용자에 대해 고유해야 하며 시간이 지남에 따라 변경되지 않아야 하는 문자열 값입니다. 예를 들어 ImmutableId는 학생 ID 또는 SIS ID일 수 있습니다. ImmutableId 값은 IdP를 사용한 페더레이션 설정 및 구성을 기반으로 해야 하므로 설정하기 전에 IdP로 확인합니다.
일치하는 개체가 발견되면 사용자가 로그인됩니다. 그렇지 않으면 사용자에게 오류 메시지가 표시됩니다. 다음 그림에서는 ImmutableId 260051 있는 사용자를 찾을 수 없음을 보여줍니다.
중요
ImmutableId 일치는 대/소문자를 구분합니다.
ImmutableId는 일반적으로 사용자가 Microsoft Entra ID로 생성될 때 구성되지만 나중에 업데이트할 수도 있습니다.
사용자가 페더레이션되고 ImmutableId를 변경하려는 시나리오에서는 다음을 수행해야 합니다.
페더레이션된 사용자를 클라우드 전용 사용자로 변환(UPN을 페더레이션되지 않은 도메인으로 업데이트)
ImmutableId 업데이트
사용자를 페더레이션된 사용자로 다시 변환
페더레이션된 사용자의 ImmutableId를 업데이트하는 PowerShell 예제는 다음과 같습니다.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'
#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com
#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'
문제 해결
사용자는 Ctrl+Alt+Delete 를 눌러 표준 Windows 로그인 화면으로 돌아가 페더레이션 로그인 흐름을 종료할 수 있습니다.
기타 사용자 단추를 선택하면 표준 사용자 이름/암호 자격 증명을 사용하여 디바이스에 로그인할 수 있습니다.