HoloLens의 공유 Microsoft Entra(이전의 Azure Active Directory) 계정은 자격 증명 없이 HoloLens에 로그인할 수 있는 일반 Microsoft Entra 사용자 계정입니다. 이 설정은 다음 조건이 충족되는 시나리오에 적합합니다.
여러 사람이 동일한 HoloLens 디바이스 집합을 공유합니다.
Dynamics 365 Guides 콘텐츠와 같은 Microsoft Entra 리소스에 액세스해야 합니다.
디바이스를 사용한 사용자를 추적할 필요는 없습니다.
공유 Microsoft Entra 계정 사용의 주요 이점
간소화된 배포. 이전에는 여러 사용자 간에 공유되는 Microsoft Entra 계정을 설정하려면 각 디바이스를 수동으로 설정해야 했습니다. 공유 Microsoft Entra 계정을 사용하면 환경을 한 번 구성하고 Autopilot의 일부로 디바이스에 자동으로 배포할 수 있습니다.
뛰어난 사용자 환경. 공유 Microsoft Entra 계정의 사용자는 디바이스 사용을 시작하기 위해 자격 증명을 입력할 필요가 없습니다. 탭하고 이동합니다!
Microsoft Entra 리소스에 대한 액세스. 공유 Microsoft Entra 계정 사용자는 Microsoft Entra 리소스에 쉽게 액세스할 수 있으므로 추가 인증 없이 원격 지원 통화를 시작하거나 가이드를 열 수 있습니다.
중요
공유 Microsoft Entra 계정은 자격 증명을 입력하지 않고 HoloLens 디바이스에서 액세스할 수 있으므로 권한 있는 직원만 액세스할 수 있도록 이러한 HoloLens 디바이스를 물리적으로 보호해야 합니다. 조건부 액세스 정책을 적용하고, 셀프 서비스 암호 재설정을 사용하지 않도록 설정하며, 이러한 계정이 사용되는 디바이스에 할당된 액세스 프로필을 구성하여 이러한 계정을 잠글 수도 있습니다.
참고
이러한 계정은 공유 계정이므로 이러한 계정을 사용하는 사용자에게 PIN 및 홍채 등록, 생체 인식 데이터 수집 알림 및 다양한 동의 화면을 비롯한 일반적인 첫 번째 로그인 설정 화면이 표시되지 않습니다. 정책을 통해 이러한 계정에 대해 적절한 기본값을 구성하고(HoloLens 2 빠르게 사용자 설정 참조) 사용자가 이러한 기본값을 알고 있는지 확인해야 합니다.
공유 Microsoft Entra 계정의 알려진 제한 사항
공유 Microsoft Entra 계정은 PIN 또는 홍채를 사용하여 등록한 경우에도 현재 릴리스에서 로그인할 수 없습니다.
공유 Microsoft Entra 계정의 개념 개요
이 프로세스를 통해 HoloLens 디바이스에 사용자 계정을 할당하고 디바이스에 연결된 자격 증명 및 디바이스만으로 해당 사용자 계정에 로그인할 수 있습니다. 이미지는 프로세스를 설명합니다.
Intune에는 SCEP 서비스에 대한 SCEP 구성 프로필이 있습니다.
디바이스는 Intune에 조인하고 프로필 정보를 받습니다.
디바이스는 SCEP 서비스에 연결하고 의 UPN HL-{Serial}@contoso.com을 사용하여 디바이스 인증서를 수신합니다.
디바이스는 인증서를 MFA로 사용하여 Entra ID의 부식 사용자 계정에 로그인하여 원활한 로그온 환경을 제공합니다.
디바이스에서 인증서를 제거/내보낼 수 없으며 사용자 계정은 다른 형태의 MFA를 사용할 수 없으므로 구성됩니다. 이 구성을 통해 공유 계정은 HoloLens 디바이스에서만 로그인할 수 있습니다.
공유 Microsoft Entra 계정 지원은 Microsoft HoloLens 빌드 10.0.22621.1217에 대한 참가자 미리 보기부터 사용할 수 있습니다.
HoloLens에 필요한 운영 체제를 빌드하는 것 외에도 Microsoft Entra CBA(Microsoft Entra 인증서 기반 인증을 구성하는 방법)의 필수 구성 요소를 충족해야 합니다.
마지막으로 디바이스 구성 및 클라이언트 인증서를 배포하려면 Microsoft Intune 대한 액세스 권한이 필요합니다. Intune을 통해 클라이언트 인증서를 배포하는 데 필요한 인프라는 Microsoft Intune 지원하는 인증서 유형에 대해 알아보기를 참조하세요. 이 예제에서는 SCEP 인증서를 사용합니다.
참고
Microsoft NDES 및 PKI를 비롯한 여러 옵션을 사용하여 SCEP 인증서를 배포할 수 있습니다. HoloLens의 경우 Azure 서비스를 사용하여 인증서 등록을 처리하는 것이 더 간단할 수 있습니다. (Azure Marketplace 내에서 여러 옵션을 사용할 수 있으므로 HoloLens 공유 Microsft Entra 계정에 대한 구성을 회사 PKI에서 격리할 수 있습니다.
SCEP 서비스의 주요 요구 사항은 다음과 같습니다.
서비스는 Microsoft Intune 디바이스 인증서 요청을 수락할 수 있습니다.
서비스는 정의된 EKU(클라이언트 인증 및 스마트 카드 로그온)를 사용하여 인증서를 생성할 수 있습니다.
Autopilot에 대한 디바이스를 구성하는 것이 좋습니다. Autopilot은 최종 사용자를 위한 디바이스 설정 환경을 간소화합니다.
Microsoft Entra CBA를 사용하도록 Microsoft Entra 테넌트 구성
Microsoft Entra 테넌트는 선택한 사용자 그룹에 Microsoft Entra CBA를 사용하도록 구성해야 합니다.
공유 Microsoft Entra 계정이 포함된 Microsoft Entra 그룹을 만듭니다. 예를 들어 이 그룹에 "SharedAccounts"라는 이름을 사용합니다.
공유 HoloLens 디바이스를 포함하는 Microsoft Entra 그룹을 만듭니다. 예를 들어 이 그룹에 "SharedDevices"라는 이름을 사용합니다. 이 그룹에는 나중에 디바이스 기반 Intune 구성 프로필이 할당됩니다.
(인증 기관) CA 인증서를 Microsoft Entra 추가합니다. Microsoft Entra ID 이 CA에서 발급한 클라이언트 인증서가 CBA를 수행할 수 있도록 허용합니다.
"SharedAccounts" 그룹에 대해 CBA를 사용하도록 설정합니다.
CA에서 발급한 인증서가 MFA를 사용할 수 있도록 CBA를 구성합니다. 이 단계는 사용자가 다른 요소를 설정하지 않고 MFA가 필요한 리소스에 액세스할 수 있도록 하기 위한 것입니다.
UserPrincipalName을 통해 인증서 바인딩을 사용하도록 설정합니다.
Intune 구성
Microsoft Entra CBA에 필요한 인증서를 배포하도록 Intune을 구성해야 합니다. 또한 Intune은 MICROSOFT ENTRA CBA에 유효한 인증서를 디바이스에 지시하는 구성을 배포해야 합니다.
SCEP를 통한 클라이언트 인증서 배포
디바이스에는 MICROSOFT ENTRA CBA를 수행할 적절한 클라이언트 인증서가 있어야 합니다. SCEP 구성을 만들고 "SharedDevices"에 할당합니다.
인증서 유형: 디바이스
UPN(사용자 계정 이름) SAN(주체 대체 이름) 을 추가합니다. 여기서 값은 디바이스에 할당된 공유 계정의 UPN입니다. UPN은 디바이스와 연결하기 위해 디바이스 일련 번호를 포함해야 합니다. Intune 변수 {{Device_Serial}}를 사용하여 디바이스 일련 번호를 참조할 수 있습니다. 예를 들어 공유 계정에 이름 HL-{{Device_Serial}}@contoso.com 형식이 인 경우 의 HL-123456789@contoso.com값을 입력합니다.
KSP(키 스토리지 공급자): "TPM 필요, 그렇지 않으면 실패"를 선택하여 다른 곳에서 사용할 디바이스에서 인증서를 내보낼 수 없도록 합니다.
인증서에 최소한 다음 EKU (확장 키 사용)가 있는지 확인합니다.
스마트 카드 로그온: 1.3.6.1.4.1.311.20.2.2
클라이언트 인증: 1.3.6.1.5.5.7.3.2
이 목록에 다른 EKU를 추가하여 MICROSOFT ENTRA CBA에 허용되는 인증서를 추가로 제한할 수 있습니다.
ConfigureSharedAccount 정책에 대한 XML에 이러한 EKU를 추가해야 합니다.
또한 디바이스는 클라이언트 인증서를 발급한 CA를 신뢰해야 합니다. 신뢰할 수 있는 인증서 구성을 만들고 "SharedDevices" 그룹에 할당합니다. 이 할당은 디바이스에 CA 인증서를 배포합니다. 설명서: Microsoft Intune 신뢰할 수 있는 인증서 프로필 만들기를 참조하세요.
ConfigureSharedAccount 정책
이 정책은 MICROSOFT ENTRA CBA에 사용할 수 있는 인증서를 디바이스에 알려줍니다. 사용자 지정 디바이스 구성 정책을 만들고 "SharedDevices"에 할당합니다.
<SharedAccountConfiguration>
<SharedAccount>
<!--
TODO: Replace the example value below with your issuer certificate's thumbprint.
You may customize the restrictions for which certificates are displayed. See below.
-->
<IssuerThumbprint>77de0879f69314d867bd08fcf2e8e6616548b3c8</IssuerThumbprint>
</SharedAccount>
</SharedAccountConfiguration>
Microsoft Entra CBA에 대해 인증서가 표시되는 제한을 사용자 지정할 수 있습니다. 위의 예제에서는 발급자의 인증서 지문이 제공된 값과 일치해야 합니다. 발급자의 이름에 따라 제한을 적용하거나 인증서에 대한 EKU(확장 키 사용량)에 따라 더 많은 제한을 적용할 수도 있습니다. XML을 구성하는 방법에 대한 예제 는 ConfigureSharedAccount XML 예제 를 참조하세요.
인증서가 있는 경우 인증서가 유효한 날짜 내에 필요한 발급자 및 EKU가 있는지 확인합니다.
다음으로 MixedReality/ConfigureSharedAccount에 적용한 XML 정책 값이 올바른 형식인지 확인합니다. 온라인으로 여러 XSD(XML 스키마) 유효성 검사기 중 하나를 사용하여 XML이 ConfigureSharedAccount XML 스키마에 설명된 스키마를 준수하는지 검사 수 있습니다.