SCEP를 사용하여 Intune에 파트너 인증 기관 추가

중요

2022년 5월 10일부터 KB5014754 도입 및 발표된 SCEP 인증서의 강력한 매핑에 대한 Windows 요구 사항을 지원하기 위해 신규 및 갱신된 SCEP 인증서에 대한 Intune SCEP 인증서 발급을 변경했습니다. 이러한 변경 내용으로 iOS/iPadOS, macOS 및 Windows용 새 인증서 또는 갱신된 Intune SCEP 인증서는 이제 인증서의 SAN(주체 대체 이름) 필드에 다음 태그를 포함합니다.URL=tag:microsoft.com,2022-09-14:sid:<value> 

이 태그는 강력한 매핑을 통해 Entra ID의 특정 디바이스 또는 사용자 SID에 인증서를 연결하는 데 사용됩니다. 이 변경 사항 및 Entra ID에서 SID를 매핑해야 하는 요구 사항:

• 디바이스 인증서는 해당 디바이스에 온-프레미스 Active Directory 동기화된 Entra ID의 SID가 있는 경우 Windows 하이브리드 조인 디바이스에 대해 지원됩니다.
• 사용자 인증서는 온-프레미스 Active Directory 동기화된 Entra ID의 사용자 SID를 사용합니다.

SAN에서 URL 태그를 지원하지 않는 CA(인증 기관)는 인증서를 발급하지 못할 수 있습니다. KB5014754 업데이트를 설치한 Microsoft Active Directory 인증서 서비스 서버는 이 태그 사용을 지원합니다. 타사 CA를 사용하는 경우 CA 공급자와 검사 이 형식을 지원하거나 이 지원이 추가되는 방법과 시기를 지원하도록 합니다.

자세한 내용은 지원 팁: Microsoft Intune 인증서에서 강력한 매핑 구현 - Microsoft Community Hub를 참조하세요.

Intune에서 타사 CA(인증 기관)를 사용합니다. 타사 CA는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 새 인증서나 갱신된 인증서로 모바일 디바이스를 프로비저닝할 수 있고 Windows, iOS/iPadOS, Android 및 macOS 디바이스를 지원할 수 있습니다.

이 기능의 사용법은 오픈 소스 API와 Intune 관리자 작업이라는 두 가지 부분으로 나뉘어 있습니다.

1부 - 오픈 소스 API 사용
Microsoft는 Intune과 통합하기 위한 API를 만들었습니다. API를 통해 인증서를 확인하고 성공 또는 실패 알림을 보내고 SSL, 특히 SSL 소켓 팩터리를 사용하여 Intune과 통신할 수 있습니다.

API는 Intune SCEP API 공개 GitHub 리포지토리에서 다운로드하여 솔루션에서 사용할 수 있습니다. 타사 SCEP 서버에서 이 API를 사용하여 SCEP가 인증서를 디바이스에 프로비저닝하기 전에 Intune에 사용자 지정 인증 질문 유효성 검사를 실행합니다.

Intune SCEP 관리 솔루션과 통합에서는 API 사용, 메서드 및 빌드한 솔루션 테스트에 대한 자세한 정보를 제공합니다.

2부 - 애플리케이션 및 프로필 만들기
Microsoft Entra 애플리케이션을 사용하여 디바이스에서 들어오는 SCEP 요청을 처리하기 위해 Intune 권한을 위임할 수 있습니다. Microsoft Entra 애플리케이션에는 개발자가 만드는 API 솔루션 내에서 사용되는 애플리케이션 ID 및 인증 키 값이 포함됩니다. 그러면 관리자는 Intune을 사용하여 SCEP 인증서 프로필을 만들고 배포하며 디바이스에서 배포 상태에 관한 보고서를 볼 수 있습니다.

이 문서에서는 Microsoft Entra 애플리케이션 만들기를 포함하여 관리자 관점에서 이 기능에 대한 개요를 제공합니다.

개요

다음 단계는 Intune에서 인증서에 SCEP를 사용하는 방법에 대한 개요를 제공합니다.

1. Intune에서 관리자는 SCEP 인증서 프로필을 만든 다음, 프로필 대상을 사용자 또는 디바이스로 지정합니다.
2. 디바이스가 Intune에 체크 인합니다.
3. Intune은 고유한 SCEP 인증 질문을 만듭니다. 또한 올바른 주체 및 SAN과 같은 추가 무결성 검사 정보를 추가합니다.
4. Intune은 인증 질문 및 무결성 검사 정보를 암호화하고 서명한 다음, SCEP 요청을 통해 디바이스에 이 정보를 보냅니다.
5. 디바이스는 Intune에서 푸시되는 SCEP 인증서 프로필을 기반으로 디바이스에 CSR(인증서 서명 요청) 및 퍼블릭/프라이빗 키 쌍을 생성합니다.
6. CSR 및 암호화/서명된 인증 질문이 타사 SCEP 서버 엔드포인트로 전송됩니다.
7. SCEP 서버는 CSR과 인증 질문을 Intune에 보냅니다. 그런 다음, Intune은 서명의 유효성을 검사하고 페이로드의 암호를 해독하며 CSR을 무결성 검사 정보와 비교합니다.
8. Intune은 SCEP 서버에 응답을 보내고 인증 질문 유효성 검사가 성공했는지 여부를 명시합니다.
9. 인증 질문이 성공적으로 확인되면 SCEP 서버는 디바이스에 인증서를 발급합니다.

다음 다이어그램에서는 Intune과 타사 SCEP 통합의 자세한 흐름을 보여 줍니다.

타사 CA 통합 설정

타사 인증 기관 유효성 검사

타사 인증 기관을 Intune과 통합하기 전에 사용 중인 CA가 Intune을 지원하는지 확인합니다. (이 문서에서) 타사 CA 파트너는 목록을 포함합니다. 인증 기관의 지침에서 자세한 내용을 확인할 수도 있습니다. CA는 해당 구현과 관련된 설치 지침을 포함할 수 있습니다.

참고

다음 디바이스를 지원하려면 SCEP 인증서 프로필에 대한 SCEP 서버 URL을 구성할 때 HTTPS URL을 구성해야 구성하면 CA에서 HTTPS URL 사용을 지원해야 합니다.

• Android 장치 관리자
• Android Enterprise 디바이스 소유자
• Android Enterprise 회사 소유 회사 프로필
• Android Enterprise 개인 소유 회사 프로필

CA와 Intune 간의 통신 승인

타사 SCEP 서버가 Intune 사용자 지정 챌린지 유효성 검사를 실행할 수 있도록 하려면 Microsoft Entra ID 앱을 만듭니다. 이 앱은 Intune에 위임된 권한을 부여하여 SCEP 요청의 유효성을 검사합니다.

Microsoft Entra 앱을 등록하는 데 필요한 권한이 있는지 확인합니다. Microsoft Entra 설명서의 필수 권한을 참조하세요.

Microsoft Entra ID 애플리케이션 Create

1. Azure PortalMicrosoft Entra ID>앱 등록으로 이동한 다음, 새 등록을 선택합니다.

2. 애플리케이션 등록 페이지에서 다음 세부 정보를 지정합니다.

   • 이름 섹션에서 의미 있는 애플리케이션 이름을 입력합니다.
   • 지원되는 계정 유형 섹션에서 모든 조직 디렉터리의 계정을 선택합니다.
   • 리디렉션 URI에서 기본값인 웹을 그대로 사용한 후 타사 SCEP 서버의 로그인 URL을 지정합니다.

3. 등록을 선택하여 애플리케이션을 만들고 새 앱의 개요 페이지를 엽니다.

4. 앱 개요 페이지에서 애플리케이션(클라이언트) ID 값을 복사하고 나중에 사용할 수 있도록 기록합니다. 나중에 이 값이 필요합니다.

5. 앱 탐색 창에서 관리 아래에 있는 인증서 및 비밀로 이동합니다. 새 클라이언트 비밀 단추를 선택합니다. [설명]에 값을 입력하고, 만료 옵션을 선택한 후, 추가를 선택하여 클라이언트 암호 ‘값’을 생성합니다.

   중요

   이 페이지를 나가기 전에 클라이언트 암호 값을 복사하고 나중에 타사 CA 구현에서 사용할 수 있도록 기록합니다. 이 값은 다시 표시되지 않습니다. 애플리케이션 ID, 인증 키 및 테넌트 ID를 구성하는 방법에 대한 타사 CA 지침을 검토해야 합니다.

6. 테넌트 ID를 기록합니다. 테넌트 ID는 계정의 @ 기호 다음에 오는 도메인 텍스트입니다. 예를 들어 계정이 인 admin@name.onmicrosoft.com경우 테넌트 ID는 name.onmicrosoft.com.

7. 앱의 탐색 창에서 관리 아래에 있는 API 권한으로 이동합니다. 두 개의 개별 애플리케이션 권한을 추가하려고 합니다.

   1. 사용 권한 추가를 선택합니다.

      1. API 사용 권한 요청 페이지에서 Intune을 선택한 후 애플리케이션 권한을 선택합니다.
      2. scep_challenge_provider(SCEP 챌린지 유효성 검사) 확인란을 선택합니다.
      3. 권한 추가를 선택하여 이 구성을 저장합니다.

   2. 권한 추가를 다시 선택합니다.

      1. API 사용 권한 요청 페이지에서 Microsoft Graph>애플리케이션 권한을 선택합니다.
      2. 애플리케이션을 확장하고 Application.Read.All(모든 애플리케이션 읽기)에 대한 확인란을 선택합니다.
      3. 권한 추가를 선택하여 이 구성을 저장합니다.

8. API 권한 페이지에 남아 테넌트> 관리자 동의 부여를< 선택한 다음, 예를 선택합니다.

   Microsoft Entra ID 앱 등록 프로세스가 완료되었습니다.

SCEP 인증서 프로필 구성 및 배포

관리자는 사용자 또는 디바이스를 대상으로 SCEP 인증서 프로필을 만듭니다. 그런 다음, 프로필을 할당합니다.

• SCEP 인증서 프로필 만들기

• 인증서 프로필 할당

인증서 제거

디바이스의 등록을 취소하거나 초기화할 때 인증서가 제거됩니다. 인증서는 해지되지 않습니다.

타사 인증 기관 파트너

다음 타사 인증 기관은 Intune을 지원합니다.

• 코기토 그룹
• DigiCert
• EasyScep
• EJBCA
• Entrust
• EverTrust
• GlobalSign
• HID Global
• IDnomic
• Keyfactor 명령
• KeyTalk
• 키토스(Keytos)
• Nexus 인증서 관리자
• SCEPman
• Sectigo
• SecureW2
• Splashtop
• Venafi

Intune과 제품을 통합하는 데 관심이 있는 타사 CA인 경우 API 지침을 검토합니다.

• Intune SCEP API GitHub 리포지토리
• 타사 CA에 대한 Intune SCEP API 지침

참고 항목

• 인증서 프로필 구성
• Intune SCEP API GitHub 리포지토리
• 타사 CA에 대한 Intune SCEP API 지침