클라우드 관리 게이트웨이에 대한 클라이언트 인증 구성

적용 대상: Configuration Manager(현재 분기)

CMG(클라우드 관리 게이트웨이) 설정의 다음 단계는 클라이언트가 인증하는 방법을 구성하는 것입니다. 이러한 클라이언트는 신뢰할 수 없는 공용 인터넷에서 서비스에 연결할 수 있으므로 인증 요구 사항이 더 높습니다. 다음과 같은 세 가지 옵션이 있습니다.

• Microsoft Entra ID
• PKI 인증서
• 사이트에서 발급한 토큰 Configuration Manager

이 문서에서는 이러한 각 옵션을 구성하는 방법을 설명합니다. 자세한 내용은 CMG 클라이언트 인증 방법 계획을 참조하세요.

Microsoft Entra ID

인터넷 기반 디바이스가 Windows 10 이상 실행 중인 경우 CMG를 사용하여 최신 인증 Microsoft Entra 사용합니다. 이 인증 방법은 사용자 중심 시나리오를 사용하도록 설정하는 유일한 방법입니다.

이 인증 방법에는 다음 구성이 필요합니다.

• 디바이스는 클라우드 도메인 가입 또는 Microsoft Entra 하이브리드 조인이어야 하며 사용자에게도 Microsoft Entra ID가 필요합니다.

  팁

  디바이스가 클라우드에 조인된 경우 검사 명령 프롬프트에서 를 실행 dsregcmd.exe /status 합니다. 디바이스가 Microsoft Entra 조인되거나 하이브리드 조인된 경우 결과의 AzureAdjoined 필드에 예가 표시됩니다. 자세한 내용은 dsregcmd 명령 - 디바이스 상태를 참조하세요.

• CMG를 사용하는 인터넷 기반 클라이언트에 Microsoft Entra 인증을 사용하기 위한 기본 요구 사항 중 하나는 사이트를 Microsoft Entra ID와 통합하는 것입니다. 이전 단계에서 해당 작업을 이미 완료했습니다.

• 환경에 따라 몇 가지 다른 요구 사항이 있습니다.

  • 하이브리드 ID에 대한 사용자 검색 방법 사용
  • 관리 지점에서 ASP.NET 4.5 사용
  • 클라이언트 설정 구성

이러한 필수 구성 요소에 대한 자세한 내용은 Microsoft Entra ID를 사용하여 클라이언트 설치를 참조하세요.

PKI 인증서

디바이스에 클라이언트 인증 인증서를 발급할 수 있는 PKI(공개 키 인프라)가 있는 경우 다음 단계를 사용합니다.

이 인증서는 CMG 연결 지점에서 필요할 수 있습니다. 자세한 내용은 CMG 연결 지점을 참조하세요.

인증서 발급

Configuration Manager 컨텍스트 외부에 있는 PKI에서 이 인증서를 만들고 발급합니다. 예를 들어 Active Directory 인증서 서비스 및 그룹 정책을 사용하여 도메인에 가입된 디바이스에 클라이언트 인증 인증서를 자동으로 발급할 수 있습니다. 자세한 내용은 PKI 인증서 배포 예제: 클라이언트 인증서 배포를 참조하세요.

CMG 클라이언트 인증 인증서는 다음 구성을 지원합니다.

• 2048비트 또는 4096비트 키 길이

• 이 인증서는 인증서 프라이빗 키(v3)에 대한 키 스토리지 공급자를 지원합니다. 자세한 내용은 CNG v3 인증서 개요를 참조하세요.

클라이언트 인증서의 신뢰할 수 있는 루트 내보내기

CMG는 클라이언트와 HTTPS 채널을 설정하기 위해 클라이언트 인증 인증서를 신뢰해야 합니다. 이 트러스트를 수행하려면 신뢰할 수 있는 루트 인증서 체인을 내보냅니다. 그런 다음, Configuration Manager 콘솔에서 CMG를 만들 때 이러한 인증서를 제공합니다.

트러스트 체인의 모든 인증서를 내보내야 합니다. 예를 들어 클라이언트 인증 인증서가 중간 CA에서 발급되는 경우 중간 및 루트 CA 인증서를 모두 내보냅니다.

참고

클라이언트가 인증에 PKI 인증서를 사용하는 경우 이 인증서를 내보냅니다. 모든 클라이언트가 인증에 Microsoft Entra ID 또는 토큰을 사용하는 경우 이 인증서는 필요하지 않습니다.

컴퓨터에 클라이언트 인증 인증서를 발급한 후 해당 컴퓨터에서 이 프로세스를 사용하여 신뢰할 수 있는 루트 인증서를 내보냅니다.

1. 시작 메뉴를 엽니다. "실행"을 입력하여 실행 창을 엽니다. 을 엽니다 mmc.

2. 파일 메뉴에서 스냅인 추가/제거...를 선택합니다.

3. 스냅인 추가 또는 제거 대화 상자에서 인증서를 선택한 다음 , 추가를 선택합니다.

   1. 인증서 스냅인 대화 상자에서 컴퓨터 계정을 선택한 다음, 다음을 선택합니다.

   2. 컴퓨터 선택 대화 상자에서 로컬 컴퓨터를 선택한 다음 마침을 선택합니다.

   3. 스냅인 추가 또는 제거 대화 상자에서 확인을 선택합니다.

4. 인증서를 확장하고 개인을 확장한 다음 인증서를 선택합니다.

5. 의도된 용도가 클라이언트 인증인 인증서를 선택합니다.

   1. 작업 메뉴에서 열기를 선택합니다.

   2. 인증 경로 탭으로 이동합니다.

   3. 체인의 다음 인증서를 선택하고 인증서 보기를 선택합니다.

6. 이 새 인증서 대화 상자에서 세부 정보 탭으로 이동합니다. 파일로 복사...를 선택합니다.

7. 기본 인증서 형식 인 DER 인코딩된 이진 X.509()를 사용하여 인증서 내보내기 마법사를 완료합니다. CER). 내보낸 인증서의 이름과 위치를 기록해 둡다.

8. 원래 클라이언트 인증 인증서의 인증 경로에 있는 모든 인증서를 내보냅니다. 내보낸 인증서가 중간 CA이고 신뢰할 수 있는 루트 CA를 기록해 둡니다.

CMG 연결 지점

클라이언트 요청을 안전하게 전달하려면 CMG 연결 지점에 관리 지점과의 보안 연결이 필요합니다. PKI 클라이언트 인증을 사용하고 인터넷 사용 관리 지점이 HTTPS인 경우 CMG 연결 지점 역할을 사용하여 사이트 시스템 서버에 클라이언트 인증 인증서를 발급합니다.

참고

CMG 연결 지점에는 다음 시나리오에서 클라이언트 인증 인증서가 필요하지 않습니다.

• 클라이언트는 Microsoft Entra 인증을 사용합니다.
• 클라이언트는 Configuration Manager 토큰 기반 인증을 사용합니다.
• 사이트에서 고급 HTTP를 사용합니다.

자세한 내용은 HTTPS에 대한 관리 지점 사용을 참조하세요.

사이트 토큰

디바이스를 Microsoft Entra ID에 조인하거나 PKI 클라이언트 인증 인증서를 사용할 수 없는 경우 Configuration Manager 토큰 기반 인증을 사용합니다. 자세한 내용을 확인하거나 대량 등록 토큰을 만들려면 클라우드 관리 게이트웨이에 대한 토큰 기반 인증을 참조하세요.

HTTPS에 대한 관리 지점 사용

사이트를 구성하는 방법 및 선택한 클라이언트 인증 방법에 따라 인터넷 사용 관리 지점을 다시 구성해야 할 수 있습니다. 다음 두 가지 옵션이 있습니다.

• 향상된 HTTP에 대한 사이트를 구성하고 HTTP에 대한 관리 지점을 구성합니다.
• HTTPS에 대한 관리 지점 구성

향상된 HTTP에 대한 사이트 구성

사이트 옵션을 사용하여 HTTP 사이트 시스템에 Configuration Manager 생성된 인증서를 사용하는 경우 HTTP에 대한 관리 지점을 구성할 수 있습니다. 고급 HTTP를 사용하도록 설정하면 사이트 서버는 SMS 역할 SSL 인증서라는 자체 서명된 인증서를 생성합니다. 이 인증서는 루트 SMS 발급 인증서에서 발급됩니다 . 관리 지점에서 이 인증서를 포트 443에 바인딩된 IIS 기본 웹 사이트에 추가합니다.

이 옵션을 사용하면 내부 클라이언트가 HTTP를 사용하여 관리 지점과 계속 통신할 수 있습니다. Microsoft Entra ID 또는 클라이언트 인증 인증서를 사용하는 인터넷 기반 클라이언트는 HTTPS를 통해 이 관리 지점과 CMG를 통해 안전하게 통신할 수 있습니다.

자세한 내용은 고급 HTTP를 참조하세요.

HTTPS에 대한 관리 지점 구성

HTTPS에 대한 관리 지점을 구성하려면 먼저 웹 서버 인증서를 발급합니다. 그런 다음 HTTPS에 대한 역할을 사용하도록 설정합니다.

1. Configuration Manager 컨텍스트 외부에 있는 PKI 또는 타사 공급자로부터 웹 서버 인증서를 만들고 발급합니다. 예를 들어 Active Directory 인증서 서비스 및 그룹 정책을 사용하여 관리 지점 역할을 사용하여 사이트 시스템 서버에 웹 서버 인증서를 발급합니다. 자세한 내용은 다음 문서를 참조하세요.

   • PKI 인증서 요구 사항
   • PKI 인증서 배포 예: IIS를 실행하는 사이트 시스템에 대한 웹 서버 인증서 배포

2. 관리 지점 역할의 속성에서 클라이언트 연결을 HTTPS로 설정합니다.

   팁

   CMG를 설정한 후에는 이 관리 지점에 대한 다른 설정을 구성합니다.

환경에 여러 관리 지점이 있는 경우 CMG에 대해 모두 HTTPS를 사용하도록 설정할 필요가 없습니다. CMG 사용 관리 지점을 인터넷으로만 구성합니다. 그런 다음 온-프레미스 클라이언트는 이를 사용하지 않습니다.

관리 지점 클라이언트 연결 모드 요약

이러한 테이블은 클라이언트 유형에 따라 관리 지점에 HTTP 또는 HTTPS가 필요한지 여부를 요약합니다. 다음 용어를 사용합니다.

• 작업 그룹: 디바이스가 도메인 또는 Microsoft Entra ID에 가입되지 않지만 클라이언트 인증 인증서가 있습니다.
• AD 도메인 가입: 디바이스를 온-프레미스 Active Directory 도메인에 조인합니다.
• Microsoft Entra 조인: 클라우드 도메인 가입이라고도 하며 디바이스를 Microsoft Entra 테넌트로 조인합니다. 자세한 내용은 Microsoft Entra 조인된 디바이스를 참조하세요.
• 하이브리드 조인: 디바이스를 온-프레미스 Active Directory 조인하고 Microsoft Entra ID에 등록합니다. 자세한 내용은 하이브리드 조인 디바이스 Microsoft Entra 참조하세요.
• HTTP: 관리 지점 속성에서 클라이언트 연결을 HTTP로 설정합니다.
• HTTPS: 관리 지점 속성에서 클라이언트 연결을 HTTPS로 설정합니다.
• E-HTTP: 사이트 속성인 Communication Security 탭에서 사이트 시스템 설정을 HTTPS 또는 HTTP로 설정하고 HTTP 사이트 시스템에 Configuration Manager 생성된 인증서 사용 옵션을 사용하도록 설정합니다. HTTP에 대한 관리 지점을 구성하면 HTTP 관리 지점이 HTTP 및 HTTPS 통신 모두에 대해 준비됩니다.

중요

Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.

CMG와 통신하는 인터넷 기반 클라이언트의 경우

다음 클라이언트 연결 모드를 사용하여 CMG의 연결을 허용하도록 온-프레미스 관리 지점을 구성합니다.

인터넷 기반 클라이언트	관리 포인트
작업 그룹 참고 1	E-HTTP, HTTPS
AD 도메인 가입 참고 1	E-HTTP, HTTPS
Microsoft Entra 조인됨	E-HTTP, HTTPS
하이브리드 조인	E-HTTP, HTTPS

참고

참고 1: 이 구성을 사용하려면 클라이언트에 클라이언트 인증 인증서가 있어야 하며 디바이스 중심 시나리오만 지원합니다.

온-프레미스 관리 지점과 통신하는 온-프레미스 클라이언트의 경우

다음 클라이언트 연결 모드를 사용하여 온-프레미스 관리 지점을 구성합니다.

온-프레미스 클라이언트	관리 포인트
Workgroup	HTTP, HTTPS
AD 도메인 가입	HTTP, HTTPS
Microsoft Entra 조인됨	HTTPS
하이브리드 조인	HTTP, HTTPS

참고

온-프레미스 AD 도메인 가입 클라이언트는 HTTP 또는 HTTPS 관리 지점과 통신하는 디바이스 및 사용자 중심 시나리오를 모두 지원합니다.

온-프레미스 Microsoft Entra 조인 및 하이브리드 조인 클라이언트는 디바이스 중심 시나리오를 위해 HTTP를 통해 통신할 수 있지만 사용자 중심 시나리오를 사용하도록 설정하려면 E-HTTP 또는 HTTPS가 필요합니다. 그렇지 않으면 작업 그룹 클라이언트와 동일하게 동작합니다.

다음 단계

이제 Configuration Manager CMG를 만들 준비가 되었습니다.

CMG 설정