Configuration Manager 인증서 프로필 소개
적용 대상: Configuration Manager(현재 분기)
중요
버전 2203부터 이 회사 리소스 액세스 기능은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.
인증서 프로필은 Active Directory 인증서 서비스 및 NDES(네트워크 디바이스 등록 서비스) 역할에서 작동합니다. 사용자가 조직 리소스에 쉽게 액세스할 수 있도록 관리 디바이스에 대한 인증 인증서를 만들고 배포합니다. 예를 들어 인증서 프로필을 만들고 배포하여 사용자가 VPN 및 무선 연결에 연결하는 데 필요한 인증서를 제공할 수 있습니다.
인증서 프로필은 Wi-Fi 네트워크 및 VPN 서버와 같은 조직 리소스에 액세스할 수 있도록 사용자 디바이스를 자동으로 구성할 수 있습니다. 사용자는 인증서를 수동으로 설치하거나 대역 외 프로세스를 사용하지 않고도 이러한 리소스에 액세스할 수 있습니다. 인증서 프로필은 PKI(공개 키 인프라)에서 지원하는 보다 안전한 설정을 사용할 수 있으므로 리소스를 보호하는 데 도움이 됩니다. 예를 들어 관리되는 디바이스에 필요한 인증서를 배포했기 때문에 모든 Wi-Fi 및 VPN 연결에 대해 서버 인증이 필요합니다.
인증서 프로필은 다음과 같은 관리 기능을 제공합니다.
다양한 OS 유형 및 버전을 실행하는 디바이스에 대한 CA(인증 기관)의 인증서 등록 및 갱신. 그런 다음 이러한 인증서를 Wi-Fi 및 VPN 연결에 사용할 수 있습니다.
신뢰할 수 있는 루트 CA 인증서 및 중간 CA 인증서 배포 이러한 인증서는 서버 인증이 필요할 때 VPN 및 Wi-Fi 연결에 대한 디바이스에 대한 신뢰 체인을 구성합니다.
설치된 인증서를 모니터링하고 보고합니다.
예제 1: 모든 직원은 여러 사무실 위치에서 Wi-Fi 핫스팟에 연결해야 합니다. 간편한 사용자 연결을 사용하려면 먼저 Wi-Fi에 연결하는 데 필요한 인증서를 배포합니다. 그런 다음 인증서를 참조하는 Wi-Fi 프로필을 배포합니다.
예제 2: PKI가 있습니다. 인증서를 배포하는 보다 유연하고 안전한 방법으로 이동하려고 합니다. 사용자는 보안을 손상시키지 않고 개인 디바이스에서 조직 리소스에 액세스해야 합니다. 특정 디바이스 플랫폼에 대해 지원되는 설정 및 프로토콜을 사용하여 인증서 프로필을 구성합니다. 그러면 디바이스가 인터넷 연결 등록 서버에서 이러한 인증서를 자동으로 요청할 수 있습니다. 그런 다음 디바이스가 조직 리소스에 액세스할 수 있도록 이러한 인증서를 사용하도록 VPN 프로필을 구성합니다.
형식
인증서 프로필에는 다음 세 가지 유형이 있습니다.
신뢰할 수 있는 CA 인증서: 신뢰할 수 있는 루트 CA 또는 중간 CA 인증서를 배포합니다. 이러한 인증서는 디바이스가 서버를 인증해야 하는 경우 신뢰 체인을 형성합니다.
SCEP(단순 인증서 등록 프로토콜): SCEP 프로토콜을 사용하여 디바이스 또는 사용자에 대한 인증서를 요청합니다. 이 유형에는 Windows Server 2012 R2 이상을 실행하는 서버에서 NDES(네트워크 디바이스 등록 서비스) 역할이 필요합니다.
SCEP(단순 인증서 등록 프로토콜) 인증서 프로필을 만들려면 먼저 신뢰할 수 있는 CA 인증서 프로필을 만듭니다.
개인 정보 교환(.pfx): 디바이스 또는 사용자에 대한 .pfx(PKCS #12라고도 함) 인증서를 요청합니다. PFX 인증서 프로필을 만드는 방법에는 두 가지가 있습니다.
- 기존 인증서에서 자격 증명 가져오기
- 요청을 처리할 인증 기관 정의
참고
Configuration Manager 기본적으로 이 선택적 기능을 사용하도록 설정하지 않습니다. 이 기능을 사용하려면 먼저 이 기능을 사용하도록 설정해야 합니다. 자세한 내용은 업데이트에서 선택적 기능 사용을 참조하세요.
Microsoft 또는 Entrust를 개인 정보 교환(.pfx) 인증서의 인증 기관으로 사용할 수 있습니다.
요구 사항
SCEP를 사용하는 인증서 프로필을 배포하려면 사이트 시스템 서버에 인증서 등록 지점을 설치합니다. 또한 Configuration Manager 정책 모듈인 NDES에 대한 정책 모듈을 Windows Server 2012 R2 이상을 실행하는 서버에 설치합니다. 이 서버에는 Active Directory 인증서 서비스 역할이 필요합니다. 또한 인증서가 필요한 디바이스에서 액세스할 수 있는 작업 NDES가 필요합니다. 디바이스가 인터넷에서 인증서에 등록해야 하는 경우 인터넷에서 NDES 서버에 액세스할 수 있어야 합니다. 예를 들어 인터넷에서 NDES 서버로의 트래픽을 안전하게 사용하도록 설정하려면 Azure 애플리케이션 프록시를 사용할 수 있습니다.
PFX 인증서에는 인증서 등록 지점도 필요합니다. 또한 인증서 및 관련 액세스 자격 증명에 대한 CA(인증 기관)를 지정합니다. Microsoft 또는 Entrust를 인증 기관으로 지정할 수 있습니다.
Configuration Manager 인증서를 배포할 수 있도록 NDES가 정책 모듈을 지원하는 방법에 대한 자세한 내용은 네트워크 디바이스 등록 서비스에서 정책 모듈 사용을 참조하세요.
요구 사항에 따라 Configuration Manager 다양한 디바이스 유형 및 운영 체제의 여러 인증서 저장소에 인증서 배포를 지원합니다. 지원되는 디바이스 및 운영 체제는 다음과 같습니다.
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
참고
Configuration Manager 온-프레미스 MDM을 사용하여 Windows Phone 8.1 및 Windows 10 Mobile 관리합니다. 자세한 내용은 온-프레미스 MDM을 참조하세요.
Configuration Manager 일반적인 시나리오는 신뢰할 수 있는 루트 CA 인증서를 설치하여 Wi-Fi 및 VPN 서버를 인증하는 것입니다. 일반적인 연결은 다음 프로토콜을 사용합니다.
- 인증 프로토콜: EAP-TLS, EAP-TTLS 및 PEAP
- VPN 터널링 프로토콜: IKEv2, L2TP/IPsec 및 Cisco IPsec
디바이스가 SCEP 인증서 프로필을 사용하여 인증서를 요청하려면 먼저 디바이스에 엔터프라이즈 루트 CA 인증서를 설치해야 합니다.
SCEP 인증서 프로필에서 설정을 지정하여 다양한 환경 또는 연결 요구 사항에 대해 사용자 지정된 인증서를 요청할 수 있습니다. 인증서 프로필 만들기 마법사에는 등록 매개 변수에 대한 두 페이지가 있습니다. 첫 번째 SCEP 등록에는 등록 요청 및 인증서를 설치할 위치에 대한 설정이 포함됩니다. 두 번째 인증서 속성은 요청된 인증서 자체를 설명합니다.
배포
SCEP 인증서 프로필을 배포하면 Configuration Manager 클라이언트가 정책을 처리합니다. 그런 다음 관리 지점에서 SCEP 챌린지 암호를 요청합니다. 디바이스는 퍼블릭/프라이빗 키 쌍을 만들고 CSR(인증서 서명 요청)을 생성합니다. 이 요청을 NDES 서버로 보냅니다. NDES 서버는 NDES 정책 모듈을 통해 인증서 등록 지점 사이트 시스템에 요청을 전달합니다. 인증서 등록 지점은 요청의 유효성을 검사하고, SCEP 챌린지 암호를 확인하고, 요청이 변조되지 않았는지 확인합니다. 그런 다음 요청을 승인하거나 거부합니다. 승인된 경우 NDES 서버는 서명을 위해 연결된 CA(인증 기관)에 서명 요청을 보냅니다. CA는 요청에 서명한 다음 요청 디바이스에 인증서를 반환합니다.
사용자 또는 디바이스 컬렉션에 인증서 프로필을 배포합니다. 각 인증서에 대한 대상 저장소를 지정할 수 있습니다. 적용 가능성 규칙은 디바이스가 인증서를 설치할 수 있는지 여부를 결정합니다.
사용자 컬렉션에 인증서 프로필을 배포할 때 사용자 디바이스 선호도 는 인증서를 설치하는 사용자의 디바이스를 결정합니다. 사용자 인증서를 사용하여 인증서 프로필을 디바이스 컬렉션에 배포하는 경우 기본적으로 각 사용자의 기본 디바이스는 인증서를 설치합니다. 사용자의 디바이스에 인증서를 설치하려면 인증서 프로필 만들기 마법사의 SCEP 등록 페이지에서 이 동작을 변경합니다. 디바이스가 작업 그룹에 있는 경우 Configuration Manager 사용자 인증서를 배포하지 않습니다.
모니터링
규정 준수 결과 또는 보고서를 확인하여 인증서 프로필 배포를 모니터링할 수 있습니다. 자세한 내용은 인증서 프로필을 모니터링하는 방법을 참조하세요.
자동 해지
Configuration Manager 다음과 같은 상황에서 인증서 프로필을 사용하여 배포된 사용자 및 컴퓨터 인증서를 자동으로 해지합니다.
디바이스가 Configuration Manager 관리에서 사용 중지되었습니다.
디바이스가 Configuration Manager 계층 구조에서 차단됩니다.
인증서를 해지하기 위해 사이트 서버는 발급 인증 기관에 해지 명령을 보냅니다. 해지 이유는 작동 중단입니다.
참고
인증서를 올바르게 해지하려면 계층 구조의 최상위 사이트에 대한 컴퓨터 계정에 CA에서 인증서를 발급하고 관리할 수 있는 권한이 필요합니다.
향상된 보안을 위해 CA에서 CA 관리자를 제한할 수도 있습니다. 그런 다음 사이트의 SCEP 프로필에 사용하는 특정 인증서 템플릿에 대해서만 이 계정에 권한을 부여합니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기