Microsoft Intune용 인증서 커넥터
Microsoft Intune에서 인증에 인증서를 사용하도록 지원하고 S/MIME을 사용한 메일 서명 및 암호화를 지원하려면 Microsoft Intune용 인증서 커넥터를 사용할 수 있습니다. 인증서 커넥터는 Intune 관리 디바이스에 대한 인증서를 제공하고 관리하는 데 도움이 되도록 온-프레미스 서버에 설치하는 소프트웨어입니다.
이 문서에서는 Microsoft Intune용 인증서 커넥터를 소개하고 이것의 수명 주기 및 최신 상태로 유지하는 방법을 설명합니다.
팁
2021년 7월 29일부터 Microsoft Intune용 인증서 커넥터가 Microsoft Intune용 PFX 인증서 커넥터와 Microsoft Intune 커넥터 사용을 대체합니다. 새 커넥터에는 이전 두 커넥터의 기능이 모두 포함되어 있습니다. Microsoft용 인증서 커넥터 버전 6.2109.51.0이 출시됨에 따라 이전 커넥터는 더 이상 지원되지 않습니다.
커넥터 개요
인증서 커넥터를 사용하려면 먼저 Microsoft Intune 관리 센터 내에서 소프트웨어를 다운로드한 다음 Windows Server에 설치합니다.
설치하는 동안 다음에 대한 지원을 포함하여 하나 이상의 커넥터 기능을 설치할 수 있습니다.
- 프라이빗 및 퍼블릭 키 쌍(PKCS) 인증서
- PKCS 가져온 인증서
- SCEP(단순 인증서 등록 프로토콜)
- 인증서 해지
또한 커넥터를 실행하는 서비스 계정을 할당합니다. 이 계정은 인증 기관과의 모든 상호 작용을 비롯하여 인증서 발급, 해지, 갱신에 사용됩니다. 서비스 계정에 대해 지원되는 옵션에는 커넥터 서버 SYSTEM 계정 또는 도메인 계정이 있습니다.
커넥터를 설치한 후 언제든지 커넥터의 구성을 다시 실행하여 업데이트하거나 설치한 기능을 변경할 수 있습니다. 커넥터를 설치하고 구성한 후에는 최신 업데이트를 자동으로 설치하여 커넥터를 최신 버전으로 유지할 수 있습니다.
Intune은 테넌트에 커넥터의 여러 인스턴스를 설치하도록 지원하며, 각 인스턴스는 서로 다른 기능을 지원할 수 있습니다. 서로 다른 기능을 지원하는 여러 커넥터를 사용하는 경우 인증서 요청은 항상 관련 커넥터로 라우팅됩니다. 예를 들어 PKCS를 지원하는 두 개의 커넥터를 설치하고 PKCS와 SCEP를 모두 지원하는 두 개의 커넥터를 설치하는 경우, PKCS에 대한 인증서 작업은 네 개의 커넥터 중 하나를 통해 관리할 수 있지만 SCEP에 대한 작업은 SCEP를 지원하는 두 개의 커넥터로만 전달됩니다.
인증서 커넥터의 각 인스턴스에는 Intune에서 관리되는 디바이스와 동일한 네트워크 요구 사항이 있습니다. 자세한 내용은 Microsoft Intune용 네트워크 엔드포인트와 Intune 네트워크 구성 요구 사항 및 대역폭을 참조하세요.
인증서 커넥터의 기능
Microsoft Intune용 인증서 커넥터는 다음을 지원합니다.
PKCS #12 인증서 요청.
특정 사용자에 대한 S/MIME 메일 암호화를 위한 PKCS 가져온 인증서(PFX 파일).
SCEP(단순 인증서 등록 프로토콜) 인증서 발급. Microsoft CA라고도 하는 Active Directory 인증서 서비스 CA(인증 기관)를 사용하는 경우 커넥터를 호스트하는 서버에서 NDES(네트워크 디바이스 등록 서비스)도 구성해야 합니다.
타사 인증 기관과 함께 SCEP를 사용하는 경우 Microsoft Intune용 인증서 커넥터를 사용할 필요가 없습니다.
인증서 해지.
새 버전으로 자동 업데이트. 인증서 커넥터를 호스트하는 서버가 인터넷에 액세스할 수 있는 경우 최신 상태를 유지하기 위해 새 업데이트를 자동으로 설치합니다. 커넥터가 자동으로 업데이트되지 않으면 커넥터를 수동으로 업데이트할 수 있습니다.
Intune 테넌트당 최대 100개까지 커넥터의 인스턴스를 설치할 수 있으며, 각 인스턴스는 별도의 Windows Server에 설치됩니다. 여러 커넥터를 사용하는 경우:
커넥터의 각 인스턴스는 업로드된 각 PFX 파일의 암호를 암호화하는 데 사용되는 프라이빗 키에 액세스할 수 있어야 합니다.
커넥터의 각 인스턴스는 동일한 버전이어야 합니다. 커넥터는 최신 버전에 대한 자동 업데이트를 지원하므로 Intune에서 업데이트를 관리할 수 있습니다.
동일한 커넥터 기능을 지원하는 사용 가능한 커넥터 인스턴스가 인증서 요청을 처리할 수 있으므로 인프라는 중복성 및 부하 분산을 지원합니다.
커넥터가 Intune과 통신할 수 있도록 프록시를 구성할 수 있습니다.
참고
PKCS를 지원하는 커넥터 인스턴스를 사용하여 Intune 서비스 큐에서 보류 중인 PKCS 요청을 검색하고, 가져온 인증서를 처리하고, 해지 요청을 처리할 수 있습니다. 어떤 커넥터로 각 요청을 처리할지를 정의하는 것은 불가능합니다. 따라서 PKCS를 지원하는 각 커넥터에는 동일한 권한이 있어야 하며 PKCS 프로필의 뒷부분에 정의된 모든 인증 기관과 연결할 수 있어야 합니다.
수명 주기
인증서 커넥터에 대한 업데이트가 주기적으로 릴리스됩니다. 각 업데이트의 버전 및 릴리스 날짜를 포함하여 새 커넥터 업데이트에 대한 공지 사항은 이 문서의 인증서 커넥터의 새로운 기능 섹션에 나타납니다.
각 새 커넥터 릴리스는 다음과 같습니다.
새 버전이 릴리스된 후 6개월 동안 지원됩니다. 이 기간 동안 자동 업데이트는 최신 커넥터 버전을 설치할 수 있습니다. 업데이트된 커넥터 버전은 버그 수정 및 성능 및 기능 향상을 포함할 수 있지만 제한되지는 않습니다.
지원되지 않는 커넥터가 실패하면 지원되는 최신 버전으로 업데이트해야 합니다.
커넥터의 자동 업데이트를 차단하는 경우 설치된 버전에 대한 지원이 종료되기 전에 6개월 이내에 수동으로 커넥터를 업데이트하도록 계획합니다. 지원이 종료된 후 커넥터 관련 문제에 대한 지원을 받으려면 커넥터를 지원되는 버전으로 업데이트해야 합니다.
지원되지 않는 커넥터는 새 버전이 릴리스된 후 최대 18개월 동안 계속 작동합니다. 18개월 후 서비스 수준 향상, 업데이트 또는 향후 발생할 수 있는 일반적인 보안 취약성 해결로 인해 커넥터 기능이 실패할 수 있습니다.
예를 들어 2022년 5월 4일에 릴리스된 커넥터 버전 6.2203.12.0의 경우 이전 버전의 커넥터 6.2202.38.0은 2022년 11월 4일에 지원에서 삭제됩니다. 커넥터 이전 버전은 2023년 11월까지 계속 작동해야 합니다(지원되지는 않음). 2023년 11월 이후에는 커넥터 이전 버전이 Intune 통신을 중지할 수 있습니다.
자동 업데이트
Intune은 커넥터 버전이 릴리스된 직후에 커넥터를 최신 버전으로 자동으로 업데이트할 수 있습니다.
자동으로 업데이트하려면 커넥터를 호스트하는 서버가 Azure 업데이트 서비스에 액세스해야 합니다.
- 포트: 443
- 엔드포인트: autoupdate.msappproxy.net
방화벽, 인프라 또는 네트워크 구성이 자동 업데이트를 위한 액세스를 제한하는 경우 차단 문제를 해결하거나 커넥터를 새 버전으로 수동으로 업데이트합니다.
수동 업데이트
인증서 커넥터를 수동으로 업데이트하는 프로세스는 커넥터를 다시 설치하는 프로세스와 동일합니다.
자동 업데이트를 지원하는 경우에도 인증서 커넥터를 수동으로 업데이트할 수 있습니다. 예를 들어 네트워크 구성이 자동 업데이트를 차단하는 경우 커넥터를 수동으로 업데이트할 수 있습니다.
인증서 커넥터 다시 설치
커넥터를 호스트하는 Windows Server에서 커넥터 설치 프로그램을 실행하여 커넥터를 제거합니다.
새 버전을 설치하려면 새 버전의 커넥터를 설치하는 절차를 사용합니다. 커넥터의 최신 버전을 설치하는 경우 새로운 또는 업데이트된 필수 조건을 확인해야 합니다.
커넥터 상태
Microsoft Intune 관리 센터에서 인증서 커넥터를 선택하여 상태 대한 정보를 볼 수 있습니다.
테넌트 관리>커넥터 및 토큰>인증서 커넥터로 이동합니다.
커넥터를 선택하여 해당 상태를 확인합니다.
커넥터 상태를 볼 때:
- 사용되지 않는 커넥터에는 경고가 표시됩니다. 6개월 유예 기간 후에는 경고가 오류로 변경됩니다.
- 유예 기간을 초과하는 커넥터에는 오류가 표시됩니다. 해당 커넥터는 더 이상 지원되지 않으며 언제든지 작동을 중지할 수 있습니다.
로깅
Microsoft Intune용 인증서 커넥터에 대한 로그는 커넥터가 설치되어 있는 서버에서 이벤트 로그로 사용할 수 있습니다.
- 이벤트 뷰어>애플리케이션 및 서비스 로그>Microsoft>Intune>인증서 커넥터
다음 로그를 사용할 수 있고 기본값은 50MB이며, 자동 보관이 사용됩니다.
- 관리자 로그 - 이 로그에는 커넥터에 대한 요청당 하나의 로그 이벤트가 포함됩니다. 이벤트에는 요청에 대한 정보와 함께 성공이 포함되거나 요청 및 오류에 대한 정보와 함께 오류가 포함됩니다.
- 작업 로그 - 이 로그는 관리자 로그에 있는 정보 외의 추가 정보를 표시하며 문제를 디버깅하는 데 사용할 수 있습니다. 이 로그에는 단일 이벤트 대신 진행 중인 작업도 표시됩니다.
기본 로그 수준 외에도 각 로그에 대해 디버그 로깅을 활성화하여 자세한 내용을 얻을 수 있습니다.
이벤트 ID
모든 이벤트에는 다음 ID 중 하나가 있습니다.
- 0001-0999 - 특정 시나리오와 연결되지 않음
- 1000-1999 - PKCS
- 2000-2999 - PKCS 가져오기
- 3000-3999 - 해지
- 4000-4999 - SCEP
- 5000-5999 - 커넥터 상태
작업 범주
모든 이벤트는 필터링을 지원하기 위해 작업 범주로 태그가 지정됩니다. 작업 범주에는 다음 목록이 포함되지만 이에 국한되지 않습니다.
PKCS
Admin
이벤트 ID: 1000 - PkcsRequestSuccess
Intune에 PKCS 요청을 업로드했습니다.이벤트 ID: 1001 - PkcsRequestFailure
Intune에 대한 PKCS 요청을 이행하거나 업로드하지 못했습니다.이벤트 ID: 1200 - PkcsRecryptRequestSuccess
PKCS Reencrypt 요청을 처리했습니다.이벤트 ID: 1201 - PkcsRecryptRequestFailure
PKCS 재암호화 요청을 처리하지 못했습니다.
운영
이벤트 ID: 1002 - PkcsDownloadSuccess
Intune에서 PKCS 요청을 다운로드했습니다.이벤트 ID: 1003 - PkcsDownloadFailure
Intune에서 PKCS 요청을 다운로드하지 못했습니다.이벤트 ID: 1020 - PkcsDownloadedRequest
Intune에서 PKCS 요청을 다운로드했습니다.이벤트 ID: 1032 - PkcsDigiCertRequest
Intune에서 DigiCert CA에 대한 PKCS 요청을 다운로드했습니다.이벤트 ID: 1050 - PkcsIssuedSuccess
PKCS 인증서를 발급했습니다.이벤트 ID: 1051 - PkcsIssuedFailedAttempt
PKCS 인증서 발급에 실패했습니다. 다시 시도합니다.이벤트 ID: 1052 - PkcsIssuedFailure
PKCS 인증서를 발급하지 못했습니다.이벤트 ID: 1100 - PkcsUploadSuccess
PKCS 요청 결과를 Intune에 업로드했습니다.이벤트 ID: 1101 - PkcsUploadFailure
PKCS 요청 결과를 Intune에 업로드하지 못했습니다.이벤트 ID: 1102 - PkcsUploadedRequest
Intune에 PKCS 요청을 업로드했습니다.이벤트 ID: 1202 - PkcsRecryptDownloadSuccess
PKCS Reencrypt 요청을 다운로드했습니다.이벤트 ID: 1203 - PkcsRecryptDownloadFailure
PKCS Reencrypt 요청을 다운로드하지 못했습니다.이벤트 ID: 1220 - PkcsRecryptDownloadedRequest
PKCS Reencrypt 요청을 다운로드했습니다.이벤트 ID: 1250 - PkcsRecryptReencryptSuccess
PKCS 인증서 페이로드를 다시 암호화했습니다.이벤트 ID: 1251 - PkcsRecryptDecryptSuccess
PKCS 인증서 페이로드를 해독했습니다.이벤트 ID: 1252 - PkcsRecryptDecryptFailure
PKCS 인증서 페이로드를 해독하지 못했습니다.이벤트 ID: 1253 - PkcsRecryptReencryptFailure
PKCS 인증서 페이로드를 다시 암호화하지 못했습니다.이벤트 ID: 1300 - PkcsRecryptUploadSuccess
PKCS Reencrypt 요청 결과를 Intune에 업로드했습니다.이벤트 ID: 1301 - PkcsRecryptUploadFailure
PKCS Reencrypt 요청 결과를 Intune에 업로드하지 못했습니다.이벤트 ID: 1302 - PkcsRecryptUploadedRequest
Intune에 PKCS Reencrypt 요청을 업로드했습니다.
PKCS 가져오기
Admin
이벤트 ID: 2000 - PkcsImportRequestSuccess
Intune에서 PKCS 가져오기 요청을 다운로드했습니다.이벤트 ID: 2001 - PkcsImportRequestFailure
Intune에서 PKCS 가져오기 요청을 처리하지 못했습니다.
운영
이벤트 ID: 2202 - PkcsImportDownloadSuccess
Intune에서 PKCS 가져오기 요청을 다운로드했습니다.이벤트 ID: 2203 - PkcsImportDownloadFailure
Intune에서 PKCS 가져오기 요청을 다운로드하지 못했습니다.이벤트 ID: 2020 - PkcsImportDownloadedRequest
Intune에서 PKCS 가져오기 요청을 다운로드했습니다.이벤트 ID: 2050 - PkcsImportReencryptSuccess
PKCS 가져오기 인증서를 다시 암호화했습니다.이벤트 ID: 2051 - PkcsImportReencryptFailedAttempt
PKCS 가져오기 인증서를 다시 암호화하지 못했습니다. 다시 시도합니다.이벤트 ID: 2052 - PkcsImportReencryptFailure
가져온 인증서를 다시 암호화하지 못했습니다.이벤트 ID: 2100 - PkcsImportUploadSuccess
PKCS 가져오기 요청 결과를 Intune에 업로드했습니다.이벤트 ID: 2101 - PkcsImportUploadFailure
PKCS 요청 결과를 Intune에 업로드하지 못했습니다.이벤트 ID: 2102 - PkcsImportUploadedRequest
Intune에 PKCS 가져오기 요청을 업로드했습니다.
해지
Admin
이벤트 ID: 3000 - RevokeRequestSuccess
Intune에서 해지 요청을 다운로드했습니다.이벤트 ID: 3001 - RevokeRequestFailure
Intune에서 해지 요청을 다운로드하는 동안 오류가 발생했습니다.
운영
이벤트 ID: 3002 - RevokeDownloadSuccess
Intune에서 해지 요청을 다운로드했습니다.이벤트 ID: 3003 - RevokeDownloadFailure
Intune에서 해지 요청을 다운로드하는 동안 오류가 발생했습니다.이벤트 ID: 3020 - RevokeDownloadedRequest
Intune에서 다운로드한 단일 요청의 세부 정보이벤트 ID: 3032 - RevokeDigicertRequest
Intune에서 해지 요청을 받았고 요청 이행을 위해 Digicert에 요청을 전달했습니다.이벤트 ID: 3050 - RevokeSuccess
인증서를 해지했습니다.이벤트 ID: 3051 - RevokeFailure
인증서를 해지하는 동안 오류가 발생했습니다.이벤트 ID: 3052 - RevokeFailedAttempt
인증서를 해지하지 못했습니다. 다시 시도합니다.이벤트 ID: 3100 - RevokeUploadSuccess
해지 요청 결과를 Intune에 업로드했습니다.이벤트 ID: 3101 - RevokeUploadFailure
해지 요청 결과를 Intune에 업로드하지 못했습니다.이벤트 ID: 3102 - RevokeUploadedRequest
해지 요청을 Intune에 업로드했습니다.
SCEP
Admin
이벤트 ID: 4000 - ScrepRequestSuccess
SCEP 요청을 처리하고 Intune에 알렸습니다.이벤트 ID: 4001 - ScepRequestIssuedFailure
SCEP 요청을 처리하지 못하고 Intune에 알렸습니다.이벤트 ID: 4002 - ScepRequestUploadFailure
SCEP 요청을 처리했지만 Intune에 알리지 못했습니다.
운영
이벤트 ID: 4003 - ScepRequestReceived
장치에서 SCEP 요청을 받았습니다.이벤트 ID: 4004 - ScepVerifySuccess
Intune을 사용하여 SCEP 요청을 확인했습니다.이벤트 ID: 4005 - ScepVerifyFailure
Intune으로 SCEP 요청을 확인하지 못했습니다.이벤트 ID: 4006 - ScepIssuedSuccess
SCEP 요청에 대한 인증서를 발급했습니다.이벤트 ID: 4007 - ScepIssuedFailure
SCEP 요청에 대한 인증서를 발급하지 못했습니다.이벤트 ID: 4008 - ScepNotifySuccess
SCEP 요청에 대한 결과를 Intune에 알렸습니다.이벤트 ID: 4009 - ScepNotifyAttemptFailed
SCEP 요청 결과를 Intune에 알리지 못했습니다. 다시 시도합니다.이벤트 ID: 4010 - ScepNotifySaveToDiskFailed
디스크에 알림을 쓰지 못하고 Intune에 요청 상태를 알릴 수 없습니다.
커넥터 상태
운영
이벤트 ID: 5000 - HealthMessageUploadSuccess Intune 상태 메시지를 업로드했습니다.
이벤트 ID: 5001 - HealthMessageUploadFailedAttempt Intune 상태 메시지를 업로드하지 못했습니다. 다시 시도합니다.
이벤트 ID: 5002 - HealthMessageUploadFailure Intune 상태 메시지를 업로드하지 못했습니다.
인증서 커넥터의 새로운 기능
Microsoft Intune용 인증서 커넥터 업데이트는 주기적으로 출시된 후 6개월 동안 지원됩니다. 커넥터를 업데이트할 때 여기서 변경 내용을 읽을 수 있습니다.
커넥터에 대한 새 업데이트를 각 테넌트에서 사용할 수 있게 되는 데 1주일 이상이 걸릴 수 있습니다.
중요
2022년 4월부터 버전 6.2101.13.0 이전 버전의 인증서 커넥터는 더 이상 사용되지 않으며 오류 상태로 표시됩니다. 2022년 8월부터 이러한 커넥터 버전은 인증서를 해지할 수 없습니다. 2022년 9월부터 이러한 커넥터 버전은 인증서를 발급할 수 없습니다. 여기에는 Microsoft Intune용 PFX 인증서 커넥터와 2021년 7월 29일에 Microsoft Intune 인증서 커넥터로 대체된 Microsoft Intune 커넥터가 모두 포함됩니다(이 문서에 설명된 대로).
2023년 2월 15일
버전 6.2301.1.0 - 이 릴리스의 변경 내용:
- Intune 서비스 로그와 상관 관계를 지정하는 로깅 정보
- PFX 인증서 발급 흐름의 로깅 개선 사항
2022년 9월 21일
버전 6.2206.122.0 - 이 릴리스의 변경 내용:
- 버그 수정 및 성능 향상 외에도 향상된 원격 분석
2022년 6월 30일 목요일
버전 6.2205.201.0 - 이 릴리스의 변경 내용:
- Intune 관리자가 포털에서 데이터를 수집할 수 있도록 Intune에 원격 분석 채널을 업데이트했습니다.
2022년 5월 4일
버전 6.2203.12.0 - 이번 릴리스의 변경 사항:
- 클라이언트 인증 인증서에 대한 CNG 공급자 지원
- 클라이언트 인증 인증서 자동 갱신 지원 개선
2022년 3월 10일
버전 6.2202.38.0. 이 업데이트에는 다음이 포함됩니다.
- 자동 업데이트에 대한 TLS 1.2 지원 변경 내용
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기