Microsoft Intune에 대한 신뢰할 수 있는 루트 인증서 프로필
Intune을 사용하여 회사 리소스와 네트워크에 액세스할 수 있는 인증서로 디바이스를 프로비저닝하는 경우 신뢰할 수 있는 인증서 프로필을 사용하여 해당 디바이스에 신뢰할 수 있는 루트 인증서를 배포합니다. 신뢰할 수 있는 루트 인증서는 디바이스에서 다른 인증서가 발급되는 루트 또는 중간(발급) CA로의 트러스트를 설정합니다.
신뢰할 수 있는 인증서 프로필을 SCEP(단순 인증서 등록 프로토콜), PKCS(공개 키 암호화 표준) 및 가져온 PKCS에 대한 인증서 프로필을 수신하는 동일한 디바이스 및 사용자에게 배포합니다.
팁
신뢰할 수 있는 인증서 프로필은 Windows Enterprise 다중 세션 원격 데스크톱에서 지원됩니다.
신뢰할 수 있는 루트 CA 인증서 내보내기
PKCS, SCEP 및 PKCS 가져온 인증서를 사용하려면 디바이스가 루트 인증 기관을 신뢰해야 합니다. 신뢰를 설정하려면 신뢰할 수 있는 루트 CA 인증서 및 중간 또는 발급 인증 기관 인증서를 공용 인증서(.cer
)로 내보냅니다. 발급 CA 또는 발급 CA를 신뢰하는 디바이스에서 이러한 인증서를 가져올 수 있습니다.
인증서를 내보내려면 인증 기관에 대한 설명서를 참조하세요. 공용 인증서를 DER로 인코딩된 .cer
파일로 내보내야 합니다. 프라이빗 키인 .pfx
파일을 내보내지 마세요.
신뢰할 수 있는 인증서 프로필을 만들어 디바이스에 해당 인증서를 배포할 때 이 .cer
파일을 사용합니다.
신뢰할 수 있는 인증서 프로필 만들기
SCEP, PKCS 또는 PKCS 가져온 인증서 프로필을 만들기 전에 신뢰할 수 있는 인증서 프로필을 만들고 배포합니다. 다른 인증서 프로필 유형을 수신하는 동일한 그룹에 신뢰할 수 있는 인증서 프로필을 배포합니다. 이 단계에서는 각 디바이스가 프로필 VPN, Wi-Fi 및 전자 메일 프로필을 포함하여 CA의 정당성을 인식할 수 있도록 합니다.
SCEP 인증서 프로필은 신뢰할 수 있는 인증서 프로필을 직접 참조합니다. PKCS 인증서 프로필은 신뢰할 수 있는 인증서 프로필을 직접 참조하지 않고, CA를 호스트하는 서버를 직접 참조합니다. PKCS 가져온 인증서 프로필은 신뢰할 수 있는 인증서 프로필을 직접 참조하지 않고, 디바이스에서 이 프로필을 사용할 수 있습니다. 디바이스에 신뢰할 수 있는 인증서 프로필을 배포하면 이 트러스트가 설정됩니다. 디바이스가 루트 CA를 신뢰하지 않으면 SCEP 또는 PKCS 인증서 프로필 정책이 실패합니다.
SCEP, PKCS 및 PKCS에서 가져온 인증서 프로필과 마찬가지로 지원하려는 각 디바이스 플랫폼에 대해 별도의 신뢰할 수 있는 인증서 프로필을 만듭니다.
중요
플랫폼 Windows 10 이상에 대해 만든 신뢰할 수 있는 루트 프로필은 Microsoft Intune 관리 센터에 플랫폼 Windows 8.1 이상의 프로필로 표시됩니다.
이는 신뢰할 수 있는 인증서 프로필의 플랫폼 표시와 관련된 알려진 문제입니다. 프로필에는 Windows 8.1 이상의 플랫폼이 표시되지만 Windows 10/11에서 작동합니다.
참고
Intune의 신뢰할 수 있는 인증서 프로필은 루트 또는 중간 인증서를 전송하는 데만 사용할 수 있습니다. 해당 인증서를 배포하는 목적은 신뢰 체인을 설정하는 것입니다. 신뢰할 수 있는 인증서 프로필을 사용하여 루트 또는 중간 인증서 이외의 인증서를 제공하는 기능은 Microsoft에서 지원되지 않습니다. Microsoft Intune 관리 센터에서 신뢰할 수 있는 인증서 프로필을 선택할 때 루트 또는 중간 인증서로 간주되지 않는 인증서를 가져오지 못하도록 차단될 수 있습니다. 해당 프로필 유형을 사용하여 루트 또는 중간 인증서가 아닌 인증서를 가져오고 배포할 수 있더라도 iOS, Android 등의 다양한 플랫폼 간에 예기치 않은 결과가 발생할 수 있습니다.
Android 디바이스 관리자를 위한 신뢰할 수 있는 인증서 프로필
중요
Microsoft Intune 2024년 12월 31일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.
이 기능은 다음에 적용됩니다.
- 비 KNOX 디바이스의 Android 10 이하
- 삼성 KNOX 디바이스의 Android 12 이하
SCEP 인증서 프로필에는 디바이스에 신뢰할 수 있는 루트 인증서가 모두 설치되어 있어야 하고, 해당 인증서를 참조하는 신뢰할 수 있는 인증서 프로필을 참조해야 하므로 다음 단계를 사용하여 이 제한 사항을 해결해야 합니다.
신뢰할 수 있는 루트 인증서를 사용하여 디바이스를 수동으로 프로비저닝합니다. 샘플 지침은 다음 섹션을 참조하세요.
디바이스에 설치한 신뢰할 수 있는 루트 인증서를 참조하는 신뢰할 수 있는 루트 인증서 프로필인 디바이스에 배포합니다.
신뢰할 수 있는 루트 인증서 프로필을 참조하는 디바이스에 SCEP 인증서 프로필을 배포합니다.
이 문제는 SCEP 인증서 프로필로 제한되지 않습니다. 따라서 PKCS 인증서 프로필을 사용하거나 가져온 PKCS 인증서 프로필에 필요한 경우 해당 디바이스에 신뢰할 수 있는 루트 인증서를 수동으로 설치합니다.
techcommunity.microsoft.com에서 Android 디바이스 관리자에 대한 지원 변경 사항에 대해 자세히 알아봅니다.
신뢰할 수 있는 루트 인증서를 사용하여 수동으로 디바이스 프로비저닝
다음 지침은 신뢰할 수 있는 루트 인증서를 사용하여 디바이스를 수동으로 프로비저닝하는 데 도움이 될 수 있습니다.
Android 디바이스에 신뢰할 수 있는 루트 인증서를 다운로드하거나 전송합니다. 예를 들어 메일을 사용하여 인증서를 디바이스 사용자에게 배포하거나 사용자가 안전한 위치에서 다운로드하도록 할 수 있습니다. 디바이스에서 인증서를 받았으면 인증서를 열고 이름을 지정하고 저장해야 합니다. 인증서를 저장하면 디바이스의 사용자 인증서 저장소에 추가됩니다.
- 디바이스에서 인증서를 열려면 사용자가 인증서를 찾아 탭해야(열어야) 합니다. 예를 들어 메일로 인증서를 보낸 후 디바이스 사용자가 인증서 첨부 파일을 탭하거나 열 수 있습니다.
- 인증서가 열리면 사용자는 PIN을 제공하거나 다른 방법으로 디바이스에 인증해야만 인증서를 관리할 수 있습니다.
인증 후 인증서가 열리며 이름을 지정해야만 인증서 저장소에 저장할 수 있습니다. 인증서 이름은 디바이스로 전송되는 신뢰할 수 있는 루트 인증서 프로필에 있는 인증서 이름과 일치해야 합니다. 인증서 이름을 지정한 후에는 인증서를 저장할 수 있습니다.
저장되면 인증서를 사용할 준비가 된 것입니다. 사용자는 인증서가 디바이스에서 올바른 위치에 있는지 확인할 수 있습니다.
- 설정>보안>신뢰할 수 있는 자격 증명을 엽니다. ‘신뢰할 수 있는 자격 증명’의 실제 경로는 디바이스에 따라 다를 수 있습니다.
- 사용자 탭을 열고 인증서를 찾습니다.
- 사용자 인증서 목록에 있으면 인증서가 제대로 설치된 것입니다.
루트 인증서가 디바이스에 설치되었더라도 SCEP 또는 PKCS 인증서를 프로비저닝하려면 다음 항목을 배포해야 합니다.
- 해당 인증서를 참조하는 신뢰할 수 있는 인증서 프로필
- SCEP 또는 PKCS 인증서를 프로비저닝하기 위해 인증서 프로필을 참조하는 SCEP 또는 PKCS 프로필
신뢰할 수 있는 인증서 프로필을 만들려면
Microsoft Intune 관리 센터에 로그인합니다.
디바이스관리 디바이스>>구성>만들기를 선택하고 이동합니다.
다음 속성을 입력합니다.
- 플랫폼: 이 프로필을 수신해야 하는 디바이스의 플랫폼을 선택합니다.
- 프로필: 선택한 플랫폼에 따라 신뢰할 수 있는 인증서를 선택하거나 템플릿신뢰할 수 있는 인증서를> 선택합니다.
중요
2022년 10월 22일에 Microsoft Intune은 Windows 8.1을 실행하는 디바이스에 대한 지원을 종료했습니다. 이러한 디바이스에 대한 기술 지원 및 자동 업데이트는 사용할 수 없습니다.
현재 Windows 8.1 사용하는 경우 Windows 10/11 디바이스로 이동합니다. Microsoft Intune에는 Windows 10/11 클라이언트 디바이스를 관리하는 기본 제공 보안 및 디바이스 기능이 있습니다.
만들기를 선택합니다.
기본에서 다음 속성을 입력합니다.
- 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 전체 회사에 대한 신뢰할 수 있는 인증서 프로필은 좋은 프로필 이름입니다.
- 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
다음을 선택합니다.
구성 설정에서 이전에 내보낸 신뢰할 수 있는 루트 CA 인증서의 파일을 지정
.cer
합니다.Windows 8.1 및 Windows 10/11 디바이스에 한해 신뢰할 수 있는 인증서의 대상 저장소를 선택합니다.
- 컴퓨터 인증서 저장소 - 루트
- 컴퓨터 인증서 저장소 - 중간
- 사용자 인증서 저장소 - 중간
다음을 선택합니다.
할당에서 프로필을 받을 사용자 또는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.
다음을 선택합니다.
(Windows 10/11만 해당) 적용 가능성 규칙에서 이 프로필의 할당을 구체화하는 적용 가능성 규칙을 지정합니다. 디바이스의 OS 에디션 또는 버전에 따라 프로필을 할당하거나 할당하지 않도록 선택할 수 있습니다.
자세한 내용은 Microsoft Intune에서 디바이스 프로필 만들기에서 적용 가능성 규칙을 참조하세요.
검토 + 만들기에서 설정을 검토합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.
다음 단계
인증서 프로필을 만듭니다.