Microsoft Intune에 대한 신뢰할 수 있는 루트 인증서 프로필

Intune을 사용하여 회사 리소스와 네트워크에 액세스할 수 있는 인증서로 디바이스를 프로비저닝하는 경우 신뢰할 수 있는 인증서 프로필을 사용하여 해당 디바이스에 신뢰할 수 있는 루트 인증서를 배포합니다. 신뢰할 수 있는 루트 인증서는 디바이스에서 다른 인증서가 발급되는 루트 또는 중간(발급) CA로의 트러스트를 설정합니다.

신뢰할 수 있는 인증서 프로필을 SCEP(단순 인증서 등록 프로토콜), PKCS(공개 키 암호화 표준) 및 가져온 PKCS에 대한 인증서 프로필을 수신하는 동일한 디바이스 및 사용자에게 배포합니다.

팁

신뢰할 수 있는 인증서 프로필은 Windows Enterprise 다중 세션 원격 데스크톱에서 지원됩니다.

신뢰할 수 있는 루트 CA 인증서 내보내기

PKCS, SCEP 및 PKCS 가져온 인증서를 사용하려면 디바이스가 루트 인증 기관을 신뢰해야 합니다. 트러스트를 설정하기 위해 신뢰할 수 있는 루트 CA 인증서뿐만 아니라 중간 또는 발급 인증 기관 인증서를 퍼블릭 인증서(.cer)로서 내보냅니다. 발급 CA 또는 발급 CA를 신뢰하는 디바이스에서 이러한 인증서를 가져올 수 있습니다.

인증서를 내보내려면 인증 기관에 대한 설명서를 참조하세요. 공용 인증서를 DER로 인코딩된 .cer 파일로 내보내야 합니다. 프라이빗 키인 .pfx 파일은 내보내지 마세요.

해당 인증서를 디바이스에 배포하기 위해 신뢰할 수 있는 인증서 프로필을 만들 때는 이 .cer 파일을 사용합니다.

신뢰할 수 있는 인증서 프로필 만들기

SCEP, PKCS 또는 PKCS 가져온 인증서 프로필을 만들기 전에 신뢰할 수 있는 인증서 프로필을 만들어서 배포합니다. 다른 인증서 프로필 유형을 수신하는 동일한 그룹에 신뢰할 수 있는 인증서 프로필을 배포하면 각 디바이스가 CA의 합법성을 인식합니다. 여기에는 VPN, Wi-Fi 및 메일과 같은 프로필이 포함됩니다.

SCEP 인증서 프로필은 신뢰할 수 있는 인증서 프로필을 직접 참조합니다. PKCS 인증서 프로필은 신뢰할 수 있는 인증서 프로필을 직접 참조하지 않고, CA를 호스트하는 서버를 직접 참조합니다. PKCS 가져온 인증서 프로필은 신뢰할 수 있는 인증서 프로필을 직접 참조하지 않고, 디바이스에서 이 프로필을 사용할 수 있습니다. 디바이스에 신뢰할 수 있는 인증서 프로필을 배포하면 이 트러스트가 설정됩니다. 디바이스에서 루트 CA를 신뢰하지 않는 경우 SCEP 또는 PKCS 인증서 프로필 정책이 실패합니다.

SCEP, PKCS 및 PKCS 가져온 인증서 프로필의 경우처럼 지원하려는 각 디바이스 플랫폼에 대해 별도의 신뢰할 수 있는 인증서 프로필을 만듭니다.

중요

플랫폼 Windows 10 이상에 대해 만든 신뢰할 수 있는 루트 프로필은 Microsoft Intune 관리 센터에 플랫폼 Windows 8.1 이상의 프로필로 표시됩니다.

이는 신뢰할 수 있는 인증서 프로필의 플랫폼 표시와 관련된 알려진 문제입니다. 프로필에는 Windows 8.1 이상의 플랫폼이 표시되지만 Windows 10/11에서 작동합니다.

참고

Intune의 신뢰할 수 있는 인증서 프로필은 루트 또는 중간 인증서를 전송하는 데만 사용할 수 있습니다. 해당 인증서를 배포하는 목적은 신뢰 체인을 설정하는 것입니다. 신뢰할 수 있는 인증서 프로필을 사용하여 루트 또는 중간 인증서 이외의 인증서를 제공하는 기능은 Microsoft에서 지원되지 않습니다. Microsoft Intune 관리 센터에서 신뢰할 수 있는 인증서 프로필을 선택할 때 루트 또는 중간 인증서로 간주되지 않는 인증서를 가져오지 못하도록 차단될 수 있습니다. 해당 프로필 유형을 사용하여 루트 또는 중간 인증서가 아닌 인증서를 가져오고 배포할 수 있더라도 iOS, Android 등의 다양한 플랫폼 간에 예기치 않은 결과가 발생할 수 있습니다.

Android 디바이스 관리자를 위한 신뢰할 수 있는 인증서 프로필

중요

Microsoft Intune 2024년 8월 30일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune에서 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.

Android 11부터는 신뢰할 수 있는 인증서 프로필을 사용하여 Android 디바이스 관리자로 등록된 디바이스에 신뢰할 수 있는 루트 인증서를 배포할 수 없습니다. Samsung Knox에는 이 제한이 적용되지 않습니다.

SCEP 인증서 프로필에는 디바이스에 신뢰할 수 있는 루트 인증서가 모두 설치되어 있어야 하고, 해당 인증서를 참조하는 신뢰할 수 있는 인증서 프로필을 참조해야 하므로 다음 단계를 사용하여 이 제한 사항을 해결해야 합니다.

1. 신뢰할 수 있는 루트 인증서를 사용하여 디바이스를 수동으로 프로비저닝합니다. 샘플 지침은 다음 섹션을 참조하세요.

2. 디바이스에 설치된 신뢰할 수 있는 루트 인증서를 참조하는 신뢰할 수 있는 루트 인증서 프로필을 디바이스에 배포합니다.

3. 신뢰할 수 있는 루트 인증서 프로필을 참조하는 디바이스에 SCEP 인증서 프로필을 배포합니다.

이 문제는 SCEP 인증서 프로필에만 국한되지 않습니다. 따라서 PKCS 인증서 프로필을 사용하거나 가져온 PKCS 인증서 프로필에 필요한 경우 해당 디바이스에 신뢰할 수 있는 루트 인증서를 수동으로 설치합니다.

techcommunity.microsoft.com에서 Android 디바이스 관리자에 대한 지원 변경 사항에 대해 자세히 알아봅니다.

신뢰할 수 있는 루트 인증서를 사용하여 수동으로 디바이스 프로비저닝

다음 지침은 신뢰할 수 있는 루트 인증서를 사용하여 디바이스를 수동으로 프로비저닝하는 데 도움이 될 수 있습니다.

1. Android 디바이스에 신뢰할 수 있는 루트 인증서를 다운로드하거나 전송합니다. 예를 들어 메일을 사용하여 인증서를 디바이스 사용자에게 배포하거나 사용자가 안전한 위치에서 다운로드하도록 할 수 있습니다. 디바이스에서 인증서를 받았으면 인증서를 열고 이름을 지정하고 저장해야 합니다. 인증서를 저장하면 디바이스의 사용자 인증서 저장소에 추가됩니다.

   1. 디바이스에서 인증서를 열려면 사용자가 인증서를 찾아 탭해야(열어야) 합니다. 예를 들어 메일로 인증서를 보낸 후 디바이스 사용자가 인증서 첨부 파일을 탭하거나 열 수 있습니다.
   2. 인증서가 열리면 사용자는 PIN을 제공하거나 다른 방법으로 디바이스에 인증해야만 인증서를 관리할 수 있습니다.

2. 인증 후 인증서가 열리며 이름을 지정해야만 인증서 저장소에 저장할 수 있습니다. 인증서 이름은 디바이스로 전송되는 신뢰할 수 있는 루트 인증서 프로필에 지정된 인증서 이름과 일치해야 합니다. 인증서의 이름을 지정했으면 인증서를 저장할 수 있습니다.

3. 저장한 후에는 인증서를 사용할 수 있습니다. 사용자는 인증서가 디바이스에서 올바른 위치에 있는지 확인할 수 있습니다.

   1. 설정>보안>신뢰할 수 있는 자격 증명을 엽니다. ‘신뢰할 수 있는 자격 증명’의 실제 경로는 디바이스에 따라 다를 수 있습니다.
   2. 사용자 탭을 열고 인증서를 찾습니다.
   3. 사용자 인증서 목록에 있으면 인증서가 제대로 설치된 것입니다.

4. 루트 인증서가 디바이스에 설치되었더라도 SCEP 또는 PKCS 인증서를 프로비저닝하려면 다음 항목을 배포해야 합니다.

   • 해당 인증서를 참조하는 신뢰할 수 있는 인증서 프로필
   • SCEP 또는 PKCS 인증서를 프로비저닝하기 위해 인증서 프로필을 참조하는 SCEP 또는 PKCS 프로필

신뢰할 수 있는 인증서 프로필을 만들려면

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스>구성>만들기를 선택하고 이동합니다.

   

3. 다음 속성을 입력합니다.

   • 플랫폼: 이 프로필을 수신할 디바이스의 플랫폼을 선택합니다.
   • 프로필: 선택한 플랫폼에 따라 신뢰할 수 있는 인증서를 선택하거나 템플릿신뢰할 수 있는 인증서를> 선택합니다.

   중요

   2022년 10월 22일, Microsoft Intune Windows 8.1 실행하는 디바이스에 대한 지원을 종료했습니다. 이러한 디바이스의 기술 지원 및 자동 업데이트는 사용할 수 없습니다.

   현재 Windows 8.1 사용하는 경우 Windows 10/11 디바이스로 이동하는 것이 좋습니다. Microsoft Intune Windows 10/11 클라이언트 디바이스를 관리하는 기본 제공 보안 및 디바이스 기능이 있습니다.

4. 만들기를 선택합니다.

5. 기본에서 다음 속성을 입력합니다.

   • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 전체 회사에 대한 신뢰할 수 있는 인증서 프로필은 좋은 프로필 이름입니다.
   • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

6. 다음을 선택합니다.

7. 구성 설정에서 이전에 내보낸 신뢰할 수 있는 루트 CA 인증서에 대한 .cer 파일을 지정합니다.

   Windows 8.1 및 Windows 10/11 디바이스에 한해 신뢰할 수 있는 인증서의 대상 저장소를 선택합니다.

   • 컴퓨터 인증서 저장소 - 루트
   • 컴퓨터 인증서 저장소 - 중간
   • 사용자 인증서 저장소 - 중간

   

8. 다음을 선택합니다.

9. 할당에서 프로필을 수신할 사용자 또는 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.

   다음을 선택합니다.

10. (Windows 10/11만 해당) 적용 가능성 규칙에서 이 프로필의 할당을 구체화하는 적용 가능성 규칙을 지정합니다. 디바이스의 OS 에디션 또는 버전에 따라 프로필을 할당하거나 할당하지 않도록 선택할 수 있습니다.

    자세한 내용은 Microsoft Intune에서 디바이스 프로필 만들기에서 적용 가능성 규칙을 참조하세요.

11. 검토 + 만들기에서 설정을 검토합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.

다음 단계

인증서 프로필을 만듭니다.

• Intune을 사용하여 SCEP 인증서를 지원하도록 인프라 구성
• Intune을 사용하여 PKCS 인증서 구성 및 관리
• PKCS 가져온 인증서 프로필 만들기