Microsoft Entra 인증을 사용하여 Windows 365 Business에 대한 Single Sign-On 구성

이 문서에서는 Microsoft Entra 인증을 사용하여 Windows 365용 SSO(Single Sign-On)를 구성하는 프로세스를 설명합니다. SSO를 사용하도록 설정하면 사용자는 Microsoft Entra ID와 페더레이션되는 암호 없는 인증 및 타사 ID 공급자를 사용하여 클라우드 PC에 로그인할 수 있습니다. 사용하도록 설정하면 이 기능은 클라우드 PC에 인증할 때와 Microsoft Entra ID 기반 앱 및 웹 사이트에 액세스할 때 세션 내에서 SSO 환경을 제공합니다.

Microsoft Entra ID 인증을 사용하여 SSO를 사용하도록 설정하려면 다음 네 가지 작업을 완료해야 합니다.

1. RDP(원격 데스크톱 프로토콜)에 대해 Microsoft Entra 인증을 사용하도록 설정합니다.

2. 대상 디바이스 그룹을 구성합니다.

3. 조건부 액세스 정책을 검토합니다.

4. SSO를 사용하도록 조직 설정을 구성합니다.

SSO를 사용하도록 설정하기 전에

SSO를 사용하도록 설정하기 전에 사용자 환경에서 사용하기 위해 다음 정보를 검토합니다.

세션이 잠겨 있을 때 연결 끊기

SSO를 사용하도록 설정하면 사용자는 Windows에 대한 암호 없는 인증을 지원하는 Microsoft Entra ID 인증 토큰을 사용하여 Windows에 로그인합니다. 원격 세션의 Windows 잠금 화면은 MICROSOFT Entra ID 인증 토큰 또는 FIDO 키와 같은 암호 없는 인증 방법을 지원하지 않습니다. 세션이 잠겨 있을 때 원격 잠금 화면을 표시하는 이전 동작 대신 세션의 연결이 끊어지고 사용자에게 알림이 표시됩니다. 세션의 연결을 끊을 경우 다음을 수행할 수 있습니다.

• 사용자는 Single Sign-On 환경을 활용하며 허용되는 경우 인증 프롬프트 없이 다시 연결할 수 있습니다.
• 사용자는 FIDO 키와 같은 암호 없는 인증을 사용하여 세션에 다시 로그인할 수 있습니다.
• 다단계 인증 및 로그인 빈도를 포함한 조건부 액세스 정책은 사용자가 세션에 다시 연결할 때 다시 평가됩니다.

필수 조건

SSO를 사용하도록 설정하려면 먼저 다음 필수 조건을 충족해야 합니다.

• Microsoft Entra 테넌트 구성을 위해 다음 Microsoft Entra 기본 제공 역할 중 하나를 할당받아야 합니다.

  • 애플리케이션 관리자
  • 클라우드 애플리케이션 관리자

• 클라우드 PC는 관련 누적 업데이트가 설치된 다음 운영 체제 중 하나를 실행해야 합니다.

  • Windows 11 Enterprise(Windows 11용 2022-10 누적 업데이트 KB5018418) 이상이 설치되어 있습니다.
  • Windows 10용 2022-10 누적 업데이트(KB5018410) 이상이 설치된 Windows 10 Enterprise.

• 로컬 디바이스 또는 Azure Cloud Shell에 Microsoft Graph PowerShell SDK 버전 2.9.0 이상을 설치합니다.

RDP에 Microsoft Entra 인증 사용

먼저 사용자가 클라우드 PC에 로그인할 수 있도록 RDP 액세스 토큰을 발급할 수 있도록 하는 Microsoft Entra 테넌트에서 Windows용 Microsoft Entra 인증을 허용해야 합니다. 이 변경은 다음 Microsoft Entra 애플리케이션의 서비스 주체에서 수행해야 합니다.

응용 프로그램 이름	애플리케이션 ID
Microsoft 원격 데스크톱	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows 클라우드 로그인	270efc09-cd0d-444b-a71f-39af4910ec45

중요

예정된 변경의 일환으로 2024년부터 Microsoft 원격 데스크톱에서 Windows 클라우드 로그인으로 전환하고 있습니다. 이제 두 애플리케이션을 모두 구성하면 변경에 대비할 수 있습니다.

Entra 인증을 허용하려면 Microsoft Graph PowerShell SDK 를 사용하여 서비스 주체에 새 remoteDesktopSecurityConfiguration 개체 를 만들고 속성을 isRemoteDesktopProtocolEnabledtrue로 설정할 수 있습니다. Graph Explorer와 같은 도구와 함께 Microsoft Graph API를 사용할 수도 있습니다.

아래 단계에 따라 PowerShell을 사용하여 변경합니다.

1. PowerShell 터미널 유형으로 Azure Portal에서 Azure Cloud Shell을 시작하거나 로컬 디바이스에서 PowerShell을 실행합니다.

   1. Cloud Shell을 사용하는 경우 Azure 컨텍스트가 사용하려는 구독으로 설정되어 있는지 확인합니다.

   2. PowerShell을 로컬로 사용하는 경우 먼저 Azure PowerShell로 로그인한 다음, Azure 컨텍스트가 사용하려는 구독으로 설정되어 있는지 확인합니다.

2. 필수 구성 요소에서 Microsoft Graph PowerShell SDK를 설치했는지 확인합니다. 그런 다음, 인증 및 애플리케이션 Microsoft Graph 모듈을 가져오고 다음 명령을 실행하여 및 Application-RemoteDesktopConfig.ReadWrite.All 범위로 Application.Read.All Microsoft Graph에 연결합니다.

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. 각 서비스 주체에 대한 개체 ID를 가져오고 다음 명령을 실행하여 변수에 저장합니다.

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. 다음 명령을 실행하여 속성을 isRemoteDesktopProtocolEnabledtrue 로 설정합니다. 이러한 명령의 출력은 없습니다.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. 다음 명령을 실행하여 속성 isRemoteDesktopProtocolEnabled 이 로 true 설정되어 있는지 확인합니다.

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   출력은 다음이어야 합니다.

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

대상 디바이스 그룹 구성

RDP에 대해 Microsoft Entra 인증을 사용하도록 설정한 후에는 대상 디바이스 그룹을 구성해야 합니다. 기본적으로 SSO를 사용하도록 설정하면 새 클라우드 PC에 대한 연결을 시작할 때 Microsoft Entra ID에 인증하고 원격 데스크톱 연결을 허용하라는 메시지가 사용자에게 표시됩니다. Microsoft Entra는 30일 동안 최대 15개의 호스트를 기억한 후 다시 메시지를 표시합니다. 사용자에게 원격 데스크톱 연결을 허용하는 대화 상자가 표시되면 연결하려면 예를 선택해야 합니다.

이 대화 상자를 숨기려면 클라우드 PC가 포함된 Microsoft Entra ID에서 하나 이상의 그룹을 만든 다음, 이전 섹션에서 사용한 것과 동일한 Microsoft 원격 데스크톱 및 Windows 클라우드 로그인 애플리케이션의 서비스 주체에 속성을 설정해야 합니다.

팁

동적 그룹을 사용하고 모든 클라우드 PC를 포함하도록 동적 멤버 자격 규칙을 구성하는 것이 좋습니다. 이 그룹의 디바이스 이름을 사용할 수 있지만 보다 안전한 옵션을 위해 Microsoft Graph API를 사용하여 디바이스 확장 특성을 설정하고 사용할 수 있습니다. 동적 그룹은 일반적으로 5~10분 내에 업데이트되지만 대규모 테넌트는 최대 24시간이 걸릴 수 있습니다.

동적 그룹에는 Microsoft Entra ID P1 라이선스 또는 Intune for Education 라이선스가 필요합니다. 자세한 내용은 그룹에 대한 동적 멤버 자격 규칙을 참조하세요.

서비스 주체를 구성하려면 Microsoft Graph PowerShell SDK 를 사용하여 동적 그룹의 개체 ID 및 표시 이름을 사용하여 서비스 주체에 새 targetDeviceGroup 개체 를 만듭니다. Graph Explorer와 같은 도구와 함께 Microsoft Graph API를 사용할 수도 있습니다.

1. 대화 상자를 숨기려는 클라우드 PC가 포함된 동적 그룹을 Microsoft Entra ID에 만듭니다. 다음 단계를 위해 그룹의 개체 ID를 기록해 둡니다.

2. 동일한 PowerShell 세션에서 다음 명령을 실행하여 개체를 targetDeviceGroup 만들고 를 사용자 고유의 값으로 바꿉 <placeholders> 니다.

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. 다음 명령을 실행하여 개체에 그룹을 targetDeviceGroup 추가합니다.

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   출력은 다음과 유사해야 합니다.

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   개체에 추가 targetDeviceGroup 하려는 각 그룹에 대해 최대 10개의 그룹까지 2단계와 3단계를 반복합니다.

4. 나중에 개체에서 targetDeviceGroup 디바이스 그룹을 제거해야 하는 경우 다음 명령을 실행하여 를 사용자 고유의 값으로 바꿉 <placeholders> 니다.

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

조건부 액세스 정책 검토

SSO가 켜져 있으면 클라우드 PC에 사용자를 인증하기 위한 새로운 Microsoft Entra ID 앱이 도입됩니다. Windows 365에 액세스할 때 적용되는 조건부 액세스 정책이 있는 경우 권장 사항을 검토하여 Windows 365에 대한 조건부 액세스 정책을 설정 하여 사용자에게 원하는 환경을 제공하고 환경을 보호합니다.

계정의 모든 클라우드 PC에 대해 SSO 켜기

1. Windows 365 관리자 역할이 있는 계정으로 windows365.microsoft.com 로그인합니다.
2. 조직의 클라우드 PC를 선택한 다음, 조직 설정 업데이트를 선택합니다.
3. 클라우드 PC 설정에서 Single Sign-On 옵션을 선택합니다.