하이브리드 인증서 신뢰 모델에서 Active Directory Federation Services 구성

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

이 문서에서는 다음 사항에 적용되는 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

• 배포 유형:
• 신뢰 유형:
• 조인 유형:. Microsoft Entra 하이브리드 조인 모두에 Single Sign-On이 있습니다.

---

비즈니스용 Windows Hello 인증서 기반 배포는 AD FS를 CRA(인증서 등록 기관)로 사용합니다. CRA는 사용자에게 인증서 발급 및 해지를 담당합니다. 등록 기관은 인증서 요청을 확인하면 등록 에이전트 인증서를 사용하여 인증서 요청에 서명하고 인증 기관에 전송합니다.
CRA는 등록 에이전트 인증서를 등록하고 비즈니스용 Windows Hello 인증 인증서 템플릿 은 등록 에이전트 인증서로 서명된 요청에 대한 인증서만 발급하도록 구성됩니다.

참고

AD FS가 비즈니스용 Windows Hello에 대한 사용자 인증서 요청을 확인하려면 엔드포인트에 액세스할 https://enterpriseregistration.windows.net 수 있어야 합니다.

인증서 등록 기관 구성

도메인 관리자에 해당하는 자격 증명을 사용하여 AD FS 서버에 로그인합니다.

Windows PowerShell 프롬프트를 열고 다음 명령을 입력합니다.

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

참고

비즈니스용 Windows Hello 등록 에이전트 및 비즈니스용 Windows Hello 인증 인증서 템플릿에 다른 이름을 지정한 경우 위의 명령에서 WHFBEnrollmentAgent 및 WHFBAuthentication 을 인증서 템플릿의 이름으로 바꿉니다. 템플릿 표시 이름이 아닌 템플릿 이름을 사용하는 것이 중요합니다. 인증서 템플릿 관리 콘솔(certtmpl.msc)을 사용하여 인증서 템플릿의 일반 탭에서 템플릿 이름을 볼 수 있습니다. 또는 CA에서 PowerShell cmdlet을 Get-CATemplate 사용하여 템플릿 이름을 볼 수 있습니다.

등록 에이전트 인증서 등록

AD FS는 자체 인증서 수명 주기 관리를 수행합니다. 적절한 인증서 템플릿으로 등록 기관이 구성되면 AD FS 서버는 첫 번째 인증서 요청 시 또는 서비스가 처음 시작될 때 등록을 시도합니다.

등록 에이전트 인증서가 만료되기 약 60일 전에 AD FS 서비스는 인증서가 성공할 때까지 인증서를 갱신하려고 시도합니다. 인증서를 갱신하지 못하고 인증서가 만료되면 AD FS 서버는 새 등록 에이전트 인증서를 요청합니다. AD FS 이벤트 로그에서 등록 에이전트 인증서의 상태를 확인할 수 있습니다.

AD FS 서비스 계정에 대한 그룹 멤버 자격

AD FS 서비스 계정은 인증 인증서 템플릿 자동 등록(예: 비즈니스용 Window Hello 사용자)의 대상이 되는 보안 그룹의 구성원이어야 합니다. 보안 그룹은 프로비저닝 사용자를 대신하여 비즈니스용 Windows Hello 인증 인증서를 등록하는 데 필요한 권한을 AD FS 서비스에 제공합니다.

팁

adfssvc 계정은 AD FS 서비스 계정입니다.

도메인 관리자에 해당하는 자격 증명으로 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.

1. Active Directory 사용자 및 컴퓨터를 엽니다.
2. 인증 인증서 템플릿 자동 등록 대상 보안 그룹 검색(예: 비즈니스용 Window Hello 사용자)
3. 구성원 탭을 선택하고 추가를 선택합니다.
4. 선택할 개체 이름 입력 텍스트 상자에 adfssvc를 입력하거나 AD FS 배포 >확인에서 AD FS 서비스 계정의 이름을 대체합니다.
5. 확인을 선택하여 Active Directory 사용자 및 컴퓨터로 돌아갑니다.
6. AD FS 서버 다시 시작

참고

AD FS 2019 이상 인증서 신뢰 모델의 경우 알려진 PRT 문제가 있습니다. AD FS 관리자 이벤트 로그에서 이 오류가 발생할 수 있습니다. 잘못된 Oauth 요청을 받았습니다. 클라이언트 'NAME'은 범위가 'ugs'인 리소스에 액세스할 수 없습니다. isse 및 해결 방법에 대한 자세한 내용은 Windows Server 2019에서 AD FS가 손상된 인증서 신뢰 프로비저닝을 참조하세요.

섹션 검토 및 다음 단계

다음 섹션으로 이동하기 전에 다음 단계가 완료되었는지 확인합니다.

• 인증서 등록 기관 구성
• AD FS 서비스 계정에 대한 그룹 구성원 업데이트

다음: 정책 설정 구성 >