하이브리드 인증서 신뢰 모델에서 비즈니스용 Windows Hello 구성 및 등록

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

이 문서에서는 다음 사항에 적용되는 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

• 배포 유형:
• 신뢰 유형:
• 조인 유형:. Microsoft Entra 하이브리드 조인 모두에 Single Sign-On이 있습니다.

---

필수 구성 요소가 충족되고 PKI 및 AD FS 구성의 유효성이 검사되면 비즈니스용 Windows Hello 배포는 다음 단계로 구성됩니다.

• 비즈니스용 Windows Hello 정책 설정 구성
• 비즈니스용 Windows Hello에 등록

비즈니스용 Windows Hello 정책 설정 구성

인증서 신뢰 모델에서 비즈니스용 Windows Hello를 사용하도록 설정하는 데 필요한 두 가지 정책 설정이 있습니다.

• 비즈니스용 Windows Hello 사용
• 온-프레미스 인증에 인증서 사용

또 다른 선택 사항이지만 권장되는 정책 설정은 다음과 같습니다.

• 하드웨어 보안 장치 사용

다음 지침을 사용하여 Microsoft Intune 또는 GPO(그룹 정책)를 사용하여 디바이스를 구성합니다.

GPO

GPO의 컴퓨터 또는 사용자 노드에서 비즈니스용 Windows Hello 사용 정책 설정을 구성할 수 있습니다.

• 컴퓨터 노드 정책 설정을 배포하면 대상 디바이스에 로그인하는 모든 사용자가 비즈니스용 Windows Hello 등록을 시도합니다.
• 사용자 노드 정책 설정을 배포하면 대상 사용자만 비즈니스용 Windows Hello 등록을 시도합니다.

사용자 정책 설정과 컴퓨터 정책 설정이 모두 배포되는 경우, 사용자 정책 설정이 우선합니다.

팁

동일한 비즈니스용 Windows Hello 사용자 보안 그룹을 사용하여 동일한 멤버가 비즈니스용 Windows Hello 인증 인증서에 등록할 수 있도록 인증서 템플릿 권한을 할당합니다.

비즈니스용 Windows Hello 프로비저닝은 비즈니스용 Windows Hello 인증 인증서의 초기 등록을 수행합니다. 이 인증서는 비즈니스용 Windows Hello 인증 인증서 템플릿에 구성된 기간에 따라 만료됩니다.

사용자가 비즈니스용 Windows Hello를 사용하여 로그인하는 경우 프로세스에는 사용자 상호 작용이 필요하지 않습니다. 인증서는 만료되기 전에 백그라운드에서 갱신됩니다.

그룹 정책을 사용하여 디바이스를 구성하려면 로컬 그룹 정책 편집기를 사용합니다. Active Directory에 조인된 여러 디바이스를 구성하려면 GPO(그룹 정책 개체)를 만들거나 편집 하고 다음 설정을 사용합니다.

그룹 정책 경로	그룹 정책 설정	값
컴퓨터 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello or 사용자 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello	비즈니스용 Windows Hello 사용	활성화
컴퓨터 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello or 사용자 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello	온-프레미스 인증에 인증서 사용	활성화
컴퓨터 구성\Windows 설정\보안 설정\공개 키 정책 or 사용자 구성\Windows 설정\보안 설정\공개 키 정책	Certificate Services 클라이언트 - 자동 등록	- 구성 모델에서 사용을 선택합니다. - 만료된 인증서 갱신, 보류 중인 인증서 업데이트 및 해지된 인증서 제거를 선택합니다. - 인증서 템플릿을 사용하는 인증서 업데이트 선택
컴퓨터 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello	하드웨어 보안 장치 사용	활성화

참고

하드웨어 보안 디바이스 사용 정책 설정의 사용은 선택 사항이지만 권장됩니다.

그룹 정책은 도메인 또는 조직 단위에 연결 하거나, 보안 그룹을 사용하여 필터링하거나, WMI 필터를 사용하여 필터링할 수 있습니다.

팁

비즈니스용 Windows Hello GPO를 배포하는 가장 좋은 방법은 보안 그룹 필터링을 사용하는 것입니다. 대상 보안 그룹의 구성원만 비즈니스용 Windows Hello를 프로비전하여 단계적 롤아웃을 사용하도록 설정합니다. 이 솔루션을 사용하면 GPO를 도메인에 연결하여 GPO의 범위가 모든 보안 주체로 지정되도록 할 수 있습니다. 보안 그룹 필터링을 통해 전역 그룹의 구성원만 GPO를 수신하고 적용하므로 비즈니스용 Windows Hello가 프로비전됩니다.

Intune/CSP

중요

이 섹션의 정보는 Intune에서 관리하는 Microsoft Entra 조인 디바이스에 적용됩니다. 계속하기 전에 다음에 설명된 단계를 완료해야 합니다.

• Microsoft Entra 조인 디바이스에 대한 Single Sign-On 구성
• AADJ 온-프레미스 Single Sign-On에 인증서 사용

참고

Microsoft Intune을 사용하여 비즈니스용 Windows Hello 구성 문서를 검토하여 비즈니스용 Windows Hello를 구성하기 위해 Microsoft Intune에서 제공하는 다양한 옵션에 대해 알아봅니다.

Intune 테넌트 전체 정책을 사용하도록 설정하고 요구 사항에 맞게 구성한 경우 비즈니스용 Windows Hello에 등록으로 건너뛸 수 있습니다.

Microsoft Intune을 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주	설정 이름	값
비즈니스용 Windows Hello	Passport for Work 사용	true
비즈니스용 Windows Hello	온-프레미스 인증에 인증서 사용	설정됨
비즈니스용 Windows Hello	보안 디바이스 필요	true

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 PassportForWork CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - 데이터 형식:bool - 값:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth - 데이터 형식:bool - 값:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - 데이터 형식:bool - 값:True

인증서 신뢰 정책에 대한 자세한 내용은 비즈니스용 Windows Hello 정책 설정을 참조하세요.

그룹 정책 및 Intune을 모두 사용하여 비즈니스용 Windows Hello 구성을 배포하는 경우 그룹 정책 설정이 우선하며 Intune 설정은 무시됩니다. 정책 충돌에 대한 자세한 내용은 여러 정책 원본의 정책 충돌을 참조하세요.

비즈니스용 Windows Hello의 동작을 제어하도록 추가 정책 설정을 구성할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello 정책 설정을 참조하세요.

비즈니스용 Windows Hello에 등록

비즈니스용 Windows Hello 프로비저닝 프로세스는 사용자 프로필이 로드된 직후와 사용자가 데스크톱을 받기 직전에 시작됩니다. 프로비저닝 프로세스를 시작하려면 모든 필수 구성 요소 검사를 통과해야 합니다.

애플리케이션 및 서비스 로그 Microsoft > Windows에서 사용자 디바이스 등록 관리자 로그를 확인하여 필수 구성 요소 검사의 상태를 확인할 수 있습니다>.
이 정보는 콘솔의 dsregcmd.exe /status 명령을 사용하여 사용할 수도 있습니다. 자세한 내용은 dsregcmd를 참조하세요.

사용자 환경

사용자가 로그인하면 비즈니스용 Windows Hello 등록 프로세스가 시작됩니다.

1. 디바이스가 생체 인식 인증을 지원하는 경우 사용자에게 생체 인식 제스처를 설정하라는 메시지가 표시됩니다. 이 제스처는 디바이스의 잠금을 해제하고 비즈니스용 Windows Hello가 필요한 리소스에 인증하는 데 사용할 수 있습니다. 생체 인식 제스처를 설정하지 않으려면 사용자가 이 단계를 건너뛸 수 있습니다.
2. 조직 계정과 함께 Windows Hello를 사용하라는 메시지가 사용자에게 표시됩니다. 사용자가 확인을 선택합니다.
3. 프로비저닝 흐름은 등록의 다단계 인증 부분으로 진행됩니다. 프로비저닝은 구성된 형식의 MFA를 통해 사용자에게 적극적으로 연락을 시도하고 있음을 사용자에게 알릴 수 있습니다. 인증이 성공하거나 실패하거나 시간이 초과될 때까지 프로비저닝 프로세스가 진행되지 않습니다. 실패 또는 시간 제한 MFA로 인해 오류가 발생하며 사용자에게 다시 시도하도록 요청합니다.
4. MFA가 성공하면 프로비전 흐름은 사용자에게 PIN을 만들고 유효성을 검사할 것을 요청합니다. 이 PIN은 디바이스에 구성된 모든 PIN 복잡성 정책을 관찰해야 합니다.
5. 프로비저닝의 나머지에는 사용자에 대한 비대칭 키 쌍을 요청하는 비즈니스용 Windows Hello가 포함됩니다. TPM의 키 쌍(또는 정책을 통해 명시적으로 설정된 경우 필요)이 좋습니다. 키 쌍을 획득하면 Windows는 IdP와 통신하여 공개 키를 등록합니다. 키 등록이 완료되면 비즈니스용 Windows Hello 프로비저닝은 사용자에게 PIN을 사용하여 로그인할 수 있음을 알릴 수 있습니다. 사용자가 프로비저닝 애플리케이션을 닫고 데스크톱에 액세스할 수 있습니다.

키를 성공적으로 등록하고 나면 Windows는 인증서를 요청하기 위해 동일한 키 쌍을 사용하여 인증서 요청을 만듭니다. Windows는 인증서 등록을 위해 AD FS 서버로 인증서 요청을 보냅니다.

AD FS 등록 기관은 인증서 요청에서 사용되는 키가 이전에 등록된 키와 일치하는지 확인합니다. 키가 일치하면 AD FS 등록 기관은 등록 에이전트 인증서를 사용하여 인증서 요청에 서명하고 인증 기관에 전송합니다.

참고

AD FS가 인증서 요청에 사용된 키를 확인하려면 엔드포인트에 액세스할 https://enterpriseregistration.windows.net 수 있어야 합니다.

CA는 등록 기관에서 인증서에 서명되어 있는지 확인합니다. 유효성 검사가 성공하면 요청에 따라 인증서를 발급하고 AD FS 등록 기관에 인증서를 반환합니다. 등록 기관은 인증서를 Windows로 반환한 다음 현재 사용자의 인증서 저장소에 인증서를 설치합니다. 이 프로세스가 완료되면 비즈니스용 Windows Hello 프로비저닝 워크플로는 사용자에게 PIN을 사용하여 알림 센터를 통해 로그인할 수 있음을 알릴 수 있습니다.

참고

Windows Server 2016 업데이트 KB4088889 (14393.2155)는 하이브리드 인증서를 신뢰 프로비전하는 동안 동기화된 인증서 등록을 제공합니다. 이 업데이트를 통해 사용자는 Microsoft Entra Connect가 공개 키를 온-프레미스에서 동기화할 때까지 기다릴 필요가 없습니다. 사용자는 프로비전하는 동안 인증서를 등록하고 프로비저닝을 완료한 직후 로그인에 인증서를 사용할 수 있습니다. 업데이트를 페더레이션 서버에 설치해야 합니다.

시퀀스 다이어그램

프로비저닝 흐름을 더 잘 이해하려면 디바이스 조인 및 인증 유형에 따라 다음 시퀀스 다이어그램을 검토합니다.

• 관리 인증을 사용하여 Microsoft Entra 조인 디바이스에 대한 프로비저닝
• 페더레이션 인증을 사용하여 Microsoft Entra 조인 디바이스에 대한 프로비저닝
• 페더레이션 인증을 사용하여 하이브리드 인증서 신뢰 배포 모델에서 프로비전

인증 흐름을 더 잘 이해하려면 다음 시퀀스 다이어그램을 검토합니다.

• Microsoft Entra가 인증서를 사용하여 Active Directory에 인증 조인
• 인증서를 사용한 Microsoft Entra 하이브리드 조인 인증