온-프레미스 키 신뢰 모델에서 비즈니스용 Windows Hello 구성 및 등록

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

이 문서에서는 다음 사항에 적용되는 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

• 배포 유형:
• 신뢰 유형:
• 조인 유형:.

---

필수 구성 요소가 충족되고 PKI 및 AD FS 구성의 유효성이 검사되면 비즈니스용 Windows Hello 배포는 다음 단계로 구성됩니다.

• 비즈니스용 Windows Hello 정책 설정 구성
• 비즈니스용 Windows Hello에 등록

비즈니스용 Windows Hello 정책 설정 구성

주요 신뢰 모델에서 비즈니스용 Windows Hello를 사용하도록 설정하는 데 필요한 정책 설정은 1가지입니다.

• 비즈니스용 Windows Hello 사용

또 다른 선택 사항이지만 권장되는 정책 설정은 다음과 같습니다.

• 하드웨어 보안 장치 사용

GPO의 컴퓨터 또는 사용자 노드에서 비즈니스용 Windows Hello 사용 정책 설정을 구성할 수 있습니다.

• 컴퓨터 노드 정책 설정을 배포하면 대상 디바이스에 로그인하는 모든 사용자가 비즈니스용 Windows Hello 등록을 시도합니다.
• 사용자 노드 정책 설정을 배포하면 대상 사용자만 비즈니스용 Windows Hello 등록을 시도합니다.

사용자 정책 설정과 컴퓨터 정책 설정이 모두 배포되는 경우, 사용자 정책 설정이 우선합니다.

그룹 정책을 사용하여 디바이스를 구성하려면 로컬 그룹 정책 편집기를 사용합니다. Active Directory에 조인된 여러 디바이스를 구성하려면 GPO(그룹 정책 개체)를 만들거나 편집 하고 다음 설정을 사용합니다.

그룹 정책 경로	그룹 정책 설정	값
컴퓨터 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello or 사용자 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello	비즈니스용 Windows Hello 사용	활성화
컴퓨터 구성\관리 템플릿\Windows 구성 요소\비즈니스용 Windows Hello	하드웨어 보안 장치 사용	활성화

그룹 정책은 도메인 또는 조직 단위에 연결 하거나, 보안 그룹을 사용하여 필터링하거나, WMI 필터를 사용하여 필터링할 수 있습니다.

팁

비즈니스용 Windows Hello GPO를 배포하는 가장 좋은 방법은 보안 그룹 필터링을 사용하는 것입니다. 대상 보안 그룹의 구성원만 비즈니스용 Windows Hello를 프로비전하여 단계적 롤아웃을 사용하도록 설정합니다. 이 솔루션을 사용하면 GPO를 도메인에 연결하여 GPO의 범위가 모든 보안 주체로 지정되도록 할 수 있습니다. 보안 그룹 필터링을 통해 전역 그룹의 구성원만 GPO를 수신하고 적용하므로 비즈니스용 Windows Hello가 프로비전됩니다.

비즈니스용 Windows Hello의 동작을 제어하도록 추가 정책 설정을 구성할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello 정책 설정을 참조하세요.

비즈니스용 Windows Hello에 등록

비즈니스용 Windows Hello 프로비저닝 프로세스는 사용자 프로필이 로드된 직후와 사용자가 데스크톱을 받기 직전에 시작됩니다. 프로비저닝 프로세스를 시작하려면 모든 필수 구성 요소 검사를 통과해야 합니다.

애플리케이션 및 서비스 로그 Microsoft > Windows에서 사용자 디바이스 등록 관리자 로그를 확인하여 필수 구성 요소 검사의 상태를 확인할 수 있습니다>.
이 정보는 콘솔의 dsregcmd.exe /status 명령을 사용하여 사용할 수도 있습니다. 자세한 내용은 dsregcmd를 참조하세요.

사용자 환경

사용자가 로그인하면 비즈니스용 Windows Hello 등록 프로세스가 시작됩니다.

1. 디바이스가 생체 인식 인증을 지원하는 경우 사용자에게 생체 인식 제스처를 설정하라는 메시지가 표시됩니다. 이 제스처는 디바이스의 잠금을 해제하고 비즈니스용 Windows Hello가 필요한 리소스에 인증하는 데 사용할 수 있습니다. 생체 인식 제스처를 설정하지 않으려면 사용자가 이 단계를 건너뛸 수 있습니다.
2. 조직 계정과 함께 Windows Hello를 사용하라는 메시지가 사용자에게 표시됩니다. 사용자가 확인을 선택합니다.
3. 프로비저닝 흐름은 등록의 다단계 인증 부분으로 진행됩니다. 프로비저닝은 구성된 형식의 MFA를 통해 사용자에게 적극적으로 연락을 시도하고 있음을 사용자에게 알릴 수 있습니다. 인증이 성공하거나 실패하거나 시간이 초과될 때까지 프로비저닝 프로세스가 진행되지 않습니다. 실패 또는 시간 제한 MFA로 인해 오류가 발생하며 사용자에게 다시 시도하도록 요청합니다.
4. MFA가 성공하면 프로비전 흐름은 사용자에게 PIN을 만들고 유효성을 검사할 것을 요청합니다. 이 PIN은 디바이스에 구성된 모든 PIN 복잡성 정책을 관찰해야 합니다.
5. 프로비저닝의 나머지에는 사용자에 대한 비대칭 키 쌍을 요청하는 비즈니스용 Windows Hello가 포함됩니다. TPM의 키 쌍(또는 정책을 통해 명시적으로 설정된 경우 필요)이 좋습니다. 키 쌍을 획득하면 Windows는 IdP와 통신하여 공개 키를 등록합니다. 키 등록이 완료되면 비즈니스용 Windows Hello 프로비저닝은 사용자에게 PIN을 사용하여 로그인할 수 있음을 알릴 수 있습니다. 사용자가 프로비저닝 애플리케이션을 닫고 데스크톱에 액세스할 수 있습니다.

다음 비디오에서는 AD FS용 사용자 지정 MFA 어댑터를 사용하여 암호로 로그인한 후 비즈니스용 Windows Hello 등록 단계를 보여 줍니다.

시퀀스 다이어그램

프로비저닝 흐름을 더 잘 이해하려면 다음 시퀀스 다이어그램을 검토합니다.

• 온-프레미스 키 신뢰 배포 모델의 프로비전