클라우드 전용 배포 가이드
이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.
- 배포 유형:클라우드 전용을 통해 수행됩니다.
- 조인 유형:Microsoft Entra 조인
요구 사항
배포를 시작하기 전에 비즈니스용 Windows Hello 배포 계획 문서에 설명된 요구 사항을 검토합니다.
시작하기 전에 다음 요구 사항이 충족되는지 확인합니다.
배포 단계
필수 구성 요소가 충족되면 비즈니스용 Windows Hello 배포는 다음 단계로 구성됩니다.
비즈니스용 Windows Hello 정책 설정 구성
디바이스를 조인할 Microsoft Entra 시스템은 자동으로 비즈니스용 Windows Hello 등록하려고 시도합니다. 클라우드 전용 환경에서 기본 설정으로 비즈니스용 Windows Hello 사용하려는 경우 추가 구성이 필요하지 않습니다.
클라우드 전용 배포는 비즈니스용 Windows Hello 등록 중에 Microsoft Entra MFA(다단계 인증)를 사용하며 다른 MFA 구성이 필요하지 않습니다. MFA에 아직 등록되지 않은 경우 비즈니스용 Windows Hello 등록 프로세스의 일부로 MFA 등록을 안내합니다.
CSP(구성 서비스 공급자) 또는 GPO(그룹 정책)를 통해 비즈니스용 Windows Hello 동작을 제어하도록 정책 설정을 구성할 수 있습니다. 클라우드 전용 배포에서 디바이스는 일반적으로 PassportForWork CSP를 사용하여 Microsoft Intune 같은 MDM 솔루션을 통해 구성됩니다.
참고
Microsoft Intune 사용하여 비즈니스용 Windows Hello 구성 문서를 검토하여 비즈니스용 Windows Hello 구성하기 위해 Microsoft Intune 제공하는 다양한 옵션에 대해 알아봅니다.
Intune 테넌트 전체 정책이 비즈니스용 Windows Hello 사용하지 않도록 구성되었거나 Windows Hello 사용하지 않도록 설정된 디바이스가 배포된 경우 비즈니스용 Windows Hello 사용하도록 하나의 정책 설정을 구성해야 합니다.
또 다른 선택 사항이지만 권장되는 정책 설정은 다음과 같습니다.
아래 지침에 따라 Microsoft Intune 또는 GPO(그룹 정책)를 사용하여 디바이스를 구성합니다.
Intune/CSP
GpoMicrosoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
| 범주 | 설정 이름 | 값 |
|---|---|---|
| 비즈니스용 Windows Hello | Passport for Work 사용 | true |
| 비즈니스용 Windows Hello | 보안 디바이스 필요 | true |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
또는 PassportForWork CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
| 설정 |
|---|
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- 데이터 형식: bool- 값: True |
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- 데이터 형식: bool- 값: True |
팁
Microsoft Intune 사용하고 테넌트 전체 정책을 사용하지 않는 경우 ESP(등록 상태 페이지)를 사용하도록 설정하여 사용자가 데스크톱에 액세스하기 전에 디바이스가 비즈니스용 Windows Hello 정책 설정을 받도록 합니다. ESP에 대한 자세한 내용은 등록 상태 페이지 설정을 참조하세요.
비즈니스용 Windows Hello 동작을 제어하도록 추가 정책 설정을 구성할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello 정책 설정을 참조하세요.
비즈니스용 Windows Hello 등록
비즈니스용 Windows Hello 프로비저닝 프로세스는 특정 필수 구성 요소 검사가 통과된 경우 사용자가 로그인한 직후에 시작됩니다.
사용자 환경
사용자가 로그인하면 비즈니스용 Windows Hello 등록 프로세스가 시작됩니다.
- 디바이스가 생체 인식 인증을 지원하는 경우 사용자에게 생체 인식 제스처를 설정하라는 메시지가 표시됩니다. 이 제스처는 디바이스의 잠금을 해제하고 비즈니스용 Windows Hello 필요한 리소스에 인증하는 데 사용할 수 있습니다. 생체 인식 제스처를 설정하지 않으려면 사용자가 이 단계를 건너뛸 수 있습니다.
- 사용자에게 organization 계정으로 Windows Hello 사용하라는 메시지가 표시됩니다. 사용자가 확인을 선택합니다.
- 프로비저닝 흐름은 등록의 다단계 인증 부분으로 진행됩니다. 프로비저닝은 구성된 형식의 MFA를 통해 사용자에게 적극적으로 연락을 시도하고 있음을 사용자에게 알릴 수 있습니다. 인증이 성공하거나 실패하거나 시간이 초과될 때까지 프로비저닝 프로세스가 진행되지 않습니다. 실패 또는 시간 제한 MFA로 인해 오류가 발생하며 사용자에게 다시 시도하도록 요청합니다.
- MFA가 성공하면 프로비전 흐름은 사용자에게 PIN을 만들고 유효성을 검사할 것을 요청합니다. 이 PIN은 디바이스에 구성된 모든 PIN 복잡성 정책을 관찰해야 합니다.
- 프로비저닝의 나머지에는 사용자에 대한 비대칭 키 쌍을 요청하는 비즈니스용 Windows Hello가 포함됩니다. TPM의 키 쌍(또는 정책을 통해 명시적으로 설정된 경우 필요)이 좋습니다. 키 쌍을 획득하면 Windows는 IdP와 통신하여 공개 키를 등록합니다. 키 등록이 완료되면 프로비저닝을 비즈니스용 Windows Hello PIN을 사용하여 로그인할 수 있음을 사용자에게 알릴 수 있습니다. 사용자가 프로비저닝 애플리케이션을 닫고 데스크톱에 액세스할 수 있습니다.
시퀀스 다이어그램
프로비저닝 흐름을 더 잘 이해하려면 인증 유형에 따라 다음 시퀀스 다이어그램을 검토합니다.
인증 흐름을 더 잘 이해하려면 다음 시퀀스 다이어그램을 검토합니다.
자동 등록 사용 안 함
자동 비즈니스용 Windows Hello 등록을 사용하지 않도록 설정하려면 정책 설정 또는 레지스트리 키를 사용하여 디바이스를 구성할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello 등록 사용 안 함을 참조하세요.
참고
Microsoft Entra 조인의 OOBE(기본 제공 환경) 흐름 중에는 Intune 없는 경우 비즈니스용 Windows Hello 등록하도록 안내됩니다. PIN 화면을 취소하고 비즈니스용 Windows Hello 등록하지 않고 데스크톱에 액세스할 수 있습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기