이중 등록

이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

중요

이중 등록은 Privileged Access Workstations 기능과 동일한 보안을 대체하거나 제공하지 않습니다. Microsoft는 조직에서 권한 있는 자격 증명 사용자에 대해 Privileged Access Workstations를 사용하도록 권장합니다. 조직은 Privileged Access 기능을 사용할 수 없는 경우 이중 등록을 비즈니스용 Windows Hello 고려할 수 있습니다. 자세한 내용은 Privileged Access Workstations를 참조하세요.

이중 등록을 사용하면 관리자가 디바이스에 권한이 없는 자격 증명과 권한 있는 자격 증명을 모두 등록하여 관리자 권한 있는 관리 기능을 수행할 수 있습니다.

기본적으로 Windows는 사용자의 세션 내에서 모든 비즈니스용 Windows Hello 사용자를 열거하지 않습니다. 모든 사용자에 대해 에뮬레이트된 스마트 카드 열거 허용 그룹 정책 설정을 사용하여 선택한 디바이스에서 등록된 모든 비즈니스용 Windows Hello 자격 증명을 열거하도록 디바이스를 구성할 수 있습니다.

이 설정을 사용하면 관리자가 메일과 같은 정상적인 작업 흐름에 대해 권한 없는 Windows Hello 자격 증명을 사용하여 Windows에 로그인할 수 있지만, 다른 사용자로 실행 또는 관리자 권한으로 실행을 선택하고 권한 있는 사용자 계정을 선택하고 PIN을 제공하여 MICROSOFT 관리 콘솔(MMC), 원격 데스크톱 서비스 클라이언트 및 기타 애플리케이션을 시작할 수 있습니다. 관리자는 인수와 /smartcard 결합을 사용하여 runas.exe 명령줄 애플리케이션에서 이 기능을 활용할 수도 있습니다. 이렇게 하면 관리자가 로그인 및 로그아웃할 필요 없이 일상적인 작업을 수행하거나 권한 있는 워크로드와 권한이 없는 워크로드를 번갈아갈 때 빠른 사용자 전환을 사용할 수 있습니다.

중요

사용자(권한 있거나 권한이 없는) 프로비전이 비즈니스용 Windows Hello 전에 이중 등록을 비즈니스용 Windows Hello Windows 컴퓨터를 구성해야 합니다. 이중 등록은 만드는 동안 Windows Hello 컨테이너에 구성된 특별한 설정입니다.

비즈니스용 Windows Hello 이중 등록 구성

이중 등록을 사용하도록 설정하는 단계는 다음과 같습니다.

  • 도메인 관리자 등록을 지원하도록 Active Directory 구성
  • 그룹 정책 사용하여 이중 등록 구성

도메인 관리자 등록을 지원하도록 Active Directory 구성

디자인된 비즈니스용 Windows Hello 구성은 그룹에 특성에 Key Admins 대한 msDS-KeyCredentialsLink 읽기 및 쓰기 권한을 제공합니다. 도메인의 루트에서 이러한 권한을 제공하고 개체 상속을 사용하여 도메인 계층 내의 위치에 관계없이 도메인의 모든 사용자에게 권한이 적용되도록 했습니다.

Active Directory Domain Services 를 사용하여 AdminSDHolder 권한 있는 사용자 및 그룹의 보안을 시간별 주기에 AdminSDHolder 개체에 정의된 것과 일치하도록 비교하고 대체하여 의도하지 않은 수정으로부터 권한 있는 사용자 및 그룹을 보호합니다. 비즈니스용 Windows Hello 경우 도메인 관리자 계정은 권한을 받을 수 있지만 특성에 읽기 및 쓰기 권한을 msDS-KeyCredential 부여 AdminSDHolder 하지 않으면 사용자 개체에서 사라집니다.

도메인 관리자에 해당하는 액세스 권한으로 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.

  1. 다음 명령을 입력하여 개체의 그룹에 대한 msDS-KeyCredentialLink 특성에 AdminSDHolder 대한 Key Admins 읽기 및 쓰기 허용 속성 권한을 추가합니다.

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink

    여기서 DC=domain,DC=com 은 Active Directory 도메인의 LDAP 경로이고 domainName\keyAdminGroup 는 도메인의 NetBIOS 이름과 배포에 따라 키에 대한 액세스 권한을 부여하는 데 사용하는 그룹의 이름입니다. 예시:

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink

  2. 보안 설명자 전파를 트리거하려면 를 엽니다. ldp.exe

  3. 연결을 선택하고 연결...을 선택합니다. 서버 옆에 도메인에 대한 PDC 역할을 보유하는 도메인 컨트롤러의 이름을 입력합니다. 포트 옆에 389를 입력하고 확인을 선택합니다.

  4. 연결을 선택하고 바인딩...을 선택합니다. 확인을 선택하여 현재 로그인한 사용자로 바인딩합니다.

  5. 브라우저를 선택하고 수정을 선택합니다. DN 텍스트 상자를 비워 둡니다. 특성 옆에 RunProtectAdminGroupsTask를 입력합니다. 옆에 를 입력합니다1. Enter 키를 선택하여 항목 목록에 추가합니다.

  6. 실행을 선택하여 작업을 시작합니다.

  7. LDP 닫기

그룹 정책을 사용하여 이중 등록 구성

그룹 정책 개체의 컴퓨터 구성 부분을 사용하여 이중 등록을 지원하도록 Windows를 구성합니다.

  1. GPMC(그룹 정책 관리 콘솔)를 사용하여 새 도메인 기반 그룹 정책 개체를 만들고 권한 있는 사용자가 사용하는 Active Directory 컴퓨터 개체가 포함된 조직 구성 단위에 연결합니다.
  2. 1단계에서 그룹 정책 개체 편집
  3. 컴퓨터 구성 관리 템플릿->>Windows 구성 요소->비즈니스용 Windows Hello 아래에 있는 모든 사용자에 대해 에뮬레이트된 스마트 카드 열거 허용 정책 설정을 사용하도록 설정합니다.
  4. 그룹 정책 관리 편집기 닫아 그룹 정책 개체를 저장합니다. GPMC 닫기
  5. 이 그룹 정책 개체가 대상으로 하는 컴퓨터 다시 시작

컴퓨터가 이중 등록할 준비가 된 경우 먼저 권한 있는 사용자로 로그인하고 비즈니스용 Windows Hello 등록합니다. 완료되면 권한이 없는 사용자로 로그아웃하고 로그인하고 비즈니스용 Windows Hello 등록합니다. 이제 권한 있는 자격 증명을 사용하여 암호를 사용하지 않고도 사용자를 전환할 필요 없이 권한 있는 작업을 수행할 수 있습니다.