하이브리드 인증서 신뢰 배포 가이드

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

• 배포 유형:됩니다.
• 신뢰 유형:
• 조인 유형:Microsoft Entra 조인 , Microsoft Entra 하이브리드 조인 모두에 Single Sign-On이 있습니다.

---

중요

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 키 신뢰 모델과 비교할 때 권장되는 배포 모델입니다. 최종 사용자에게 인증서를 배포할 필요가 없는 경우 권장되는 배포 모델이기도 합니다. 자세한 내용은 클라우드 Kerberos 트러스트 배포를 참조하세요.

요구 사항

배포를 시작하기 전에 비즈니스용 Windows Hello 배포 계획 문서에 설명된 요구 사항을 검토합니다.

시작하기 전에 다음 요구 사항이 충족되는지 확인합니다.

• 공개 키 인프라
• Authentication
• 디바이스 구성
• 클라우드 서비스에 대한 라이선스
• 사용자가 Windows Hello 사용하도록 준비

배포 단계

필수 구성 요소가 충족되면 비즈니스용 Windows Hello 배포는 다음 단계로 구성됩니다.

• 공개 키 인프라 구성 및 유효성 검사
• Active Directory Federation Services 구성
• 비즈니스용 Windows Hello 구성 및 등록
• (선택 사항) Microsoft Entra 조인된 디바이스에 대한 Single Sign-On 구성

Microsoft Entra ID 페더레이션 인증

비즈니스용 Windows Hello 하이브리드 인증서 트러스트를 사용하려면 AD FS를 사용하여 Active Directory를 Microsoft Entra ID 페더레이션해야 합니다. 또한 Azure 등록 디바이스를 지원하도록 AD FS 팜을 구성해야 합니다.

AD FS 및 페더레이션 서비스를 사용하는 경우:

• AD FS 팜을 배포하기 전에 주요 AD FS 개념 검토
• AD FS 디자인 가이드를 검토하여 페더레이션 서비스를 디자인하고 계획합니다.

AD FS 디자인이 준비되면 페더레이션 서버 팜 배포를 검토하여 사용자 환경에서 AD FS를 구성합니다.

비즈니스용 Windows Hello에서 사용되는 AD FS 팜은 KB4088889 (14393.2155)의 최소 업데이트가 포함된 Windows Server 2016이어야 합니다.

디바이스 등록 및 디바이스 쓰기 저장

Windows 디바이스는 Microsoft Entra ID 등록해야 합니다. 디바이스는 Microsoft Entra 조인 또는 Microsoft Entra하이브리드 조인을 사용하여 Microsoft Entra ID 등록할 수 있습니다.
Microsoft Entra 하이브리드 조인 디바이스의 경우 Microsoft Entra 하이브리드 조인 구현 계획에 대한 지침을 검토합니다.

Microsoft Entra Connect Sync를 사용하여 Microsoft Entra 디바이스 등록을 구성하는 방법에 대한 자세한 내용은 페더레이션된 도메인에 대한 Microsoft Entra 하이브리드 조인 구성 가이드를 참조하세요.
디바이스 등록을 지원하기 위한 AD FS 팜의 수동 구성은 Microsoft Entra 디바이스 등록에 대한 AD FS 구성 가이드를 검토하세요.

하이브리드 인증서 신뢰 배포에는 디바이스 쓰기 저장 기능이 필요합니다. AD FS에 대한 인증을 사용하려면 사용자와 디바이스가 모두 인증되어야 합니다. 일반적으로 사용자는 동기화되지만 장치는 동기화되지 않습니다. 이렇게 하면 AD FS가 디바이스를 인증하지 못하게 되며 비즈니스용 Windows Hello 인증서 등록 실패가 발생합니다. 이러한 이유로 비즈니스용 Windows Hello 배포에는 디바이스 쓰기 저장이 필요합니다.

참고

비즈니스용 Windows Hello 사용자와 디바이스 간에 연결됩니다. 사용자와 디바이스를 모두 Microsoft Entra ID Active Directory 간에 동기화해야 합니다. 디바이스 쓰기 저장은 컴퓨터 개체의 msDS-KeyCredentialLink 특성을 업데이트하는 데 사용됩니다.

AD FS를 수동으로 구성하거나 사용자 지정 설정을 사용하여 Microsoft Entra Connect Sync를 실행한 경우 AD FS 팜에서 디바이스 쓰기 저장 및 디바이스 인증을 구성해야 합니다. 자세한 내용은 디바이스 쓰기 저장 및 디바이스 인증 구성을 참조하세요.

공개 키 인프라

인증을 위한 신뢰 앵커 로 PKI(엔터프라이즈 공개 키 인프라)가 필요합니다. 도메인 컨트롤러를 신뢰하려면 Windows 클라이언트에 대한 인증서가 필요합니다.
사용자에게 인증 인증서를 발급하려면 엔터프라이즈 PKI 및 CRA(인증서 등록 기관)가 필요합니다. 하이브리드 인증서 신뢰 배포는 AD FS를 CRA로 사용합니다.

비즈니스용 Windows Hello 프로비저닝하는 동안 사용자는 CRA를 통해 로그인 인증서를 받습니다.

다음 단계

필수 구성 요소가 충족되면 하이브리드 키 신뢰 모델을 사용하여 비즈니스용 Windows Hello 배포하는 작업은 다음 단계로 구성됩니다.

• PKI 구성 및 유효성 검사
• AD FS 구성
• 비즈니스용 Windows Hello 설정 구성
• Windows 클라이언트에서 비즈니스용 Windows Hello 프로비전
• Microsoft Entra 조인된 디바이스에 대한 SSO(Single Sign-On) 구성

다음: 공개 키 인프라 구성 및 유효성 검사 >