하이브리드 인증서 신뢰 모델에서 Active Directory Federation Services 구성

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

• 배포 유형:됩니다.
• 신뢰 유형:
• 조인 유형:Microsoft Entra 조인 , Microsoft Entra 하이브리드 조인 모두에 Single Sign-On이 있습니다.

---

비즈니스용 Windows Hello 인증서 기반 배포는 AD FS를 CRA(인증 등록 기관)로 사용합니다. CRA는 사용자에게 인증서 발급 및 해지를 담당합니다. 등록 기관은 인증서 요청을 확인하면 등록 에이전트 인증서를 사용하여 인증서 요청에 서명하고 인증 기관에 전송합니다.
CRA는 등록 에이전트 인증서를 등록하고 비즈니스용 Windows Hello 인증 인증서 템플릿은 등록 에이전트 인증서로 서명된 요청에만 인증서를 발급하도록 구성됩니다.

참고

AD FS가 비즈니스용 Windows Hello 대한 사용자 인증서 요청을 확인하려면 엔드포인트에 액세스할 https://enterpriseregistration.windows.net 수 있어야 합니다.

인증서 등록 기관 구성

도메인 관리자에 해당하는 자격 증명을 사용하여 AD FS 서버에 로그인합니다.

Windows PowerShell 프롬프트를 열고 다음 명령을 입력합니다.

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

참고

비즈니스용 Windows Hello 등록 에이전트 및 비즈니스용 Windows Hello 인증 인증서 템플릿에 다른 이름을 지정한 경우 위의 명령에서 WHFBEnrollmentAgent 및 WHFBAuthentication을 인증서 템플릿의 이름으로 바꿉니다. 템플릿 표시 이름이 아닌 템플릿 이름을 사용하는 것이 중요합니다. 인증서 템플릿 관리 콘솔(certtmpl.msc)을 사용하여 인증서 템플릿의 일반 탭에서 템플릿 이름을 볼 수 있습니다. 또는 CA에서 PowerShell cmdlet을 Get-CATemplate 사용하여 템플릿 이름을 볼 수 있습니다.

등록 에이전트 인증서 등록

AD FS는 자체 인증서 수명 주기 관리를 수행합니다. 적절한 인증서 템플릿으로 등록 기관이 구성되면 AD FS 서버는 첫 번째 인증서 요청 시 또는 서비스가 처음 시작될 때 등록을 시도합니다.

등록 에이전트 인증서가 만료되기 약 60일 전에 AD FS 서비스는 인증서가 성공할 때까지 인증서를 갱신하려고 시도합니다. 인증서를 갱신하지 못하고 인증서가 만료되면 AD FS 서버는 새 등록 에이전트 인증서를 요청합니다. AD FS 이벤트 로그에서 등록 에이전트 인증서의 상태를 확인할 수 있습니다.

AD FS 서비스 계정에 대한 그룹 멤버 자격

AD FS 서비스 계정은 인증 인증서 템플릿 자동 등록(예: 비즈니스용 Window Hello 사용자)의 대상이 되는 보안 그룹의 구성원이어야 합니다. 보안 그룹은 프로비저닝 사용자를 대신하여 비즈니스용 Windows Hello 인증 인증서를 등록하는 데 필요한 권한을 AD FS 서비스에 제공합니다.

팁

adfssvc 계정은 AD FS 서비스 계정입니다.

도메인 관리자에 해당하는 자격 증명으로 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.

1. Active Directory 사용자 및 컴퓨터를 엽니다.
2. 인증 인증서 템플릿 자동 등록 대상 보안 그룹 검색(예: 비즈니스용 Window Hello 사용자)
3. 구성원 탭을 선택하고 추가를 선택합니다.
4. 선택할 개체 이름 입력 텍스트 상자에 adfssvc를 입력하거나 AD FS 배포 >확인에서 AD FS 서비스 계정의 이름을 대체합니다.
5. 확인을 선택하여 Active Directory 사용자 및 컴퓨터
6. AD FS 서버 다시 시작

참고

하이브리드 인증서 신뢰 모델의 AD FS 2019의 경우 PRT 문제가 있습니다. AD FS 관리 이벤트 로그에서 이 오류가 발생할 수 있습니다. 잘못된 Oauth 요청을 받았습니다. 클라이언트 'NAME'은 scope 'ugs'를 사용하여 리소스에 액세스할 수 없습니다. 이 오류를 해결하려면 다음을 수행합니다.

1. AD FS 관리 콘솔 시작하고 서비스 > 범위 설명으로 이동합니다.
2. 범위 설명을 마우스 오른쪽 단추로 클릭하고 범위 설명 추가를 선택합니다.
3. 이름 유형 ugs 에서 확인 적용 > 을 선택합니다.
4. 관리자 권한으로 PowerShell 시작
5. 와 같은 매개 변수를 사용하여 ClientRoleIdentifier 애플리케이션 권한의 ObjectIdentifier를 38aa3b87-a06d-4817-b275-7a316988d93b가져옵니다.

(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier

1. 명령을 Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'실행합니다.
2. AD FS 서비스 다시 시작
3. 클라이언트에서: 클라이언트를 다시 시작합니다. 사용자에게 프로비저닝하라는 메시지가 표시되어야 비즈니스용 Windows Hello

섹션 검토 및 다음 단계

다음 섹션으로 이동하기 전에 다음 단계가 완료되었는지 확인합니다.

• 인증서 등록 기관 구성
• AD FS 서비스 계정에 대한 그룹 구성원 업데이트

다음: 정책 설정 구성 >