비즈니스용 Windows Hello 배포 계획
이 계획 가이드에서는 비즈니스용 Windows Hello 인프라를 포괄하는 다른 토폴로지, 아키텍처 및 구성 요소를 파악합니다.
이 가이드는 비즈니스용 Windows Hello 내의 각 구성 요소의 역할 및 특정 배포 결정이 인프라의 다른 측면에 미치는 영향에 대해 설명합니다.
팁
Microsoft Entra ID 테넌트가 있는 경우 아래 수동 가이드를 사용하는 대신 동일한 선택을 안내하는 온라인 대화형 암호 없는 마법사를 사용할 수 있습니다. 암호 없는 마법사는 Microsoft 365 관리 센터 사용할 수 있습니다.
이 가이드 사용
다양한 조직 인프라와의 호환성을 보장하여 비즈니스용 Windows Hello 배포하는 데 사용할 수 있는 다양한 옵션이 있습니다. 배포 프로세스가 복잡해 보일 수 있지만 대부분의 조직에서는 필요한 인프라를 이미 구현했음을 알게 됩니다. 비즈니스용 Windows Hello 분산 시스템이며 organization 내의 여러 팀에서 적절한 계획이 필요하다는 점에 유의해야 합니다.
이 가이드는 비즈니스용 Windows Hello 배포의 각 측면에 대해 정보에 입각한 결정을 내릴 수 있도록 지원하여 배포 프로세스를 간소화하는 것을 목표로 합니다. 사용 가능한 옵션에 대한 정보를 제공하고 환경에 가장 적합한 배포 방법을 선택하는 데 도움이 됩니다.
진행 방법
이 문서를 읽고 결정을 기록합니다. 완료되면 사용 가능한 옵션을 평가하고 비즈니스용 Windows Hello 배포에 대한 요구 사항을 결정하는 데 필요한 모든 정보가 있어야 합니다.
비즈니스용 Windows Hello 배포를 계획할 때 고려해야 할 7가지 기본 영역이 있습니다.
배포 옵션
모든 크기와 시나리오의 조직에 대해 배포할 수 있도록 하는 것이 비즈니스용 Windows Hello의 목표입니다. 이러한 유형의 세밀한 배포를 제공하기 위해 비즈니스용 Windows Hello는 다양한 선택의 배포 옵션을 제공합니다.
배포 모델
성공적인 배포에 사용할 배포 모델을 이해하는 것이 근본적으로 중요합니다. 배포의 일부 측면은 현재 인프라에 따라 이미 결정되었을 수 있습니다.
선택할 수 있는 세 가지 배포 모델이 있습니다.
| 배포 모델 | 설명 | |
|---|---|---|
| 🔲 | 클라우드 전용 | 클라우드 ID만 있고 온-프레미스 리소스에 액세스하지 않는 조직의 경우 이러한 조직은 일반적으로 디바이스를 클라우드에 조인하고 SharePoint Online, OneDrive 등의 클라우드에서만 리소스를 사용합니다. 또한 사용자는 온-프레미스 리소스를 사용하지 않으므로 필요한 모든 것이 클라우드 서비스에서 호스트되기 때문에 VPN과 같은 항목에 대한 인증서가 필요하지 않습니다. |
| 🔲 | 하이브리드 | Id가 Active Directory에서 Microsoft Entra ID 동기화된 조직의 경우 이러한 조직은 Microsoft Entra ID 등록된 애플리케이션을 사용하며 온-프레미스 및 Microsoft Entra 리소스 모두에 대해 SSO(Single Sign-On) 환경을 원합니다. |
| 🔲 | 온-프레미스 | 클라우드 ID가 없거나 Microsoft Entra ID 호스트되는 애플리케이션을 사용하는 조직의 경우 이러한 조직은 Active Directory에 통합된 온-프레미스 애플리케이션을 사용하며 액세스 시 SSO 사용자 환경을 원합니다. |
참고
- 온-프레미스 배포의 주요 사용 사례는 "레드 포리스트"라고도 하는 "향상된 보안 관리 환경"에 대한 것입니다.
- 온-프레미스에서 하이브리드 배포로 마이그레이션하려면 재배포가 필요합니다.
신뢰 유형
배포의 신뢰 유형은 비즈니스용 Windows Hello 클라이언트가 Active Directory에 인증하는 방법을 정의합니다. 신뢰 유형은 Microsoft Entra ID 인증에 영향을 주지 않습니다. 따라서 신뢰 유형은 클라우드 전용 배포 모델에 적용되지 않습니다.
Microsoft Entra ID 비즈니스용 Windows Hello 인증은 인증서가 아닌 키를 항상 사용합니다(페더레이션 환경에서 스마트 카드 인증 제외).
신뢰 유형은 사용자에게 인증 인증서를 발급하는지 여부를 결정합니다. 한 신뢰 모델은 다른 모델보다 더 안전하지 않습니다.
사용자 및 도메인 컨트롤러에 인증서를 배포하려면 더 많은 구성 및 인프라가 필요하며, 이는 의사 결정에서 고려해야 할 요소일 수도 있습니다. 인증서 신뢰 배포에 필요한 더 많은 인프라에는 인증서 등록 기관이 포함됩니다. 페더레이션 환경에서는 Microsoft Entra Connect에서 디바이스 쓰기 저장 옵션을 활성화해야 합니다.
선택할 수 있는 세 가지 신뢰 유형이 있습니다.
| 트러스트 종류 | 설명 | |
|---|---|---|
| 🔲 | 클라우드 Kerberos | 사용자는 Microsoft Entra Kerberos를 사용하여 Microsoft Entra ID TGT를 요청하여 Active Directory에 인증합니다. 온-프레미스 도메인 컨트롤러는 여전히 Kerberos 서비스 티켓 및 권한 부여를 담당합니다. 클라우드 Kerberos 트러스트는 FIDO2 보안 키 로그인에 필요한 것과 동일한 인프라를 사용하며 신규 또는 기존 비즈니스용 Windows Hello 배포에 사용할 수 있습니다. |
| 🔲 | Key | 사용자는 Windows Hello 프로비저닝 환경에서 만든 디바이스 바인딩 키(하드웨어 또는 소프트웨어)를 사용하여 온-프레미스 Active Directory 인증합니다. 도메인 컨트롤러에 인증서를 배포해야 합니다. |
| 🔲 | Certificate | 인증서 신뢰 유형은 사용자에게 인증 인증서를 발급합니다. 사용자는 Windows Hello 프로비저닝 환경에서 만든 디바이스 바인딩 키(하드웨어 또는 소프트웨어)를 사용하여 요청된 인증서를 사용하여 인증합니다. |
키 신뢰 및 인증서 신뢰 는 온-프레미스 인증을 위해 kerberos TGT(티켓 부여-티켓)를 요청할 때 인증서 인증 기반 Kerberos를 사용합니다. 이 유형의 인증에는 DC 인증서에 대한 PKI가 필요하며 인증서 트러스트를 위한 최종 사용자 인증서가 필요합니다.
클라우드 Kerberos 트러스트를 비즈니스용 Windows Hello 목표는 다른 트러스트 유형과 비교할 때 더 간단한 배포 환경을 제공하는 것입니다.
- PKI(공개 키 인프라)를 배포하거나 기존 PKI를 변경할 필요가 없습니다.
- 사용자가 온-프레미스 리소스에 액세스할 수 있도록 Microsoft Entra ID 및 Active Directory 간에 공개 키를 동기화할 필요가 없습니다. 사용자의 비즈니스용 Windows Hello 프로비저닝과 Active Directory에 인증할 수 있는 사이에 지연이 없습니다.
- FIDO2 보안 키 로그인은 최소한의 추가 설정으로 배포할 수 있습니다.
팁
비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 키 신뢰 모델과 비교할 때 권장되는 배포 모델입니다. 인증서 인증 시나리오를 지원할 필요가 없는 경우에도 기본 배포 모델입니다.
클라우드 Kerberos 트러스트를 사용하려면 Microsoft Entra Kerberos를 배포해야 합니다. Microsoft Entra Kerberos가 온-프레미스 리소스에 대한 액세스를 사용하도록 설정하는 방법에 대한 자세한 내용은 온-프레미스 리소스에 암호 없는 보안 키 로그인 사용을 참조하세요.
PKI 요구 사항
클라우드 Kerberos 트러스트는 인증서를 배포할 필요가 없는 유일한 하이브리드 배포 옵션입니다. 다른 하이브리드 및 온-프레미스 모델은 인증을 위한 신뢰 앵커로 엔터프라이즈 PKI에 따라 달라집니다.
- 하이브리드 및 온-프레미스 배포를 위한 도메인 컨트롤러에는 Windows 디바이스가 도메인 컨트롤러를 합법적인 것으로 신뢰하기 위한 인증서가 필요합니다.
- 인증서 신뢰 유형을 사용하는 배포에는 엔터프라이즈 PKI 및 CRA(인증서 등록 기관)가 사용자에게 인증 인증서를 발급해야 합니다. AD FS는 CRA로 사용됩니다.
- 하이브리드 배포는 온-프레미스 리소스 연결을 사용하도록 설정하기 위해 사용자에게 VPN 인증서를 발급해야 할 수 있습니다.
| 배포 모델 | 트러스트 종류 | PKI가 필요합니까? | |
|---|---|---|---|
| 🔲 | 클라우드 전용 | 해당 없음 | 아니요 |
| 🔲 | 하이브리드 | 클라우드 Kerberos | 아니요 |
| 🔲 | 하이브리드 | Key | 예 |
| 🔲 | 하이브리드 | Certificate | 예 |
| 🔲 | 온-프레미스 | Key | 예 |
| 🔲 | 온-프레미스 | Certificate | 예 |
Microsoft Entra ID 인증
사용자는 페더레이션 인증 또는 클라우드(비연속) 인증을 사용하여 Microsoft Entra ID 인증할 수 있습니다. 요구 사항은 신뢰 유형에 따라 달라집니다.
| 배포 모델 | 트러스트 종류 | Microsoft Entra ID 인증 | 요구 사항 | |
|---|---|---|---|---|
| 🔲 | 클라우드 전용 | 해당 없음 | 클라우드 인증 | 해당 없음 |
| 🔲 | 클라우드 전용 | 해당 없음 | 페더레이션 인증 | 비 Microsoft 페더레이션 서비스 |
| 🔲 | 하이브리드 | Cloud Kerberos 트러스트 | 클라우드 인증 | PHS(암호 해시 동기화) 또는 PTA(통과 인증) |
| 🔲 | 하이브리드 | Cloud Kerberos 트러스트 | 페더레이션 인증 | AD FS 또는 비 Microsoft 페더레이션 서비스 |
| 🔲 | 하이브리드 | 키 신뢰 | 클라우드 인증 | PHS(암호 해시 동기화) 또는 PTA(통과 인증) |
| 🔲 | 하이브리드 | 키 신뢰 | 페더레이션 인증 | AD FS 또는 비 Microsoft 페더레이션 서비스 |
| 🔲 | 하이브리드 | 인증서 신뢰 | 페더레이션 인증 | 이 배포 모델은 PTA 또는 PHS를 지원하지 않습니다. AD FS를 사용하여 active Directory를 Microsoft Entra ID 페더레이션해야 합니다. |
자세히 알아보려면 다음을 수행합니다.
장치 등록
온-프레미스 배포의 경우 AD FS(Active Directory Federation Services) 역할을 실행하는 서버가 디바이스 등록을 담당합니다. 클라우드 전용 및 하이브리드 배포의 경우 디바이스는 Microsoft Entra ID 등록해야 합니다.
| 배포 모델 | 지원되는 조인 유형 | 디바이스 등록 서비스 공급자 |
|---|---|---|
| 클라우드 전용 | Microsoft Entra 조인됨 Microsoft Entra 등록됨 |
Microsoft Entra ID |
| 하이브리드 | Microsoft Entra 조인됨 Microsoft Entra 하이브리드 조인됨 Microsoft Entra 등록됨 |
Microsoft Entra ID |
| 온-프레미스 | Active Directory 도메인에 가입됨 | AD FS |
중요
Microsoft Entra 하이브리드 조인 지침은Microsoft Entra 하이브리드 조인 구현 계획을 검토하세요.
다단계 인증
비즈니스용 Windows Hello 목표는 쉬운 2단계 인증을 가능하게 하는 강력한 자격 증명을 제공하여 조직을 암호에서 멀어지게 하는 것입니다. 기본 제공 프로비저닝 환경에서는 사용자의 약한 자격 증명(사용자 이름 및 암호)을 첫 번째 요소 인증으로 허용합니다. 그러나 Windows에서 강력한 자격 증명을 프로비전하기 전에 사용자는 두 번째 인증 요소를 제공해야 합니다.
- 클라우드 전용 및 하이브리드 배포의 경우 Microsoft Entra MFA를 포함하여 다단계 인증에 대한 다양한 옵션이 있습니다.
- 온-프레미스 배포는 AD FS 다단계 어댑터로 통합할 수 있는 다단계 옵션을 사용해야 합니다. 조직은 AD FS MFA 어댑터를 제공하는 비 Microsoft 옵션 중에서 선택할 수 있습니다. 자세한 내용은 Microsoft 및 타사 추가 인증 방법을 참조하세요.
중요
2019년 7월 1일부터 Microsoft는 새 배포를 위한 MFA 서버를 제공하지 않습니다. 다단계 인증이 필요한 새 배포에서는 클라우드 기반 Microsoft Entra 다단계 인증을 사용해야 합니다. 2019년 7월 1일 이전에 MFA 서버가 활성화된 기존 배포는 최신 버전, 향후 업데이트를 다운로드하고 활성화 자격 증명을 생성할 수 있습니다. 자세한 내용은 Azure Multi-Factor Authentication 서버 시작을 참조하세요.
| 배포 모델 | MFA 옵션 | |
|---|---|---|
| 🔲 | 클라우드 전용 | MFA Microsoft Entra |
| 🔲 | 클라우드 전용 | Microsoft Entra ID 사용자 지정 컨트롤 또는 페더레이션을 통한 비 Microsoft MFA |
| 🔲 | 하이브리드 | MFA Microsoft Entra |
| 🔲 | 하이브리드 | Microsoft Entra ID 사용자 지정 컨트롤 또는 페더레이션을 통한 비 Microsoft MFA |
| 🔲 | 온-프레미스 | AD FS MFA 어댑터 |
Microsoft Entra 다단계 인증을 구성하는 방법에 대한 자세한 내용은 Microsoft Entra 다단계 인증 설정 구성을 참조하세요.
다단계 인증을 제공하도록 AD FS를 구성하는 방법에 대한 자세한 내용은 AD FS를 사용하여 Azure MFA를 인증 공급자로 구성을 참조하세요.
MFA 및 페더레이션 인증
페더레이션된 도메인은 FederatedIdpMfaBehavior 플래그를 구성할 수 있습니다. 플래그는 페더레이션된 IdP에서 MFA 챌린지를 수락, 적용 또는 거부하도록 Microsoft Entra ID 지시합니다. 자세한 내용은 federatedIdpMfaBehavior 값을 참조하세요. 이 설정을 검사 하려면 다음 PowerShell 명령을 사용합니다.
Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl
페더레이션된 IdP에서 MFA 클레임을 거부하려면 다음 명령을 사용합니다. 이 변경은 페더레이션된 도메인에 대한 모든 MFA 시나리오에 영향을 줍니다.
Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp
(기본값) 또는 enforceMfaByFederatedIdp값 acceptIfMfaDoneByFederatedIdp 으로 플래그를 구성하는 경우 페더레이션된 IDP가 올바르게 구성되고 IdP에서 사용하는 MFA 어댑터 및 공급자와 함께 작동하는지 확인해야 합니다.
키 등록
기본 제공 비즈니스용 Windows Hello 프로비저닝 환경은 디바이스에 바인딩된 비대칭 키 쌍을 사용자의 자격 증명으로 만듭니다. 프라이빗 키는 디바이스의 보안 모듈로 보호됩니다. 자격 증명은 디바이스 키가 아닌 사용자키입니다. 프로비전 환경은 사용자의 공개 키를 ID 공급자에 등록합니다.
| 배포 모델 | 키 등록 서비스 공급자 |
|---|---|
| 클라우드 전용 | Microsoft Entra ID |
| 하이브리드 | Microsoft Entra ID |
| 온-프레미스 | AD FS |
디렉터리 동기화
그러나 하이브리드 및 온-프레미스 배포는 각각 다른 용도로 디렉터리 동기화를 사용합니다.
- 하이브리드 배포는 Microsoft Entra Connect Sync를 사용하여 자체 및 Microsoft Entra ID 간에 Active Directory ID(사용자 및 디바이스) 또는 자격 증명을 동기화합니다. 비즈니스용 Window Hello 프로비저닝 프로세스 중에 사용자는 비즈니스용 Windows Hello 자격 증명의 공개 부분을 Microsoft Entra ID 등록합니다. Microsoft Entra 연결 동기화는 비즈니스용 Windows Hello 공개 키를 Active Directory와 동기화합니다. 이 동기화를 통해 SSO는 및 페더레이션된 구성 요소를 Microsoft Entra ID 수 있습니다.
중요
비즈니스용 Windows Hello 사용자와 디바이스 간에 연결됩니다. 사용자 및 디바이스 개체는 모두 Microsoft Entra ID Active Directory 간에 동기화되어야 합니다.
- 온-프레미스 배포는 디렉터리 동기화를 사용하여 Active Directory에서 Azure MFA 서버로 사용자를 가져오며, 이 서버는 MFA 클라우드 서비스로 데이터를 전송하여 확인을 수행합니다.
| 배포 모델 | 디렉터리 동기화 옵션 |
|---|---|
| 클라우드 전용 | 해당 없음 |
| 하이브리드 | Microsoft Entra 연결 동기화 |
| 온-프레미스 | Azure MFA 서버 |
디바이스 구성 옵션
비즈니스용 Windows Hello 다양한 세분화된 정책 설정 집합을 제공합니다. 비즈니스용 Windows Hello 구성하는 두 가지 기본 옵션이 있습니다. CSP(구성 서비스 공급자) 및 GPO(그룹 정책).
- CSP 옵션은 Microsoft Intune 같은 MDM(모바일 장치 관리) 솔루션을 통해 관리되는 디바이스에 적합합니다. 프로비저닝 패키지로 CSP를 구성할 수도 있습니다.
- GPO를 사용하여 도메인에 가입된 디바이스를 구성하고 MDM을 통해 디바이스를 관리하지 않는 경우
| 배포 모델 | 디바이스 구성 옵션 | |
|---|---|---|
| 🔲 | 클라우드 전용 | CSP |
| 🔲 | 클라우드 전용 | GPO(로컬) |
| 🔲 | 하이브리드 | CSP |
| 🔲 | 하이브리드 | GPO(Active Directory 또는 로컬) |
| 🔲 | 온-프레미스 | CSP |
| 🔲 | 온-프레미스 | GPO(Active Directory 또는 로컬) |
클라우드 서비스 요구 사항에 대한 라이선스
클라우드 서비스에 대한 라이선스 요구 사항과 관련된 몇 가지 고려 사항은 다음과 같습니다.
- 비즈니스용 Windows Hello Microsoft Entra ID P1 또는 P2 구독이 필요하지 않습니다. 그러나 MDM 자동 등록 및 조건부 액세스 와 같은 일부 종속성은
- MDM을 통해 관리되는 디바이스에는 Microsoft Entra ID P1 또는 P2 구독이 필요하지 않습니다. 구독을 포기하면 사용자는 Microsoft Intune 또는 지원되는 비 Microsoft MDM과 같은 MDM 솔루션에 디바이스를 수동으로 등록해야 합니다.
- Microsoft Entra ID 무료 계층을 사용하여 비즈니스용 Windows Hello 배포할 수 있습니다. 모든 Microsoft Entra ID 무료 계정은 Windows 암호 없는 기능에 Microsoft Entra 다단계 인증을 사용할 수 있습니다.
- 일부 Microsoft Entra 다단계 인증 기능에는 라이선스가 필요합니다. 자세한 내용은 Microsoft Entra 다단계 인증에 대한 기능 및 라이선스를 참조하세요.
- AD FS 등록 기관을 사용하여 인증서를 등록하려면 디바이스가 AD FS 서버에 인증해야 하며, 디바이스 쓰기 저장, Microsoft Entra ID P1 또는 P2 기능이 필요합니다.
| 배포 모델 | 트러스트 종류 | 클라우드 서비스 라이선스(최소) | |
|---|---|---|---|
| 🔲 | 클라우드 전용 | 해당 없음 | 필요하지 않음 |
| 🔲 | 하이브리드 | 클라우드 Kerberos | 필요하지 않음 |
| 🔲 | 하이브리드 | Key | 필요하지 않음 |
| 🔲 | 하이브리드 | Certificate | Microsoft Entra ID P1 |
| 🔲 | 온-프레미스 | Key | Azure MFA(MFA 솔루션으로 사용되는 경우) |
| 🔲 | 온-프레미스 | Certificate | Azure MFA(MFA 솔루션으로 사용되는 경우) |
운영 체제 요구 사항
Windows 요구 사항
지원되는 모든 Windows 버전은 비즈니스용 Windows Hello 사용할 수 있습니다. 그러나 클라우드 Kerberos 트러스트에는 최소 버전이 필요합니다.
| 배포 모델 | 트러스트 종류 | Windows 버전 | |
|---|---|---|---|
| 🔲 | 클라우드 전용 | 해당 없음 | 지원되는 모든 버전 |
| 🔲 | 하이브리드 | 클라우드 Kerberos | - KB5010415 이상과 함께 Windows 10 21H2 - Windows 11 21H2, KB5010414 이상 |
| 🔲 | 하이브리드 | Key | 지원되는 모든 버전 |
| 🔲 | 하이브리드 | Certificate | 지원되는 모든 버전 |
| 🔲 | 온-프레미스 | Key | 지원되는 모든 버전 |
| 🔲 | 온-프레미스 | Certificate | 지원되는 모든 버전 |
Windows Server 요구 사항
지원되는 모든 Windows Server 버전은 도메인 컨트롤러로 비즈니스용 Windows Hello 사용할 수 있습니다. 그러나 클라우드 Kerberos 트러스트에는 최소 버전이 필요합니다.
| 배포 모델 | 트러스트 종류 | 도메인 컨트롤러 OS 버전 | |
|---|---|---|---|
| 🔲 | 클라우드 전용 | 해당 없음 | 지원되는 모든 버전 |
| 🔲 | 하이브리드 | 클라우드 Kerberos | - KB3534307 이상과 함께 Windows Server 2016 - Windows Server 2019, KB4534321 이상 - Windows Server 2022 |
| 🔲 | 하이브리드 | Key | 지원되는 모든 버전 |
| 🔲 | 하이브리드 | Certificate | 지원되는 모든 버전 |
| 🔲 | 온-프레미스 | Key | 지원되는 모든 버전 |
| 🔲 | 온-프레미스 | Certificate | 지원되는 모든 버전 |
사용자 준비
organization 비즈니스용 Windows Hello 사용하도록 설정할 준비가 되면 Windows Hello 프로비전하고 사용하는 방법을 설명하여 사용자를 준비해야 합니다.
자세한 내용은 사용자 준비를 참조하세요.
다음 단계
이제 다양한 배포 옵션 및 요구 사항에 대해 알아보았으므로 organization 가장 적합한 구현을 선택할 수 있습니다.
배포 프로세스에 대해 자세히 알아보려면 다음 드롭다운 목록에서 배포 모델 및 신뢰 유형을 선택합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기