다음을 통해 공유


Windows용 웹 로그인

KB5030310 Windows 11 버전 22H2부터는 Microsoft Entra 조인된 디바이스에서 웹 기반 로그인 환경을 사용하도록 설정할 수 있습니다. 이 기능을 웹 로그인이라고 하며 새로운 로그인 옵션 및 기능을 잠금 해제합니다.

웹 로그인은 자격 증명 공급자이며 처음에는 TAP(임시 액세스 패스)만 지원하는 Windows 10 도입되었습니다. Windows 11 릴리스되면 웹 로그인의 지원되는 시나리오와 기능이 확장됩니다.
예를 들어 Microsoft Authenticator 앱 또는 SAML-P 페더레이션 ID로 로그인할 수 있습니다.

이 문서에서는 웹 로그인 및 지원되는 주요 시나리오를 구성하는 방법을 설명합니다.

시스템 요구 사항

웹 로그인을 사용하기 위한 필수 구성 요소는 다음과 같습니다.

중요

Microsoft Entra 하이브리드 조인 또는 도메인 가입 디바이스에는 웹 로그인이 지원되지 않습니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 웹 로그인을 지원하는 Windows 버전이 나와 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

웹 로그인 라이선스 자격은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

웹 로그인 구성

웹 로그인을 사용하려면 디바이스를 다른 정책으로 구성해야 합니다. 다음 지침을 검토하여 Microsoft Intune 또는 PPKG(프로비저닝 패키지)를 사용하여 디바이스를 구성합니다.

참고

웹 로그인은 WsiAccount라는 시스템 관리형 로컬 계정을 사용합니다. 웹 로그인을 사용하도록 설정하면 계정이 자동으로 만들어지고 사용자 선택 목록에 표시되지 않습니다. 사용자가 웹 로그인 자격 증명 공급자를 사용할 때마다 WsiAccount 계정이 활성화됩니다. 사용자가 로그인하면 계정이 비활성화됩니다.

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주 설정 이름
Authentication 웹 로그인 사용 설정됨
Authentication 웹 로그인 허용 URL 구성 이 설정은 선택 사항이며 로그인에 필요한 도메인 목록을 포함합니다. 예를 들면 다음과 같습니다.
- idp.example.com
- example.com
Authentication 웹캠 액세스 도메인 이름 구성 이 설정은 선택 사항이며 로그인 프로세스 중에 웹캠을 사용해야 하는 경우 구성해야 합니다. 로그인 프로세스 중에 웹캠을 사용할 수 있는 도메인 목록을 지정합니다. 예를 들면 다음과 같습니다. example.com

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 다음 설정을 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

OMA-URI 추가 정보
./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn EnableWebSignIn
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls ConfigureWebSignInAllowedUrls
./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames ConfigureWebcamAccessDomainNames

사용자 환경

디바이스가 구성되면 Windows 잠금 화면에 웹 로그인 자격 증명 공급자 가 있는 것으로 표시된 대로 새 로그인 환경을 사용할 수 있게 됩니다.

웹 로그인 자격 증명 공급자를 보여 주는 Windows 잠금 화면의 스크린샷

다음은 웹 로그인에서 지원하는 주요 시나리오 목록과 사용자 환경을 보여 주는 간단한 애니메이션입니다. 축소판 그림을 선택하여 애니메이션을 시작합니다.

암호 없는 로그인

사용자는 비즈니스용 Windows Hello 등록하기 전에 Windows 암호 없이 로그인할 수 있습니다. 예를 들어 Microsoft Authenticator 앱을 로그인 방법으로 사용합니다.

비즈니스용 Windows Hello 암호 없는 구성에서 사용하는 경우 잠금 화면과 세션 내 인증 시나리오에서 암호 자격 증명 공급자를 숨길 수 있습니다. 이렇게 하면 진정한 암호 없는 Windows 환경을 사용할 수 있습니다.

자세히 알아보려면 다음을 수행합니다.

비즈니스용 WINDOWS HELLO PIN 재설정

Windows Hello PIN 재설정 흐름은 이전 버전보다 원활하고 강력합니다.

자세한 내용은 PIN 재설정을 참조하세요.

TAP(임시 액세스 패스)

TAP(임시 액세스 패스)는 관리자가 사용자에게 부여한 시간 제한 암호입니다. 사용자는 웹 로그인 자격 증명 공급자를 사용하여 TAP로 로그인할 수 있습니다. 예시:

  • 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 온보딩하려면
  • FIDO2 보안 키 및 알 수 없는 암호를 분실하거나 잊어버린 경우

자세한 내용은 임시 액세스 패스 사용을 참조하세요.

페더레이션 인증

Microsoft Entra 테넌트가 비 Microsoft SAML-P ID 공급자(IdP)와 페더레이션되는 경우 페더레이션된 사용자는 웹 로그인 자격 증명 공급자를 사용하여 서명할 수 있습니다.

페더레이션 ID에 대한 사용자 환경을 개선하려면 다음을 수행합니다.

  • 비즈니스용 Windows Hello 사용하도록 설정합니다. 사용자가 로그인하면 사용자는 비즈니스용 Windows Hello 등록한 다음 이를 사용하여 디바이스에 로그인할 수 있습니다.
  • 사용자가 로그인 프로세스 중에 도메인 이름을 선택할 수 있도록 기본 설정 Microsoft Entra 테넌트 이름 기능을 구성합니다. 그러면 사용자가 ID 공급자 로그인 페이지 기본 설정 테넌트가 구성된 Windows 잠금 화면 스크린샷으로 자동으로 리디렉션됩니다.

기본 설정 테넌트 이름에 대한 자세한 내용은 인증 CSP - PreferredAadTenantDomainName을 참조하세요.

중요 고려 사항

다음은 웹 로그인을 구성하거나 사용할 때 유의해야 할 중요한 고려 사항 목록입니다.

  • 캐시된 자격 증명은 웹 로그인에서 지원되지 않습니다. 디바이스가 오프라인인 경우 사용자는 웹 로그인 자격 증명 공급자를 사용하여 로그인할 수 없습니다.
  • 로그아웃한 후에는 사용자가 사용자 선택 목록에 표시되지 않습니다.
  • 사용하도록 설정하면 웹 로그인 자격 증명 공급자는 디바이스에 로그인하는 새 사용자의 기본 자격 증명 공급자입니다. 기본 자격 증명 공급자를 변경하려면 DefaultCredentialProvider ADMX 기반 정책을 사용할 수 있습니다.
  • 사용자는 Ctrl+Alt+Delete 를 눌러 Windows 잠금 화면으로 돌아가서 웹 로그인 흐름을 종료할 수 있습니다.

알려진 문제

  • 디바이스가 오프라인 상태일 때 로그인하려고 하면 인터넷에 연결된 것 같지 않다는 메시지가 표시됩니다. 연결을 확인하고 다시 시도하세요. 로그인으로 돌아가기 옵션을 선택하면 잠금 화면으로 돌아가지 않습니다. 해결 방법으로 Ctrl+Alt+Delete 를 눌러 잠금 화면으로 돌아갈 수 있습니다.

피드백 제공

웹 로그인에 대한 피드백을 제공하려면 피드백 허브 를 열고 보안 및 개인 정보 암호 > 없는 환경 범주를 사용합니다.