키오스크 구성을 위한 장치 준비

적용 대상:

• Windows 10 Pro, Enterprise 및 Education
• Windows 11

시작하기 전에

• 키오스크 모드를 사용하려면 UAC(사용자 계정 제어)를 켜야 합니다.

• 키오스크 모드는 원격 데스크톱 연결을 통해 지원되지 않습니다. 키오스크 사용자는 키오스크로 설정된 물리적 디바이스에 로그인해야 합니다.

• 자동 로그인을 사용하도록 설정된 공용 환경의 키오스크의 경우 로컬 표준 사용자 계정과 같이 최소 권한이 있는 사용자 계정을 사용해야 합니다.

  할당된 액세스는 WMI(Windows Management Instrumentation) 또는 CSP(구성 서비스 공급자)를 사용하여 구성할 수 있습니다. 할당된 액세스는 로컬 계정이 아닌 도메인 사용자 또는 서비스 계정을 사용하여 애플리케이션을 실행합니다. 도메인 사용자 또는 서비스 계정을 사용하면 위험이 있으며 공격자가 도메인 계정에 액세스할 수 있는 도메인 리소스에 액세스할 수 있습니다. 할당된 액세스 권한이 있는 도메인 계정을 사용하는 경우 주의해서 진행합니다. 도메인 계정을 사용하여 노출될 수 있는 도메인 리소스를 고려합니다.

• Microsoft Endpoint Manager와 같은 MDM 공급자는 Windows OS에서 노출하는 CSP(구성 서비스 공급자)를 사용하여 디바이스의 설정을 관리합니다. 이 문서에서는 이러한 서비스에 대해 설명합니다. MDM 공급자를 사용하여 디바이스를 관리하지 않는 경우 다음 리소스를 사용하여 시작하는 데 도움이 될 수 있습니다.

  • Microsoft 엔드포인트 관리자
  • Microsoft Intune 및 Microsoft Intune 계획 가이드란?
  • Configuration Manager란?

구성 권장 사항

보다 안전한 키오스크 환경에서는 키오스크로 구성하기 전에 디바이스에 다음과 같은 구성 변경 사항을 적용하는 것이 좋습니다.

• 업데이트 알림을 숨깁니다. Windows 10 버전 1809부터 디바이스에 알림이 표시되지 않도록 숨길 수 있습니다. 이 기능을 사용하도록 설정하려면 다음 옵션을 사용할 수 있습니다.

  • 그룹 정책 사용: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Display options for update notifications

  • MDM 공급자 사용: 이 기능은 Update/UpdateNotificationLevel CSP를 사용합니다. Endpoint Manager에서 Windows 업데이트 설정을 사용하여 이 기능을 관리할 수 있습니다.

  • 레지스트리를 사용합니다.

    1. 레지스트리 편집기(regedit)를 엽니다.

    2. 로 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate이동합니다.

    3. 새 > DWORD(32비트) 값을 만듭니다. 를 입력 SetUpdateNotificationLevel하고 해당 값을 .로 1설정합니다.

    4. 새 > DWORD(32비트) 값을 만듭니다. 를 입력합니다 UpdateNotificationLevel. 값에 대해 다음을 입력할 수 있습니다.

       • 1: 다시 시작 경고를 제외한 모든 알림을 숨깁니다.
       • 2: 다시 시작 경고를 포함하여 모든 알림을 숨깁니다.

• 자동 업데이트를 사용하도록 설정하고 예약합니다. 이 기능을 사용하도록 설정하려면 다음 옵션을 사용할 수 있습니다.

  • 그룹 정책 사용: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Configure Automatic Updates. 를 선택합니다 4 - Auto download and schedule the install.
  • MDM 공급자 사용: 이 기능은 Update/AllowAutoUpdate CSP를 사용합니다. 를 선택합니다 3 - Auto install and restart at a specified time. Endpoint Manager에서 Windows 업데이트 설정을 사용하여 이 기능을 관리할 수 있습니다.

  설치 날짜 예약, 설치 시간 예약 및 설치 주 예약을 비롯한 자동 업데이트를 예약할 수도 있습니다. 설치는 디바이스에 따라 30분에서 2시간 정도 걸릴 수 있습니다. 3~4시간 블록을 사용할 수 있는 경우 업데이트를 예약합니다.

• 예약된 시간에 자동 다시 시작을 사용하도록 설정합니다. 이 기능을 사용하도록 설정하려면 다음 옵션을 사용할 수 있습니다.

  • 그룹 정책 사용: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Always automatically restart at the scheduled time. 를 선택합니다 4 - Auto download and schedule the install.

  • MDM 공급자 사용: 이 기능은 Update/ActiveHoursStart 및 Update/ActiveHoursEnd CSP를 사용합니다. Endpoint Manager에서 Windows 업데이트 설정을 사용하여 이 기능을 관리할 수 있습니다.

• OS 오류에 대해 "파란색 화면"을 빈 화면으로 대체합니다. 이 기능을 사용하려면 레지스트리 편집기를 사용합니다.

  1. 레지스트리 편집기(regedit)를 엽니다.
  2. 로 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl이동합니다.
  3. 새 > DWORD(32비트) 값을 만듭니다. 를 입력 DisplayDisabled하고 해당 값을 .로 1설정합니다.

• 디바이스를 "태블릿 모드"에 배치합니다. 사용자가 키보드나 마우스를 사용하지 않고 터치 스크린을 사용하려면 설정 앱을 사용하여 태블릿 모드를 켭니다. 사용자가 디지털 기호와 같이 키오스크와 상호 작용하지 않는 경우 이 설정을 켜지 마세요.

  Windows 10에만 적용됩니다. 현재 태블릿 모드는 Windows 11에서 지원되지 않습니다.

  옵션:

  • 설정 앱을 사용합니다.

    1. 설정 앱을 엽니다.
    2. 시스템 > 태블릿 모드로 이동합니다.
    3. 원하는 설정을 구성합니다.

  • 다음 작업 센터를 사용합니다.

    1. 디바이스에서 왼쪽에서 살짝 밉
    2. 태블릿 모드를 선택합니다.

• 로그인 화면에서 "접근성" 기능 숨기기: 이 기능을 사용하려면 다음 옵션이 있습니다.

  • MDM 공급자 사용: Endpoint Manager에서 제어판 및 설정을 사용하여 이 기능을 관리할 수 있습니다.
  • 레지스트리 사용: 자세한 내용은 레지스트리에서 접근성 단추를 사용하지 않도록 설정하는 방법을 참조하세요.

• 하드웨어 전원 단추를 사용하지 않도록 설정합니다. 이 기능을 사용하려면 다음 옵션을 사용할 수 있습니다.

  • 설정 앱을 사용합니다.

    1. 설정 앱을 엽니다.
    2. 시스템 > 전원 & 절전 모드 > 추가 전원 설정 > 으로 이동하여전원 단추의 기능을 선택합니다.
    3. 아무 것도 수행하지 않음을 선택합니다.
    4. 변경 내용을 저장합니다.

  • 그룹 정책 사용: 옵션:

    • Computer Configuration\Administrative Templates\System\Power Management\Button Settings: 아무 작업도 수행하지 않고 설정합니다 Select Power Button Action on Battery Select Power Button Action on Plugged In.

    • User Configuration\Administrative Templates\Start Menu and Taskbar\Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands: 이 정책은 단추를 숨기지만 사용하지 않도록 설정하지는 않습니다.

    • Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Shut down the system: 이 정책에서 사용자 또는 그룹을 제거합니다.

      이 정책이 Administrators 그룹의 구성원에게 영향을 주지 않도록 하려면 Administrators 그룹을 유지해야 합니다.

  • MDM 공급자 사용: Endpoint Manager에는 몇 가지 옵션이 있습니다.

    • 설정 카탈로그: 이 옵션은 온-프레미스 그룹 정책에 사용되는 관리 템플릿을 포함하여 구성할 수 있는 모든 설정을 나열합니다. 다음 설정을 구성합니다.

      • Power\Select Power Button Action on Battery: 아무 작업도 수행하지 않음으로 설정합니다.
      • Power\Select Power Button Action on Plugged In: 아무 작업도 수행하지 않음으로 설정합니다.
      • Start\Hide Power Button: 사용으로 설정합니다. 이 정책은 단추를 숨기지만 사용하지 않도록 설정하지는 않습니다.

    • 관리 템플릿: 이러한 템플릿은 온-프레미스 그룹 정책에 사용되는 관리 템플릿입니다. 다음 설정을 구성합니다.

      • \Start menu and Taskbar\Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands: 이 정책은 단추를 숨기지만 사용하지 않도록 설정하지는 않습니다.

      설정을 확인할 때 각 설정에 대해 지원되는 OS를 확인하여 적용되는지 확인합니다.

    • 디바이스 구성 프로필의 시작 설정: 이 옵션은 이 설정과 관리할 수 있는 모든 시작 메뉴 설정을 보여줍니다.

• 로그인 화면에서 전원 단추를 제거합니다. 이 기능을 사용하도록 설정하려면 다음 옵션을 사용할 수 있습니다.

  • 그룹 정책 사용: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Shutdown: Allow system to be shut down without having to log on. 사용 안 함으로 선택합니다.

  • MDM 사용: Endpoint Manager에는 다음 옵션이 있습니다.

    • 설정 카탈로그: 이 옵션은 온-프레미스 그룹 정책에 사용되는 관리 템플릿을 포함하여 구성할 수 있는 모든 설정을 나열합니다. 다음 설정을 구성합니다.

      • Local Policies Security Options\Shutdown Allow System To Be Shut Down Without Having To Log On: 사용 안 함으로 설정합니다.

• 카메라 사용 안 함: 이 기능을 사용하도록 설정하려면 다음 옵션을 사용할 수 있습니다.

  • 설정 앱을 사용합니다.

    1. 설정 앱을 엽니다.
    2. 개인 정보 > 카메라로 이동합니다.
    3. 앱에서 카메라 > 끄기 사용 허용을 선택합니다.

  • 그룹 정책 사용: Computer Configuration\Administrative Templates\Windows Components\Camera: Allow use of camera: 사용 안 함으로 선택합니다.

  • MDM 공급자 사용: 이 기능은 정책 CSP - 카메라를 사용합니다. Endpoint Manager에는 다음과 같은 옵션이 있습니다.

    • 디바이스 구성 프로필의 일반 설정: 이 옵션은 이 설정과 관리할 수 있는 더 많은 설정을 보여줍니다.

    • 설정 카탈로그: 이 옵션은 온-프레미스 그룹 정책에 사용되는 관리 템플릿을 포함하여 구성할 수 있는 모든 설정을 나열합니다. 다음 설정을 구성합니다.

      • Camera\Allow camera: 허용되지 않음으로 설정합니다.

• 잠금 화면에서 앱 알림 끄기: 이 기능을 사용하려면 다음 옵션이 있습니다.

  • 설정 앱을 사용합니다.

    1. 설정 앱을 엽니다.
    2. 시스템 > 알림 & 작업으로 이동합니다.
    3. 잠금 화면의 알림 표시에서 끄기를 선택합니다.

  • 그룹 정책 사용:

    • Computer Configuration\Administrative Templates\System\Logon\Turn off app notifications on the lock screen: 활성화를 선택합니다.
    • User Configuration\Administrative Templates\Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen: 활성화를 선택합니다.

  • MDM 공급자 사용: 이 기능은 AboveLock/AllowToasts CSP를 사용합니다. Endpoint Manager에는 다음과 같은 옵션이 있습니다.

    • 잠긴 화면 환경 디바이스 구성 프로필: 이 설정 및 관리할 수 있는 더 많은 설정을 참조하세요.

    • 관리 템플릿: 이러한 템플릿은 온-프레미스 그룹 정책에 사용되는 관리 템플릿입니다. 다음 설정을 구성합니다.

      • \Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen: 활성화를 선택합니다.
      • \System\Logon\Turn off app notifications on the lock screen: 활성화를 선택합니다.

      설정을 확인할 때 각 설정에 대해 지원되는 OS를 확인하여 적용되는지 확인합니다.

    • 설정 카탈로그: 이 옵션은 온-프레미스 그룹 정책에 사용되는 관리 템플릿을 포함하여 구성할 수 있는 모든 설정을 나열합니다. 다음 설정을 구성합니다.

      • \Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen: 활성화를 선택합니다.
      • \System\Logon\Turn off app notifications on the lock screen: 활성화를 선택합니다.

• 이동식 미디어 사용 안 함: 이 기능을 사용하려면 다음 옵션이 있습니다.

  • 그룹 정책 사용: Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions. 상황에 적용되는 사용 가능한 설정을 검토합니다.

    이 정책이 관리자 그룹의 구성원에게 영향을 주지 않도록 하려면 [사용]을 선택합니다Allow administrators to override Device Installation Restriction policies > .

  • MDM 공급자 사용: Endpoint Manager에는 다음과 같은 옵션이 있습니다.

    • 디바이스 구성 프로필의 일반 설정: 이동식 스토리지 설정 및 관리할 수 있는 더 많은 설정을 참조하세요.

    • 관리 템플릿: 이러한 템플릿은 온-프레미스 그룹 정책에 사용되는 관리 템플릿입니다. 다음 설정을 구성합니다.

      • \System\Device Installation: 제한 사항을 포함하여 관리할 수 있는 몇 가지 정책이 있습니다 \System\Device Installation\Device Installation Restrictions.

        이 정책이 관리자 그룹의 구성원에게 영향을 주지 않도록 하려면 [사용]을 선택합니다Allow administrators to override Device Installation Restriction policies > .

      설정을 확인할 때 각 설정에 대해 지원되는 OS를 확인하여 적용되는지 확인합니다.

    • 설정 카탈로그: 이 옵션은 온-프레미스 그룹 정책에 사용되는 관리 템플릿을 포함하여 구성할 수 있는 모든 설정을 나열합니다. 다음 설정을 구성합니다.

      • \Administrative Templates\System\Device Installation: 제한 사항을 포함하여 관리할 수 있는 몇 가지 정책이 있습니다 \System\Device Installation\Device Installation Restrictions.

        이 정책이 관리자 그룹의 구성원에게 영향을 주지 않도록 하려면 [사용]을 선택합니다Allow administrators to override Device Installation Restriction policies > .

로깅 사용

로그는 키오스크 문제를 해결하는 데 도움이 될 수 있습니다. 구성 및 런타임 문제에 대한 로그는 기본적으로 사용하지 않도록 설정되는 애플리케이션 및 서비스 로그\Microsoft\Windows\AssignedAccess\Operational 채널을 사용하도록 설정하여 가져올 수 있습니다.

자동 로그온

키오스크 디바이스에 대한 자동 로그온 을 설정할 수도 있습니다. 키오스크 디바이스가 다시 시작되면 업데이트 또는 정전으로 할당된 액세스 계정에 수동으로 로그인할 수 있습니다. 또는 할당된 액세스 계정에 자동으로 로그인하도록 디바이스를 구성할 수 있습니다. 디바이스에 적용된 그룹 정책 설정이 자동 로그인을 방지하지 않는지 확인합니다.

참고

Windows 클라이언트 디바이스 제한 CSP를 사용하여 "기본 Azure AD 테넌트 도메인"을 설정하는 경우 키오스크 프로필의 "사용자 로그온 유형" 자동 로그인 기능이 중단됩니다.

팁

프로비전 패키지의 Windows 구성 디자이너 또는 XML에서 키오스크 마법사를 사용하여 키오스크를 구성하는 경우 마법사 또는 XML에서 자동으로 로그인하도록 계정을 설정할 수 있습니다.

계정을 자동으로 로그인하도록 레지스트리를 편집하는 방법

1. 레지스트리 편집기(regedit.exe)를 엽니다.

   참고

   레지스트리 편집기에 익숙하지 않은 경우 Windows 레지스트리를 수정하는 방법을 알아보세요.

2. 고급 설정으로

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

3. 다음 키의 값을 설정합니다.

   • AutoAdminLogon: 값을 1로 설정합니다.

   • DefaultUserName: 로그인하려는 계정으로 값을 설정합니다.

   • DefaultPassword: 값을 계정의 암호로 설정합니다.

     참고

     DefaultUserName 및 DefaultPassword가 없는 경우 새 > 문자열 값으로 추가합니다.

   • DefaultDomainName: 도메인 계정에 대해서만 도메인에 대한 값을 설정합니다. 로컬 계정의 경우에는 이 키를 추가하지 마세요.

4. 레지스트리 편집기를 닫습니다. 다음에 컴퓨터를 다시 시작하면 계정이 자동으로 로그인됩니다.

팁

Sysinternals의 Autologon 도구를 사용하여 자동 로그인을 구성할 수도 있습니다.

참고

또한 HideAutoLogonUI를 사용하도록 설정된 사용자 지정 로그온을 사용하는 경우 암호가 만료된 후 검은색 화면이 표시될 수 있습니다. 암호가 만료되지 않도록 설정하는 것이 좋습니다.

상호 작용 및 상호 운용성

다음 표에서는 할당된 액세스를 실행할 때 고려해야 하는 상호 운용성 문제가 있는 몇 가지 기능에 대해 설명합니다.

• 접근성: 할당된 액세스는 접근성 설정을 변경하지 않습니다. 키보드 필터를 사용하여 접근성 기능을 제공하는 다음 키 조합을 차단하는 것이 좋습니다.

  키 조합	차단된 동작
  왼쪽 Alt+ 왼쪽 Shift + 인쇄 화면	고대비 대화 상자를 엽니다.
  왼쪽 Alt + 왼쪽 Shift + Num 잠금	마우스 키 열기 대화 상자
  Windows 로고 키 + U	접근성 센터를 엽니다.

• 할당된 액세스 Windows PowerShell cmdlet: Windows UI를 사용하는 것 외에도 Windows PowerShell cmdlet을 사용하여 할당된 액세스를 설정하거나 지울 수 있습니다. 자세한 내용은 할당된 액세스 Windows PowerShell 참조를 참조하세요.

• 할당된 액세스에 의해 차단되는 키 시퀀스: 할당된 액세스에서 할당된 액세스 사용자에 대해 일부 키 조합이 차단됩니다.

  Alt + F4, Alt + Shift + Tab, Alt + Tab은 할당된 액세스에 의해 차단되지 않습니다. 키보드 필터 를 사용하여 이러한 키 조합을 차단하는 것이 좋습니다.

  Ctrl + Alt + Delete는 할당된 액세스를 중단하는 키입니다. 필요한 경우 키보드 필터를 사용하여 WEKF_Settings 설명된 대로 BreakoutKeyScanCode를 설정하여 할당된 액세스를 중단하도록 다른 키 조합을 구성할 수 있습니다.

  키 조합	할당된 액세스 사용자에 대한 차단된 동작
  Alt + Esc	항목을 연 역순으로 순환합니다.
  Ctrl + Alt + Esc	항목을 연 역순으로 순환합니다.
  Ctrl + Esc	시작 화면을 엽니다.
  Ctrl+F4	창을 닫습니다.
  Ctrl + Shift + Esc	작업 관리자를 엽니다.
  Ctrl+Tab	현재 열려 있는 애플리케이션 내에서 창을 전환합니다.
  LaunchApp1	이 키에 할당된 앱을 엽니다.
  LaunchApp2	많은 Microsoft 키보드에서 계산기인 이 키에 할당된 앱을 엽니다.
  LaunchMail	기본 메일 클라이언트를 엽니다.
  Windows 로고 키	시작 화면을 엽니다.

  키보드 필터 설정은 다른 표준 계정에 적용됩니다.

• 키보드 필터에 의해 차단된 키 시퀀스: 키보드 필터가 켜진 경우 일부 키 조합은 명시적으로 차단할 필요 없이 자동으로 차단됩니다. 자세한 내용은 키보드 필터를 참조하세요.

  키보드 필터 는 Windows 클라이언트 Enterprise 또는 Education에서만 사용할 수 있습니다.

• 전원 단추: 전원 단추에 대한 사용자 지정은 할당된 액세스를 보완하여 시작 화면에서 전원 단추를 제거하는 등의 기능을 구현할 수 있도록 합니다. 전원 단추를 제거하면 사용자가 할당된 액세스에 있을 때 디바이스를 끌 수 없습니다.

  전원 단추를 제거하거나 물리적 전원 단추를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 사용자 지정 로그온을 참조하세요.

• UWF(통합 쓰기 필터): UWFsettings는 할당된 액세스 권한이 있는 사용자를 포함하여 모든 사용자에게 적용됩니다.

  자세한 내용은 통합 쓰기 필터를 참조하세요.

• WEDL_AssignedAccess 클래스: 이 클래스를 사용하여 할당된 액세스에 대한 기본 잠금 기능을 구성하고 관리할 수 있습니다. 대신 Windows PowerShell cmdlet을 사용하는 것이 좋습니다.

  할당된 액세스 API를 사용해야 하는 경우 WEDL_AssignedAccess 참조하세요.

• 시작 화면: 시작 화면에 대한 사용자 지정을 통해 시작 화면의 모양뿐만 아니라 작동 방식을 개인 설정할 수 있습니다. 전원 또는 언어 단추를 사용하지 않도록 설정하거나 모든 사용자 인터페이스 요소를 제거할 수 있습니다. 시작 화면을 직접 만들 수 있는 많은 옵션이 있습니다.

  자세한 내용은 사용자 지정 로그온을 참조하세요.

VM(가상 머신)에서 키오스크 테스트

고객은 이러한 구성을 물리적 디바이스에 배포하기 전에 VM(가상 머신)을 사용하여 구성을 테스트하는 경우가 있습니다. VM을 사용하여 단일 앱 키오스크 구성을 테스트하는 경우 VM에 제대로 연결하는 방법을 알아야 합니다.

단일 앱 키오스크 구성은 잠금 화면 위에서 앱을 실행합니다. Hyper-V의 향상된 세션을 포함하여 원격으로 액세스할 때는 작동하지 않습니다.

단일 앱 키오스크로 구성된 VM에 연결하는 경우 향상된 세션이 아닌 기본 세션이 필요합니다. 다음 이미지에서는 보기 메뉴에서 고급 세션이 선택되지 않았습니다. 즉, 기본 세션입니다.

기본 세션에서 VM에 연결하려면 다음 이미지와 같이 연결 대화 상자에서 연결을 선택하지 말고 대신 오른쪽 위 모서리에 있는 X 단추를 선택하여 대화 상자를 취소합니다.