비즈니스용 Windows Hello 사용하여 온-프레미스 Single-Sign 대해 Azure AD 조인된 디바이스 구성

적용 대상:

• Windows 10
• Windows 11
• Azure Active Directory 조인
• 하이브리드 배포
• 키 트러스트 모델

필수 구성 요소

기존 하이브리드 배포에 Azure Active Directory(Azure AD) 조인 디바이스를 추가하기 전에 기존 배포가 Azure AD 조인된 디바이스를 지원할 수 있는지 확인해야 합니다. 하이브리드 Azure AD 조인 디바이스와 달리 Azure AD 조인된 디바이스는 Active Directory 도메인과 관계가 없습니다. 해당 요인은 사용자가 Active Directory를 인증하는 방식을 변경합니다. 다음 구성의 유효성을 검사하여 Azure AD 조인된 디바이스를 지원하는지 확인합니다.

• Azure Active Directory Connect 동기화
• 장치 등록
• 인증서 해지 목록(CRL) 배포 지점 (CDP)
• 2016 도메인 컨트롤러
• 도메인 컨트롤러 인증서
• 온-프레미스 도메인 컨트롤러에 연결하도록 네트워크 인프라 배치 머신이 외부에 있는 경우 VPN 솔루션을 사용하여 이를 수행할 수 있습니다.

Azure Active Directory Connect 동기화

Azure AD 가입 뿐만 아니라 하이브리드 Azure AD 가입 장치는 사용자의 비즈니스용 Windows Hello 자격 증명을 Azure에 등록합니다. 온-프레미스 인증을 사용하도록 설정하려면 키나 인증서를 사용하는 경우와 상관 없이 자격 증명을 온-프레미스 Active Directory로 동기화해야 합니다. Azure AD Connect가 설치되어 있고 제대로 작동하는지 확인합니다. Azure AD Connect에 대한 자세한 내용을 알아보려면 온-프레미스 디렉터리를 Azure Active Directory로 통합을 참조하세요.

Azure AD Connect를 설치한 후 Active Directory 스키마를 Windows Server 2016 스키마로 업그레이드하는 경우 Azure AD Connect를 실행 하고 작업 목록에서 디렉터리 스키마 새로 고침을 실행합니다.

Azure Active Directory 장치 등록

모든 클라우드 및 하이브리드 비즈니스용 Windows Hello 배포의 기본 필수 구성요소는 장치 등록입니다. 사용자가 프로비전하려는 장치가 Azure Active Directory에 등록된 경우가 아니면 비즈니스용 Windows Hello를 프로비전할 수 없습니다. 장치 등록에 대한 자세한 내용은 Azure Active Directory의 장치 관리에 대한 소개를 참조하세요.

dsregcmd.exe 명령을 사용하여 장치를 Azure Active Directory에 등록할지 여부를 결정할 수 있습니다.

CRL 배포 지점 (CDP)

인증 기관이 발급한 인증서를 해지할 수 있습니다. 인증 기관이 인증서로 해지하면 인증서에 대한 정보를 해지 목록에 기록합니다. 인증서 유효성 검사 중에 Windows는 인증서 내의 CRL 배포 지점을 참조하여 해지된 인증서 목록을 가져옵니다. 유효성 검사에서는 현재 인증서와 인증서 해지 목록의 정보를 비교하여 인증서가 유효한지 여부를 확인합니다.

이전 도메인 컨트롤러 인증서에는 Active Directory를 사용하는 CDP (CRL 배포 경로)가 표시됩니다. URL 값이 ldap로 시작하기 때문에 이를 확인할 수 있습니다. 도메인에 가입 장치에 대한 Active Directory의 사용은 가용성이 높은 CRL 배포 지점을 제공합니다. 그러나 Azure Active Directory 조인 디바이스 및 Azure Active Directory 조인 디바이스의 사용자는 Active Directory에서 데이터를 읽을 수 없으며 인증서 유효성 검사는 인증서 해지 목록을 읽기 전에 인증할 기회를 제공하지 않습니다. 사용자가 인증을 시도할 때 순환 문제가 발생하지만 인증을 완료하려면 Active Directory를 읽어야 하지만 인증되지 않았으므로 사용자는 Active Directory를 읽을 수 없습니다.

이 문제를 해결하려면 CRL 배포 지점은 인증이 필요하지 않은 Azure Active Directory 조인 디바이스에서 액세스할 수 있는 위치여야 합니다. 가장 쉬운 방법은 HTTP (HTTPS 아님)를 사용하는 웹 서버에 CRL 배포 지점을 게시하는 것입니다.

CRL 배포 지점에 HTTP 배포 지점이 나열되어 있지 않으면 발급하는 인증 기관을 다시 구성하여 배포 지점 목록에서 먼저 HTTP CRL 배포 지점을 포함해야 합니다.

참고

CA에서 기본 CRL과 델타 CRL을 모두 게시한 경우 HTTP 경로에 델타 CRL의 게시를 포함했는지 확인하세요. (IIS) 웹 서버에서 이중 이스케이프를 허용하여 델타 CRL을 가져오는 웹 서버를 포함합니다.

Windows Server 2016 도메인 컨트롤러

사용자 환경을 구성하여 인증서가 아닌 비즈니스용 Windows Hello 키를 사용하는 경우에는 사용자 환경에 적절한 수의 Windows Server 2016 도메인 컨트롤러가 있어야 합니다. Windows Server 2016 도메인 컨트롤러만이 비즈니스용 Windows Hello 키를 사용하여 사용자를 인증할 수 있습니다. 적절한 수는 무슨 의미인가요? 질문해 주셔서 감사합니다. 자세히 알아보려면 비즈니스용 Windows Hello 배포를 위해 적절한 수의 Windows Server 2016 도메인 컨트롤러 계획을 참조하세요.

키가 아닌 비즈니스용 Windows Hello 인증서를 사용하도록 환경을 구성하는 데 관심이 있는 경우에 올바릅니다. 이전 버전의 Windows Server를 실행하는 Windows Server 2016 도메인 컨트롤러나 도메인 컨트롤러를 사용하는 경우에도 도메인 컨트롤러에서 동일한 인증서 구성이 필요합니다. Windows Server 2016 도메인 컨트롤러 요구 사항을 간단히 무시할 수 있습니다.

도메인 컨트롤러 인증서

인증 기관은 발급 시 인증서에 CRL 배포 지점을 기록합니다. 배포 지점이 변경된 경우 인증 기관이 새 CRL 배포 지점을 포함하도록 이전에 발급된 인증서를 다시 발급해야 합니다. 도메인 컨트롤러 인증서는 Active Directory에 인증하는 Azure AD 조인된 디바이스의 중요한 구성 요소 중 하나입니다.

Windows에서 도메인 컨트롤러 인증서의 유효성을 검사해야 하는 이유는 무엇인가요?

비즈니스용 Windows Hello Azure AD 가입된 디바이스에서 도메인으로 인증할 때 엄격한 KDC 유효성 검사 보안 기능을 적용합니다. 이 적용은 KDC(키 배포 센터)에서 충족해야 하는 더 제한적인 기준을 적용합니다. Azure AD 조인된 디바이스에서 비즈니스용 Windows Hello 사용하여 인증하는 경우 Windows 클라이언트는 다음을 모두 충족하도록 하여 도메인 컨트롤러에서 회신의 유효성을 검사합니다.

• 도메인 컨트롤러에는 제공된 인증서에 대한 개인 키가 있습니다.
• 도메인 컨트롤러의 인증서를 발급한 루트 CA는 장치의 신뢰 된 루트 인증 기관에 있습니다.
• 이전 템플릿을 사용하는 대신 Kerberos 인증 인증서 템플릿을 사용하세요.
• 도메인 컨트롤러의 인증서에는 KDC 인증 EKU(향상된 키 사용)가 있습니다.
• 도메인 컨트롤러 인증서의 주체 대체 이름에 도메인 이름과 일치하는 DNS 이름이 있습니다.
• 도메인 컨트롤러의 서명 해시 알고리즘은 sha256입니다.
• 도메인 컨트롤러의 인증서 공개 키는 RSA(2048비트)입니다.

비즈니스용 Windows Hello 사용하여 하이브리드 Azure AD 가입된 디바이스에서 도메인으로 인증해도 도메인 컨트롤러 인증서에 KDC 인증 EKU가 포함되어 있지 않습니다. 기존 도메인 환경에 Azure AD 조인된 디바이스를 추가하는 경우 도메인 컨트롤러 인증서가 KDC 인증 EKU를 포함하도록 업데이트되었는지 확인해야 합니다. KDC 인증 EKU를 포함하도록 도메인 컨트롤러 인증서를 업데이트해야 하는 경우 하이브리드 비즈니스용 Windows Hello 구성: 공개 키 인프라의 지침을 따릅니다.

팁

Windows Server 2008을 사용하는 경우 Kerberos 인증은 기본 템플릿이 아니므로 인증서 발급 또는 재발급시 올바른 템플릿을 사용하도록 확인해야 합니다.

발급 인증 기관의 CRL 배포 지점 구성

해당 절차를 사용하여 http 기반의 CRL 배포 지점을 포함하도록 도메인 컨트롤러 인증서를 발급하는 인증 기관을 업데이트합니다.

수행해야 하는 단계는 다음과 같습니다.

• 인터넷 정보 서비스를 구성하여 CRL 배포 지점을 호스팅합니다.
• 파일 공유를 준비하여 인증서 해지 목록을 호스팅합니다.
• 발급 인증 기관의 새 CRL 배포 지점 및 게시 위치를 구성합니다.
• CRL을 게시합니다.
• 도메인 컨트롤러 인증서를 재발급합니다.

인터넷 정보 서비스를 구성하여 CRL 배포 지점을 호스팅합니다.

Azure AD 조인된 디바이스가 인증 없이 인증서의 유효성을 쉽게 검사할 수 있도록 웹 서버의 새 인증서 해지 목록을 호스트해야 합니다. 해당 파일을 다양한 방법으로 웹 서버에 호스팅할 수 있습니다. 다음 단계는 하나만 있으며 새 CRL 배포 지점을 추가하는 데 익숙하지 않은 경우에 유용할 수 있습니다.

중요

https 또는 서버 인증 인증서를 사용하려면 사용자의 CRL 배포 지점을 호스팅하는 IIS 서버를 구성하지 않아야 합니다. 클라이언트는 http를 사용하는 배포 지점에 액세스해야 합니다.

웹 서버 설치

1. 로컬 관리자로 사용자의 서버에 로그인하고 로그인하는 동안 시작되지 않는 경우 서버 관리자를 시작합니다.
2. 탐색 창에서 로컬 서버 노드를 클릭합니다. 관리를 클릭하고 역할 및 기능 추가를 클릭합니다.
3. 역할 및 기능 추가 마법사에서 서버 선택을 클릭합니다. 선택한 서버가 로컬 서버인지 확인합니다. 서버 역할을 클릭합니다. 웹 서버 (IIS) 옆의 확인란을 선택합니다.
4. 마법사의 나머지 옵션을 통해 다음을 클릭하여 기본값을 적용하고 웹 서버 역할을 설치합니다.

웹 서버 구성

1. Windows 관리 도구에서 인터넷 정보 서비스(IIS) 관리자를 엽니다.

2. 탐색 창을 확장하여 기본 웹 사이트를 표시합니다. 기본 웹 사이트를 선택한 다음 마우스 오른쪽 단추로 클릭하고 가상 디렉터리 추가... 를 클릭합니다.

3. 가상 디렉터리 추가 대화 상자에서 별칭에 cdp를 입력합니다. 실제 경로의 경우에 인증서 해지 목록을 호스팅할 실제 파일 위치를 입력하거나 찾습니다. 이 예제에서는 c:\cdp 경로가 사용됩니다. 확인을 클릭합니다.

   참고

   나중에 공유 및 파일 사용 권한을 구성하는 데 해당 경로를 사용하므로 기록해 두세요.

4. 탐색 창의 기본 웹 사이트에서 CDP를 선택합니다. 내용 창에서 디렉터리 찾아보기를 두 번 클릭합니다. 세부 정보 창에서 사용을 클릭합니다.

5. 탐색 창의 기본 웹 사이트에서 CDP를 선택합니다. 구성 편집기를 두 번 클릭합니다.

6. 섹션 목록에서 system.webserver/security/requestFiltering으로 이동합니다.
   내용 창의 명명된 값 쌍 목록에서 allowDoubleEscaping을 True로 구성합니다. 작업 창에서 적용을 클릭합니다.

7. IIS(인터넷 정보 서비스) 관리자를 닫습니다.

CRL 배포 지점 URL에 대한 DNS 리소스 레코드 만들기

1. DNS 서버나 관리 워크스테이션의 관리 도구에서 DNS 관리자를 엽니다.
2. 사용자의 도메인에 대한 DNS 영역을 표시하려면 정방향 조회 영역을 확장합니다. 탐색 창에서 도메인 이름을 마우스 오른쪽 단추로 클릭하고 새 호스트(A 또는 AAAA)... 를 클릭합니다.
3. 새 호스트 대화 상자에서 이름에 crl을 입력합니다. IP 주소에서 구성한 웹 서버의 IP 주소를 입력합니다. 호스트 추가를 클릭합니다. 확인을 클릭하여 DNS 대화 상자를 닫습니다. 완료를 클릭합니다.
4. DNS 관리자를 닫습니다.

파일 공유를 준비하여 인증서 해지 목록을 호스팅합니다.

해당 절차에서는 인증 기관이 인증서 해지 목록을 자동으로 게시할 수 있도록 웹 서버에 NTFS 및 공유 권한을 구성합니다.

CDP 파일 공유 구성

1. 웹 서버에서 Windows 탐색기를 열고 웹 서버 구성의 3단계에서 만든 cdp 폴더로 이동합니다.
2. cdp 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 공유 탭을 클릭하고 고급 공유를 클릭합니다.
3. 이 폴더를 공유를 선택합니다. 공유 이름에 cdp$ 를 입력합니다. 사용 권한을 클릭합니다.
4. cdp$에 대한 사용 권한 대화 상자에서 추가를 클릭합니다.
5. 사용자, 커퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 개체 유형을 클릭합니다. 개체 유형 대화 상자에서 컴퓨터를 선택하고 확인을 클릭합니다.
6. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택에 개체 이름 입력에서 인증서 해지 목록을 발급하는 인증 기관을 실행할 서버 이름을 입력하고 이름 확인을 클릭합니다. 확인을 클릭합니다.
7. Cdp$에 대한 사용 권한 대화 상자에서 그룹 또는 사용자 이름 목록에서 인증 기관을 선택합니다. 사용 권한 섹션에서 모든 제어에 대해 허용을 선택합니다. 확인을 클릭합니다.
8. 고급 공유 대화 상자에서 확인을 클릭합니다.

팁

사용자가 \\Server FQDN\sharename에 액세스할 수 있는지 확인합니다.

캐싱 해제

1. 웹 서버에서 Windows 탐색기를 열고 웹 서버 구성의 3단계에서 만든 cdp 폴더로 이동합니다.
2. cdp 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 공유 탭을 클릭하고 고급 공유를 클릭합니다.
3. 캐싱을 클릭합니다. 공유 폴더의 파일 또는 프로그램을 오프라인에서 사용할 수 없음을 선택합니다.
4. 확인을 클릭합니다.

CDP 폴더에 대한 NTFS 사용 권한 구성

1. 웹 서버에서 Windows 탐색기를 열고 웹 서버 구성의 3단계에서 만든 cdp 폴더로 이동합니다.
2. cdp 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 보안 탭을 클릭합니다.
3. 보안 탭에서 편집을 클릭합니다.
4. cdp에 대한 사용 권한 대화 상자에서 추가를 클릭합니다.
5. 사용자, 커퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 개체 유형을 클릭합니다. 개체 유형 대화 상자에서 컴퓨터를 선택합니다. 확인을 클릭합니다.
6. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력 상자에 인증 기관의 이름을 입력한 다음 이름 확인을 클릭합니다. 확인을 클릭합니다.
7. cdp에 대한 사용 권한 대화 상자에서 그룹 또는 사용자 이름 목록에서 인증 기관의 이름을 선택합니다. 사용 권한 섹션에서 모든 제어에 대해 허용을 선택합니다. 확인을 클릭합니다.
8. cdp 속성 대화 상자에서 닫기를 클릭합니다.

발급 인증 기관의 새 CRL 배포 지점 및 게시 위치를 구성합니다.

웹 서버에서 CRL 배포 지점을 호스팅할 준비가 되었습니다. 이제 발급 인증 기관이 새 위치에 CRL을 게시하고 새 CRL 배포 지점을 포함하도록 구성합니다.

CRL 배포 지점 구성

1. 발급 인증 기관에서 로컬 관리자로 로그인합니다. 관리 도구에서 인증 기관 콘솔을 시작합니다.
2. 탐색 창에서 인증 기관의 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
3. 확장을 클릭합니다. 확장 탭의 확장 선택 목록에서 CDP(CRL 배포 지점) 를 선택합니다.
4. 확장 탭에서 추가를 클릭합니다. 위치에 http://crl.[domainname]/cdp/을 입력합니다. 예를 들면 <http://crl.corp.contoso.com/cdp/> 또는 <http://crl.contoso.com/cdp/>를(을) 입력합니다. (앞쪽에 후행 슬래시를 잊지 마세요)
5. 변수 목록에서 선택하고 <CaName> 삽입을 클릭합니다. 변수 목록에서 선택하고 <CRLNameSuffix> 삽입을 클릭합니다. 변수 목록에서 선택하고 <DeltaCRLAllowed> 삽입을 클릭합니다.
6. 위치에서 텍스트 끝에 .crl을 입력합니다. 확인을 클릭합니다.
7. 만든 CDP를 선택합니다.
8. CRL에 포함. 클라이언트는 이를 사용하여 델타 CRL 위치 발견을 선택합니다.
9. 발급된 인증서의 CDP 확장에 포함을 선택합니다.
10. 적용을 클릭하여 선택 항목을 저장합니다. 서비스를 다시 시작하라는 메시지가 표시되면 아니요를 클릭합니다.

참고

필요에 따라 사용하지 않는 CRL 배포 지점 및 게시 위치를 제거할 수 있습니다.

CRL 게시 위치 구성

1. 발급 인증 기관에서 로컬 관리자로 로그인합니다. 관리 도구에서 인증 기관 콘솔을 시작합니다.
2. 탐색 창에서 인증 기관의 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
3. 확장을 클릭합니다. 확장 탭의 확장 선택 목록에서 CDP(CRL 배포 지점) 를 선택합니다.
4. 확장 탭에서 추가를 클릭합니다. CDP 파일 공유 구성에서 CRL 배포 지점에 대해 생성한 컴퓨터 및 공유 이름을 입력합니다. 예를 들면 **\\app\cdp$\**을 입력합니다. (뒤쪽에 후행 슬래시를 잊지 마세요)
5. 변수 목록에서 선택하고 <CaName> 삽입을 클릭합니다. 변수 목록에서 선택하고 <CRLNameSuffix> 삽입을 클릭합니다. 변수 목록에서 선택하고 <DeltaCRLAllowed> 삽입을 클릭합니다.
6. 위치에서 텍스트 끝에 .crl을 입력합니다. 확인을 클릭합니다.
7. 만든 CDP를 선택합니다.
   
8. 이 위치로 CRL 게시를 선택합니다.
9. 이 위치로 델타 CRL 게시를 선택합니다.
10. 적용을 클릭하여 선택 항목을 저장합니다. 서비스를 다시 시작하라는 메시지가 표시되면 예를 클릭합니다. 확인을 클릭하여 속성 대화 상자를 닫습니다.

새 CRL 게시

1. 발급 인증 기관에서 로컬 관리자로 로그인합니다. 관리 도구에서 인증 기관 콘솔을 시작합니다.
2. 탐색 창에서 해지된 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 마우스로 가리키고 새 CRL 게시
3. URL 게시 대화 상자에서 새 URL을 선택하고 확인을 클릭합니다.

CDP 게시 유효성 검사

새 URL 배포 지점이 작동하는지 확인합니다.

1. 웹 브라우저를 엽니다. http://crl.[yourdomain].com/cdp로 이동합니다. 새 CRL을 게시하여 생성한 두 개의 파일을 확인할 수 있습니다.

도메인 컨트롤러 인증서를 재발급합니다.

유효한 HTTP 기반의 CRL 배포 지점으로 올바르게 구성된 CA를 사용하는 경우 기존 인증서에 업데이트된 CRL 배포 지점이 없기 때문에 인증서를 도메인 컨트롤러로 다시 발급해야 합니다.

1. 관리 자격 증명을 사용하여 도메인 컨트롤러에 로그인합니다.
2. 실행 대화 상자를 엽니다. certlm.msc을 입력하여 로컬 컴퓨터에 대한 인증 관리자를 엽니다.
3. 탐색 창에서 개인을 확장합니다. 인증서를 클릭합니다. 세부 정보 창에서 용도 목록의 KDC 인증을 포함하는 기존 도메인 컨트롤러 인증서를 선택합니다.
4. 선택된 인증서를 마우스 오른쪽 단추로 클릭합니다. 모든 작업을 가리킨 다음 새 키를 사용하여 인증서 갱신... 을 선택합니다. 인증서 등록 마법사에서 다음을 클릭합니다.
5. 마법사의 인증서 요청 페이지에서 선택한 인증서에 올바른 인증서 템플릿이 있는지 확인하고 상태를 사용할 수 있는지 확인합니다. 등록을 클릭합니다.
6. 등록이 완료되면 마침을 클릭하여 마법사를 닫습니다.
7. 사용자의 모든 도메인 컨트롤러에서 해당 절차를 반복합니다.

참고

도메인 컨트롤러를 구성하여 해당 인증서를 자동으로 등록하고 갱신할 수 있습니다. 자동 인증서 등록을 사용하면 만료된 인증서로 인해 인증이 중단되는 것을 방지할 수 있습니다. 도메인 컨트롤러용 자동 인증서 등록을 배포하는 방법에 대한 자세한 내용은 Windows Hello 배포 가이드를 참조하세요.

중요

자동 인증서 등록을 사용하지 않는 경우에는 일정 미리 알림을 만들어 인증서 만료 날짜 2개월 전에 알리도록 합니다. 조직의 여러 사용자에게 미리 알림을 보내 두 명 이상의 사용자가 해당 인증서의 만료 시기를 알 수 있도록 해야 합니다.

새 인증서에서 CDP 유효성 검사

1. 관리 자격 증명을 사용하여 도메인 컨트롤러에 로그인합니다.
2. 실행 대화 상자를 엽니다. certlm.msc을 입력하여 로컬 컴퓨터에 대한 인증 관리자를 엽니다.
3. 탐색 창에서 개인을 확장합니다. 인증서를 클릭합니다. 세부 정보 창에서 용도 목록의 KDC 인증을 포함하는 기존 도메인 컨트롤러 인증서를 두 번 클릭합니다.
4. 세부 정보 탭을 클릭합니다. 목록에서 필드 열에 CRL 배포 지점이 표시될 때까지 목록을 아래로 스크롤합니다. CRL 배포 지점을 선택합니다.
5. 필드 목록 아래의 정보를 검토하여 CRL 배포 지점에 대한 새 URL이 인증서에 있는지 확인합니다. 확인을 클릭합니다.
   

신뢰할 수 있는 인증서 장치 구성 프로필 구성 및 할당

도메인 컨트롤러에 새 CRL 배포 지점을 포함하는 새 인증서가 있습니다. 다음으로, Azure AD 조인된 디바이스에 배포할 수 있도록 엔터프라이즈 루트 인증서가 필요합니다. 장치에 엔터프라이즈 루트 인증서를 배포하여 장치가 인증 기관에서 발급한 모든 인증서를 신뢰하는지 확인합니다. 인증서가 없으면 Azure AD 조인된 디바이스는 도메인 컨트롤러 인증서를 신뢰하지 않으며 인증이 실패합니다.

수행해야 하는 단계는 다음과 같습니다.

• 엔터프라이즈 루트 인증서 내보내기
• 신뢰할 수 있는 인증서 장치 구성 프로필 생성 및 할당

엔터프라이즈 루트 인증서 내보내기

1. 관리 자격 증명을 사용하여 도메인 컨트롤러에 로그인합니다.
2. 실행 대화 상자를 엽니다. certlm.msc을 입력하여 로컬 컴퓨터에 대한 인증 관리자를 엽니다.
3. 탐색 창에서 개인을 확장합니다. 인증서를 클릭합니다. 세부 정보 창에서 용도 목록의 KDC 인증을 포함하는 기존 도메인 컨트롤러 인증서를 두 번 클릭합니다.
4. 인증서 경로 탭을 클릭합니다. 인증 경로 보기에서 맨 위에 있는 노드를 선택하고 인증서 보기를 클릭합니다.
5. 새 인증서 대화 상자에서 세부 정보 탭을 클릭하고 파일에 복사를 클릭합니다.
6. 인증서 내보내기 마법사에서 다음을 클릭합니다.
7. 마법사의 내보내기 파일 형식 페이지에서 다음을 클릭합니다.
8. 마법사의 내보낼 파일 페이지에서 루트 인증서의 이름 및 위치를 입력하고 다음을 클릭합니다. 마침을 클릭한 다음 확인을 클릭하여 성공 대화 상자를 닫습니다.
   
9. 확인을 두 번 클릭하여 로컬 컴퓨터에 대한 인증서 관리자로 돌아갑니다. 인증서 관리자를 닫습니다.

신뢰할 수 있는 인증서 장치 구성 프로필 생성 및 할당

신뢰할 수 있는 인증서 디바이스 구성 프로필은 Azure AD 조인된 디바이스에 신뢰할 수 있는 인증서를 배포하는 방법입니다.

1. Microsoft Azure 포털에 로그인하고 Microsoft Intune을 선택합니다.
2. 장치 구성을 클릭합니다. 장치 구성 블레이드에서 프로필 만들기를 클릭합니다.
3. 프로필 만들기 블레이드에서 이름에 엔터프라이즈 루트 인증서를 입력합니다. 설명을 제공합니다. 플랫폼 목록에서 Windows 10 이상을 선택합니다. 프로필 유형 목록에서 신뢰할 수 있는 인증서를 선택합니다. 구성을 클릭합니다.
4. 신뢰할 수 있는 인증서 블레이드에서 폴더 아이콘을 사용하여 엔터프라이즈 루트 인증서 내보내기 8단계에서 만든 엔터프라이즈 루트 인증서 파일 위치를 찾습니다. 확인을 클릭합니다. 만들기를 클릭합니다.
5. 엔터프라이즈 루트 인증서 블레이드에서 할당을 클릭합니다. 포함 탭에서 할당 대상 목록에서 모든 장치를 선택합니다. Save을 클릭합니다.
6. Microsoft Azure 포털에 로그아웃합니다.

참고

Windows 8.1 및 Windows 10 대한 인증서 구성이 동일하므로 프로필의 지원되는 플랫폼 매개 변수에는 "Windows 8.1 이상" 값이 포함됩니다.

비즈니스용 Windows Hello 장치 등록 구성

_도메인 사용자_와 동등한 액세스를 사용하여 워크스테이션에 로그인합니다.

1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

2. 디바이스를 선택합니다.

3. 디바이스 등록을 선택합니다.

4. Windows 등록을 선택합니다.

5. Windows 등록에서 비즈니스용 Windows Hello 선택합니다.

6. 비즈니스용 Windows Hello 구성 목록에서 사용을 선택합니다.

7. TPM(신뢰할 수 있는 플랫폼 모듈) 사용 옆의 필수를 선택합니다. 기본적으로 비즈니스용 Windows Hello는 TPM 2.0을 선호하거나 소프트웨어로 대체합니다. 필수를 선택하면 비즈니스용 Windows Hello TPM 2.0 또는 TPM 1.2만 사용하도록 하고 소프트웨어 기반 키로 대체를 허용하지 않습니다.

8. 원하는 최소 PIN 길이 와 최대 PIN 길이를 입력합니다.

   중요

   Windows 10 및 Windows 11 비즈니스용 Windows Hello 대한 기본 최소 PIN 길이는 6입니다. Microsoft Intune 기본값은 최소 PIN 길이를 4로 설정하여 사용자의 PIN 보안을 줄입니다. 원하는 PIN 길이가 없는 경우 최소 PIN 길이를 6으로 설정합니다.

9. 다음 설정에 적합한 구성을 선택합니다.

   • PIN의 소문자
   • PIN의 대문자
   • PIN의 특수 문자
   • PIN 만료 기간(일)
   • PIN 기록 기억

   참고

   비즈니스용 Windows Hello PIN은 대칭 키(암호)가 아닙니다. 현재 PIN 사본은 암호와 같이 로컬이나 서버에 저장되지 않습니다. PIN이 암호와 같이 복잡하고 자주 변경되는 경우 PIN을 잊어버릴 가능성이 높습니다. 또한 PIN 기록을 사용하도록 설정하는 것은 Windows에서 이전 PIN 조합을 저장해야 하는 유일한 시나리오입니다(현재 PIN으로 보호됨). TPM과 결합된 비즈니스용 Windows Hello는 사용자 PIN의 무차별 키 대입 공격을 방지하는 Anti-Hammering 기능을 제공합니다. 사용자 대 사용자의 숄더 서피싱이 우려되는 경우 자주 변경하는 복잡한 PIN을 강제 적용하는 대신 다단계 잠금 해제 기능을 사용하는 것이 좋습니다.

10. 사용자가 생체 인식을 사용하여 (지문 및/또는 얼굴 인식) 장치 잠금을 해제할 수 있도록 허용하려면 생체 인식 인증 허용 옆의 예를 선택합니다. 생체 인식 사용의 보안을 강화하려면 사용 가능할 때 향상된 스푸핑 방지 사용에 예를 선택합니다.

11. 휴대폰 로그인 허용에 아니요를 선택합니다. 해당 기능은 더 이상 사용되지 않습니다.

12. 저장을 선택합니다.

13. Microsoft Endpoint Manager 관리 센터에서 로그아웃합니다.

중요

모든 구성을 완료한 후의 실제 환경에 대한 자세한 내용은 비즈니스용 Windows Hello 및 인증을 참조하세요.

참고

VPN 컨텍스트의 액세스 문제의 경우 해결 방법에서 설명한 해결 방법 및 해결 방법을 확인하여 사용자 보안 컨텍스트 및 액세스 제어를 확인해야 합니다.

섹션 검토

• 인터넷 정보 서비스를 구성하여 CRL 배포 지점을 호스팅합니다.
• 파일 공유를 준비하여 인증서 해지 목록을 호스팅합니다.
• 발급 인증 기관에서 새 CRL 배포 지점 구성
• CRL을 게시합니다.
• 도메인 컨트롤러 인증서를 재발급합니다.
• 엔터프라이즈 루트 인증서 내보내기
• 신뢰할 수 있는 인증서 장치 구성 프로필 생성 및 할당
• 비즈니스용 Windows Hello 장치 등록 구성

온-프레미스 Single Sign-On용 인증서를 사용하려는 경우 온-프레미스 Single Sign-On에 대한 인증서 사용에서 추가 단계를 수행합니다.