Windows Hello 관리자의 비즈니스용 설정 관리

적용 사항: Configuration Manager(현재 분기)

Configuration Manager는 비즈니스용 Windows Hello 통합됩니다. 이 기능은 이전의 Microsoft Passport for Work라고 합니다. Windows Hello 비즈니스용 Windows 10 로그인 방법입니다. Active Directory 또는 Azure AD(Azure Active Directory) 계정을 사용하여 암호, 스마트 카드 또는 가상 스마트 카드를 대체합니다. 비즈니스용 Hello를 사용하면 사용자 제스처를 사용하여 암호 대신 로그인할 수 있습니다. 사용자 제스처는 PIN, 생체 인식 인증 또는 지문 판독기 같은 외부 장치일 수 있습니다.

중요

Configuration Manager 버전 2103부터 이 회사 리소스 액세스 기능은 더 이상 사용하지 않습니다. 리소스 Microsoft Intune 를 사용하여 리소스 액세스 프로필을 배포합니다.

버전 1910부터 Configuration Manager의 비즈니스용 Windows Hello 인증서 기반 인증은 지원되지 않습니다. 자세한 내용은 사용 불가능한 기능을 참조하세요. 키 기반 인증은 여전히 유효합니다.

ADFS RA(Active Directory Federation Services 등록 기관) 배포는 더 간단하고, 더 나은 사용자 환경을 제공하며, 보다결정적인 인증서 등록 환경을 제공합니다. 비즈니스용 인증서 기반 인증에 ADFS RA를 Windows Hello 있습니다.

자세한 내용은 비즈니스용 Windows Hello 을 참조하세요.

참고

Configuration Manager는 기본적으로 이 선택적 기능을 사용하도록 설정하지 않습니다. 이 기능을 사용하려면 먼저 이 기능을 사용하도록 설정해야 합니다. 자세한 내용은 업데이트에서 선택적 기능 사용 을 참조하세요.

Configuration Manager는 다음과 Windows Hello 비즈니스용 Windows Hello 통합합니다.

  • 사용자가 로그인하는 데 사용할 수 있는 제스처와 사용할 수 없는 제스처를 제어합니다.

  • 비즈니스용 KSP(Windows Hello 저장소 공급자)에 인증 인증서를 저장합니다. 자세한 내용은 인증서 프로필을 참조하세요.

  • 비즈니스용 Windows Hello 프로필을 만들고 배포하여 Configuration Manager 클라이언트를 Windows 10 도메인에 가입된 디바이스에서 해당 설정을 제어합니다. 버전 1910부터는 인증서 기반 인증을 사용할 수 없습니다. 키 기반 인증을 사용하는 경우 인증서 프로필을 배포할 필요가 없습니다.

프로필 구성

  1. Configuration Manager 콘솔에서 자산 및 규정 준수 작업 영역으로 이동하십시오. 준수 설정 확장하고 회사 리소스 액세스를 확장하고 비즈니스 프로필 Windows Hello 노드를 선택합니다.

  2. 리본 메뉴에서 비즈니스용 Windows Hello 프로필 만들기를 선택하여 프로필 마법사를 시작할 수 있습니다.

  3. 일반 페이지에서 이 프로필의 이름과 선택적 설명을 지정합니다.

  4. 지원되는 플랫폼 페이지에서 이 프로필을 적용할 OS 버전을 선택합니다.

  5. 설정 페이지에서 다음 설정을 구성합니다.

    • 비즈니스용 Windows Hello 구성: 이 프로필이 비즈니스용 Hello를 사용하도록 설정할지, 사용하지 않도록 설정할지 또는 구성하지 않는지 지정합니다.

    • TPM(신뢰할 수 있는 플랫폼 모듈) 사용: TPM은 추가 데이터 보안 계층을 제공합니다. 다음 값 중 하나를 선택합니다.

      • 필수: 접근성 있는 TPM이 있는 장치만 비즈니스용 Windows Hello 수 있습니다.

      • 기본 설정: 디바이스가 먼저 TPM을 사용하려고 합니다. 사용할 수 없는 경우 소프트웨어 암호화를 사용할 수 있습니다.

    • 인증 방법: 이 옵션을 구성되지 않은 키 또는 키 기반으로 설정

      참고

      버전 1910부터 Configuration Manager의 비즈니스용 Windows Hello 인증서 기반 인증은 지원되지 않습니다.

    • 최소 PIN 길이 구성: 사용자의 PIN에 최소 길이를 요구하려면 이 옵션을 사용하도록 설정하고 값을 지정합니다. 사용하도록 설정하면 기본값은 4 입니다.

    • 최대 PIN 길이 구성: 사용자의 PIN에 최대 길이를 요구하려면 이 옵션을 사용하도록 설정하고 값을 지정합니다. 사용하도록 설정한 경우 기본값은 127 입니다.

    • PIN 만료 필요(일): 사용자가 장치 PIN을 변경해야 하는 일 수를 지정합니다.

    • 이전의 PINS 다시 사용 방지: 사용자가 이전에 사용한 PINS를 사용할 수 없습니다.

    • PIN에 대문자 필요: 사용자가 비즈니스용 PIN의 WINDOWS HELLO 포함해야 하는지 여부를 지정합니다. 다음 중 선택:

      • 허용: 사용자가 PIN에 대문자만 사용할 수 있지만 사용할 수 없습니다.

      • 필수: 사용자가 PIN에 대문자 하나 이상을 포함해야 합니다.

      • 허용되지 않습니다. 사용자가 PIN에 대문자 문자를 사용할 수 없습니다.

    • PIN에 소문자 필요: 사용자가 비즈니스용 PIN에 소문자를 포함해야 Windows Hello 지정합니다. 다음 중 선택:

      • 허용: 사용자가 PIN에 소문자만 사용할 수 있지만, 사용하지는 않습니다.

      • 필수: 사용자가 PIN에 소문자 하나를 포함해야 합니다.

      • 허용되지 않습니다. 사용자는 PIN에 소문자만 사용할 수 없습니다.

    • 특수 문자 구성: PIN에 특수 문자를 사용하도록 지정합니다. 다음 중 선택:

      참고

      특수 문자에는 다음 집합이 포함됩니다.

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • 허용: 사용자가 PIN에 특수 문자를 사용할 수 있지만 특별한 문자는 사용할 수 없습니다.

      • 필수: 사용자가 PIN에 특수 문자를 하나 이상 포함해야 합니다.

      • 허용되지 않습니다. 사용자가 PIN에 특수 문자를 사용할 수 없습니다. 이 동작은 설정이 구성되지 않은 경우도 해당됩니다.

    • PIN에서 숫자 사용 구성 : PIN에 숫자 사용을 지정합니다. 다음 중 선택:

      • 허용: 사용자가 PIN에 번호를 사용할 수 있지만, 사용할 수는 없습니다.

      • 필수: 사용자가 PIN에 하나 이상의 번호를 포함해야 합니다.

      • 허용되지 않습니다. 사용자가 PIN에 번호를 사용할 수 없습니다.

    • 생체 인식 제스처 사용: 얼굴 인식 또는 지문과 같은 생체 인식 인증을 사용 합니다. 이러한 모드는 비즈니스용 PIN 대신 사용할 Windows Hello 있습니다. 생체 인식 인증이 실패하는 경우 사용자는 여전히 PIN을 구성합니다.

      예로 설정하면 비즈니스용 Windows Hello 인증을 허용합니다. 아니요로 설정하면 비즈니스용 Windows Hello 모든 계정 유형에 대한 생체 인식 인증이 차단됩니다.

    • 향상된 스푸핑 방지 사용: 스푸핑을 지원하는 장치에서 향상된 스푸핑 방지를 구성합니다. 예로 설정된 경우 지원되는 경우 Windows 얼굴 기능에 스푸핑 방지를 사용해야 합니다.

    • 로그인 전화 사용: 휴대폰을 사용하여 2단계 인증을 구성합니다.

  6. 마법사를 완료합니다.

다음 스크린샷은 비즈니스용 Windows Hello 설정의 예입니다.

Windows Hello 설정 목록을 표시하는 비즈니스용 정책 마법사

사용 권한 구성

  1. 도메인 관리자 또는 이와 동등한 자격 증명으로 RSAT( Active Directory 도메인 서비스 및 Lightweight Directory Services 도구)가 설치된 보안 관리 통합에 로그인합니다.

  2. Active Directory 사용자 및 컴퓨터 콘솔을 여십시오.

  3. 도메인을 선택하고 작업 메뉴로 이동한 다음 속성을 선택합니다.

  4. 보안 탭으로 전환하고 고급 을 선택합니다.

    보안 탭이 없는 경우 속성 창을 닫습니다. 보기 메뉴로 이동하여 고급 기능을 선택합니다.

  5. 추가 를 선택합니다.

  6. 보안 주체 선택을 선택하고Key Admins 입력합니다.

  7. 적용 대상 목록에서 다음 사용자 개체를 선택합니다.

  8. At the bottom of the page, select Clear all.

  9. 속성 섹션에서 msDS-KeyCredentialLink 읽기를 선택합니다.

  10. 확인을 선택하여 변경 내용을 저장하고 모든 창을 닫습니다.

다음 단계

인증서 프로필