Microsoft Intune에서 인증용 인증서 사용

Intune에서 인증서를 사용하여 VPN, Wi-Fi 또는 메일 프로필을 통해 애플리케이션 및 회사 리소스에서 사용자를 인증합니다. 인증서를 사용하여 해당 연결을 인증하는 경우 최종 사용자가 사용자 이름과 암호를 입력하지 않아도 되므로 원활하게 액세스할 수 있습니다. S/MIME을 사용하여 메일을 서명 및 암호화하는 데도 인증서가 사용됩니다.

Intune을 사용한 인증서 소개

인증서는 다음 두 단계를 통해 지연 없이 인증된 액세스를 제공합니다.

  • 인증 단계: 사용자가 자신이 주장하는 사람인지 확인하기 위해 사용자의 진위 여부를 확인합니다.
  • 권한 부여 단계: 사용자는 사용자에게 액세스 권한을 부여해야 하는지 여부를 결정하는 조건이 적용됩니다.

인증서에 대한 일반적인 사용 시나리오에는 다음이 포함됩니다.

  • 디바이스 또는 사용자 인증서를 사용하는 네트워크 인증(예: 802.1x)
  • 디바이스 또는 사용자 인증서를 사용하여 VPN 서버 인증
  • 사용자 인증서를 기반으로 하는 이메일 서명

Intune은 디바이스에서 인증서를 프로비저닝하는 방법으로 SCEP(단순 인증서 등록 프로토콜), PKCS(공개 키 암호화 표준) 및 가져온 PKCS 인증서를 지원합니다. 여러 프로비저닝 방법마다 요구 사항과 결과가 다릅니다. 예제:

  • SCEP는 인증서에 대한 각 요청에 고유한 인증서를 프로비전합니다.
  • PKCS는 고유한 인증서를 사용하여 각 디바이스를 프로비저닝합니다.
  • 가져온 PKCS를 사용하면 이메일 서버와 같이 원본에서 내보낸 것과 동일한 인증서를 여러 받는 사람에게 배포할 수 있습니다. 이 공유 인증서는 모든 사용자 또는 디바이스가 해당 인증서로 암호화된 이메일의 암호를 해독할 수 있는지 확인하는 데 유용합니다.

특정 유형의 인증서를 사용하여 사용자 또는 디바이스를 프로비저닝하기 위해 Intune은 인증서 프로필을 사용합니다.

세 가지 인증서 유형 및 프로비저닝 방법 이외에 신뢰할 수 있는 CA(인증 기관)의 신뢰할 수 있는 루트 인증서가 필요합니다. CA는 온-프레미스 Microsoft 인증 기관 또는 타사 인증 기관일 수 있습니다. 신뢰할 수 있는 루트 인증서는 디바이스에서 다른 인증서가 발급되는 루트 또는 중간(발급) CA로의 트러스트를 설정합니다. 이 인증서를 배포하려면 신뢰할 수 있는 인증서 프로필을 사용하여 SCEP, PKCS 및 가져온 PKCS에 대한 인증서 프로필을 수신하는 동일한 디바이스 및 사용자에게 배포합니다.

Intune은 스마트 카드를 사용해야 하는 환경에 대한 파생된 자격 증명 사용도 지원합니다.

인증서를 사용하는 데 필요한 사항

  • 인증 기관. CA는 인증서가 인증을 위해 참조하는 신뢰의 출처입니다. Microsoft CA 또는 타사 CA를 사용할 수 있습니다.
  • 온-프레미스 인프라. 필요한 인프라는 사용하는 인증서 유형에 따라 달라집니다.
  • 신뢰할 수 있는 루트 인증서. SCEP 또는 PKCS 인증서 프로필을 배포하기 전에 신뢰할 수 있는 인증서 프로필을 사용하여 CA에서 신뢰할 수 있는 루트 인증서를 배포합니다. 이 프로필은 디바이스에서 CA로의 트러스트를 설정하는 데 도움이 되며 다른 인증서 프로필에 필요합니다.

신뢰할 수 있는 루트 인증서가 배포되면 인증을 위해 인증서를 사용하여 사용자 및 디바이스를 프로비저닝하는 인증서 프로필을 배포할 준비가 된 것입니다.

사용할 인증서 프로필 이름

다음 비교는 포괄적이지 않지만 다른 인증서 프로필 유형 사용을 구분하기 위한 것입니다.

프로필 유형 세부 정보
신뢰할 수 있는 인증서 루트 CA 또는 중간 CA의 공개 키(인증서)를 사용자 및 장치에 배포하여 원본 CA에 대한 트러스트를 다시 설정합니다. 다른 인증서 프로필에는 신뢰할 수 있는 인증서 프로필과 해당 루트 인증서가 필요합니다.
SCEP 인증서 인증서 요청에 대한 템플릿을 사용자 및 디바이스에 배포합니다. SCEP를 사용하여 프로비저닝된 각 인증서는 고유하며 인증서를 요청하는 사용자 또는 디바이스에 연결됩니다.

SCEP를 사용하면 SCEP를 사용하여 키오스크 또는 사용자가 없는 디바이스에서 인증서를 프로비저닝하는 등 사용자 선호도가 없는 디바이스에 인증서를 배포할 수 있습니다.
PKCS 인증서 사용자 또는 디바이스의 인증서 유형을 지정하는 인증서 요청에 대한 템플릿을 배포합니다.

- 사용자의 인증서 유형에 대한 요청에는 항상 사용자 선호도가 필요합니다. 사용자에게 배포되는 경우 각 사용자의 디바이스에서 고유한 인증서를 수신합니다. 사용자가 있는 디바이스에 배포되는 경우 해당 사용자는 해당 디바이스에 대한 인증서와 연결됩니다. 사용자가 없는 디바이스에 배포되는 경우 인증서가 프로비저닝되지 않습니다.
- 디바이스의 인증서 유형을 사용하는 템플릿에서 인증서를 프로비저닝하는 데 사용자 선호도가 필요하지 않습니다. 디바이스에 대한 배포에서는 디바이스를 프로비저닝합니다. 사용자에 대한 배포에서는 사용자가 인증서를 사용하여 로그인한 디바이스를 프로비저닝합니다.
PKCS 가져온 인증서 S/MIME 서명 및 암호화와 같은 시나리오를 지원하는 여러 디바이스 및 사용자에게 단일 인증서를 배포합니다. 예를 들어 각 디바이스에 동일한 인증서를 배포하면 각 디바이스는 동일한 이메일 서버에서 받은 이메일을 해독할 수 있습니다.

SCEP는 각 요청에 대해 고유한 인증서를 생성하고, PKCS는 서로 다른 인증서를 받는 여러 사용자와 각 사용자에 대해 다른 인증서를 연결하므로, 이 시나리오에 대한 다른 인증서 배포 방법은 충분하지 않습니다.

Intune에서 지원하는 인증서 및 용도

유형 인증 S/MIME 서명 S/MIME 암호화
PKCS(공개 키 암호화 표준)에 따라 가져온 인증서 지원 지원
PKCS #12(또는 PFX) 지원 지원
SCEP(단순 인증서 등록 프로토콜) 지원 지원

이러한 인증서를 배포하려면 인증서 프로필을 만들어 디바이스에 할당합니다.

사용자가 만드는 각 개별 인증서 프로필은 단일 플랫폼을 지원합니다. 예를 들어 PKCS 인증서를 사용하는 경우 Android용 PKCS 인증서 프로필과 별도의 iOS/iPadOS용 PKCS 인증서 프로필을 만듭니다. 또한 이러한 두 플랫폼에 SCEP 인증서를 사용하는 경우 Android용 SCEP 인증서 프로필과 iOS/iPadOS용 프로필을 따로 만듭니다.

Microsoft 인증 기관을 사용하는 경우의 일반적인 고려 사항

Microsoft CA(인증 기관)를 사용하는 경우:

타사 인증 기관을 사용하는 경우의 일반적인 고려 사항

타사 CA(인증 기관)를 사용하는 경우:

지원되는 플랫폼 및 인증서 프로필

플랫폼 신뢰할 수 있는 인증서 프로필 PKCS 인증서 프로필 SCEP 인증서 프로필 PKCS 가져온 인증서 프로필
Android 장치 관리자 지원
(참고 1 참조)
지원 지원 지원
Android Enterprise
- 완전 관리형(장치 소유자)
지원 지원 지원 지원
Android Enterprise
- 전용(장치 소유자)
지원 지원 지원 지원
Android Enterprise
- 회사 소유의 회사 프로필
지원 지원 지원 지원
Android Enterprise
- 개인 소유 회사 프로필
지원 지원 지원 지원
iOS/iPadOS 지원 지원 지원 지원
macOS 지원 지원 지원 지원
Windows 8.1 이상 지원 지원
Windows 10/11 지원
(참고 2 참조)
지원
(참고 2 참조)
지원
(참고 2 참조)
지원

다음 단계

추가 리소스

인증서 프로필을 만듭니다.

Microsoft Intune용 인증서 커넥터에 대해 알아보기