Intune에서 SCEP를 지원하도록 인프라 구성

  • 아티클

중요

2022년 5월 10일부터 KB5014754 도입 및 발표된 SCEP 인증서의 강력한 매핑에 대한 Windows 요구 사항을 지원하기 위해 신규 및 갱신된 SCEP 인증서에 대한 Intune SCEP 인증서 발급을 변경했습니다. 이러한 변경 내용으로 iOS/iPadOS, macOS 및 Windows용 새 인증서 또는 갱신된 Intune SCEP 인증서는 이제 인증서의 SAN(주체 대체 이름) 필드에 다음 태그를 포함합니다.URL=tag:microsoft.com,2022-09-14:sid:<value>

이 태그는 강력한 매핑을 통해 Entra ID의 특정 디바이스 또는 사용자 SID에 인증서를 연결하는 데 사용됩니다. 이 변경 사항 및 Entra ID에서 SID를 매핑해야 하는 요구 사항:

  • 디바이스 인증서는 해당 디바이스에 온-프레미스 Active Directory 동기화된 Entra ID의 SID가 있는 경우 Windows 하이브리드 조인 디바이스에 대해 지원됩니다.
  • 사용자 인증서는 온-프레미스 Active Directory 동기화된 Entra ID의 사용자 SID를 사용합니다.

SAN에서 URL 태그를 지원하지 않는 CA(인증 기관)는 인증서를 발급하지 못할 수 있습니다. KB5014754 업데이트를 설치한 Microsoft Active Directory 인증서 서비스 서버는 이 태그 사용을 지원합니다. 타사 CA를 사용하는 경우 CA 공급자와 검사 이 형식을 지원하거나 이 지원이 추가되는 방법과 시기를 지원하도록 합니다.

자세한 내용은 지원 팁: Microsoft Intune 인증서에서 강력한 매핑 구현 - Microsoft Community Hub를 참조하세요.

Intune에서는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 앱 및 회사 리소스에 대한 연결을 인증하도록 지원합니다. SCEP는 CA(인증 기관) 인증서를 사용하여 CSR(인증서 서명 요청)에 대한 메시지 교환을 보호합니다. 인프라가 SCEP를 지원하는 경우 intune SCEP 인증서 프로필(Intune의 디바이스 프로필 유형)을 사용하여 인증서를 디바이스에 배포할 수 있습니다.

Active Directory 인증서 서비스 인증 기관(Microsoft CA라고도 함)도 사용하는 경우 Intune에서 SCEP 인증서 프로필을 사용하려면 Microsoft Intune용 인증서 커넥터가 필요합니다. 커넥터는 발급 CA(인증 기관)와 동일한 서버에서 지원되지 않습니다. 타사 인증 기관을 사용하는 경우에는 이 커넥터가 필요하지 않습니다.

이 문서의 정보는 Active Directory 인증서 서비스를 사용하는 경우 SCEP를 지원하도록 인프라를 구성하는 데 유용할 수 있습니다. 인프라를 구성한 후에는 Intune에서 SCEP 인증서 프로필을 만들고 배포할 수 있습니다.

또한 Intune은 퍼블릭 키 암호화 표준 #12 인증서를 사용하도록 지원합니다.

인증서에 SCEP를 사용하기 위한 필수 선행 작업

계속하기 전에 SCEP 인증서 프로필을 사용하는 디바이스에 신뢰할 수 있는 인증서 프로필을 만들고 배포 했는지 확인합니다. SCEP 인증서 프로필은 신뢰할 수 있는 루트 CA 인증서로 디바이스를 프로비저닝하는 데 사용하는 신뢰할 수 있는 인증서 프로필을 직접 참조합니다.

서버 및 서버 역할

SCEP를 지원하려면,웹 애플리케이션 프록시 서버를 제외하고 Active Directory 도메인에 가입된 서버에서 다음 온-프레미스 인프라를 실행해야 합니다.

  • Microsoft Intune용 인증서 커넥터 – Microsoft CA를 사용하는 경우 Intune에서 SCEP 인증서 프로필을 사용하려면 Microsoft Intune용 인증서 커넥터가 필요합니다. NDES 서버 역할도 실행하는 서버에 설치됩니다. 그러나 커넥터는 CA(인증 기관)를 발행하는 서버와 동일한 서버에서 지원되지 않습니다.

    인증서 커넥터에 대한 자세한 내용은 다음을 참조하세요.

  • 인증 기관 - Enterprise 버전의 Windows Server 2008 R2 서비스 팩 1 이상에서 실행되는 Microsoft Active Directory 인증서 서비스 엔터프라이즈 CA(인증 기관)를 사용합니다. 사용하는 Windows Server 버전은 Microsoft에서 계속 지원해야 합니다. 독립 실행형 CA는 지원되지 않습니다. 자세한 내용은 인증 기관 설치를 참조하세요.

    CA에서 Windows Server 2008 R2 SP1을 실행하는 경우에는 KB2483564의 핫픽스를 설치해야 합니다.

  • NDES 서버 역할 – SCEP에서 Microsoft Intune 인증서 커넥터 사용을 지원하려면 NDES(네트워크 디바이스 등록 서비스) 서버 역할로 인증서 커넥터를 호스트하는 Windows Server를 구성해야 합니다. 이 커넥터는 Windows Server 2012 R2 이상에서 설치할 수 있습니다. 이 문서의 이후 섹션에서는 NDES 설치 과정을 안내합니다.

    • NDES 및 커넥터를 호스트하는 서버는 도메인에 가입되어 있어야 하고 엔터프라이즈 CA와 동일한 포리스트에 있어야 합니다.
    • Enterprise CA를 호스트하는 서버에 설치된 NDES를 사용하지 마세요. 이 구성은 CA에서 인터넷 요청을 서비스할 경우 보안 위험을 나타내며, 발급 CA(인증 기관)와 동일한 서버에서는 커넥터 설치가 지원되지 않습니다.
    • Internet Explorer 보안 강화 구성은 Microsoft Intune Connector 및 NDES를 호스트하는 서버에서 사용하지 않도록 설정해야 합니다.

    NDES에 대한 자세한 내용은 Windows Server 설명서의 네트워크 디바이스 등록 서비스 지침네트워크 디바이스 등록 서비스와 함께 정책 모듈 사용을 참조하세요. NDES의 고가용성을 구성하는 방법에 대한 자세한 내용은 고가용성을 참조하세요.

인터넷에서 NDES 지원

인터넷의 디바이스에서 인증서를 가져올 수 있도록 하려면 NDES URL을 회사 네트워크 외부에 게시해야 합니다. 이렇게 하려면 Microsoft Entra 애플리케이션 프록시, Microsoft의 웹 애플리케이션 프록시 서버 또는 타사 역방향 프록시 서비스 또는 디바이스와 같은 역방향 프록시를 사용할 수 있습니다.

  • Microsoft Entra 애플리케이션 프록시 – 전용 WAP(웹 애플리케이션 프록시) 서버 대신 Microsoft Entra 애플리케이션 프록시를 사용하여 NDES URL을 인터넷에 게시할 수 있습니다. 이 솔루션에서는 인트라넷 및 인터넷 연결 디바이스 모두에서 인증서를 가져올 수 있습니다. 자세한 내용은 NDES(네트워크 디바이스 등록 서비스) 서버에서 Microsoft Entra 애플리케이션 프록시와 통합을 참조하세요.

  • 웹 애플리케이션 프록시 서버 - Windows Server 2012 R2 이상을 WAP(웹 애플리케이션 프록시) 서버로 실행하는 서버를 사용하여 NDES URL을 인터넷에 게시합니다. 이 솔루션에서는 인트라넷 및 인터넷 연결 디바이스 모두에서 인증서를 가져올 수 있습니다.

    WAP를 호스팅하는 서버에는 네트워크 디바이스 등록 서비스에서 사용하는 긴 URL을 지원할 수 있도록 하는 업데이트를 설치 해야 합니다. 이 업데이트는 2014년 12월 업데이트 롤업에 포함되어 있으며, KB3011135에서 개별적으로 다운로드할 수도 있습니다.

    WAP 서버는 외부 클라이언트에 게시된 이름과 일치하는 SSL 인증서를 가져야 하며 NDES 서비스를 호스트하는 컴퓨터에서 사용되는 SSL 인증서를 신뢰해야 합니다. 이러한 인증서를 통해 WAP 서버는 클라이언트와의 SSL 연결을 종료하고 NDES 서비스로의 새 SSL 연결을 생성할 수 있습니다.

    자세한 내용은 Plan certificates for WAP(WAP에 대한 인증서 계획) 및 general information about WAP servers(WAP 서버에 대한 일반적인 정보)를 참조하세요.

  • 타사 역방향 프록시 - 타사 역방향 프록시를 사용하는 경우 프록시가 긴 URI get 요청을 지원하는지 확인합니다. 인증서 요청 흐름의 일부로, 클라이언트는 쿼리 문자열에 인증서 요청을 사용하여 요청을 만듭니다. 따라서 URI 길이는 최대 40kb 크기일 수 있습니다.

SCEP 프로토콜 제한으로 인해 사전 인증이 사용되지 않습니다. 역방향 프록시 서버를 통해 NDES URL을 게시하는 경우 사전 인증통과로 설정되어 있어야 합니다. Intune은 NDES 서버에 Intune-SCEP 정책 모듈을 설치하여 Intune Certificate Connector를 설치할 때 NDES URL을 보호합니다. 이 모듈은 유효하지 않거나 디지털 변조된 인증서 요청에 인증서가 발급되지 않도록 하여 NDES URL을 보호하는 데 도움이 됩니다. 이렇게 하면 Intune으로 관리하고 올바른 형식의 인증서 요청을 사용하는 Intune 등록 디바이스로만 액세스가 제한됩니다.

Intune SCEP 인증서 프로필이 디바이스에 전달되면 Intune은 사용자 지정 챌린지 Blob을 생성하여 암호화하고 서명합니다. 디바이스는 이 Blob을 읽을 수 없습니다. 정책 모듈 및 Intune 서비스만 챌린지 Blob을 읽고 확인할 수 있습니다. Blob에는 Intune CSR(인증서 서명 요청)에서 디바이스에서 제공할 것으로 예상되는 세부 정보가 포함됩니다. 예를 들어 예상되는 주체 및 SAN(주체 대체 이름)입니다.

Intune 정책 모듈은 다음과 같은 방법으로 NDES를 보호합니다.

  • 게시된 NDES URL에 직접 액세스하려고 하면 서버는 403 - 금지됨: 액세스가 거부되었습니다. 응답을 반환합니다.

  • 올바른 형식의 SCEP 인증서 요청이 수신되고 요청 페이로드에 챌린지 Blob과 디바이스 CSR이 모두 포함된 경우 정책 모듈은 디바이스 CSR의 세부 정보를 챌린지 Blob과 비교합니다.

    • 유효성 검사에 실패하면 인증서가 발급되지 않습니다.

    • 챌린지 Blob 유효성 검사를 통과하는 Intune 등록 디바이스의 인증서 요청만 인증서가 발급됩니다.

계정

SCEP를 지원하도록 커넥터를 구성하려면 Windows Server에서 NDES를 구성하고 인증 기관을 관리할 수 있는 권한이 있는 계정을 사용합니다. 자세한 내용은 ‘Microsoft Intune용 인증서 커넥터의 필수 조건’ 문서에서 계정을 참조하세요.

네트워크 요구 사항

인증서 커넥터에 대한 네트워크 요구 사항 외에도 Microsoft Entra 애플리케이션 프록시, 웹 액세스 프록시 또는 타사 프록시와 같은 역방향 프록시를 통해 NDES 서비스를 게시하는 것이 좋습니다. 역방향 프록시를 사용하지 않는 경우 인터넷의 모든 호스트 및 IP 주소에서 NDES 서비스로 보내는 포트 443의 TCP 트래픽을 허용합니다.

환경에서 NDES 서비스와 모든 지원 인프라 간의 통신에 필요한 모든 포트 및 프로토콜을 허용합니다. 예를 들어 NDES 서비스 호스트 컴퓨터는 Configuration Manager와 같이 작업 환경 내에서 CA, DNS 서버, 도메인 컨트롤러 및 다른 서비스나 서버와 통신해야 합니다.

인증서 및 템플릿

SCEP를 사용하는 경우 다음 인증서 및 템플릿이 사용됩니다.

개체 세부 정보
SCEP 인증서 템플릿 디바이스 SCEP 요청을 풀필하는 데 사용되는 발급 CA에서 구성하는 템플릿입니다.
서버 인증 인증서 발급 CA 또는 퍼블릭 CA에서 요청된 웹 서버 인증서입니다.
이 SSL 인증서는 NDES를 호스트하는 컴퓨터의 IIS에서 설치하고 바인딩합니다.
신뢰할 수 있는 루트 CA 인증서 SCEP 인증서 프로필을 사용하려면 디바이스에서 신뢰할 수 있는 루트 CA(인증 기관)를 신뢰해야 합니다. Intune에서 신뢰할 수 있는 인증서 프로필을 사용하여 신뢰할 수 있는 루트 CA 인증서를 사용자 및 디바이스에 프로비저닝합니다.

- 운영 체제 플랫폼당 단일 신뢰할 수 있는 루트 CA 인증서를 사용하고 해당 인증서를 사용자가 만든 신뢰할 수 있는 각 인증서 프로필과 연결합니다.

- 필요한 경우 추가 신뢰할 수 있는 루트 CA 인증서를 사용할 수 있습니다. 예를 들어, Wi-Fi 액세스 지점의 서버 인증 인증서에 서명하는 CA에 신뢰를 제공하기 위해 추가 인증서를 사용할 수도 있습니다. 발급 CA에 대해 신뢰할 수 있는 루트 CA 인증서를 추가로 만듭니다. Intune에서 만든 SCEP 인증서 프로필에서 발급 CA에 대한 신뢰할 수 있는 루트 CA 프로필을 지정해야 합니다.

신뢰할 수 있는 인증서 프로필에 대한 내용은 Intune에서 인증을 위해 인증서 사용신뢰할 수 있는 루트 CA 인증서 내보내기신뢰할 수 있는 인증서 프로필 만들기를 참조하세요.

참고

다음 인증서는 Microsoft Intune용 인증서 커넥터와 함께 사용되지 않습니다. 이 정보는 SCEP용 이전 커넥터(NDESConnectorSetup.exe로 설치)를 새 커넥터 소프트웨어로 아직 교체하지 않은 사용자를 위해 제공됩니다.

개체 세부 정보
클라이언트 인증 인증서 발급 CA 또는 퍼블릭 CA에서 요청됩니다.
NDES 서비스를 호스트하는 컴퓨터에 이 인증서를 설치하며, Microsoft Intune용 인증서 커넥터에서 사용됩니다.
인증서가 이 인증서를 발급하는 데 사용하는 CA 템플릿에 클라이언트서버 인증 키 사용이 설정된 경우(고급 키 사용) 서버와 클라이언트 인증에 동일한 인증서를 사용할 수 있습니다.

Android Enterprise에 대한 PIN 요구 사항

Android Enterprise의 경우, SCEP가 인증서를 사용하여 디바이스를 프로비저닝하기 위해서 디바이스를 PIN으로 구성해야 하는지 여부는 디바이스의 암호화 버전에 따라 결정됩니다. 사용할 수 있는 암호화 유형은 다음과 같습니다.

  • 디바이스에 PIN을 구성해야 하는 전체 디스크 암호화

  • Android 10 이상에서 OEM으로 설치되는 디바이스에 필요한 파일 기반 암호화 이러한 디바이스에는 PIN이 필요하지 않습니다. Android 10으로 업그레이드되는 디바이스에는 여전히 PIN이 필요할 수 있습니다.

참고

Microsoft Intune Android 디바이스에서 암호화 유형을 식별할 수 없습니다.

디바이스의 Android 버전은 사용 가능한 암호화 유형에 영향을 줄 수 있습니다.

  • Android 10 이상: OEM에서 Android 10 이상을 사용하여 설치한 디바이스는 파일 기반 암호화를 사용하며 인증서를 프로비전하기 위해 SCEP에 PIN이 필요하지 않습니다. 버전 10 이상으로 업그레이드되고 파일 기반 암호화를 사용하기 시작하는 디바이스에는 여전히 PIN이 필요할 수 있습니다.

  • Android 8~9: 이 버전의 Android는 파일 기반 암호화 사용을 지원하지만 반드시 필요한 것은 아닙니다. 각 OEM은 디바이스에 대해 구현할 암호화 유형을 선택합니다. 전체 디스크 암호화를 사용하는 경우에도 OEM을 수정하면 PIN이 필요하지 않을 수 있습니다.

자세한 내용은 Android 설명서의 다음 문서를 참조하세요.

Android Enterprise 전용으로 등록된 디바이스 고려 사항

Android Enterprise 전용으로 등록된 디바이스의 경우, 암호 적용으로 인해 문제가 발생할 수 있습니다.

9.0 이상을 실행하고 키오스크 모드 정책을 수신하는 디바이스의 경우, 디바이스 규정 준수 또는 디바이스 구성 정책을 사용하여 암호 요구 사항을 적용할 수 있습니다. 디바이스 환경을 이해하려면 Intune 지원 팀에서 지원 팁: 키오스크 모드에 대한 새로운 Google 기반 규정 준수 화면을 확인하세요.

8.x 이하를 실행하는 디바이스의 경우, 디바이스 규정 준수 또는 디바이스 구성 정책을 사용하여 암호 요구 사항을 적용할 수도 있습니다. 그러나 PIN을 설정하려면 디바이스에서 설정 애플리케이션을 수동으로 입력하고 PIN을 구성해야 합니다.

인증 기관 구성

이어지는 섹션에서는 다음과 같은 작업을 수행합니다.

  • NDES용 필수 템플릿을 구성 및 게시합니다.
  • 인증서 해지를 위한 필수 사용 권한을 설정합니다.

다음 섹션을 진행하려면 Windows Server 2012 R2 이상 및 AD CS(Active Directory 인증서 서비스)에 대한 지식이 필요합니다.

발급 CA에 액세스

  1. CA를 관리할 수 있는 권한이 있는 도메인 계정을 사용하여 발급 CA에 로그인합니다.

  2. 인증 기관 MMC(Microsoft Management Console)를 엽니다. 'certsrv.msc'를 실행하거나 서버 관리자도구를 선택한 다음 인증 기관을 선택합니다.

  3. 인증서 템플릿 노드를 선택하고 작업>관리를 선택합니다.

SCEP 인증서 템플릿 만들기

  1. SCEP 인증서 템플릿으로 사용할 v2 인증서 템플릿(Windows 2003 호환성 포함)을 만듭니다. 다음을 수행할 수 있습니다.

    • 인증서 템플릿 스냅인을 사용하여 새 사용자 지정 템플릿을 만듭니다.
    • 기존 템플릿(예: 웹 서버 템플릿)을 복사한 다음, NDES 템플릿으로 사용할 복사본을 업데이트합니다.

  2. 템플릿의 지정된 탭에서 다음 설정을 구성합니다.

    • 일반:

      • Active Directory에서 인증서 게시를 선택 취소합니다.
      • 나중에 이 템플릿을 식별할 수 있도록 친숙한 템플릿 표시 이름을 지정합니다.

    • 주체 이름:

      • 요청 시 제공을 선택합니다. NDES에 대한 Intune 정책 모듈은 보안을 적용합니다.

        템플릿, 주체 이름 탭

    • 확장:

      • 애플리케이션 정책 설명클라이언트 인증이 포함되어 있는지 확인합니다.

        중요

        필요한 애플리케이션 정책만 추가합니다. 보안 관리자와 선택 사항을 확인합니다.

      • iOS/iPadOS 및 macOS 인증서 템플릿의 경우 키 사용을 편집하고 서명이 원본 증명임이 선택되어 있지 않은지 확인합니다.

      템플릿, 확장 탭

    • 보안:

      • NDES 서비스 계정을 추가합니다. 이 계정에는 이 템플릿에 대한 읽기등록 권한이 있어야 합니다.

      • SCEP 프로필을 만들 Intune 관리자용 추가 계정을 추가합니다. 이러한 계정에는 SCEP 프로필을 만드는 동안 이러한 관리자가 이 템플릿을 찾아볼 수 있도록 하기 위해 템플릿에 대한 읽기 권한이 있어야 합니다.

      템플릿, 보안 탭

    • 요청 처리:

      다음 그림은 예제입니다. 구성은 다를 수 있습니다.

      템플릿, 요청 처리 탭

    • 발급 요구 사항:

      다음 그림은 예제입니다. 구성은 다를 수 있습니다.

      템플릿, 발급 요구 사항 탭

  3. 인증서 템플릿을 저장합니다.

클라이언트 인증서 템플릿 만들기

참고

다음 인증서는 Microsoft Intune용 인증서 커넥터와 함께 사용되지 않습니다. 이 정보는 SCEP용 이전 커넥터(NDESConnectorSetup.exe로 설치)를 새 커넥터 소프트웨어로 아직 교체하지 않은 사용자를 위해 제공됩니다.

Microsoft Intune Connector에는 클라이언트 인증 확장된 키 사용 및 주체 이름이 커넥터가 설치된 컴퓨터의 FQDN과 동일한 인증서가 필요합니다. 다음 속성을 포함하는 템플릿이 필요합니다.

  • 확장>애플리케이션 정책클라이언트 인증을 포함해야 합니다.
  • 주체 이름>요청 시 제공.

이러한 속성을 포함하는 템플릿이 이미 있는 경우 다시 사용할 수 있습니다. 그렇지 않은 경우 기존 항목을 복제하거나 사용자 지정 템플릿을 만들어 새 템플릿을 만들 수 있습니다.

서버 인증서 템플릿 만들기

NDES 서버의 관리형 디바이스 및 IIS 간 통신에는 인증서를 사용해야 하는 HTTPS가 사용됩니다. 웹 서버 인증서 템플릿을 사용하여 이 인증서를 발급할 수 있습니다. 또는 전용 템플릿을 사용하려는 경우 다음 속성이 필요합니다.

  • 확장>애플리케이션 정책서버 인증을 포함해야 합니다.
  • 주체 이름>요청 시 제공.
  • 보안 탭에서 NDES 서버의 컴퓨터 계정에 읽기등록 권한이 있어야 합니다.

참고

클라이언트 및 서버 인증서 템플릿의 요구 사항을 모두 충족하는 인증서가 있는 경우 IIS와 인증서 커넥터 모두에 단일 인증서를 사용할 수 있습니다.

인증서 해지를 위한 사용 권한 부여

Intune에서 더 이상 필요하지 않은 인증서를 해지할 수 있도록 하려면 인증 기관에서 사용 권한을 부여해야 합니다.

인증서 커넥터를 호스트하는 서버에서 NDES 서버 시스템 계정 또는 NDES 서비스 계정과 같은 특정 계정을 사용합니다.

  1. 인증 기관 콘솔에서 CA 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  2. 보안 탭에서 추가를 선택합니다.

  3. 다음과 같이 인증서 발급 및 관리 권한을 부여합니다.

    • NDES 서버 시스템 계정을 사용하도록 선택하는 경우 NDES 서버에 대한 사용 권한을 제공합니다.
    • NDES 서비스 계정을 사용하도록 선택하는 경우, 대신 해당 계정에 대한 권한을 제공합니다.

인증서 템플릿의 유효 기간 수정

인증서 템플릿의 유효 기간을 수정하는 것은 선택 사항입니다.

SCEP 인증서 템플릿을 만든 후에 일반 탭에서 해당 템플릿을 편집하여 유효 기간을 검토할 수 있습니다.

기본적으로 Intune 템플릿에 구성된 값을 사용하지만 요청자가 다른 값을 입력할 수 있도록 CA를 구성하여 해당 값을 Microsoft Intune 관리 센터 내에서 설정할 수 있습니다.

5일 이상의 유효 기간을 사용하도록 계획합니다. 유효 기간이 5일 미만인 경우 인증서가 거의 만료되거나 만료된 상태로 들어갈 가능성이 높기 때문에 디바이스의 MDM 에이전트가 인증서를 설치하기 전에 거부하게 될 수 있습니다.

중요

iOS/iPadOS 및 macOS의 경우 항상 템플릿에 설정된 값을 사용합니다.

Microsoft Intune 관리 센터 내에서 설정할 수 있는 값을 구성하려면

CA에서 다음 명령을 실행합니다.

certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc

인증서 템플릿 게시

  1. 발급 CA에서 인증 기관 스냅인을 사용하여 인증서 템플릿을 게시합니다. 인증서 템플릿 노드를 클릭하고 작업>새로 만들기>발급할 인증서 템플릿을 클릭한 다음, 이전 섹션에서 만든 인증서 템플릿을 선택합니다.

  2. 인증서 템플릿 폴더에서 게시된 템플릿을 확인하여 유효성을 검사합니다.

NDES 설정

다음 절차에 따라 Intune에서 사용할 NDES(네트워크 디바이스 등록 서비스)를 구성할 수 있습니다. 실제 구성은 Windows 서버 버전에 따라 다를 수 있으므로 이는 예제로 제공됩니다. 추가하는 필수 구성(예: .NET Framework용 구성)이 Microsoft Intune용 인증서 커넥터의 필수 조건을 충족하는지 확인합니다.

자세한 내용은 네트워크 디바이스 등록 서비스 지침을 참조하세요.

NDES 서비스 설치

  1. NDES 서비스를 호스트할 서버에서 엔터프라이즈 관리자로 로그온한 다음, 역할 및 기능 추가 마법사를 사용하여 NDES를 설치합니다.

    1. 마법사에서 Active Directory 인증서 서비스 를 선택하여 AD CS 역할 서비스에 대한 액세스 권한을 받습니다. 네트워크 디바이스 등록 서비스를 선택하고 인증 기관선택을 취소한 다음, 마법사를 완료합니다.

      설치 진행률에서 닫기를 선택하지 마세요. 대신 대상 서버에서 Active Directory 인증서 서비스 구성 링크를 선택하세요. AD CS 구성 마법사가 열립니다. 이 마법사에 따라 이 문서의 다음 절차인 NDES 서비스 구성을 진행합니다. AD CS 구성이 열리면 역할 및 기능 추가 마법사를 닫을 수 있습니다.

    2. NDES를 서버에 추가할 때는 마법사에서 IIS도 설치합니다. IIS에서 다음과 같은 구성을 사용하는지 확인합니다.

      • 웹 서버>보안>요청 필터링

      • 웹 서버>애플리케이션 개발>ASP.NET 3.5

        ASP.NET 3.5를 설치하면 .NET Framework 3.5가 설치됩니다. .NET Framework 3.5를 설치할 때는 핵심 .NET Framework 3.5 기능과 HTTP 활성화를 모두 설치합니다.

      • 웹 서버>애플리케이션 개발>ASP.NET 4.7.2

        ASP.NET 4.7.2를 설치하면 .NET Framework 4.7.2가 설치됩니다. .NET Framework 4.7.2를 설치할 때 핵심 .NET Framework 4.7.2 기능, ASP.NET 4.7.2, WCF 서비스>HTTP 활성화 기능을 설치합니다.

      • 관리 도구>IIS 6 관리 호환성>IIS 6 메타베이스 호환성

      • 관리 도구>IIS 6 관리 호환성>IIS 6 WMI 호환성

      • 서버에서 NDES 서비스 계정을 로컬 IIS_IUSR 그룹의 구성원으로 추가합니다.

  2. 필요한 경우 Active Directory에서 SPN(서비스 사용자 이름)을 구성합니다. SPN을 설정하는 방법에 대한 자세한 내용은 NDES에 대한 서비스 주체 이름을 설정해야 하는지 확인을 참조하세요.

NDES 서비스 구성

NDES 서비스를 구성하려면 엔터프라이즈 관리자인 계정을 사용합니다.

  1. NDES 서비스 호스트 컴퓨터에서 AD CS 구성 마법사를 연 다음, 다음과 같이 업데이트합니다.

    마지막 절차부터 계속 진행하고 대상 서버에서 Active Directory 인증서 서비스 구성 링크를 클릭한 경우 이 마법사가 이미 열려 있어야 합니다. 링크를 클릭하지 않은 경우에는 서버 관리자를 열어 Active Directory 인증서 서비스의 배포 후 구성에 액세스합니다.

    • 역할 서비스에서 네트워크 디바이스 등록 서비스를 선택합니다.
    • NDES의 서비스 계정에서 NDES 서비스 계정을 지정합니다.
    • NDES를 위한 CA에서 선택을 클릭한 다음, 인증서 템플릿을 구성한 발급 CA를 선택합니다.
    • NDES의 암호화에서 회사 요구 사항에 맞는 키 길이를 설정합니다.
    • 확인에서 구성을 선택하여 마법사를 완료합니다.

  2. 마법사를 완료한 후 NDES 서비스 호스트 컴퓨터에서 다음 레지스트리 키를 업데이트합니다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    이 키를 업데이트하려면 인증서 템플릿의 목적을 확인합니다(요청 처리 탭에서 찾을 수 있음). 그런 다음, 기존 데이터를 인증서 템플릿을 만들 때 지정한 인증서 템플릿의 이름(템플릿의 표시 이름이 아님)으로 바꾸어 해당 레지스트리 항목을 업데이트합니다.

    다음 표는 인증서 템플릿 목적을 레지스트리의 값에 매핑합니다.

    요청 처리 탭에 나와 있는 인증서 템플릿 용도 편집할 레지스트리 값 SCEP 프로필의 Microsoft Intune 관리 센터에서 볼 수 있는 값
    서명 SignatureTemplate 디지털 서명
    암호화 EncryptionTemplate 키 암호화
    서명 및 암호화 GeneralPurposeTemplate 키 암호화
    디지털 서명

    예를 들어 인증서 템플릿의 용도가 암호화이면 EncryptionTemplate 값을 편집하여 인증서 템플릿의 이름으로 설정합니다.

  3. NDES 서비스 서버를 다시 시작합니다. Iisreset은 필요한 변경을 완료하지 않으므로 사용하지 않도록 합니다.

  4. http://Server_FQDN/certsrv/mscep/mscep.dll로 이동합니다. 다음 그림과 유사한 NDES 페이지가 표시됩니다.

    NDES 테스트

    웹 주소가 503 서비스를 사용할 수 없음을 반환하면 컴퓨터 이벤트 뷰어를 확인합니다. 이 오류는 일반적으로 NDES 서비스 계정에 대한 권한이 없기 때문에 애플리케이션 풀이 중지될 때 발생합니다.

NDES 호스트 서버에 인증서 설치 및 바인딩

NDES 서버에서 서버 인증 인증서를 추가합니다.

  • 서버 인증 인증서

    이 인증서는 IIS에 사용됩니다. 클라이언트가 NDES URL을 신뢰할 수 있도록 하는 간단한 웹 서버 인증서입니다.

    1. 내부 CA 또는 공용 CA에서 서버 인증 인증서를 요청한 후 서버에 인증서를 설치합니다.

      요구 사항은 NDES를 인터넷에 노출하는 방식에 따라 달라집니다.

      권장 구성은 다음과 같습니다.

      • 주체 이름: 인증서를 설치하는 서버(NDES 서버)의 FQDN과 같아야 하는 값으로 CN(공통 이름)을 설정합니다.
      • 주체 대체 이름: 내부 FQDN, 외부 URL과 같이 NDES가 응답하는 모든 URL에 대해 DNS 항목을 설정합니다.

      참고

      Microsoft Entra 애플리케이션 프록시를 사용하는 경우 Microsoft Entra 애플리케이션 프록시 커넥터는 외부 URL의 요청을 내부 URL로 변환합니다. 따라서 NDES는 내부 URL(일반적으로 NDES 서버의 FQDN)로 전달되는 요청에만 응답합니다.

      이 경우에는 외부 URL이 필요하지 않습니다.

    2. 다음과 같이 IIS에서 서버 인증 인증서를 바인딩합니다.

      1. 서버 인증 인증서를 설치한 후 IIS 관리자를 열고 기본 웹 사이트를 선택합니다. 작업 창에서 바인딩을 선택합니다.

      2. 추가를 선택하고 유형https로 설정한 다음, 포트가 443인지 확인합니다.

      3. SSL 인증서의 경우 서버 인증 인증서를 지정합니다.

참고

Microsoft Intune용 인증서 커넥터에 대해 NDES를 구성하는 경우 서버 인증 인증서만 사용됩니다. 이전 인증서 커넥터(NDESConnectorSetup.exe)를 지원하도록 NDES를 구성하는 경우 ‘클라이언트 인증 인증서’도 구성해야 합니다. 두 가지 사용 조건을 충족하도록 인증서가 구성된 경우 ‘서버 인증’ 및 ‘클라이언트 인증’ 모두에 단일 인증서를 사용할 수 있습니다. 주체 이름은 클라이언트 인증 인증서 요구 사항을 충족해야 합니다.

SCEP용 이전 커넥터(NDESConnectorSetup.exe로 설치)를 새 커넥터 소프트웨어로 아직 교체하지 않은 사용자를 위해 다음 정보가 제공됩니다.

  • 클라이언트 인증 인증서

    이 인증서는 SCEP를 지원하기 위해 Microsoft Intune용 인증서 커넥터를 설치하는 동안 사용됩니다.

    내부 CA 또는 공용 인증 기관으로부터 클라이언트 인증 인증서를 요청하여 설치합니다.

    인증서는 다음 요구 사항을 충족해야 합니다.

    • 확장된 키 사용: 이 값에는 클라이언트 인증이 포함되어야 합니다.
    • 주체 이름: 인증서를 설치하는 서버(NDES 서버)의 FQDN과 같아야 하는 값으로 CN(공통 이름)을 설정합니다.

Microsoft Intune용 인증서 커넥터 다운로드, 설치, 구성

자세한 내용은 Microsoft Intune용 인증서 커넥터 다운로드, 설치, 구성을 참조하세요.

  • 인증서 커넥터는 NDES 서비스를 실행하는 서버에 설치됩니다.
  • 커넥터는 발급 CA(인증 기관)와 동일한 서버에서 지원되지 않습니다.

다음 단계

SCEP 인증서 프로필 만들기