Intune에 등록할 때 디바이스에서 비즈니스용 Windows Hello 구성

Microsoft Intune 사용하면 해당 디바이스가 Intune에 등록할 때 Windows 10 또는 Windows 11 디바이스에서 비즈니스용 Windows Hello 사용을 구성하는 테넌트 전체 정책을 만들 수 있습니다. 이 정책은 전체 organization 대상으로 하며 Windows Autopilot OOBE(기본 제공 환경)를 지원합니다.

Windows 10/11 장치의 경우 비즈니스용 Windows Hello를 사용하면 장치에서 암호 사용을 강력한 2단계 인증으로 대체합니다. 이 인증은 장치에 연결되고 생체 인식 또는 PIN을 사용하는 사용자 자격 증명으로 구성됩니다.

디바이스 등록 후 또는 테넌트 전체 등록 정책을 사용하지 않도록 선택하면 Intune은 개별 디바이스 그룹에서 Windows Hello 관리하는 다음 방법을 지원합니다.

• ID 보호 - 디바이스 구성 정책에는 Windows Hello 디바이스 그룹을 구성하는 데 사용할 수 있는 ID 보호 프로필이 포함되어 있습니다.

• 보안 기준: Windows Hello 대한 일부 설정은 엔드포인트용 Microsoft Defender 보안 기준 또는 Windows 10이상 보안 기준과 같은 보안 기준에서 관리할 수 있습니다.

• 엔드포인트 보안 계정 보호 정책: 계정 보호 정책에는 Windows Hello 사용하는 일부 설정이 포함됩니다.

중요

1주년 업데이트(Windows 버전 1607) 이전에 리소스에 인증하는 데 사용할 수 있는 두 개의 다른 PIN을 설정할 수 있습니다.

• 디바이스 PIN을 디바이스 잠금을 해제하고 클라우드 리소스에 연결하는 데 사용할 수 있습니다.
• 작업 PIN은 사용자의 개인 디바이스(BYOD)에서 Microsoft Entra 리소스에 액세스하는 데 사용되었습니다.

1주년 업데이트에서 이러한 두 PIN이 하나의 단일 디바이스 PIN에 병합되었습니다. 이제 디바이스 PIN을 제어하도록 설정한 Intune 구성 정책뿐 아니라, 구성한 비즈니스용 Windows Hello 정책 둘 다 이러한 새 PIN 값으로 설정되어 있습니다. PIN을 제어하기 위해 두 정책 유형을 설정한 경우 비즈니스용 Windows Hello 정책이 적용됩니다. 정책 충돌이 해결되어 있고 PIN 정책을 올바르게 적용되었는지 확인하려면 비즈니스용 Windows Hello 정책을 내 구성 정책의 설정에 맞게 업데이트한 다음, 회사 포털 앱에서 디바이스를 동기화하도록 사용자에게 요청합니다.

역할 기반 액세스 제어

Windows 등록에서 비즈니스용 Windows Hello 정책을 만들거나 편집하려면 Intune 서비스 관리자여야 합니다. 다른 모든 Intune 역할에는 읽기 전용 액세스 권한이 있습니다. RBAC(역할 기반 액세스 제어)에 대한 자세한 내용은 Microsoft Intune RBAC를 참조하세요.

비즈니스용 Windows Hello 정책 만들기

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 장치>장치 등록>Windows 등록>비즈니스용 Windows Hello로 이동합니다. 비즈니스용 Windows Hello 창이 열립니다.

3. 다음 중에서 비즈니스용 Windows Hello 구성을 위한 옵션을 선택합니다.

   • 사용. 비즈니스용 Windows Hello 설정을 구성하려면 이 설정을 선택합니다. 사용을 선택하면 Windows Hello에 대한 다른 설정이 표시되고 장치에 대해 구성할 수 있습니다.

   • 사용 안 함. 디바이스 등록 중에 비즈니스용 Windows Hello를 사용하도록 설정하지 않으려면 이 옵션을 선택합니다. 사용 안 함으로 설정되면 사용자는 비즈니스용 Windows Hello를 프로비전할 수 없습니다. 사용 안 함으로 설정한 경우 이 정책이 비즈니스용 Windows Hello를 사용하도록 설정하지 않는 경우에도 비즈니스용 Windows Hello의 후속 설정을 계속 구성할 수 있습니다.

   • 구성되지 않음. Intune을 사용하여 비즈니스용 Windows Hello 설정을 제어하지 않으려면 이 설정을 선택합니다. 10/11 디바이스에서 기존 비즈니스용 Windows Hello 설정이 변경되지 않습니다. 창의 다른 모든 설정은 사용할 수 없게 됩니다.

4. 이전 단계에서 사용을 선택한 경우에는 등록된 모든 Windows 10/11 디바이스에 적용될 필요한 설정을 구성합니다. 이러한 설정을 구성한 후에 저장을 선택합니다.

   • TPM(신뢰할 수 있는 플랫폼 모듈) 사용:

     TPM 칩은 데이터 보안의 또 다른 계층을 제공합니다. 다음 값 중 하나를 선택합니다.

     • 필수(기본값). 액세스할 수는 TPM이 있는 디바이스만 비즈니스용 Windows Hello를 프로비전할 수 있습니다.
     • 기본 설정. 디바이스에서 먼저 TPM을 사용하려고 합니다. 사용할 수 없는 경우에는 소프트웨어 암호화를 사용할 수 있습니다.

   • 최소 PIN 길이 및 최대 PIN 길이:

     로그인을 보호하기 위해 지정한 최소 및 최대 PIN 길이를 사용하도록 디바이스를 구성합니다. 기본 PIN 길이는 6자이지만 최소 길이인 4자를 적용할 수 있습니다. 최대 PIN 길이는 127자입니다.

   • PIN의 소문자, PIN의 대문자 및 PIN의 특수 문자.

     PIN에 대문자, 소문자, 특수 문자를 사용하도록 요구하여 강력한 PIN을 적용할 수 있습니다. 각각에 대해 다음을 선택합니다.

     • 허용. 사용자는 해당 PIN에 문자 형식을 사용할 수 있지만 필수는 아닙니다.

     • 필수입니다. 사용자는 PIN에 하나 이상의 문자 형식을 포함해야 합니다. 예를 들어, 일반적으로 하나 이상의 대문자 및 특수 문자가 필요합니다.

     • 허용되지 않음(기본값). PIN에서 대문자 형식을 사용하지 않아야 합니다. (설정이 구성되지 않은 경우에도 이 동작 수행)

       특수 문자는 다음과 같습니다 . ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • PIN 만료(일):

     사용자가 변경해야 하는 기간 이후에 PIN에 대한 만료 기간을 지정하는 것이 좋습니다. 기본값은 41일입니다.

   • PIN 기록 저장:

     이전에 사용한 PIN의 재사용을 제한합니다. 기본적으로 마지막 5개 PIN을 다시 사용할 수 없습니다.

   • 생체 인식 인증 허용:

     비즈니스용 Windows Hello PIN 대신 안면 인식 또는 지문과 같은 생체 인식 인증을 설정합니다. 사용자는 생체 인식 인증에 실패하는 경우 작업 PIN을 구성해야 합니다. 다음 중에서 선택합니다.

     • 예. 비즈니스용 Windows Hello에서 생체 인식이 허용됩니다.
     • 아니요. 비즈니스용 Windows Hello에서 모든 계정 유형에 대해 생체 인식 인증을 금지합니다.

   • 사용 가능한 경우 향상된 스푸핑 방지 사용:

     Windows Hello의 스푸핑 방지 기능을 지원하는 디바이스에서 사용할지 여부를 구성합니다. 예를 들어 실제 얼굴 대신 얼굴 사진을 감지합니다.

     예로 설정하면 Windows에서는 모든 사용자가 얼굴 인식 기능(지원되는 경우)에 대해 스푸핑 방지 기능을 사용해야 합니다.

   • 휴대폰 로그인 허용:

     이 옵션이 예로 설정되면 원격 Passport를 데스크톱 컴퓨터 인증을 위한 휴대용 포함 디바이스로 사용할 수 있습니다. 데스크톱 컴퓨터를 Microsoft Entra 조인해야 하며 도우미 디바이스는 비즈니스용 Windows Hello PIN으로 구성해야 합니다.

   • 향상된 로그인 보안을 사용하도록 설정합니다.

     지원되는 하드웨어가 있는 디바이스에서 Windows Hello 향상된 로그인 보안을 구성합니다. 옵션은 다음과 같습니다.

     • 기본. 하드웨어가 지원되는 시스템에서는 향상된 로그인 보안이 사용하도록 설정됩니다. 디바이스 사용자는 외부 주변 장치를 사용하여 Windows Hello 사용하여 디바이스에 로그인할 수 없습니다.
     • 모든 시스템에서 향상된 로그인 보안이 비활성화됩니다. 디바이스 사용자는 Windows Hello 호환되는 외부 주변 장치를 사용하여 디바이스에 로그인할 수 있습니다.

   • 로그인에 보안 키 사용:

     사용으로 설정한 경우 이 설정은 고객 조직의 모든 컴퓨터에 대해 Windows Hello 보안 키를 원격으로 켜거나 끌 수 있는 용량을 제공합니다.

Windows Holographic for Business 지원

Windows Holographic for Business는 다음과 같은 비즈니스용 Windows Hello 설정을 지원합니다.

• Use a Trusted Platform Module (TPM)(TPM(신뢰할 수 있는 플랫폼 모듈) 사용)
• 최소 PIN 길이
• 최대 PIN 길이
• PIN에 소문자 사용
• PIN에 대문자 사용
• PIN에 특수 문자 사용
• PIN 만료(일)
• PIN 기록 기억

다음 단계

Windows 설명서의 다음 주제에서 Windows Hello 대해 자세히 알아보세요.

• 비즈니스용 Windows Hello 배포 계획
• 비즈니스용 Windows Hello 배포 필수 구성 요소 개요