PIN 재설정

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

이 문서에서는 Microsoft PIN 재설정 서비스를 통해 사용자가 잊어버린 비즈니스용 Windows Hello PIN을 복구하는 방법과 이를 구성하는 방법을 설명합니다.

개요

비즈니스용 Windows Hello 사용자가 잊어버린 PIN을 다시 설정할 수 있는 기능을 제공합니다. PIN 재설정에는 두 가지 형식이 있습니다.

• 파괴적인 PIN 재설정: Windows Hello 컨테이너에 추가된 키 또는 인증서를 포함하여 사용자의 기존 PIN 및 기본 자격 증명이 클라이언트에서 삭제되고 새 로그인 키와 PIN이 프로비전됩니다. 파괴적인 PIN 재설정은 기본 옵션이며 구성이 필요하지 않습니다.
• 비 파괴적 PIN 재설정: 사용자의 비즈니스용 Windows Hello 컨테이너 및 키가 유지되지만 키 사용 권한을 부여하는 데 사용하는 사용자의 PIN이 변경됩니다. 비파괴 PIN 재설정의 경우 Microsoft PIN 재설정 서비스를 배포하고 PIN 복구 기능을 사용하도록 클라이언트 정책을 구성해야 합니다.

비동기 PIN 재설정의 작동 방식

요구 사항:

• 하이브리드 또는 클라우드 전용 비즈니스용 Windows Hello 배포
• Windows Enterprise, Education 및 Pro 버전. 이 기능에 대한 라이선스 요구 사항이 없습니다.

클라이언트에서 비정상 PIN 재설정을 사용하도록 설정하면 256비트 AES 키가 로컬로 생성됩니다. 키는 사용자의 비즈니스용 Windows Hello 컨테이너 및 키에 PIN 재설정 보호기로 추가됩니다. 이 PIN 재설정 보호기는 Microsoft PIN 재설정 서비스에서 검색된 공개 키를 사용하여 암호화된 다음 나중에 PIN 재설정 중에 사용할 수 있는 클라이언트에 저장됩니다. 사용자가 PIN 재설정을 시작하고 Microsoft Entra ID 인증 및 다단계 인증을 완료하면 암호화된 PIN 재설정 보호기가 Microsoft PIN 재설정 서비스로 전송되고 암호가 해독되어 클라이언트로 반환됩니다. 암호 해독된 PIN 재설정 보호기는 비즈니스용 Windows Hello 키에 권한을 부여하는 데 사용되는 PIN을 변경하는 데 사용되며 메모리에서 지워집니다.

그룹 정책, Microsoft Intune 또는 호환되는 MDM 솔루션을 사용하여 사용자가 다시 등록하지 않고도 잊어버린 PIN을 재설정할 수 있도록 Microsoft PIN 재설정 서비스를 안전하게 사용하도록 Windows 디바이스를 구성할 수 있습니다.

다음 표에서는 파괴적 PIN 재설정과 비도산적 PIN 재설정을 비교합니다.

범주	파괴적인 PIN 재설정	비도정 PIN 재설정
기능	Windows Hello 컨테이너에 추가된 키 또는 인증서를 포함하여 사용자의 기존 PIN 및 기본 자격 증명은 클라이언트에서 삭제되고 새 로그인 키와 PIN이 프로비전됩니다.	PIN 복구 기능을 사용하도록 설정하려면 Microsoft PIN 재설정 서비스 및 클라이언트 정책을 배포해야 합니다. 비정상 PIN 재설정 중에는 사용자의 비즈니스용 Windows Hello 컨테이너 및 키가 유지되지만 키 사용 권한을 부여하는 데 사용하는 사용자의 PIN이 변경됩니다.
Microsoft Entra 조인됨	Cert Trust, Key Trust 및 클라우드 Kerberos 트러스트	Cert Trust, Key Trust 및 클라우드 Kerberos 트러스트
Microsoft Entra 하이브리드 조인됨	인증서 신뢰 및 클라우드 Kerberos 트러스트는 잠금 이상의 설정에 대해 파괴적인 PIN 재설정을 지원합니다. Key Trust는 잠금 화면 위에서 이 옵션을 지원하지 않습니다. 이는 사용자가 비즈니스용 Windows Hello 자격 증명을 프로비전하고 로그인에 사용할 수 있는 시점 사이의 동기화 지연 때문입니다. 설정 페이지에서 지원을 수행하며 사용자는 DC에 대한 회사 네트워크 연결이 있어야 합니다.	인증서 신뢰, 키 신뢰 및 클라우드 Kerberos 트러스트는 설정과 잠금 이상 모두에 대한 신뢰로, 비동기 PIN 재설정을 지원합니다. DC에 대한 네트워크 연결이 필요하지 않습니다.
온-프레미스	온-프레미스 배포에 AD FS를 사용하는 경우 사용자는 페더레이션 서비스에 대한 회사 네트워크 연결이 있어야 합니다.	PIN 재설정 서비스는 Microsoft Entra ID를 사용하므로 Microsoft Entra 하이브리드 조인 및 Microsoft Entra 조인된 디바이스에서만 사용할 수 있습니다.
추가 구성 필요	기본적으로 지원되며 구성이 필요하지 않습니다.	MICROSOFT PIN 재설정 서비스 및 클라이언트 정책을 배포하여 PIN 복구 기능을 사용하도록 설정합니다.
MSA/Enterprise	MSA 및 Enterprise	엔터프라이즈 전용입니다.

Microsoft Entra 테넌트에서 Microsoft PIN 재설정 서비스 사용

비파괴 PIN 재설정을 사용하려면 먼저 Microsoft Entra 테넌트에 두 개의 애플리케이션을 등록해야 합니다.

• Microsoft Pin 초기화 서비스 프로덕션
• Microsoft Pin 초기화 클라이언트 프로덕션

애플리케이션을 등록하려면 다음 단계를 수행합니다.

1. Microsoft PIN Reset Service Production 웹 사이트로 이동하여 Microsoft Entra 테넌트 관리에 사용하는 전역 관리자 계정을 사용하여 로그인합니다. Microsoft Pin Reset Service Production 애플리케이션에서 요청한 권한을 검토하고 동의를 선택하여 애플리케이션에 대한 동의를 제공하여 organization

2. Microsoft PIN Reset Client Production 웹 사이트로 이동하여 Microsoft Entra 테넌트 관리에 사용하는 전역 관리자 계정을 사용하여 로그인합니다. Microsoft Pin 재설정 클라이언트 프로덕션 애플리케이션에서 요청한 권한을 검토하고 다음을 선택합니다.

3. Microsoft Pin Reset Service Production 애플리케이션에서 요청한 권한을 검토하고 동의를 선택하여 두 애플리케이션에 대한 동의를 확인하여 organization 액세스합니다.

참고

수락하면 리디렉션 페이지에 빈 페이지가 표시됩니다. 알려진 동작입니다.

두 PIN 재설정 서비스 주체가 테넌트에서 등록되어 있는지 확인합니다.

1. Microsoft Entra Manager 관리 센터에 로그인
2. Microsoft Entra ID > Applications > Enterprise 애플리케이션 선택
3. 애플리케이션 이름 "Microsoft PIN"으로 Search Microsoft Pin 재설정 서비스 프로덕션과 Microsoft Pin 재설정 클라이언트 프로덕션이 모두

클라이언트에서 PIN 복구 사용

클라이언트에서 PIN 복구를 사용하도록 설정하려면 다음을 사용할 수 있습니다.

• Microsoft Intune/MDM
• 그룹 정책

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주	설정 이름	값
비즈니스용 Windows Hello	Pin 복구 사용	True

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

참고

엔드포인트 보안 블레이드에서 PIN 복구를 구성할 수도 있습니다.

1. Microsoft Intune 관리 센터에 로그인
2. 엔드포인트 보안 > 계정 보호 > 정책 만들기를 선택합니다.

또는 PassportForWork CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

OMA-URI	데이터 형식	값
./Vendor/MSFT/Policy/PassportForWork/TenantId/Policies/EnablePinRecovery	부울	True

참고

를 Microsoft Entra 테넌트 식별자로 바꿔 TenantId 야 합니다. 테넌트 ID를 조회하려면 Microsoft Entra 테넌트 ID를 찾거나 다음을 시도하여 organization 계정으로 로그인하는 방법을 참조하세요.

GET https://graph.microsoft.com/v1.0/organization?$select=id

Gpo

그룹 정책을 사용하여 디바이스를 구성하려면 로컬 그룹 정책 편집기 사용합니다. Active Directory에 조인된 여러 디바이스를 구성하려면 GPO(그룹 정책 개체)를 만들거나 편집 하고 다음 설정을 사용합니다.

그룹 정책 경로	그룹 정책 설정	값
컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 비즈니스용 Windows Hello	PIN 복구 사용	설정됨

그룹 정책은 도메인 또는 조직 단위에 연결 하거나, 보안 그룹을 사용하여 필터링하거나, WMI 필터를 사용하여 필터링할 수 있습니다.

디바이스에 PIN 복구 정책이 적용되는지 확인

명령줄에서 dsregcmd /상태 실행하여 PIN 재설정 구성을 볼 수 있습니다. 이 상태는 사용자 상태 섹션의 출력 아래에서 CanReset 줄 항목으로 찾을 수 있습니다. CanReset이 DestructiveOnly로 보고하는 경우 파괴적인 PIN 재설정만 사용하도록 설정됩니다. CanReset이 DestructiveAndNonDestructive를 보고하는 경우 비동기 PIN 재설정이 사용하도록 설정됩니다.

파괴적인 PIN 재설정을 위한 샘플 사용자 상태 출력

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

비 파괴 PIN 재설정에 대한 샘플 사용자 상태 출력

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Microsoft Entra 조인된 디바이스에서 페더레이션 ID 공급자에 대해 허용되는 URL 구성

적용 대상: Microsoft Entra 조인된 디바이스

Microsoft Entra 조인된 디바이스의 PIN 재설정은 웹 로그인이라는 흐름을 사용하여 잠금 화면에서 사용자를 인증합니다. 웹 로그인은 특정 도메인에 대한 탐색만 허용합니다. 웹 로그인이 허용되지 않는 도메인으로 이동하려고 하면 오류 메시지가 포함된 페이지가 표시됩니다. 지금은 해당 페이지를 열 수 없습니다.
페더레이션 환경이 있고 AD FS 또는 타사 ID 공급자를 사용하여 인증을 처리하는 경우 PIN 재설정 흐름 중에 연결할 수 있는 도메인 목록을 허용하도록 정책을 사용하여 디바이스를 구성해야 합니다. 설정하면 조인된 PIN 재설정 중에 해당 ID 공급자의 인증 페이지를 사용할 수 Microsoft Entra.

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주	설정 이름	값
Authentication	웹 로그인 허용 URL 구성	PIN 재설정 시나리오 중에 인증에 필요한 세미콜론으로 구분된 도메인 목록을 제공합니다. 예제 값은 signin.contoso.com. portal.contoso.com

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls 데이터 형식: 문자열 값: PIN 재설정 시나리오 중에 인증에 필요한 세미콜론으로 구분된 도메인 목록을 제공합니다. 예제 값은 signin.contoso.com. portal.contoso.com

참고

Azure Government 경우 Microsoft Entra 조인된 디바이스에서 PIN 재설정이 실패하는 알려진 문제가 있습니다. 사용자가 PIN 재설정을 시작하려고 하면 PIN 재설정 UI에 "지금은 해당 페이지를 열 수 없습니다"라는 오류 페이지가 표시됩니다. ConfigureWebSignInAllowedUrls 정책을 사용하여 이 문제를 해결할 수 있습니다. 이 문제가 발생하고 Azure 미국 정부 클라우드를 사용하는 경우 login.microsoftonline.us ConfigureWebSignInAllowedUrls 정책의 값으로 설정합니다.

사용자 환경

파괴적이고 비도적인 PIN 재설정 시나리오는 PIN 재설정을 시작하기 위해 동일한 단계를 사용합니다. 사용자가 PIN을 잊어버렸지만 대체 로그인 방법이 있는 경우 설정 에서 로그인 옵션으로 이동하여 PIN 옵션에서 PIN 재설정을 시작할 수 있습니다. 사용자가 디바이스에 로그인하는 다른 방법이 없는 경우 PIN 자격 증명 공급자를 사용하여 Windows 잠금 화면에서 PIN 재설정을 시작할 수도 있습니다. 사용자는 PIN을 다시 설정하려면 다단계 인증을 인증하고 완료해야 합니다. PIN 재설정이 완료되면 사용자는 새 PIN을 사용하여 로그인할 수 있습니다.

중요

Microsoft Entra 하이브리드 조인 디바이스의 경우 파괴적인 PIN 재설정을 완료하려면 도메인 컨트롤러에 대한 회사 네트워크 연결이 있어야 합니다. 인증서 신뢰 또는 온-프레미스 전용 배포에 AD FS를 사용하는 경우 PIN을 다시 설정하려면 페더레이션 서비스에 대한 회사 네트워크 연결도 있어야 합니다.

설정 페이지에서 PIN 재설정

1. 대체 자격 증명을 사용하여 Windows 10 로그인
2. 설정 > 계정 > 로그인 옵션 열기
3. PIN을 잊어버린 PIN(Windows Hello) > 을 선택하고 지침을 따릅니다.

잠금 화면에서 PIN 다시 설정

Microsoft Entra 조인된 디바이스의 경우:

1. PIN 자격 증명 공급자를 선택하지 않은 경우 로그인 옵션 링크를 확장하고 PIN 패드 아이콘을 선택합니다.
2. PIN 자격 증명 공급자에서 PIN을 잊어버렸 음 선택
3. 제공된 옵션 목록에서 인증 옵션을 선택합니다. 이 목록은 테넌트에서 사용하도록 설정된 다양한 인증 방법(예: 암호, PIN, 보안 키)을 기반으로 합니다.
4. 프로비저닝 프로세스에서 제공하는 지침을 따릅니다.
5. 완료되면 새로 만든 PIN을 사용하여 데스크톱 잠금을 해제합니다.

Microsoft Entra 하이브리드 조인 디바이스의 경우:

1. PIN 자격 증명 공급자를 선택하지 않은 경우 로그인 옵션 링크를 확장하고 PIN 패드 아이콘을 선택합니다.
2. PIN 자격 증명 공급자에서 PIN을 잊어버렸 음 선택
3. 암호를 입력하고 Enter 키를 누릅니다.
4. 프로비저닝 프로세스에서 제공하는 지침을 따릅니다.
5. 완료되면 새로 만든 PIN을 사용하여 데스크톱 잠금을 해제합니다.

참고

Microsoft Entra 하이브리드 조인 디바이스에 대한 키 신뢰는 잠금 화면 위에서 파괴적인 PIN 재설정을 지원하지 않습니다. 이는 사용자가 비즈니스용 Windows Hello 자격 증명을 프로비전하고 로그인에 사용할 수 있는 시점 사이의 동기화 지연 때문입니다. 이 배포 모델의 경우 위의 잠금 PIN 재설정이 작동하려면 비파괴 PIN 재설정을 배포해야 합니다.

설정에서 PIN 재설정은 로그인 후만 작동한다는 것을 확인할 수 있습니다. 또한 잠금 화면에서 셀프 서비스 암호 재설정의 일치 제한 사항이 있는 경우 잠금 화면 PIN 재설정 함수가 작동하지 않습니다. 자세한 내용은 Windows 로그인 화면에서 Microsoft Entra 셀프 서비스 암호 재설정 사용을 참조하세요.