PIN 재설정

적용 대상:

  • Windows 10 버전 1709 이상
  • Windows 11

Windows Hello 비즈니스용 설정 로그인 옵션 페이지에서 "PIN 링크를 잊어버린 경우" 잊어버린 PIN을 다시 설정하는 기능을 설정 잠금 화면 위에서 다시 설정할 수 있습니다. PIN을 다시 설정하려면 사용자가 다단계 인증을 인증하고 완료해야 합니다.

파괴적 및 파괴적이지 않은 두 가지 형태의 PIN 재설정이 있습니다. 파괴적인 PIN 재설정은 기본값으로, 구성이 필요하지 않습니다. 파괴적인 PIN을 재설정하는 동안 사용자의 기존 PIN 및 기본 자격 증명(Windows Hello 컨테이너에 추가된 키 또는 인증서 포함)이 클라이언트에서 삭제되고 새 로그온 키와 PIN이 프로비전됩니다. 파괴적이지 않은 PIN 재설정의 경우 MICROSOFT PIN 재설정 서비스 및 클라이언트 정책을 배포하여 PIN 복구 기능을 사용하도록 설정해야 합니다. 파괴적이지 않은 PIN을 다시 설정하는 동안에는 사용자의 비즈니스용 Windows Hello 및 키가 유지되지만 키 사용을 승인하는 데 사용하는 사용자의 PIN이 변경됩니다.

PIN 재설정 사용

요구 사항

  • 설정 페이지에서 재설정 - Windows 10 버전 1703
  • 잠금 화면에서 재설정 -Windows 10 버전 1709

파괴적인 PIN 초기화와 파괴적이지 않은 PIN 재설정은 PIN 재설정을 시작하는 데 동일한 진입점을 사용 합니다. 사용자가 PIN을 잊어버린 경우 대체 로그온 방법이 있는 경우 사용자의 로그인 옵션으로 설정 PIN 옵션에서 PIN 재설정을 시작할 수 있습니다. 디바이스에 로그인하는 다른 방법이 없는 경우 PIN 자격 증명 공급자의 잠금 화면 위에서 PIN 재설정을 시작할 수도 있습니다.

중요

하이브리드 Azure AD 가입 장치의 경우 사용자는 파괴적인 PIN 재설정을 완료하기 위해 도메인 컨트롤러에 대한 회사 네트워크 연결이 있어야 합니다. 인증서 신뢰 또는 사내 전용 배포에 AD FS를 사용 중이면 사용자가 PIN을 다시 설정하려면 페더ation 서비스에 대한 회사 네트워크 연결도 있어야 합니다.

설정 페이지에서 PIN 재설정

  1. 대체 자격 증명을 사용하여 Windows 10 버전 1703 이상에 로그인합니다.
  2. 설정을 열고, 계정을 클릭하고, 로그인 옵션을 클릭합니다.
  3. PIN 아래에서, PIN 잊음을 클릭하고 지침을 따릅니다.

잠금 화면에서 PIN 재설정

Azure AD 가입 장치의 경우:

  1. PIN 자격 증명 공급자를 선택하지 **** 않은 경우 로그인 옵션 링크를 확장하고 PIN 패드 아이콘을 선택합니다.
  2. PIN 자격 증명 공급자에서 PIN을 잊어버렸다는 를 클릭합니다.
  3. 제공된 옵션 목록에서 인증 옵션을 선택합니다. 이 목록은 테넌트에서 사용하도록 설정된 다양한 인증 방법(예: 암호, PIN, 보안 키)을 기반으로 합니다.
  4. 프로비저닝 프로세스에서 제공하는 지침을 따릅니다.
  5. 완료되면 새로 만든 PIN을 사용하여 데스크톱의 잠금을 해제합니다.

하이브리드 Azure AD 가입 장치의 경우:

  1. PIN 자격 증명 공급자를 선택하지 **** 않은 경우 로그인 옵션 링크를 확장하고 PIN 패드 아이콘을 선택합니다.
  2. PIN 자격 증명 공급자에서 PIN을 잊어버렸다는 를 클릭합니다.
  3. 암호를 입력한 후 Enter를 누릅니다.
  4. 프로비저닝 프로세스에서 제공하는 지침을 따릅니다.
  5. 완료되면 새로 만든 PIN을 사용하여 데스크톱의 잠금을 해제합니다.

참고

하이브리드 Azure AD 가입 장치의 키 신뢰는 잠금 화면 위에서 파괴적인 PIN 재설정을 지원하지 않습니다. 이는 사용자가 비즈니스용 Windows Hello 자격 증명을 프로비전하고 로그인에 사용할 수 있는 시간 사이의 동기화 지연으로 인한 것입니다. 이 배포 모델의 경우 잠금 PIN 재설정이 작동하려면 파괴적이지 않은 PIN 재설정을 배포해야 합니다.

설정에서 PIN 재설정은 로그인 후만 작동하며 잠금 화면에서 SSPR 암호 재설정에 일치하는 제한이 있는 경우 "잠금 화면" PIN 재설정 기능이 작동하지 않을 수 있습니다. 자세한 내용은 Azure Active Directory 로그인 화면에서 Windows 암호 재설정 사용 - 일반을 참조하세요.

비즈니스용 Windows Hello 페이지를 방문하고 비즈니스용 Windows Hello 잊어버린 PIN사용자 환경을 시청하세요.

파괴적이지 않은 PIN 재설정

요구 사항:

  • Azure Active Directory
  • 하이브리드 비즈니스용 Windows Hello 배포
  • Azure AD 등록, Azure AD 가입 및 하이브리드 Azure AD 가입
  • Windows 10 버전 1709 ~ 1809, Enterprise Edition. 버전 1903 이후 이 기능에 대한 라이선스 요구 사항은 없습니다.

파괴적이지 않은 PIN 재설정을 클라이언트에서 사용하도록 설정하면 256비트 AES 키가 로컬로 생성되어 사용자의 비즈니스용 Windows Hello 키에 PIN 재설정 보호기로 추가됩니다. 이 PIN 재설정 보호는 Microsoft PIN 재설정 서비스에서 검색된 공개 키를 사용하여 암호화된 다음 나중에 PIN 재설정 중에 사용할 수 있도록 클라이언트에 저장됩니다. 사용자가 PIN 재설정을 시작하고 Azure에 대한 인증을 완료하고 다단계 인증을 완료하면 암호화된 PIN 재설정 보호가 Microsoft PIN 재설정 서비스로 전송되고 암호 해독되어 클라이언트로 반환됩니다. 암호 해독된 PIN 재설정 보호기 는 비즈니스용 Windows Hello 승인하는 데 사용되는 PIN을 변경하는 데 사용되어 메모리에서 지워진 것입니다.

그룹 정책, Microsoft Intune 또는 호환되는 MDM을 사용하여 사용자가 다시 등록하지 않고도 설정 또는 잠금 화면 위에서 잊어버린 PIN을 다시 설정할 수 있도록 하는 Microsoft PIN 재설정 서비스를 안전하게 사용하도록 Windows 장치를 구성할 수 있습니다.

중요

Microsoft PIN 재설정 서비스는 1709 버전 Enterprise Edition Windows 10 1809에 한해 작동합니다. 이 기능은 **** Enterprise Edition 버전 Pro 버전 1903 이상에서 Windows 10 버전과 함께 작동합니다. Microsoft PIN 재설정 서비스는 현재 Azure Government에서 사용할 수 없습니다.

Microsoft PIN 재설정 서비스를 Intune 테넌트에 온보딩

PIN을 원격으로 다시 설정하려면 먼저 Microsoft PIN 재설정 서비스를 테넌트에 Azure Active Directory 관리 장치를 구성해야 합니다.

커넥트 Azure Active Directory PIN 재설정 서비스를 사용할 수 있습니다.

  1. Microsoft PIN Reset Service Production웹 사이트로 이동한 후 테넌트의 테넌트 관리에 사용하는 전역 관리자 계정을 Azure Active Directory 로그인합니다.

  2. 로그인한 후 수락을 선택하고 PIN 재설정 서비스에 대한 동의를 얻어 계정에 액세스합니다.

    Azure의 PIN 재설정 서비스 응용 프로그램.

  3. Microsoft PIN 다시설정 클라이언트 프로덕션 웹 사이트로 이동한 후 테넌트의 테넌트 관리에 사용하는 전역 관리자 계정을 Azure Active Directory 로그인합니다.

  4. 로그인한 후 수락을 선택하면 PIN 재설정 클라이언트가 계정에 액세스하는 데 동의합니다.

    Azure에서 PIN 재설정 클라이언트 응용 프로그램.

    참고

    PIN 재설정 서비스 및 클라이언트 요청을 수락하면 "이 디렉터리 또는 페이지를 볼 수 있는 권한이 없습니다."라는 페이지가 표시됩니다. 이 동작은 예상됩니다. 테넌트에 대해 두 개의 PIN 재설정 응용 프로그램이 나열되어 있는지 확인해야 합니다.

  5. Azure Portal에서Microsoft PIN 재설정 서비스 및 Microsoft PIN 재설정 클라이언트가 응용 프로그램 블레이드에서 Enterprise 확인 응용 프로그램 상태 "사용"으로 필터링하고 Microsoft Pin Reset Service Production 및 Microsoft Pin Reset Client Production이 테넌트에 모두 표시됩니다.

    PIN 다시 설정 서비스 권한 페이지.

그룹 Windows 사용하여 PIN 재설정을 사용하도록 장치 구성

그룹 정책 Windows 컴퓨터 구성 부분을 사용하여 Microsoft PIN 재설정 서비스를 사용하도록 구성할 수 있습니다.

  1. GPMC(그룹 정책 관리 콘솔)를 사용하여 도메인 기반 그룹 정책을 Active Directory의 컴퓨터 계정으로 범위를 지정합니다.
  2. 1단계에서 그룹 정책 개체를 편집합니다.
  3. 컴퓨터 구성 > 관리 템플릿 > Windows 비즈니스용 구성 요소 에 있는 PIN 복구 > Windows Hello 설정을 사용하도록 설정하십시오.
  4. 그룹 정책 관리 편집기를 닫고 그룹 정책 개체를 저장합니다. GPMC를 닫습니다.

다음을 사용하여 PIN 다시 설정 장치 구성 프로필 Microsoft Intune

  1. 전역 관리자 계정을 Endpoint Manager 관리 센터에 로그인합니다.
  2. 끝점 보안 > 계정 보호 속성을 > 클릭합니다.
  3. PIN 복구 사용 을 예로 설정 합니다.

참고

구성 프로필을 사용하여 PIN 복구를 설정할 수도 있습니다.

  1. 로그인하여 Endpoint Manager.
  2. 장치 구성프로필을 > 프로필 유형을 사용하여 새 프로필을 만들거나 기존 프로필을 > **** 편집합니다.
  3. PIN 복구 사용 을 예로 설정 합니다.

장치를 사용하여 PIN 다시 설정 장치 구성 프로필을 Microsoft Intune

  1. 전역 관리자 계정을 사용하여 Azure Portal에 로그인합니다.
  2. 검색 블레이드로 Microsoft Intune 이동합니다. 장치 구성 프로필 > 을 선택 합니다. 장치 구성 프로필 목록에서 PIN 재설정 구성이 포함된 프로필을 선택합니다.
  3. 장치 구성 프로필에서 할당 을 선택합니다.
  4. 포함 및/또는 **** 제외 탭을 사용하여 장치 구성 프로필을 대상으로 지정하여 그룹을 선택합니다.

클라이언트에 PIN 복구 정책이 적용된지 확인

사용자에 대한 PIN 재설정 구성은 명령줄에서 dsregcmd /status를 실행하여 볼 수 있습니다. 이 상태는 사용자 상태 섹션의 출력에서 CanReset 행 항목으로 찾을 수 있습니다. CanReset이 DestructiveOnly로 보고되면 파괴적인 PIN 재설정만 사용하도록 설정됩니다. CanReset이 파괴적인AndNonDestructive를 보고하는 경우 파괴적이지 않은 PIN 재설정이 사용하도록 설정됩니다.

파괴적인 PIN 재설정에 대한 샘플 사용자 상태 출력

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

파괴적이지 않은 PIN 재설정에 대한 샘플 사용자 상태 출력

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Azure AD 가입 장치에서 타사 ID 공급자에 대한 웹 로그인 허용 URL 구성

적용 대상:

  • Windows 10 버전 1803 이상
  • Windows 11
  • Azure AD 가입

ConfigureWebSignInAllowedUrls 정책을 사용하면 Azure AD 가입 장치에서 PIN 재설정 흐름 중에 탐색할 수 있는 도메인 목록을 지정할 수 있습니다. 페더전 환경이 있는 경우 AD FS 또는 타사 ID 공급자를 사용하여 인증을 처리하는 경우 Azure AD에 가입된 PIN 재설정 중에 해당 ID 공급자의 인증 페이지를 사용할 수 있도록 이 정책을 설정해야 합니다.

Intune을 사용하여 정책 구성

  1. 전역 관리자 계정을 Endpoint Manager 관리 센터에 로그인합니다.

  2. 장치를 클릭합니다. 구성 프로필 을 클릭합니다. 프로필 만들기를 클릭합니다.

  3. 플랫폼에서 Windows 10 이상을 선택하고 프로필 유형에 대해 템플릿을 선택합니다. 로드된 서식 파일 목록에서 사용자 지정을 선택하고 만들기를 클릭합니다.

  4. 이름 필드에 웹 로그인 허용 URL을 입력하고 필요한 경우 구성에 대한 설명을 제공합니다. 다음을 클릭합니다.

  5. 구성 설정 페이지에서 추가를 클릭하여 사용자 지정 OMA-URI 설정을 추가합니다. **** 사용자 지정 설정에 대한 다음 정보를 제공합니다.

    • 이름: 웹 로그인 허용된 URL
    • 설명: (선택 사항) PIN 재설정 흐름 중에 허용되는 도메인 목록입니다.
    • OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
    • 데이터 형식: 문자열
    • 값: PIN 재설정 시나리오 중에 인증에 필요한 도메인 목록을 세미코론으로 나타 곱합니다. 예제 값은 signin.contoso.com;portal.contoso.com(인용 부호가 없는 경우)입니다.

    ConfigureWebSignInAllowedUrls 정책에 대한 사용자 지정 구성

  6. 저장 단추를 클릭하여 사용자 지정 구성을 저장합니다.

  7. 할당 페이지에서 포함된 그룹 및 제외된 그룹 섹션을 사용하여 이 정책을 수신해야 하는 사용자 또는 장치 그룹을 정의합니다. 그룹 구성을 완료한 후 다음 단추를 클릭합니다.

  8. 적용 가능성 규칙 페이지에서 다음을 클릭합니다.

  9. 검토 + 만들기 페이지에 표시된 구성을 검토하여 정확한지 확인하십시오. 만들기를 클릭하여 프로필을 저장하고 구성된 그룹에 적용합니다.

참고

Azure Government의 경우 Azure AD 가입 장치에서 실패하는 PIN 재설정에 알려진 문제가 있습니다. 사용자가 PIN 재설정을 시작하려고 시도하면 PIN 재설정 UI에 "지금 해당 페이지를 열 수 없습니다."라는 오류 페이지가 표시됩니다. ConfigureWebSignInAllowedUrls 정책을 사용하여 이 문제를 해결합니다. 이 문제가 발생하고 Azure US Government 클라우드를 사용하는 **** 경우 login.microsoftonline.us ConfigureWebSignInAllowedUrls 정책의 값으로 설정하세요.

관련 항목