이 참조 문서에서는 비즈니스용 Windows Hello 대한 포괄적인 정책 설정 목록을 제공합니다. 설정 목록은 사전순으로 정렬되고 네 가지 범주로 구성됩니다.
탭 중 하나를 선택하여 사용 가능한 설정 목록을 확인합니다.
첫 번째 및 두 번째 잠금 해제 요소로 사용할 쉼표로 구분된 자격 증명 공급자 GUID 목록(예: 얼굴 및 지문 공급자 GUID)을 구성합니다. 신뢰할 수 있는 신호 공급자가 잠금 해제 요소 중 하나로 지정된 경우 확인할 각 신호 유형에 대한 쉼표로 구분된 신호 규칙 목록을 xml 형식으로 구성해야 합니다.
이 정책 설정을 사용하도록 설정하면 사용자는 각 목록의 한 요소를 사용하여 성공적으로 잠금을 해제해야 합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 기존 옵션을 사용하여 잠금을 계속 해제할 수 있습니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
자세한 내용은 다단계 잠금 해제를 참조하세요.
각 신호 유형에 대해 xml 형식으로 쉼표로 구분된 신호 규칙 목록을 구성합니다.
- 이 정책 설정을 사용하도록 설정하면 신호 규칙이 평가되어 사용자 부재를 감지하고 디바이스를 자동으로 잠급
- 설정을 사용하지 않거나 구성하지 않으면 사용자는 기존 옵션으로 계속 잠글 수 있습니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
하드웨어 보안 장치 사용
TPM(신뢰할 수 있는 플랫폼 모듈)은 소프트웨어로 보호되는 데이터는 다른 디바이스에서 사용할 수 없으므로 소프트웨어에 비해 추가적인 보안 이점을 제공합니다.
- 이 정책 설정을 사용하도록 설정하면 비즈니스용 Windows Hello 프로비저닝은 사용 가능한 1.2 또는 2.0 TPM이 있는 디바이스에서만 발생합니다. 필요에 따라 TPM 수정 버전 1.2 모듈을 제외하여 해당 디바이스에서 비즈니스용 Windows Hello 프로비저닝을 방지할 수 있습니다.
팁
TPM 1.2 사양은 RSA 및 SHA-1 해시 알고리즘만 사용할 수 있습니다. TPM 1.2 구현은 정책 설정에 따라 다르며 잠금 정책이 다르기 때문에 지원 문제가 발생할 수 있습니다. 비즈니스용 Windows Hello 프로비저닝에서 TPM 1.2 디바이스를 제외하는 것이 좋습니다.
-이 정책 설정을 사용하지 않거나 구성하지 않으면 TPM이 여전히 선호되지만 TPM이 작동하지 않거나 사용할 수 없는 경우 모든 디바이스가 소프트웨어를 사용하여 비즈니스용 Windows Hello 프로비전할 수 있습니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12 |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
온-프레미스 인증에 인증서 사용
이 정책 설정을 사용하여 온-프레미스 인증에 사용되는 로그인 인증서를 등록하도록 비즈니스용 Windows Hello 구성합니다.
- 이 정책 설정을 사용하도록 설정하면 비즈니스용 Windows Hello 온-프레미스 인증에 사용되는 로그인 인증서를 등록합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 비즈니스용 Windows Hello 온-프레미스 인증에 키 또는 Kerberos 티켓(다른 정책 설정에 따라 다름)을 사용합니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello
사용자 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
온-프레미스 인증에 클라우드 트러스트 사용
이 정책 설정을 사용하여 클라우드 Kerberos 트러스트 모델을 사용하도록 비즈니스용 Windows Hello 구성합니다.
- 이 정책 설정을 사용하도록 설정하면 비즈니스용 Windows Hello 인증에서 온-프레미스 인증을 위해 Microsoft Entra ID 검색된 Kerberos 티켓을 사용합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 비즈니스용 Windows Hello 온-프레미스 인증에 키 또는 인증서(다른 정책 설정에 따라 다름)를 사용합니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
참고
클라우드 Kerberos 트러스트는 인증서 신뢰와 호환되지 않습니다. 인증서 신뢰 정책 설정을 사용하도록 설정하면 이 정책 설정보다 우선합니다.
비즈니스용 Windows Hello 사용
- 이 정책을 사용하도록 설정하면 디바이스는 모든 사용자에 대한 키 또는 인증서를 사용하여 비즈니스용 Windows Hello 프로비전합니다.
- 이 정책 설정을 사용하지 않도록 설정하면 디바이스가 사용자에 대한 비즈니스용 Windows Hello 프로비전하지 않습니다.
- 이 정책 설정을 구성하지 않으면 사용자는 비즈니스용 Windows Hello 프로비전할 수 있습니다.
Microsoft 이외의 솔루션을 사용하여 비즈니스용 Windows Hello 프로비전할 때 로그인 후 Windows Hello 프로비저닝을 시작하지 않음 옵션을 선택합니다.
- 로그인 후 Windows Hello 프로비저닝을 시작하지 않음을 선택하면 사용자가 로그인한 후 비즈니스용 Windows Hello 자동으로 프로비저닝을 시작하지 않습니다.
- 로그인 후 Windows Hello 프로비저닝을 시작하지 않음을 선택하지 않으면 사용자가 로그인한 후 비즈니스용 Windows Hello 자동으로 프로비저닝을 시작합니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello
사용자 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
만료
이 설정은 시스템에서 사용자가 PIN을 변경하도록 요구하기 전에 PIN을 사용할 수 있는 기간(일)을 지정합니다. PIN은 1일에서 730일 사이에 만료되도록 설정하거나 정책이 0으로 설정된 경우 PIN이 만료되지 않도록 설정할 수 있습니다.
기본값은 0입니다.
기록
이 설정은 다시 사용할 수 없는 사용자 계정에 연결할 수 있는 이전 PIN 수를 지정합니다. 이 정책은 이전 PIN이 지속적으로 재사용되지 않도록 하여 보안을 강화합니다. 값은 0~50개의 PIN이어야 합니다. 이 정책을 0으로 설정하면 이전 PIN을 저장할 필요가 없습니다.
기본값은 0입니다.
참고
PIN 기록은 PIN 재설정을 통해 유지되지 않습니다.
최대 PIN 길이
최대 PIN 길이는 PIN에 허용되는 최대 문자 수를 구성합니다. 이 정책 설정에 대해 구성할 수 있는 가장 큰 수는 127입니다. 구성할 수 있는 가장 낮은 숫자는 최소 PIN 길이 정책 설정에 구성된 숫자 또는 숫자 4보다 커야 합니다. 이 정책 설정을 구성하는 경우 PIN 길이는 이 숫자보다 작거나 같아야 합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 PIN 길이가 127보다 작거나 같아야 합니다.
참고
최대 PIN 길이에 대해 위에서 지정한 조건이 충족되지 않으면 최대 및 최소 PIN 길이 모두에 기본값이 사용됩니다.
최소 PIN 길이
최소 PIN 길이는 PIN에 필요한 최소 문자 수를 구성합니다. 이 정책 설정에 대해 구성할 수 있는 가장 낮은 수는 4입니다. 구성할 수 있는 가장 큰 숫자는 최대 PIN 길이 정책 설정에 구성된 숫자 또는 가장 낮은 숫자 127보다 작아야 합니다.
이 정책 설정을 구성하는 경우 PIN 길이는 이 숫자보다 크거나 같아야 합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 PIN 길이가 6보다 크거나 같아야 합니다.
참고
최소 PIN 길이에 대해 위에서 지정한 조건이 충족되지 않으면 최대 및 최소 PIN 길이 모두에 기본값이 사용됩니다.
숫자 필요
이 정책 설정을 사용하여 PIN에서 숫자 사용을 구성합니다.
- 이 정책 설정을 사용하도록 설정하면 Windows에서 사용자가 PIN에 하나 이상의 숫자를 포함해야 합니다.
- 이 정책 설정을 사용하지 않도록 설정하면 Windows에서 사용자가 PIN에 숫자를 포함하도록 허용하지 않습니다.
- 이 정책 설정을 구성하지 않으면 Windows에서 PIN의 숫자를 허용하지만 필요하지는 않습니다.
소문자 필요
이 정책 설정을 사용하여 PIN에서 소문자 사용을 구성합니다.
- 이 정책 설정을 사용하도록 설정하면 Windows에서 사용자가 PIN에 하나 이상의 소문자를 포함하도록 요구합니다.
- 이 정책 설정을 사용하지 않도록 설정하면 Windows에서 사용자가 PIN에 소문자를 포함하도록 허용하지 않습니다.
- 이 정책 설정을 구성하지 않으면 Windows에서 PIN에서 소문자를 허용하지만 필요하지는 않습니다.
특수 문자 필요
범위: 컴퓨터
이 정책 설정을 사용하여 PIN에서 특수 문자 사용을 구성합니다. 특수 문자에는 다음 집합이 포함됩니다.
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- 이 정책 설정을 사용하도록 설정하면 Windows에서 사용자가 PIN에 하나 이상의 특수 문자를 포함하도록 요구합니다.
- 이 정책 설정을 사용하지 않도록 설정하면 Windows에서 사용자가 PIN에 특수 문자를 포함하도록 허용하지 않습니다.
- 이 정책 설정을 구성하지 않으면 Windows에서 PIN의 특수 문자를 허용하지만 필요하지는 않습니다.
대문자 필요
이 정책 설정을 사용하여 PIN에서 대문자 사용을 구성합니다.
- 이 정책 설정을 사용하도록 설정하면 Windows에서 사용자가 PIN에 대문자를 하나 이상 포함하도록 요구합니다.
- 이 정책 설정을 사용하지 않도록 설정하면 Windows에서 사용자가 PIN에 대문자를 포함하도록 허용하지 않습니다.
- 이 정책 설정을 구성하지 않으면 Windows에서 PIN에서 대문자를 허용하지만 필요하지는 않습니다.
PIN 복구 사용
PIN 복구를 사용하면 디바이스에서 사용자의 개인 계정과 연결된 키를 포함하여 연결된 자격 증명 또는 인증서를 잃지 않고 비즈니스용 Windows Hello PIN 복구 서비스를 사용하여 잊어버린 PIN을 변경할 수 있습니다.
이를 위해 PIN 복구 서비스는 디바이스에 저장된 복구 비밀을 암호화하고 PIN 복구 서비스와 디바이스가 모두 암호를 해독해야 합니다.
PIN 복구를 수행하려면 사용자가 Microsoft Entra ID 다단계 인증을 수행해야 합니다.
- 이 정책 설정을 사용하도록 설정하면 비즈니스용 Windows Hello PIN 복구 서비스를 사용합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows에서 PIN 복구 비밀을 만들거나 저장하지 않습니다. 사용자가 PIN을 잊어버린 경우 기존 PIN을 삭제하고 새 PIN을 만들어야 하며 이전 PIN이 액세스를 제공한 서비스에 다시 등록해야 합니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
자세한 내용은 PIN 재설정을 참조하세요.
이 정책 설정은 Windows Hello 얼굴 인증에 향상된 스푸핑 방지가 필요한지 여부를 결정합니다.
- 이 설정을 사용하도록 설정하면 Windows에서 얼굴 인증에 향상된 스푸핑 방지 기능을 사용해야 합니다.
중요
이렇게 하면 향상된 스푸핑 방지를 지원하지 않는 디바이스에서 얼굴 인증이 비활성화됩니다.
- 이 설정을 사용하지 않거나 구성하지 않으면 Windows에서 얼굴 인증을 위해 향상된 스푸핑 방지 기능을 요구하지 않습니다.
지원되는 주변 장치에서 ESS 사용
ESS(향상된 로그인 보안)는 특수 하드웨어 및 소프트웨어 구성 요소(예: VBS(가상화 기반 보안) 및 신뢰할 수 있는 플랫폼 모듈 2.0)을 사용하여 생체 인식 데이터에 보안 계층을 추가합니다.
ESS를 사용하면 Windows Hello 생체 인식(얼굴 및 지문) 템플릿 데이터와 일치하는 작업이 신뢰할 수 있는 하드웨어 또는 지정된 메모리 영역으로 격리되며 나머지 운영 체제는 액세스하거나 변조할 수 없습니다. 센서와 알고리즘 간의 통신 채널도 보호되므로 맬웨어가 사용자 로그인을 시뮬레이션하거나 머신에서 사용자를 잠그기 위해 데이터를 삽입하거나 재생하는 것은 불가능합니다.
이 정책을 사용하도록 설정하면 다음 값을 구성할 수 있습니다.
0: ESS는 주변 장치 또는 기본 제공 비 ESS 센서를 사용하여 사용하도록 설정됩니다. 주변 장치 Windows Hello 지원 디바이스의 인증 작업은 현재 기능 제한에 따라 허용됩니다. ESS는 ESS 지원 지문 판독기 및 비 ESS 지원 카메라와 같은 생체 인식 디바이스가 혼합된 디바이스에서 사용하도록 설정됩니다. 따라서 이 설정은 권장되지 않습니다.1: ESS는 주변 장치 또는 기본 제공 비 ESS 센서 없이 사용하도록 설정됩니다. 주변 생체 인식 디바이스의 인증 작업은 차단되며 Windows Hello 사용할 수 없습니다. 이 설정은 가장 높은 보안을 위해 권장됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 ESS가 아닌 센서가 ESS 디바이스에서 차단됩니다.
자세한 내용은 향상된 로그인 보안이 생체 인식 데이터를 보호하는 방법을 참조하세요.
생체 인식 사용
비즈니스용 Windows Hello 사용하면 PIN 제스처 대신 얼굴 및 지문과 같은 생체 인식 제스처를 사용할 수 있습니다. 그러나 사용자는 여전히 실패 시 사용할 PIN을 구성해야 합니다.
- 이 정책 설정을 사용하거나 구성하지 않으면 비즈니스용 Windows Hello 생체 인식 제스처를 사용할 수 있습니다.
- 이 정책 설정을 사용하지 않도록 설정하면 비즈니스용 Windows Hello 생체 인식 제스처 사용을 방지합니다.
참고
이 정책을 사용하지 않도록 설정하면 모든 계정 유형에 대해 디바이스에서 생체 인식 제스처를 사용할 수 없습니다.
|
경로 |
| CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
모든 사용자에 대해 에뮬레이트된 스마트 카드 열거 허용
Windows를 사용하면 동일한 디바이스의 사용자가 다른 사용자에 대해 프로비전된 비즈니스용 Windows Hello 자격 증명을 열거할 수 없습니다. 이 정책 설정을 사용하도록 설정하면 Windows에서는 디바이스의 모든 사용자가 모든 비즈니스용 Windows Hello 자격 증명을 열거할 수 있지만 각 사용자가 인증을 위해 고유한 요소를 제공해야 합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows는 동일한 디바이스의 다른 사용자에 대해 프로비전된 비즈니스용 Windows Hello 자격 증명의 열거를 허용하지 않습니다.
이 정책 설정은 단일 디바이스에 권한 있는 계정과 권한이 없는 계정을 등록하는 단일 사용자를 위해 설계되었습니다. 사용자는 두 자격 증명을 모두 소유하므로 권한이 없는 자격 증명을 사용하여 로그인할 수 있지만 로그아웃하지 않고 상승된 작업을 수행할 수 있습니다. 이 정책 설정은 스마트 카드 에뮬레이션 정책 설정 끄기를 사용할 때 프로비전된 비즈니스용 Windows Hello 자격 증명과 호환되지 않습니다.
|
경로 |
| CSP |
사용할 수 없음 |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
스마트 카드 에뮬레이션 끄기
비즈니스용 Windows Hello 스마트 카드 지원 애플리케이션과의 호환성을 위해 스마트 카드 에뮬레이션을 자동으로 제공합니다.
- 이 정책 설정을 사용하도록 설정하면 비즈니스용 Windows Hello 스마트 카드 애플리케이션과 호환되지 않는 비즈니스용 Windows Hello 자격 증명을 프로비전합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 비즈니스용 Windows Hello 스마트 카드 애플리케이션과 호환되는 비즈니스용 Windows Hello 자격 증명을 프로비전합니다.
중요
이 정책은 생성 시 비즈니스용 Windows Hello 자격 증명에 영향을 줍니다. 이 정책을 적용하기 전에 만든 자격 증명은 스마트 카드 에뮬레이션을 계속 제공합니다. 기존 자격 증명을 변경하려면 이 정책 설정을 사용하도록 설정하고 설정에서 PIN을 잊어버렸습니다 를 선택합니다.
|
경로 |
| CSP |
사용할 수 없음 |
| Gpo |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>비즈니스용 Windows Hello |
비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용
이 정책 설정은 스마트 카드 인증서에만 의존하는 애플리케이션과의 호환성을 허용하도록 설계되었습니다.
- 이 정책 설정을 사용하도록 설정하면 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용합니다. 사용자에게 인증서의 프라이빗 키 사용에 대한 권한을 부여하라는 메시지가 표시되면 생체 인식 요소를 사용할 수 없습니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용하지 않으며, 사용자가 인증서의 프라이빗 키 사용에 대한 권한을 부여하라는 요청을 받을 때 생체 인식 요소를 사용할 수 있습니다.
이 정책 설정은 스마트 카드 에뮬레이션 끄기를 사용할 때 프로비전된 비즈니스용 Windows Hello 자격 증명과 호환되지 않습니다.
기능 설정
PIN 설정
생체 인식 설정
스마트 카드 설정