VPN 인증 옵션

기본 제공 VPN 솔루션은 보안 수준이 낮은 이전의 암호 기반 인증 방법(사용하면 안 됨)뿐만 아니라 EAP(Extensible Authentication Protocol)를 통해 사용자 이름 및 암호와 인증서 기반 방법을 둘 다 사용하는 보안 인증을 제공합니다. 기본 제공 VPN 유형(IKEv2, L2TP, PPTP 또는 자동)을 선택할 경우 EAP 기반 인증만 구성할 수 있습니다.

Windows는 다양한 EAP 인증 방법을 지원합니다.

  • EAP-Microsoft 챌린지 핸드셰이크 인증 프로토콜 버전 2(EAP-MSCHAPv2):

    • 사용자 이름 및 암호 인증
    • Winlogon 자격 증명 - 컴퓨터 로그인 자격 증명을 사용하여 인증을 지정할 수 있음

  • EAP-Transport 계층 보안(EAP-TLS):

    • 다음 유형의 인증서 인증을 지원합니다.

      • 소프트웨어 KSP(키 저장소 공급자)의 키가 있는 인증서
      • TPM(신뢰할 수 있는 플랫폼 모듈) KSP의 키가 있는 인증서
      • 스마트 카드 인증서
      • 비즈니스용 Windows Hello 인증서

    • 인증서 필터링:

      • 인증서 필터링을 통해 인증에 사용할 특정 인증서를 검색할 수 있음
      • 필터링은 발급자 기반 또는 EKU(확장 키 사용) 기반일 수 있습니다.

    • 서버 유효성 검사 - TLS를 사용하여 서버 유효성 검사를 켜거나 끌 수 있습니다.

      • 서버 이름 - 유효성을 검사할 서버 지정
      • 서버 인증서 - 서버의 유효성을 검사할 신뢰할 수 있는 루트 인증서
      • 알림 - 서버 신뢰 여부를 묻는 알림을 사용자에게 표시할지 지정

  • PEAP(Protected Extensible Authentication Protocol) :

    • 서버 유효성 검사 - PEAP를 사용하면 서버 유효성 검사를 켜거나 끌 수 있습니다.

      • 서버 이름 - 유효성을 검사할 서버 지정
      • 서버 인증서 - 서버의 유효성을 검사할 신뢰할 수 있는 루트 인증서
      • 알림 - 서버 신뢰 여부를 묻는 알림을 사용자에게 표시할지 지정

    • 내부 메서드 - 내부 메서드가 인증을 완료하는 데 사용되는 동안 외부 메서드는 내부에 보안 터널을 만듭니다.

      • EAP-MSCHAPv2
      • EAP-TLS

    • 빠른 다시 연결: 클라이언트에 의한 인증 요청과 NPS(네트워크 정책 서버) 또는 기타 RADIUS(Remote Authentication Dial-in User Service) 서버에 의한 응답 간 지연을 줄임. 이를 통해 클라이언트 및 서버에 대한 리소스 요구 사항이 감소하고 사용자에게 자격 증명을 요청하는 횟수가 최소화됨.

    • 암호화 바인딩: PEAP 1단계 키 자료(터널 키)와 PEAP 2단계 내부 EAP 메서드 키 자료(내부 세션 키)에서 값을 파생하고 교환하면 두 인증이 동일한 두 엔터티(PEAP 피어 및 PEAP 서버)에서 종료된다는 것을 증명할 수 있습니다. “암호화 바인딩”이라고 하는 이 프로세스는 메시지 가로채기(man-in-the-middle) 공격으로부터 PEAP 협상을 보호하는 데 사용됩니다.

  • TTLS(Tunneled Transport Layer Security)

    • 내부 방법
      • EAP 이외
        • PAP(암호 인증 프로토콜)
        • CHAP
        • MSCHAP
        • MSCHAPv2
      • EAP
        • MSCHAPv2
        • TLS
    • 서버 유효성 검사: TTLS에서 서버의 유효성을 검사해야 함. 다음을 구성할 수 있음:
      • 서버 이름
      • 서버 인증서에 대한 신뢰할 수 있는 루트 인증서
      • 서버 유효성 검사 알림을 제공해야 하는지 여부

UWP VPN 플러그 인의 경우 앱 공급업체가 사용할 인증 방법을 관리함. 다음 자격 증명 유형을 사용할 수 있음:

  • 스마트 카드
  • 인증서
  • 비즈니스용 Windows Hello
  • 사용자 이름 및 암호
  • 일회용 암호
  • 사용자 지정 자격 증명 유형

인증 구성

EAP XML 구성에 대해서는 EAP 구성을 참조하세요.

참고

비즈니스용 Windows Hello를 구성하려면 EAP 구성의 단계에 따라 스마트 카드 인증서를 만듭니다. 비즈니스용 Windows Hello 대해 자세히 알아보세요.

다음 이미지는 Microsoft Intune VPN 프로필의 EAP XML 필드를 보여 줍니다. EAP XML 필드는 기본 제공 연결 형식(자동, IKEv2, L2TP, PPTP)을 선택할 경우에만 표시됩니다.

Intune 프로필의 EAP XML 구성을 보여 주는 스크린샷