Microsoft Entra 인증서 기반 인증을 사용하여 Windows 스마트 카드 로그인
Microsoft Entra 사용자는 Windows 로그인 시 Microsoft Entra ID에 대해 스마트 카드에서 X.509 인증서를 사용하여 직접 인증할 수 있습니다. 스마트 카드 인증을 수락하기 위해 Windows 클라이언트에는 특별한 구성이 필요하지 않습니다.
사용자 환경
다음 단계에 따라 Windows 스마트 카드 로그인을 설정합니다.
컴퓨터를 Microsoft Entra ID 또는 하이브리드 환경(하이브리드 조인)에 조인합니다.
설명된 대로 테넌트에서 Microsoft Entra CBA를 구성합니다 Microsoft Entra CBA 구성.
사용자가 관리 인증에 있거나 단계적 롤아웃사용하고 있는지 확인합니다.
물리적 또는 가상 스마트 카드를 테스트 머신에 표시합니다.
스마트 카드 아이콘을 선택하고 PIN을 입력하고 사용자를 인증합니다.
사용자는 로그인에 성공한 후 Microsoft Entra ID에서 PRT(기본 새로 고침 토큰)를 받게 됩니다. CBA 구성에 따라 PRT에는 다단계 클레임이 포함됩니다.
Microsoft Entra CBA에 사용자 UPN을 보내는 Windows의 예상 동작
| 로그인 | Microsoft Entra 가입 | 하이브리드 조인 |
|---|---|---|
| 첫 번째 로그인 | 인증서에서 끌어오기 | AD UPN 또는 x509Hint |
| 후속 로그인 | 인증서에서 끌어오기 | 캐시된 Microsoft Entra UPN |
Microsoft Entra 조인 디바이스용 UPN을 보내기 위한 Windows 규칙
Windows는 먼저 주체 이름을 사용하고, 존재하지 않는 경우 Windows에 로그인하는 데 사용되는 인증서의 SAN(SubjectAlternativeName)에서 RFC822Name을 사용합니다. 둘 다 없는 경우 사용자는 사용자 이름 힌트를 추가로 제공해야 합니다. 자세한 내용은 사용자 이름 힌트 참조하세요.
Microsoft Entra 하이브리드 조인 디바이스용 UPN을 보내기 위한 Windows 규칙
하이브리드 조인 로그인은 먼저 AD(Active Directory) 도메인에 성공적으로 로그인해야 합니다. 사용자 AD UPN은 Microsoft Entra ID로 전송됩니다. 대부분의 경우 Active Directory UPN 값은 Microsoft Entra UPN 값과 동일하며 Microsoft Entra Connect와 동기화됩니다.
일부 고객은 다르게 유지 관리할 수 있으며 Active Directory에 라우팅할 수 없는 UPN 값(예: user@woodgrove.local)이 있을 수 있습니다. 이러한 경우 Windows에서 보낸 값이 Microsoft Entra UPN 사용자와 일치하지 않을 수 있습니다. Microsoft Entra ID가 Windows에서 보낸 값과 일치하지 않는 이러한 시나리오를 지원하기 위해 onPremisesUserPrincipalName 특성에 일치하는 값을 가진 사용자에 대해 후속 조회가 수행됩니다. 로그인에 성공하면 Windows에서 Microsoft Entra UPN 사용자를 캐시하고 후속 로그인으로 전송됩니다.
메모
제공된 경우 모든 상황에서 사용자 이름 로그인 힌트(X509UserNameHint)가 전송됩니다. 자세한 내용은 사용자 이름 힌트 참조하세요.
중요하다
사용자가 사용자 이름 로그인 힌트(X509UserNameHint)를 제공하는 경우 제공된 값은 UPN 형식이어야.
Windows 흐름에 대한 자세한 내용은 인증서 요구 사항 및 열거형(Windows)참조하세요.
지원되는 Windows 플랫폼
Windows 스마트 카드 로그인은 Windows 11의 최신 미리 보기 빌드에서 작동합니다. 이 기능은 다음 업데이트 KB5017383중 하나를 적용한 후 이전 Windows 버전에서도 사용할 수 있습니다.
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
지원되는 브라우저
| 가장자리 | 크롬 | 사파리 | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
메모
Microsoft Entra CBA는 디바이스의 인증서와 Windows의 보안 키와 같은 외부 스토리지를 모두 지원합니다.
Windows 기본 제공 환경(OOBE)
Windows OOBE는 사용자가 외부 스마트 카드 판독기를 사용하여 로그인하고 Microsoft Entra CBA에 대해 인증할 수 있도록 허용해야 합니다. 기본적으로 Windows OOBE에는 OOBE를 설정하기 전에 필요한 스마트 카드 드라이버 또는 이전에 Windows 이미지에 추가된 스마트 카드 드라이버가 있어야 합니다.
제한 사항 및 주의 사항
- Microsoft Entra CBA는 하이브리드 또는 Microsoft Entra가 가입된 Windows 디바이스에서 지원됩니다.
- 사용자는 관리되는 도메인에 있거나 스테이징된 롤아웃을 사용해야 하며 페더레이션 인증 모델을 사용할 수 없습니다.
다음 단계
- Microsoft Entra CBA 개요
- Microsoft Entra CBA에 대한 기술 심층 분석
- Microsoft Entra CBA 구성하는 방법
- iOS 디바이스에서 Microsoft Entra CBA
- Android 디바이스에서 Microsoft Entra CBA
- 인증서 사용자 ID
- 페더레이션된 사용자 마이그레이션하는 방법
- 자주 묻는 질문