Microsoft Entra 인증서 기반 인증을 사용한 Windows 스마트 카드 로그인
Microsoft Entra 사용자는 Windows 로그인 시 Microsoft Entra ID에 대해 직접 스마트 카드의 X.509 인증서를 사용하여 인증할 수 있습니다. Windows 클라이언트에서 스마트 카드 인증을 수락하는 데 필요한 특별한 구성은 없습니다.
사용자 환경
다음 단계에 따라 Windows 스마트 카드 로그인을 설정합니다.
컴퓨터를 Microsoft Entra ID 또는 하이브리드 환경(하이브리드 조인)에 조인합니다.
Microsoft Entra CBA 구성에 설명된 대로 테넌트에서 Microsoft Entra CBA를 구성합니다.
사용자가 관리 인증에 있거나 단계적 롤아웃을 사용하고 있는지 확인합니다.
물리적 또는 가상 스마트 카드를 테스트 머신에 표시합니다.
스마트 카드 아이콘을 선택해 PIN을 입력하고 사용자를 인증합니다.
사용자는 로그인에 성공한 후 Microsoft Entra ID로부터 PRT(기본 새로 고침 토큰)를 가져오게 됩니다. CBA 구성에 따라 PRT에는 다단계 클레임이 포함됩니다.
사용자 UPN을 Microsoft Entra CBA로 보내는 Windows의 예상 동작
| 로그인 | Microsoft Entra 조인 | 하이브리드 조인 |
|---|---|---|
| 첫 번째 로그인 | 인증서에서 끌어오기 | AD UPN 또는 x509Hint |
| 후속 로그인 | 인증서에서 끌어오기 | 캐시된 Microsoft Entra UPN |
Microsoft Entra 조인 디바이스에 대한 UPN 전송을 위한 Windows 규칙
Windows는 먼저 보안 주체 이름을 사용하고, 이 이름이 없으면 Windows에 로그인하는 데 사용되는 인증서의 SAN(SubjectAlternativeName)에 있는 RFC822Name을 사용합니다. 둘 다 없는 경우 사용자는 사용자 이름 힌트를 추가로 제공해야 합니다. 자세한 내용은 사용자 이름 힌트를 참조하세요.
Microsoft Entra 하이브리드 조인 디바이스에 대한 UPN 전송을 위한 Windows 규칙
하이브리드 조인 로그인은 먼저 AD(Active Directory) 도메인에 성공적으로 로그인해야 합니다. 사용자 AD UPN이 Microsoft Entra ID로 전송됩니다. 대부분의 경우 Active Directory UPN 값은 Microsoft Entra UPN 값과 동일하며 Microsoft Entra Connect와 동기화됩니다.
일부 고객은 다른 값을 유지할 수 있으며 Active Directory에 라우팅할 수 없는 UPN 값(예: user@woodgrove.local)이 있는 경우도 있습니다. 이러한 경우 Windows에서 보낸 값이 사용자의 Microsoft Entra UPN과 일치하지 않을 수 있습니다. Microsoft Entra ID가 Windows에서 전송한 값과 일치할 수 없는 이러한 시나리오를 지원하기 위해 onPremisesUserPrincipalName 특성에 일치하는 값이 있는 사용자에 대한 후속 조회가 수행됩니다. 로그인에 성공하면 Windows는 사용자의 Microsoft Entra UPN을 캐시하고 후속 로그인 시 전송됩니다.
참고 항목
모든 경우에 사용자가 사용자 이름 로그인 힌트(X509UserNameHint)를 제공한 경우 이 힌트가 전송됩니다. 자세한 내용은 사용자 이름 힌트를 참조하세요.
Important
사용자가 사용자 이름 로그인 힌트(X509UserNameHint)를 제공하는 경우 제공된 값은 반드시 UPN 형식이어야 합니다.
Windows 흐름에 대한 자세한 내용은 인증서 요구 사항 및 열거형(Windows)을 참조하세요.
지원되는 Windows 플랫폼
Windows 스마트 카드 로그인은 Windows 11의 최신 미리 보기 빌드에서 작동합니다. 다음 업데이트 KB5017383 중 하나를 적용하면 이러한 이전 Windows 버전에서도 이 기능을 사용할 수 있습니다.
- Windows 11 - kb5017383
- Windows 10 - kb5017379
- Windows Server 20H2- kb5017380
- Windows Server 2022 - kb5017381
- Windows Server 2019 - kb5017379
지원되는 브라우저
| Edge | Chrome | Safari | Firefox |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
참고 항목
Microsoft Entra CBA는 디바이스 내 인증서와 Windows의 보안 키와 같은 외부 스토리지를 모두 지원합니다.
Windows OOBE(기본 제공 환경)
Windows OOBE에서는 사용자가 외부 스마트 카드 판독기를 사용하여 로그인하고 Microsoft Entra CBA에 대해 인증할 수 있어야 합니다. 기본적으로 Windows OOBE에는 필수 스마트 카드 드라이버 또는 OOBE 설정 전에 이전에 Windows 이미지에 추가된 스마트 카드 드라이버가 있어야 합니다.
제한 사항 및 주의 사항
- Microsoft Entra CBA는 하이브리드 또는 Microsoft Entra에 조인된 Windows 디바이스에서 지원됩니다.
- 사용자는 관리되는 도메인에 있거나 단계적 롤아웃을 사용해야 하며 페더레이션 인증 모델은 사용할 수 없습니다.