Windows 등록 증명
Windows 등록 증명의 목표는 조인하는 네트워크 내에서 디바이스를 보다 안전하고 신뢰할 수 있도록 하는 것입니다. 이 기능을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈) 기술을 사용하여 Windows 10 및 11 디바이스가 등록 중에 엄격한 보안 표준을 충족하는지 확인할 수 있습니다. 또한 Windows 등록 증명 기능은 안전하게 등록하는 디바이스를 확인하고 보고하여 프로세스가 신뢰할 수 있도록 합니다.
조직에 혜택을 주는 방법은 다음과 같습니다.
향상된 보안: TPM 증명은 보안 약점 또는 손상된 디바이스를 감지하고 해결하는 데 도움이 되며 무단 액세스 또는 보안 인시던트의 가능성을 낮춥니다.
규정 표준 충족: Windows 증명은 조직이 디바이스 등록 중에 엄격한 보안 조치를 준수한다는 것을 증명하는 데 도움이 되며, 이는 업계 규정 및 규정 준수 요구 사항을 충족하는 데 중요합니다.
주요 목표는 등록 프로세스 중에 Windows 증명을 사용하여 조직 인프라 내의 디바이스에 대해 보다 안전하고 신뢰할 수 있는 환경을 설정하는 것입니다.
Windows 등록 증명에 대한 요구 사항
보다 성공적인 증명 속도를 위해 최신 업데이트를 사용하는 것이 좋습니다.
Windows 10
- 10.0.19045.3996+
Windows 11
- 10.0.22000.2713+
- 10.0.22621.2792+
- 10.0.22631.2792+
디바이스의 최소 TPM 2.0
물리적 디바이스가 지원됩니다.
참고
가상 머신은 vTPM을 사용하는 경우에도 다음을 포함하여 확인할 수 없습니다.
- Hyper-V 및 Azure 가상 머신
- Azure Virtual Desktop 세션 호스트
- Windows 365 클라우드 PC
- Microsoft Dev Box
이 기능에서 TPM을 사용한 증명은 Autopilot 사전 프로비전 및 공유 디바이스 모드(SDM)에서 발생하는 TPM 증명 이후 Intune 디바이스 관리 등록 중에 수행됩니다.
Windows 증명에 해당하는 CSP(구성 서비스 공급자) 목록:
Windows 등록 증명 작동 방식
디바이스 증명 상태 보고서
이 보고서에는 디바이스, 해당 TPM 및 디바이스가 등록에 대해 성공적으로 테스트되었는지 여부에 대한 정보가 표시됩니다. 디바이스가 테스트하지 않는 경우 보고서는 상태 세부 정보 섹션에서 이유를 설명합니다. 이 보고서를 사용하여 디바이스의 전체 목록을 확인하고 등록 시 성공적으로 수집된 디바이스를 확인합니다.
이 보고서에 액세스하려면 다음을 수행합니다.
Microsoft Intune 관리 센터에 로그인합니다.
디바이스 관리 섹션에서 보고서>디바이스 증명 상태(미리 보기)를 선택합니다.
증명 상태 또는 소유권 유형별로 필터링하고 보고서 생성을 선택합니다.
보고서가 생성되면 표시되는 최상위 세부 정보에는 다음이 포함됩니다.
장치 이름
디바이스 ID
UPN
디바이스 증명 상태
상태 세부 정보
OS
OS 버전
소유권
마지막 체크인
등록 날짜
TPM 버전
TPM 제조업체
모델
항목을 선택하면 디바이스에 대한 자세한 정보를 찾을 수 있습니다. 왼쪽 선택 열을 사용하여 항목을 선택하고 보고서 맨 위에 있는 디바이스 테스트 작업을 사용하여 다시 테스트할 수도 있습니다.
다음 표에는 상태 세부 정보 및 해당 설명이 나와 있습니다.
| 상태 세부 정보 | 설명 |
|---|---|
| Entra 키를 증명할 수 없습니다. | Entra 팀은 ENTRA 인증서의 키를 TPM에 저장하지 않았습니다. 디바이스가 AP ODJ에 등록된 경우 이 상태 세부 정보는 일시적입니다. |
| 증명이 진행 중입니다. | Intune이 최신 상태를 쿼리할 때 디바이스가 여전히 증명 작업을 하고 있습니다. |
| TPM을 신뢰할 수 없습니다. | 디바이스에는 신뢰할 수 없으므로 증명할 수 없는 TPM이 포함되어 있습니다. |
| TPM을 사용할 수 없음 | 디바이스에 TPM 2.0이 없거나 업데이트가 필요한 펌웨어로 인해 TPM을 테스트할 수 없습니다. 펌웨어를 업데이트하는 방법에 대한 자세한 내용은 리소스를 참조하세요. |
| TPM이 준비되지 않음 | 이 디바이스에서 TPM을 사용할 준비가 되지 않았습니다. 사용자는 TPM 소유권을 다시 설정해야 합니다. TPM 소유권을 다시 설정하는 방법에 대한 자세한 내용은 리소스를 참조하세요. |
| 클라이언트 요청이 거부됨 | 클라이언트의 증명 요청이 MDM 서버에 도달하지 않았거나 서버가 요청을 거부했습니다. |
| AIK 인증서가 제공되지 않았습니다. | AIK 인증서가 디바이스에 없습니다. 네트워크 문제 때문일 수 있습니다. 임시인 경우 디바이스가 AIK 인증서를 받으면 증명이 성공적으로 다시 시도됩니다. |
| 클라이언트가 필요한 매개 변수를 모두 제공하지 않았습니다. | AIK 인증서와 AIK 공개 키가 모두 없습니다. |
| MDM 키가 이미 TPM에 있습니다. | 디바이스는 MDM 키가 이미 TPM에 저장되어 있음을 나타냅니다. 그러나 AIK 인증서 또는 AIK 공개 키가 없거나 ENTRA 키를 증명할 수 없으므로 Intune에서 이를 증명할 수 없습니다. |
| 기능은 지원되지 않습니다. | 이 상태는 아직 테스트할 수 없는 디바이스에 대해 표시됩니다. 예를 들어 Hyper-V 및 Azure 가상 머신, Azure Virtual Desktop 세션 호스트, Windows 365 클라우드 PC, Microsoft Dev Box가 있습니다. |
| Entra 토큰이 디바이스 ID와 일치하지 않음 | 등록에 대한 ENTRA 토큰은 등록 요청에 표시된 ENTRA 키와 일치하지 않습니다. 최신 Windows 빌드로 업그레이드하고 증명을 다시 시도하여 이 문제를 해결할 수 있습니다. |
| Entra 토큰에 디바이스 ID가 없습니다. | 등록을 위한 ENTRA 토큰에 ENTRA 디바이스 ID가 없습니다. |
참고
자세한 내용은 리소스 섹션을 참조 하세요 .
디바이스 동작을 테스트합니다.
TPM 증명을 시작하지 않은 디바이스가 보고서에 표시되는 경우 한 번에 몇 개의 디바이스를 선택하고 TPM은 보고서 맨 위에 있는 새 디바이스 작업 증명 디바이스 를 사용하여 증명할 수 있습니다. 이 디바이스 작업은 디바이스를 테스트하는 데 몇 분 미만이 걸리며 새로 고칠 때 보고서에 반영됩니다.
일부 시작되지 않은 디바이스를 확인하려면 다음을 수행합니다.
보고서 맨 위에 있는 드롭다운 필터를 사용하여 시작되지 않음 증명 상태로 필터링합니다.
생성을 다시 선택합니다. 여기에서 몇 가지 디바이스를 선택한 다음, 보고서 맨 위에 있는 디바이스 수집 작업을 선택합니다.
증명은 디바이스 활동 및 선택한 디바이스 수에 따라 최대 15분이 걸릴 수 있습니다. 일정 시간 후에 새로 고쳐 선택한 디바이스의 업데이트된 상태를 확인합니다.
참고
디바이스 작업을 위해 한 번에 최대 100개 디바이스만 선택하고 디바이스 수집 작업을 트리거 하는 동안 1분 이상 기다릴 수 있습니다.
상태 세부 정보 열의 값에 따라 디바이스가 증명에 실패하는 경우 증명 디바이스 작업을 사용하여 증명을 다시 시도할 수 있습니다. 다음 상태 세부 정보가 표시되면 디바이스 테스트 작업을 다시 시도하는 것이 좋습니다.
AIK 인증서가 클라이언트에서 제공되지 않았습니다.
증명이 진행 중입니다.
MDM 키가 이미 TPM에 있습니다.
TPM이 준비되지 않음
인증 실패
클라이언트가 증명에 필요한 모든 매개 변수를 제공하지 않았습니다.
Entra 토큰이 디바이스 ID와 일치하지 않음
디바이스 작업에 대한 권한
디바이스 증명 디바이스 작업을 사용하려면 원격 작업: 디바이스를 사용할 수 있는 경우 MDM(모바일 디바이스 관리) 증명을 나타내는 역할 기반 권한이 필요합니다. 작업을 사용하도록 설정하려면 사용 권한을 예로 설정합니다. 사용 권한을 예로 설정하면 IT 관리자가 디바이스 수집 작업을 시작할 수 있습니다.
리소스
중요
TPM 문제 해결에는 일반적으로 초기화 및 다시 설정 작업이 필요하며 이로 인해 데이터가 손실됩니다. TPM 문제 해결 단계를 수행하기 전에 백업이 있는지 확인합니다.
추가 링크: