Microsoft Intune에서 인증용 인증서 사용
Intune에서 인증서를 사용하여 VPN, Wi-Fi 또는 메일 프로필을 통해 애플리케이션 및 회사 리소스에서 사용자를 인증합니다. 인증서를 사용하여 이러한 연결을 인증하는 경우 최종 사용자는 사용자 이름과 암호를 입력할 필요가 없으므로 액세스가 원활할 수 있습니다. S/MIME을 사용하여 메일을 서명 및 암호화하는 데도 인증서가 사용됩니다.
Intune을 사용한 인증서 소개
인증서는 다음 두 단계를 통해 지연 없이 인증된 액세스를 제공합니다.
- 인증 단계: 사용자가 자신이 주장하는 사람인지 확인하기 위해 사용자의 진위 여부를 확인합니다.
- 권한 부여 단계: 사용자는 사용자에게 액세스 권한을 부여해야 하는지 여부를 결정하는 조건이 적용됩니다.
인증서에 대한 일반적인 사용 시나리오에는 다음이 포함됩니다.
- 디바이스 또는 사용자 인증서를 사용하는 네트워크 인증(예: 802.1x)
- 디바이스 또는 사용자 인증서를 사용하여 VPN 서버 인증
- 사용자 인증서를 기반으로 하는 이메일 서명
Intune은 디바이스에서 인증서를 프로비저닝하는 방법으로 SCEP(단순 인증서 등록 프로토콜), PKCS(공개 키 암호화 표준) 및 가져온 PKCS 인증서를 지원합니다. 여러 프로비저닝 방법마다 요구 사항과 결과가 다릅니다. 예제:
- SCEP는 인증서에 대한 각 요청에 고유한 인증서를 프로비전합니다.
- PKCS는 고유한 인증서를 사용하여 각 디바이스를 프로비저닝합니다.
- 가져온 PKCS를 사용하면 이메일 서버와 같이 원본에서 내보낸 것과 동일한 인증서를 여러 받는 사람에게 배포할 수 있습니다. 이 공유 인증서는 모든 사용자 또는 디바이스가 해당 인증서로 암호화된 이메일의 암호를 해독할 수 있는지 확인하는 데 유용합니다.
특정 유형의 인증서를 사용하여 사용자 또는 디바이스를 프로비저닝하기 위해 Intune은 인증서 프로필을 사용합니다.
세 가지 인증서 유형 및 프로비저닝 방법 외에도 신뢰할 수 있는 CA(인증 기관)의 신뢰할 수 있는 루트 인증서가 필요합니다. CA는 온-프레미스 Microsoft 인증 기관 또는 타사 인증 기관일 수 있습니다. 신뢰할 수 있는 루트 인증서는 디바이스에서 다른 인증서가 발급되는 루트 또는 중간(발급) CA로의 트러스트를 설정합니다. 이 인증서를 배포하려면 신뢰할 수 있는 인증서 프로필을 사용하고 SCEP, PKCS 및 가져온 PKCS에 대한 인증서 프로필을 수신하는 동일한 디바이스 및 사용자에게 배포합니다.
팁
Intune은 스마트 카드를 사용해야 하는 환경에 대한 파생된 자격 증명 사용도 지원합니다.
인증서를 사용하는 데 필요한 사항
- 인증 기관. CA는 인증서가 인증을 위해 참조하는 신뢰의 출처입니다. Microsoft CA 또는 타사 CA를 사용할 수 있습니다.
- 온-프레미스 인프라. 필요한 인프라는 사용하는 인증서 유형에 따라 달라집니다.
- 신뢰할 수 있는 루트 인증서. SCEP 또는 PKCS 인증서 프로필을 배포하기 전에 신뢰할 수 있는 인증서 프로필을 사용하여 CA에서 신뢰할 수 있는 루트 인증서를 배포합니다. 이 프로필은 디바이스에서 CA로의 트러스트를 설정하는 데 도움이 되며 다른 인증서 프로필에 필요합니다.
신뢰할 수 있는 루트 인증서를 배포하면 인증을 위해 인증서를 사용하여 사용자 및 디바이스를 프로비전하는 인증서 프로필을 배포할 준비가 된 것입니다.
사용할 인증서 프로필 이름
다음 비교는 포괄적이지 않지만 다른 인증서 프로필 유형 사용을 구분하기 위한 것입니다.
| 프로필 유형 | 세부 정보 |
|---|---|
| 신뢰할 수 있는 인증서 | 루트 CA 또는 중간 CA의 공개 키(인증서)를 사용자 및 디바이스에 배포하여 원본 CA에 대한 트러스트를 다시 설정합니다. 다른 인증서 프로필에는 신뢰할 수 있는 인증서 프로필 및 해당 루트 인증서가 필요합니다. |
| SCEP 인증서 | 인증서 요청에 대한 템플릿을 사용자 및 디바이스에 배포합니다. SCEP를 사용하여 프로비저닝된 각 인증서는 고유하며 인증서를 요청하는 사용자 또는 디바이스에 연결됩니다.
SCEP를 사용하면 SCEP를 사용하여 KIOSK 또는 사용자 없는 디바이스에서 인증서를 프로비전하는 등 사용자 선호도가 없는 디바이스에 인증서를 배포할 수 있습니다. |
| PKCS 인증서 | 사용자 또는 디바이스의 인증서 유형을 지정하는 인증서 요청에 대한 템플릿을 배포합니다.
- 사용자의 인증서 유형에 대한 요청에는 항상 사용자 선호도가 필요합니다. 사용자에게 배포되는 경우 각 사용자의 디바이스에서 고유한 인증서를 수신합니다. 사용자가 있는 디바이스에 배포되는 경우 해당 사용자는 해당 디바이스에 대한 인증서와 연결됩니다. 사용자가 없는 디바이스에 배포되는 경우 인증서가 프로비저닝되지 않습니다. - 인증서 유형의 디바이스가 있는 템플릿은 인증서를 프로비전하기 위해 사용자 선호도가 필요하지 않습니다. 디바이스에 대한 배포에서는 디바이스를 프로비저닝합니다. 사용자에 대한 배포에서는 사용자가 인증서를 사용하여 로그인한 디바이스를 프로비저닝합니다. |
| PKCS 가져온 인증서 | S/MIME 서명 및 암호화와 같은 시나리오를 지원하는 여러 디바이스 및 사용자에게 단일 인증서를 배포합니다. 예를 들어 각 디바이스에 동일한 인증서를 배포하면 각 디바이스는 동일한 이메일 서버에서 받은 이메일을 해독할 수 있습니다.
SCEP는 각 요청에 대해 고유한 인증서를 만들고 PKCS는 각 사용자에 대해 서로 다른 인증서를 연결하고 다른 사용자가 서로 다른 인증서를 수신하므로 다른 인증서 배포 방법은 이 시나리오에 충분하지 않습니다. |
Intune에서 지원하는 인증서 및 용도
| 유형 | 인증 | S/MIME 서명 | S/MIME 암호화 |
|---|---|---|---|
| PKCS(공개 키 암호화 표준)에 따라 가져온 인증서 |
|
|
|
| PKCS #12(또는 PFX) |
|
|
|
| SCEP(단순 인증서 등록 프로토콜) |
|
|
이러한 인증서를 배포하려면 디바이스에 인증서 프로필을 만들고 할당합니다.
사용자가 만드는 각 개별 인증서 프로필은 단일 플랫폼을 지원합니다. 예를 들어 PKCS 인증서를 사용하는 경우 Android용 PKCS 인증서 프로필과 iOS/iPadOS용 별도의 PKCS 인증서 프로필을 만듭니다. 이러한 두 플랫폼에 SCEP 인증서를 사용하는 경우 Android용 SCEP 인증서 프로필과 iOS/iPadOS용 SCEP 인증서 프로필을 만듭니다.
Microsoft 인증 기관을 사용하는 경우의 일반적인 고려 사항
Microsoft CA(인증 기관)를 사용하는 경우:
SCEP 인증서 프로필을 만들려면
PKCS 인증서 프로필을 사용하려면
PKCS 가져온 인증서를 사용하려면
- Microsoft Intune용 인증서 커넥터를 설치합니다.
- 인증 기관에서 인증서를 내보낸 후 Microsoft Intune으로 가져옵니다. PFXImport PowerShell 프로젝트를 참조하세요.
다음 메커니즘을 사용하여 인증서를 배포합니다.
- 루트 또는 중간(발급) CA에서 디바이스에 신뢰할 수 있는 루트 CA 인증서를 배포하기 위한 신뢰할 수 있는 인증서 프로필
- SCEP 인증서 프로필
- PKCS 인증서 프로필
- PKCS 가져온 인증서 프로필
타사 인증 기관을 사용하는 경우의 일반적인 고려 사항
타사 CA(인증 기관)를 사용하는 경우:
SCEP 인증서 프로필은 Microsoft Intune 인증서 커넥터를 사용할 필요가 없습니다. 대신 타사 CA는 인증서 발급 및 관리를 직접 처리합니다. Intune 인증서 커넥터 없이 SCEP 인증서 프로필을 사용하려면 다음을 수행합니다.
- 지원되는 파트너 중 하나에서 타사 CA와의 통합을 구성합니다. 설정에는 타사 CA의 지침에 따라 Intune과 CA의 통합을 완료하는 과정이 포함됩니다.
- Microsoft Entra ID SCEP 인증서 챌린지 유효성 검사를 수행할 Intune 권한을 위임하는 애플리케이션을 만듭니다.
자세한 내용은 타사 CA 통합 설정을 참조하세요.
PKCS 가져온 인증서는 Microsoft Intune 인증서 커넥터를 사용해야 합니다. Microsoft Intune 인증서 커넥터 설치를 참조하세요.
다음 메커니즘을 사용하여 인증서를 배포합니다.
- 루트 또는 중간(발급) CA에서 디바이스에 신뢰할 수 있는 루트 CA 인증서를 배포하기 위한 신뢰할 수 있는 인증서 프로필
- SCEP 인증서 프로필
- PKCS 인증서 프로필(Digicert PKI 플랫폼에서만 지원됨)
- PKCS 가져온 인증서 프로필
지원되는 플랫폼 및 인증서 프로필
| 플랫폼 | 신뢰할 수 있는 인증서 프로필 | PKCS 인증서 프로필 | SCEP 인증서 프로필 | PKCS 가져온 인증서 프로필 |
|---|---|---|---|---|
| Android 장치 관리자 |
( 참고 1 참조) |
|
|
|
| Android Enterprise - 완전 관리형(디바이스 소유자) |
|
|
|
|
| Android Enterprise - 전용(디바이스 소유자) |
|
|
|
|
| Android Enterprise - Corporate-Owned 회사 프로필 |
|
|
|
|
| Android Enterprise - Personally-Owned 회사 프로필 |
|
|
|
|
| Android(AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 이상 |
|
|
||
| Windows 10/11 |
( 참고 2 참조) |
( 참고 2 참조) |
( 참고 2 참조) |
|
- 참고 1 - Android 11부터 신뢰할 수 있는 인증서 프로필은 더 이상 Android 디바이스 관리자로 등록된 디바이스에 신뢰할 수 있는 루트 인증서를 설치할 수 없습니다. Samsung Knox에는 이 제한이 적용되지 않습니다. 자세한 내용은 Android 디바이스 관리자를 위한 신뢰할 수 있는 인증서 프로필을 참조하세요.
- 참고 2 - 이 프로필은 Windows Enterprise 다중 세션 원격 데스크톱에서 지원됩니다.
중요
2022년 10월 22일에 Microsoft Intune은 Windows 8.1을 실행하는 디바이스에 대한 지원을 종료했습니다. 이러한 디바이스에 대한 기술 지원 및 자동 업데이트는 사용할 수 없습니다.
현재 Windows 8.1 사용하는 경우 Windows 10/11 디바이스로 이동합니다. Microsoft Intune에는 Windows 10/11 클라이언트 디바이스를 관리하는 기본 제공 보안 및 디바이스 기능이 있습니다.
중요
Android 디바이스 관리자 관리는 더 이상 사용되지 않으며 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 더 이상 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 지원 및 도움말 설명서는 Android 15 이하를 실행하는 GMS가 없는 일부 디바이스에서 계속 사용할 수 있습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.
관련 콘텐츠
추가 리소스
인증서 프로필을 만듭니다.
- 신뢰할 수 있는 인증서 프로필 구성
- Intune을 사용하여 SCEP 인증서를 지원하도록 인프라 구성
- Intune을 사용하여 PKCS 인증서 구성 및 관리
- PKCS 가져온 인증서 프로필 만들기
Microsoft Intune용 인증서 커넥터에 대해 알아보기