학생용 암호 없는

보안 위협이 증가함에 따라 학교는 일반적으로 학생들을 위해 피할 수 있는 보안 기능을 사용하는 방법에 대해 생각하기 시작하는 것이 중요합니다.

이 문서에서는 학교에서 암호 없는 자격 증명을 사용하는 방법을 설명합니다.

요구 사항:

• Entra P1을 포함하는 라이선스 또는 번들입니다.

설정에 대한 MFA(다단계 인증) 요구 사항(부트스트랩이라고도 함)으로 인해 암호 없는 피싱 방지 자격 증명을 학생에게 배포하는 것이 어려웠습니다. TAP(임시 액세스 패스)는 사용자가 디바이스에 바인딩된 암호 없는 자격 증명을 포함하여 자격 증명을 설정할 수 있는 전화 무료 옵션을 제공합니다.

임시 액세스 패스는 단일 또는 여러 용도로 구성할 수 있는 시간 제한 암호입니다. 사용자는 TAP를 사용하여 로그인하여 Microsoft Authenticator, FIDO2, 비즈니스용 Windows Hello, Secure Enclave를 사용한 플랫폼 SSO(Single Sign-On) 및 Passkeys와 같은 다른 암호 없는 인증 방법을 온보딩할 수 있습니다.

관리자는 TAP을 만들고 학생에게 배포할 수 있습니다. 학생은 TAP를 사용하여 암호 없는 자격 증명을 만들 수 있습니다. 그런 다음, 학생들은 passworldess 자격 증명을 사용하여 디바이스에 로그인할 수 있습니다.

각 운영 체제에는 디바이스 바인딩된 암호 없는 자격 증명에 대한 다른 구현이 있습니다.

운영 체제	하드웨어 바인딩된 키 기술	에 적합	하드웨어 요구 사항	생체 인식 정보
Windows	비즈니스용 Windows Hello	1:1 디바이스	TPM(신뢰할 수 있는 플랫폼 모듈)	Windows Hello
macOS	Secure Enclave를 사용하는 플랫폼 SSO(미리 보기)	1:1 디바이스	보안 Enclave	TouchID
iOS	Microsoft Authenticator를 사용하는 암호(미리 보기)	1:1 디바이스	iOS 16 이상	FaceID
Android	Microsoft Authenticator를 사용하는 암호(미리 보기)	1:1 디바이스	Android 14 이상	OEM 관련
Windows, macOS	FIDO2 보안 키	1:1 또는 공유 디바이스	FIDO2 보안 키	다양한
암호(동기화 가능) - 2024년 하반기 출시	해당 없음	하드웨어에 바인딩되지 않음 – 보호는 암호 공급자 공급업체에 따라 다릅니다.	해당 없음	다양한

이러한 기술은 하드웨어 바인딩된 프라이빗 키( 해당 디바이스의 물리적 소유)의 조합을 사용하기 때문에 피싱 방지 인증 강도를 제공합니다. 디바이스별 프라이빗 키의 잠금을 해제하거나 "해제"하는 데 사용되는 로컬 디바이스 PIN 또는 암호입니다. 프라이빗 키는 디바이스를 벗어나지 않거나 네트워크를 통해 전송되지 않습니다. Microsoft Entra ID는 하드웨어 바인딩된 프라이빗 키로 서명된 데이터의 유효성을 검사하는 데 사용되는 해당 공개 키만 보유합니다. PIN 또는 로컬 암호는 디바이스에 따라 달라지며 사용자가 동일한 PIN을 사용하지 않는 한 서비스 또는 다른 디바이스에 로그인하는 데 사용할 수 없습니다.

팁

K-12 학생 및 디바이스에 대한 1:1 디바이스에서 최상의 암호 없는 환경을 위해 Microsoft는 TAP + Windows Hello(또는 다른 플랫폼별 하드웨어 바인딩 키 기술)를 권장합니다. 공유 디바이스의 경우 FIDO2 보안 키를 권장합니다.

암호 없는 및 Microsoft Entra ID에 대한 자세한 내용은 Microsoft Entra 암호 없는 로그인을 참조하세요.

암호 없는 사용자 환경

Windows

다음 단계에서는 Autopilot 중에 다음 조건에서 사용자 환경을 보여 줍니다.

• 사용자에게 임시 액세스 권한이 있습니다.
• 이 디바이스에 대해 비즈니스용 Windows Hello를 사용할 수 있습니다.

디바이스가 이미 프로비전된 경우 사용자가 비즈니스용 Windows Hello를 사용하도록 설정된 디바이스에 로그인할 때의 환경은 2단계와 동일합니다.

1. 회사 또는 학교 계정으로 로그인하고 임시 액세스 패스를 사용하여 Autopilot을 시작합니다.
2. 프로비저닝이 완료되면 비즈니스용 Windows Hello를 구성하라는 메시지가 사용자에게 표시됩니다.
3. 사용자에게 임시 액세스 패스를 입력하라는 메시지가 표시됩니다.
4. 사용자가 PIN을 만들고 디바이스에서 지원하는 경우 생체 인식 자격 증명을 설정합니다.
5. 이제 사용자는 PIN 또는 생체 인식으로 로그인할 수 있습니다.

TAP이 없거나 TAP가 만료된 사용자 환경

Autopilot을 통과할 때 사용자에게 임시 액세스 권한이 없는 경우 다단계 인증을 등록하라는 메시지가 표시됩니다.

사용자에게 임시 액세스 패스를 할당하고 컴퓨터를 다시 시도하거나 다시 시작하도록 요청하는 경우 사용자에게 임시 액세스 패스를 대신 사용하라는 메시지가 표시됩니다.

macOS

다음 단계에서는 다음 조건에서 사용자 기반 모드를 사용하여 자동화된 디바이스 등록 중에의 사용자 환경을 보여 줍니다.

• 사용자에게 임시 액세스 권한이 있습니다.
• 보안 Enclave를 사용하는 플랫폼 SSO는 이 디바이스에 대해 사용하도록 설정됩니다.

디바이스가 이미 프로비전된 경우 사용자가 Secure Enclave를 사용하도록 설정된 플랫폼 SSO를 사용하여 디바이스에 로그인할 때의 환경은 3단계와 동일합니다.

1. 설치 도우미 중에 사용자는 사용자 이름 및 임시 액세스 패스를 입력합니다.
2. 사용자는 로컬 계정 암호(PIN일 수 있음)를 사용하여 로컬 계정을 만듭니다.
3. 데스크톱에서 사용자가 Microsoft Entra ID로 디바이스를 등록하도록 선택합니다.
4. 등록 프로세스 중에 사용자는 임시 액세스 패스를 사용하여 인증합니다.
5. 사용자가 설정에서 회사 포털을 암호 공급자로 허용하도록 선택합니다.
6. 이제 사용자는 PIN 또는 생체 인식으로 로그인하고 디바이스 바인딩 자격 증명에 액세스하여 플랫폼 SSO를 사용하여 Microsoft Entra ID에 인증할 수 있습니다.

자세한 내용은 시나리오에 따라 다음 문서를 확인하세요.

• 기본 제공 환경 중에 Microsoft Entra ID를 사용하여 Mac 디바이스 조인
• 회사 포털을 사용하여 Microsoft Entra ID로 Mac 디바이스 조인

암호 없는 계획

학생들에게 암호 없는 자격 증명을 프로비전하는 주요 과제는 TAP를 배포하는 것입니다.

옵션은 다음과 같습니다.

• 처음으로 학생에게 암호를 제공할 때 TAP 생성 또는 암호 없는 암호를 적용하기 위한 TAP 및 암호 없음만 제공합니다.
• 학생이 새 디바이스를 받을 때 TAP 생성 및 배포
• 암호 없는 인증 옵션을 사용하도록 설정하고 설정 시 학생에게 구성하고 IT 지원을 호출하여 TAP을 요청하도록 요청합니다.
• 로컬 IT 또는 교사에게 TAP를 만들기 위한 액세스 위임.

Entra에서 인증 방법을 사용하여 특정 유형의 인증 방법을 사용할 수 있는 사용자를 제어할 수 있습니다. 예를 들어 교사와 교직원이 Microsoft Authenticator를 사용하도록 허용하지만 학생이 임시 액세스 패스를 사용하도록 허용할 수 있습니다.

대상 사용자 특성	일반 사용자	Authentication Methods
기본 디바이스 외에도 iOS 또는 Android 디바이스를 사용할 수 있습니다.	모바일 장치가 허용되는 학교의 교직원, 대학생, 학생	✔️ Microsoft Authenticator ✔️ 임시 액세스 패스 ✔️ FIDO2 보안 키 ✔️ 암호
모바일 디바이스 액세스 없음	K-12 학생	✔️ 임시 액세스 패스 ✔️ FIDO2 보안 키 ✔️ 암호

Entra에서 사용할 수 있는 인증 방법에 대한 자세한 내용은 인증 방법을 참조하세요.

인증 방법 구성

1. 인증 방법 정책을 사용하도록 Entra 구성

   다단계 인증 및 셀프 서비스 암호 재설정 정책 설정이 인증 방법 기능으로 마이그레이션된 후 인증 방법을 구성할 수 있습니다. 자세한 내용은 MFA 및 셀프 서비스 암호 재설정 정책 설정을 Microsoft Entra ID에 대한 인증 방법 정책으로 마이그레이션하는 방법을 참조하세요.

2. 요구 사항에 따라 인증 방법 구성

   인증 방법을 사용하여 사용자 그룹에서 필요한 구성을 대상으로 지정합니다. 자세한 내용은 인증 방법을 참조하세요. 예:

   • 전화, SMS, Microsoft Authenticator 메서드에 대한 대상 그룹을 변경하여 교직원을 포함하고 학생을 제외합니다.
   • 학생을 포함하도록 임시 액세스 패스의 대상 그룹을 변경합니다.

3. 임시 액세스 패스 발급

   관리자는 임시 액세스 패스를 발급하고 사용자에게 배포할 수 있습니다. 자세한 내용은 임시 액세스 패스 만들기를 참조하세요.

디바이스 구성

요구 사항을 충족하도록 각 운영 체제에 대한 암호 없는 로그인 방법을 구성합니다.

Windows

Intune 관리 디바이스의 경우 비즈니스용 Windows Hello를 구성하는 두 가지 방법이 있습니다.

• 테넌트 전체. 디바이스>> Windows Windows 등록> 비즈니스용 Windows Hello의 테넌트 전체 비즈니스용 Windows Hello 정책입니다. 학교에서는 학생들이 로그인하는 동안 다단계 인증을 설정하라는 요청을 받는 것을 방지하기 위해 비즈니스용 Windows Hello를 사용하지 않도록 설정하는 것이 일반적입니다.
• 정책을 사용하여 대상으로 지정됩니다. 대상 정책은 테넌트 전체 정책보다 우선하므로 설정을 그룹을 대상으로 하거나 롤아웃을 준비할 수 있습니다.

자세한 내용은 비즈니스용 Windows Hello 구성을 참조하세요.

비즈니스용 Windows Hello 자격 증명을 사용하여 온-프레미스 리소스에 대한 Single Sign-On 액세스를 구성하려면 추가 단계가 필요합니다. 자세한 내용은 Microsoft Entra 조인 디바이스에 대한 Single Sign-On 구성을 참조하세요.

비즈니스용 Windows Hello 환경 사용자 지정

이러한 설정은 선택 사항이지만 비즈니스용 Windows Hello 환경을 사용자 지정하는 데 사용할 수 있습니다.

• DisablePostLogonProvisioning – 기본적으로 비즈니스용 Windows Hello에는 로그인하는 동안 프로비전이 필요합니다. 이 설정을 사용하도록 설정하면 로그인 프롬프트가 비활성화됩니다. 사용자는 설정 앱에서 비즈니스용 Windows Hello를 구성할 수 있습니다.

  구성	값
  OMA-URI:	./Device/Vendor/MSFT/PassportForWork/**Microsoft Entra ID Tenant ID**/Policies/DisablePostLogonProvisioning
  데이터 형식:	부울
  값:	True

• EnablePasswordlessExperience - Windows 11에서 정책을 사용하도록 설정하면 특정 Windows 인증 시나리오에서 사용자에게 암호를 사용할 수 있는 옵션을 제공하지 않으므로 조직과 사용자가 점차 암호에서 벗어나도록 준비할 수 있습니다. 자세한 내용은 Windows 암호 없는 환경을 참조하세요.

  구성	값
  OMA-URI:	./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
  데이터 형식:	정수
  값:	1

사용자 지정 정책을 만드는 단계는 Microsoft Intune에서 Windows 10/11 디바이스에 대한 사용자 지정 설정 추가를 참조하세요.

macOS

macOS에서 암호 없는 자격 증명을 사용하려면 보안 enclave를 사용하여 플랫폼 SSO를 설정할 수 있습니다. Intune을 사용하여 플랫폼 SSO를 설정하는 방법에 대한 자세한 내용은 을 참조하세요 https://learn.microsoft.com/mem/intune/configuration/platform-sso-macos.

Passworldess 인증 모니터링

Entra에는 인증 방법을 모니터링하기 위한 보고서가 포함되어 있습니다. 자세한 내용은 인증 방법 작업을 참조하세요.

보고서를 사용하여 출시 진행률을 확인하고 사용자가 paswordless 자격 증명을 사용하는 시기를 식별합니다.

조건부 액세스를 사용하여 인증 강도 적용

인증에 Microsoft Entra ID를 사용하는 서비스에 대한 액세스는 조건부 액세스를 사용하는 다른 조건 중에서도 인증 방법 강도에 따라 제한될 수 있습니다.

예를 들어 인증을 위해 Microsoft Entra ID를 사용하여 학생들이 서비스에 액세스하도록 요구하려면 암호 없는 자격 증명이 있는 관리 디바이스를 사용하려면 다음 설정을 사용하여 조건부 액세스 정책을 구성합니다.

구성	값
이름	학생
Target(대상)	모든 학생
권한 부여	불만 디바이스: 예 인증 강도: 피싱 방지

조건부 액세스 정책의 인증 강도에 대한 자세한 내용은 Microsoft Entra 인증 강도 개요를 참조하세요.

조건부 액세스 정책 구성에 대한 지침 은 Microsoft Entra ID의 조건부 액세스란?을 참조하세요.

팁

디바이스가 여러 사용자 간에 공유되는 시나리오에서 대체 암호 없는 인증 옵션은 FIDO 2 보안 키입니다. 공유 디바이스는 위치에 따라 조건부 액세스 정책에서 제외될 수 있습니다. 그러나 권장되지는 않습니다.

암호 없는 자격 증명 관리

암호 없는 자격 증명은 암호 변경, 재설정 또는 정책의 영향을 받지 않습니다. 디바이스가 손상되거나 도난당한 경우 보안 팀에서 요구하는 절차를 따라야 합니다. 작업의 몇 가지 예는 다음과 같습니다.

• 손상이 조사될 때까지 아무런 조치도 취하지 않습니다.
• 손상된 디바이스의 원격 초기화 트리거
• 자격 증명 또는 사용자 계정을 사용하지 않도록 설정

디바이스가 손상된 경우 무단 사용을 방지하기 위해 Microsoft Entra ID에서 연결된 암호 없는 자격 증명을 삭제하도록 선택할 수 있습니다.

사용자 계정과 연결된 인증 방법을 제거하려면 사용자의 인증 방법에서 키를 삭제합니다. 세부 정보 열에서 연결된 디바이스를 식별할 수 있습니다.

1. Microsoft Entra 관리 센터에 로그인하고 암호를 제거해야 하는 사용자를 검색합니다.
2. 관련 인증 방법 옆에 있는 인증 방법을> 선택하고 "..."를 선택합니다. 메뉴에서 삭제를 선택합니다.

다음 단계

Intune에 디바이스를 등록하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• 자습서: Microsoft Intune을 사용하여 클라우드 네이티브 Windows 엔드포인트 설정 및 구성
• macOS 엔드포인트를 시작하기 위한 엔드 투 엔드 가이드