Azure Virtual Desktop에 대한 인증 전략 선택
원격 세션에 연결하는 사용자의 경우 다음 세 가지 인증 지점이 있습니다.
- Azure Virtual Desktop에 대한 서비스 인증: 클라이언트에 액세스할 때 사용자가 액세스할 수 있는 리소스 목록을 검색합니다. 환경은 Microsoft Entra 계정 구성에 따라 달라집니다. 예를 들어 사용자가 다단계 인증을 사용하도록 설정한 경우 사용자에게 다른 서비스에 액세스하는 것과 같은 방식으로 사용자 계정 및 두 번째 형태의 인증을 묻는 메시지가 표시됩니다.
- 세션 호스트: 원격 세션을 시작할 때 세션 호스트에는 사용자 이름과 암호가 필요하지만 SSO(Single Sign-On)를 사용하도록 설정하면 사용자에게 원활하게 연결됩니다.
- 세션 내 인증: 원격 세션 내의 다른 리소스에 연결.
다음 섹션에서는 각 인증 지점에 대해 자세히 설명합니다.
서비스 인증
Azure Virtual Desktop 리소스에 액세스하려면 먼저 Microsoft Entra 계정으로 로그인하여 서비스에 인증해야 합니다. 리소스를 검색하고 앱 또는 데스크톱에 연결하기 위해 작업 영역을 구독할 때마다 인증이 수행됩니다. Microsoft Entra ID와 페더레이션되기만 하면 타사 ID 공급자를 사용할 수 있습니다.
다단계 인증
배포에 Microsoft Entra ID 다단계 인증을 적용하는 방법을 알아보려면 조건부 액세스를 사용하여 Azure Virtual Desktop에 대해 Microsoft Entra ID 다단계 인증 적용의 지침을 따릅니다. 또한 이 문서에서는 사용자에게 자격 증명을 입력하라는 메시지가 표시되는 빈도를 구성하는 방법을 알려줍니다. Microsoft Entra 조인 VM을 배포할 때 Microsoft Entra 조인 세션 호스트 VM에 대한 추가 단계를 확인합니다.
암호 없는 인증
비즈니스용 Windows Hello 및 기타 암호 없는 인증 옵션(예: FIDO 키)과 같이 Microsoft Entra ID에서 지원하는 모든 인증 형식을 사용하여 서비스에 인증할 수 있습니다.
스마트 카드 인증
스마트 카드를 사용하여 Microsoft Entra ID에 인증하려면 먼저 사용자 인증서 인증에 대해 AD FS를 구성하거나 Microsoft Entra 인증서 기반 인증을 구성해야 합니다.
세션 호스트 인증
아직 Single Sign-On을 사용하도록 설정하지 않았거나 자격 증명을 로컬로 저장하지 않은 경우 연결을 시작할 때 세션 호스트에도 인증해야 합니다. 다음 목록에서는 각 Azure Virtual Desktop 클라이언트에서 현재 지원하는 인증 형식에 대해 설명합니다. 일부 클라이언트는 특정 버전을 사용해야 할 수 있고, 해당 항목은 각 인증 유형에 대한 링크에서 찾을 수 있습니다.
| 클라이언트 | 지원되는 인증 유형 |
|---|---|
| Windows 데스크톱 클라이언트 | 사용자 이름 및 암호 스마트 카드 비즈니스용 Windows Hello 인증서 신뢰 비즈니스용 Windows Hello 인증서를 사용한 키 신뢰 Microsoft Entra 인증 |
| Azure Virtual Desktop 스토어 앱 | 사용자 이름 및 암호 스마트 카드 비즈니스용 Windows Hello 인증서 신뢰 비즈니스용 Windows Hello 인증서를 사용한 키 신뢰 Microsoft Entra 인증 |
| 원격 데스크톱 앱 | 사용자 이름 및 암호 |
| 웹 클라이언트 | 사용자 이름 및 암호 Microsoft Entra 인증 |
| Android 클라이언트 | 사용자 이름 및 암호 Microsoft Entra 인증 |
| iOS 클라이언트 | 사용자 이름 및 암호 Microsoft Entra 인증 |
| macOS 클라이언트 | 사용자 이름 및 암호 스마트 카드: NLA가 협상되지 않으면 Winlogon 프롬프트에서 스마트 카드 리디렉션을 사용하여 스마트 카드 기반 로그인을 지원합니다. Microsoft Entra 인증 |
Important
인증이 제대로 작동하려면 로컬 컴퓨터에서 원격 데스크톱 클라이언트에 필요한 URL에도 액세스할 수 있어야 합니다.
SSO(Single Sign-On)
SSO를 사용하면 연결에서 세션 호스트 자격 증명 프롬프트를 건너뛰고 사용자를 Windows에 자동으로 로그인할 수 있습니다. Microsoft Entra에 조인 또는 하이브리드 조인된 세션 호스트의 경우 Microsoft Entra 인증을 사용하여SSO를 사용하도록 설정하는 것이 좋습니다. Microsoft Entra 인증은 암호 없는 인증 및 타사 ID 공급자에 대한 지원을 포함하여 다른 이점을 제공합니다.
Azure Virtual Desktop은 Windows Desktop 및 웹 클라이언트에 대해 AD FS(Active Directory Federation Services)를 사용하는 SSO도 지원합니다.
SSO를 사용하지 않으면 사용자에게 클라이언트에서 모든 연결에 대한 세션 호스트 자격 증명을 묻는 메시지를 표시합니다. 메시지가 표시되지 않도록 방지하는 유일한 방법은 자격 증명을 클라이언트에 저장하는 것입니다. 다른 사용자가 리소스에 액세스하지 못하도록 자격 증명을 보안 디바이스에만 저장하는 것이 좋습니다.
스마트 카드 및 비즈니스용 Windows Hello
Azure Virtual Desktop은 세션 호스트 인증을 위해 NTLM(NT LAN Manager) 및 Kerberos를 모두 지원하지만, 스마트 카드 및 비즈니스용 Windows Hello는 Kerberos만 사용하여 로그인할 수 있습니다. Kerberos를 사용하려면 클라이언트가 도메인 컨트롤러에서 실행되는 KDC(키 배포 센터) 서비스에서 Kerberos 보안 티켓을 가져와야 합니다. 티켓을 가져오려면 클라이언트는 도메인 컨트롤러에 대한 직접 네트워킹 가시권이 있어야 합니다. 회사 네트워크 내에서 직접 연결하거나, VPN 연결을 사용하거나, KDC 프록시 서버를 설정하면 이러한 가시권을 얻을 수 있습니다.
세션 내 인증
RemoteApp 또는 데스크톱에 연결되면 세션 내에서 인증을 받으라는 메시지가 표시될 수 있습니다. 이 섹션에서는 이 시나리오에서 사용자 이름 및 암호 이외의 자격 증명을 사용하는 방법을 설명합니다.
세션 내 암호 없는 인증
Azure Virtual Desktop은 Windows Desktip 클라이언트를 사용할 때 비즈니스용 Windows Hello 또는 FIDO 키와 같은 보안 디바이스를 사용하여 세션 내 암호 없는 인증을 지원합니다. 세션 호스트 및 로컬 PC에서 다음 운영 체제를 사용하는 경우 암호 없는 인증이 자동으로 사용하도록 설정됩니다.
- Windows 11용 2022년 10월 누적 업데이트(KB5018418) 이상이 설치된 Windows 11 단일 또는 다중 세션.
- 2022-10 Windows 10용 누적 업데이트(KB5018410) 이상이 설치된 Windows 10 단일 또는 다중 세션, 버전 20H2 이상.
- Microsoft 서버 운영 체제용 2022년 10월 누적 업데이트(KB5018421) 이상이 설치된 Windows Server 2022.
호스트 풀에서 암호 없는 인증을 사용하지 않으려면 RDP 속성을 사용자 지정해야 합니다. Azure Portal의 디바이스 리디렉션 탭에서 WebAuthn 리디렉션 속성을 찾거나 PowerShell을 사용하여 redirectwebauthn 속성을 0으로 설정할 수 있습니다.
사용하도록 설정되면 세션의 모든 WebAuthn 요청이 로컬 PC로 리디렉션됩니다. 비즈니스용 Windows Hello 또는 로컬로 연결된 보안 디바이스를 사용하여 인증 프로세스를 완료할 수 있습니다.
비즈니스용 Windows Hello 또는 보안 디바이스를 사용하여 Microsoft Entra 리소스에 액세스하려면 사용자에 대한 인증 방법으로 FIDO2 보안 키를 사용하도록 설정해야 합니다. 이 방법을 사용하도록 설정하려면 FIDO2 보안 키 방법 사용의 단계를 따릅니다.
세션 내 스마트 카드 인증
세션에서 스마트 카드를 사용하려면 스마트 카드 드라이버를 세션 호스트에 설치하고 스마트 카드 리디렉션을 사용하도록 설정했는지 확인합니다. 클라이언트 비교 차트를 검토하여 클라이언트가 스마트 카드 리디렉션을 지원하는지 확인합니다.