정책 CSP - 인증
AllowAadPasswordReset
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Microsoft Entra 계정에 대해 암호 재설정을 사용할 수 있는지 여부를 지정합니다.
이 정책을 사용하면 Microsoft Entra 테넌트 관리자가 Windows 로그인 화면에서 셀프 서비스 암호 재설정 기능을 사용하도록 설정할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 허용되지 않음 |
| 1 | 허용됩니다. |
AllowEAPCertSSO
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
❌ 장치 ✅ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1507 [10.0.10240] 이상 |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
SSO(Single Sign-On)에 대한 EAP 인증서 기반 인증이 내부 리소스에 액세스할 수 있도록 허용합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 허용되지 않음 |
| 1 | 허용됩니다. |
AllowFastReconnect
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
EAP 메서드 TLS에서 시도 중인 EAP 빠른 다시 연결을 허용합니다. 가장 제한된 값은 0입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 허용되지 않음 |
| 1(기본값) | 허용됩니다. |
AllowSecondaryAuthenticationDevice
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
이 정책을 사용하면 사용자가 휴대폰, 피트니스 밴드 또는 IoT 디바이스와 같은 도우미 디바이스를 사용하여 Windows 10을 실행하는 데스크톱 컴퓨터에 로그온할 수 있습니다. 도우미 디바이스는 Windows Hello를 사용하여 두 번째 인증 요소를 제공합니다.
이 정책 설정을 사용하거나 구성하지 않으면 사용자는 도우미 디바이스를 사용하여 Windows Hello에 인증할 수 있습니다.
이 정책을 사용하지 않도록 설정하면 사용자는 도우미 디바이스를 사용하여 Windows Hello로 인증할 수 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 허용되지 않음 |
| 1 | 허용됩니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| 이름 | 보조 인증을 위한 도우미 디바이스 허용 |
| 위치 | 컴퓨터 구성 |
| 경로 | Windows 구성 요소 > Microsoft 보조 인증 요소 |
| 레지스트리 키 이름 | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| 레지스트리 값 이름 | AllowSecondaryAuthenticationDevice |
| ADMX 파일 이름 | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 11 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
웹 로그인 기반 인증 시나리오에서 웹캠에 액세스할 수 있는 도메인 목록을 지정합니다.
참고
웹 로그인은 Microsoft Entra 조인 PC에서만 지원됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: ;) |
예:
조직에서 "Contoso IDP"에 페더레이션하고 에서 웹 로그인 포털에 signinportal.contoso.com 웹캠 액세스가 필요합니다. 그러면 이 정책의 값은 다음과 같습니다.
contoso.com
ConfigureWebSignInAllowedUrls
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1803 및 KB5001339 [10.0.17134.2145] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
웹 로그인 기반 인증 시나리오에서 탐색할 수 있는 URL 목록을 지정합니다.
이 정책은 사용자가 특정 인증 시나리오에서 액세스할 수 있는 도메인 목록을 지정합니다. 예시:
- Microsoft Entra ID PIN 재설정
- AD FS(Active Directory Federation Services) 또는 타사 페더레이션 ID 공급자가 인증을 처리하는 웹 로그인 Windows 디바이스 시나리오
참고
이 정책은 CVE-2021-27092에 설명된 취약성을 완화하기 위해 페더레이션 환경에서 필요합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: ;) |
예:
조직의 PIN 재설정 또는 웹 로그인 인증 흐름은 및 signin.contoso.com두 도메인으로 이동해야 합니다accounts.contoso.com. 그러면 이 정책의 값은 다음과 같습니다.
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
새 관리자가 아닌 Microsoft Entra 계정이 미리 만들어진 후보 로컬 계정에 자동으로 연결해야 하는지 여부를 지정합니다.
이 정책은 공유 PC에서 사용자를 위한 빠른 첫 번째 로그인 환경을 사용하도록 설정하기 위한 것입니다. 관리자가 아닌 새 Microsoft Entra 계정을 미리 구성된 후보 로컬 계정에 자동으로 연결하여 작동합니다.
중요
미리 구성된 후보 로컬 계정은 디바이스에 미리 구성되거나 추가된 모든 로컬 계정입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 이 기능은 기본적으로 기존 SKU 및 디바이스 기능으로 설정됩니다. |
| 1 | 활성화. 관리자가 아닌 새 Microsoft Entra 계정을 미리 구성된 후보 로컬 계정에 자동으로 연결합니다. |
| 2 | 사용하지 않도록 설정됩니다. 관리자가 아닌 새 Microsoft Entra 계정을 미리 구성된 로컬 계정에 자동으로 연결하지 마세요. |
EnablePasswordlessExperience
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 11, 버전 23H2 및 KB5031455 [10.0.22631.2506] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Microsoft Entra 조인 디바이스의 연결된 사용자가 Windows에서 암호 없는 환경을 받을지 여부를 지정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 이 기능은 기본적으로 기존 버전 및 디바이스 기능으로 설정됩니다. |
| 1 | 활성화. 암호 없는 환경은 Windows에서 사용하도록 설정됩니다. |
| 2 | 사용하지 않도록 설정됩니다. Windows에서는 암호 없는 환경을 사용할 수 없습니다. |
EnableWebSignIn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
웹 기반 로그인이 Windows에 로그인할 수 있는지 여부를 지정합니다.
웹 로그인은 Windows 디바이스에서 웹 기반 로그인 환경을 사용하도록 설정하는 자격 증명 공급자입니다. TAP(임시 액세스 패스)만 지원하는 Windows 10에서 처음 도입된 웹 로그인은 windows 11 버전 22H2부터 KB5030310 기능을 확장했습니다. 자세한 내용은 Windows용 웹 로그인을 참조하세요.
참고
웹 로그인은 Microsoft Entra 조인 PC에서만 지원됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 이 기능은 기본적으로 기존 SKU 및 디바이스 기능으로 설정됩니다. |
| 1 | 활성화. 웹 로그인은 Windows에 로그인할 수 있도록 설정됩니다. |
| 2 | 사용하지 않도록 설정됩니다. 웹 로그인은 Windows에 로그인할 수 없습니다. |
PreferredAadTenantDomainName
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Microsoft Entra 테넌트에서 사용 가능한 도메인 중에서 기본 설정 도메인을 지정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
예:
조직에서 테넌트 @contoso.com 도메인 이름을 사용합니다. 그러면 이 정책의 값은 다음과 같습니다.
contoso.com
사용자의 abby@constoso.com경우 로그인은 대신 abby@contoso.com사용자 이름 필드에서 를 사용하여 abby 수행됩니다.