할당된 액세스 권장 사항
이 문서에는 할당된 액세스 및 셸 시작 관리자로 구성된 디바이스에 대한 권장 사항이 포함되어 있습니다. 대부분의 권장 사항에는 키오스크 디바이스를 구성하는 데 도움이 되는 GPO(그룹 정책) 및 CSP(구성 서비스 공급자) 설정이 모두 포함됩니다.
키오스크 사용자 계정
공용 환경에 있는 키오스크 디바이스의 경우 로컬 표준 사용자 계정과 같이 최소 권한을 가진 사용자 계정을 키오스크 계정으로 구성합니다. Active Directory 사용자 또는 Microsoft Entra 사용자를 사용하면 공격자가 모든 도메인 계정에 액세스할 수 있는 도메인 리소스에 액세스할 수 있습니다. 할당된 액세스 권한이 있는 도메인 계정을 사용하는 경우 주의해서 진행합니다. 도메인 계정을 사용하여 노출될 수 있는 도메인 리소스를 고려합니다.
자동 로그인
키오스크 디바이스 에 대해 자동 로그인 을 사용하도록 설정하는 것이 좋습니다. 디바이스가 다시 시작되면 업데이트 또는 정전에서 할당된 액세스 계정으로 자동으로 로그인하도록 디바이스를 구성할 수 있습니다. 디바이스에 적용된 정책 설정으로 인해 자동 로그인이 예상대로 작동하지 않는지 확인합니다. 예를 들어 정책 설정 PreferredAadTenantDomainName 은 자동 로그인이 작동하지 않도록 방지합니다.
계정으로 할당된 액세스 및 셸 시작 관리자 XML 파일을 자동으로 로그인하도록 구성할 수 있습니다. 자세한 내용은 다음 문서를 검토하세요.
또는 레지스트리를 편집하여 계정이 자동으로 로그인되도록 할 수 있습니다.
경로 | 이름 | 유형 | 값 |
---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
문자열 | 값을 로그인하려는 계정으로 설정합니다. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
문자열 | 값을 계정의 암호로 설정합니다. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
문자열 | 도메인 계정에 대해서만 도메인에 대한 값을 설정합니다. 로컬 계정의 경우 이 키를 추가하지 마세요. |
자동 로그인이 구성되면 디바이스를 다시 부팅합니다. 계정이 자동으로 로그인됩니다.
참고
사용하도록 설정된 사용자 지정 로그온을 HideAutoLogonUI
사용하는 경우 사용자 계정 암호가 만료되면 검은색 화면이 표시될 수 있습니다.
암호가 만료되지 않도록 설정하는 것이 좋습니다.
Windows 업데이트
사용자 환경을 방해하지 않고 항상 최신 상태로 유지되도록 키오스크 디바이스를 구성합니다. 키오스크 디바이스에 대한 Windows 업데이트를 구성하기 위해 고려해야 할 몇 가지 정책 설정은 다음과 같습니다.
Type | 경로 | 이름/설명 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursEnd |
활성 시간의 끝을 나타내는 정수 값입니다. 예를 들어 은 22 오후 10시 를 나타냅니다. |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursStart |
활성 시간의 시작을 나타내는 정수 값입니다. 예를 들어 는 7 오전 7시 를 나타냅니다. |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
AllowAutoUpdate |
정수 값입니다. 로 3 설정 - 자동 다운로드 및 설치 예약 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ScheduledInstallTime |
정수 값입니다. 디바이스에서 업데이트를 설치할 시간을 지정합니다. 예를 들어 는 23 오후 11시 를 나타냅니다. |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
UpdateNotificationLevel |
정수 값입니다. 로 2 설정: 다시 시작 경고를 비롯한 모든 알림 끄기 |
GPO | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\최종 사용자 환경 관리 | 업데이트 알림 > 에 대한 표시 옵션 값을 2로 설정 - 다시 시작 경고를 비롯한 모든 알림 끄기 |
GPO | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\최종 사용자 환경 관리\자동 업데이트 구성 | 4 - 자동 다운로드 및 설치> 예약 활성 시간 외의 설치 시간을 지정합니다. |
GPO | 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\최종 사용자 환경 관리\활성 시간 동안 업데이트에 대한 autorestart 끄기 | Windows 업데이트로 인해 키오스크 디바이스를 다시 시작할 수 없는 시작 및 종료 활성 시간 구성 |
전원 설정
키오스크 디바이스가 절전 모드로 들어가지 않도록 방지하거나 사용자가 키오스크를 종료하거나 다시 시작하지 못하도록 할 수 있습니다. 고려해야 할 몇 가지 옵션은 다음과 같습니다.
Type | 경로 | 이름/설명 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/
HidePowerOptions |
문자열. 를 로 설정합니다. <Enabled/> |
CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/ Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
정수 값입니다. 를 로 설정합니다. 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
DisplayOffTimeoutPluggedIn |
문자열. 를 로 설정합니다. <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
PowerButtonActionPluggedIn을 선택합니다. |
정수. 를 로 설정합니다. 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SleepButtonActionPluggedIn을 선택합니다. |
정수. 를 로 설정합니다. 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
StandbyTimeoutPluggedIn |
문자열. 를 로 설정합니다. <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
GPO | 컴퓨터 구성\관리 템플릿\시작 메뉴 및 작업 표시줄\종료, 다시 시작, 절전 모드 및 최대 절전 모드 명령에 대한 액세스 방지 | 활성화 |
GPO | 컴퓨터 구성\관리 템플릿\시스템\전원 관리\단추 설정\전원 단추 작업 선택 | 작업 선택: 작업 수행 안 됨 |
GPO | 컴퓨터 구성\관리 템플릿\시스템\전원 관리\단추 설정\절전 모드 단추 작업 선택 | 작업 선택: 작업 수행 안 됨 |
GPO | 컴퓨터 구성\관리 템플릿\System\Power Management\시스템 절전 모드 시간 제한 지정 | 값을 0 초로 설정합니다. |
GPO | 컴퓨터 구성\관리 템플릿\System\Power Management\비디오 및 디스플레이 설정\디스플레이 끄기 | 값을 0 초로 설정합니다. |
GPO | 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\종료: 로그온하지 않고도 시스템을 종료할 수 있도록 허용 | 해제됨 |
GPO | 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\시스템 종료 | 이 정책에서 사용자 또는 그룹을 제거합니다. 이 정책이 Administrators 그룹의 구성원에게 영향을 주지 않도록 하려면 Administrators 그룹을 유지해야 합니다. |
참고
사용자 지정 로그온이라는 기능을 사용하여 보안 옵션 화면에서 전원 단추를 사용하지 않도록 설정할 수도 있습니다. 전원 단추를 제거하거나 물리적 전원 단추를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 사용자 지정 로그온을 참조하세요.
바로 가기 키
제한된 사용자 환경으로 구성된 사용자 계정에 대해 다음 바로 가기 키가 차단되지 않습니다.
- Alt(Alt) + F4
- Alt(Alt) + 탭
- Alt(Alt) + 교대 + 탭
- Ctrl 키 + Alt(Alt) + 삭제하다
키보드 필터를 사용하여 키 조합을 차단할 수 있습니다. 키보드 필터 설정은 다른 표준 계정에 적용됩니다.
접근성 바로 가기
할당된 액세스는 접근성 설정을 변경하지 않습니다. 키보드 필터를 사용하여 접근성 기능을 여는 다음 키 조합을 차단합니다.
키 조합 | 차단된 동작 |
---|---|
왼쪽 Alt + 왼쪽 시프트 + 인쇄 화면 | 고대비 열기 대화 상자 |
왼쪽 Alt + 왼쪽 시프트 + Num Lock | 마우스 키 열기 대화 상자 |
승리 + U | 설정 앱 접근성 패널 열기 |
참고
키보드 필터가 켜진 경우 일부 키 조합은 명시적으로 차단할 필요 없이 자동으로 차단됩니다. 자세한 내용은 키보드 필터를 참조하세요.
사용자 지정 로그온을 사용하여 잠금 화면에서 접근성 기능 및 기타 옵션을 사용하지 않도록 설정할 수도 있습니다. 예를 들어 접근성 옵션을 제거하려면 다음 레지스트리 키를 사용합니다.
경로 | 이름 | 유형 | 값 |
---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Microsoft Edge 바로 가기 키
특정 Microsoft Edge 기본 바로 가기를 사용하지 않도록 설정하려면 ConfigureKeyboardShortcuts 정책을 사용할 수 있습니다.
키오스크 환경에 대한 앱 선택
할당된 액세스로 키오스크 환경을 만들려면 UWP 앱 또는 Microsoft Edge를 선택할 수 있습니다. 그러나 일부 애플리케이션은 키오스크로 사용할 때 좋은 사용자 환경을 제공하지 않을 수 있습니다.
다음 지침은 키오스크 환경에 적합한 Windows 앱을 선택하는 데 도움이 됩니다.
- 할당된 액세스 앱으로 선택하려면 먼저 할당된 액세스 계정에 대해 Windows 앱을 프로비전하거나 설치해야 합니다. 앱을 프로비전 및 설치하는 방법 알아보기
- UWP 앱 업데이트는 때때로 앱의 AUMID(애플리케이션 사용자 모델 ID)를 변경할 수 있습니다. 이러한 시나리오에서는 할당된 액세스가 AUMID를 사용하여 시작할 앱을 결정하기 때문에 업데이트된 앱을 실행하려면 할당된 액세스 설정을 업데이트해야 합니다.
- 앱은 잠금 화면 위에서 실행할 수 있어야 합니다. 앱이 잠금 화면 위에서 실행될 수 없는 경우 키오스크 앱으로 사용할 수 없습니다.
- 일부 앱은 다른 앱을 시작할 수 있습니다. 키오스크 모드에서 할당된 액세스는 Windows 앱이 다른 앱을 시작하지 못하도록 합니다. 핵심 기능의 일부로 다른 앱을 시작하도록 설계된 Windows 앱을 선택하지 않도록 합니다.
- Microsoft Edge에는 키오스크 모드에 대한 지원이 포함되어 있습니다. 자세한 내용은 Microsoft Edge 키오스크 모드를 참조하세요.
- 키오스크는 일반적으로 익명 액세스를 의미하고 공용 설정에서 찾기 때문에 키오스크에 표시하지 않으려는 정보를 노출할 수 있는 Windows 앱을 선택하지 마세요. 예를 들어 파일 선택기가 있는 앱을 사용하면 사용자가 사용자 시스템의 파일 및 폴더에 액세스할 수 있습니다. 불필요한 데이터 액세스를 제공하는 경우 이러한 유형의 앱을 선택하지 마세요.
- 일부 앱은 할당된 액세스에서 적절하게 사용되기 전에 더 많은 구성이 필요할 수 있습니다. 예를 들어 Microsoft OneNote를 사용하려면 OneNote가 열리기 전에 할당된 액세스 사용자 계정에 대한 Microsoft 계정을 설정해야 합니다.
- 키오스크 프로필은 공용 키오스크 디바이스용으로 설계되었습니다. 로컬 비관리자 계정을 사용합니다. 디바이스가 조직 네트워크에 연결된 경우 도메인 또는 Microsoft Entra 계정을 사용하여 기밀 정보를 손상시킬 수 있습니다.
키오스크 또는 제한된 사용자 환경을 배포할 계획인 경우 다음 권장 사항을 고려합니다.
- 사용자가 사용해야 하는 모든 애플리케이션을 평가합니다. 애플리케이션에 사용자 인증이 필요한 경우 로컬 또는 일반 사용자 계정을 사용하지 마세요. 대신 할당된 액세스 구성 파일 내의 사용자 그룹을 대상으로 지정합니다.
- 다중 앱 키오스크는 여러 사람이 공유하는 디바이스에 적합합니다. 다중 앱 키오스크를 구성할 때 디바이스의 모든 비관리자 사용자에게 영향을 주는 특정 정책 설정입니다. 이러한 정책 목록은 할당된 액세스 정책 설정을 참조하세요.
키오스크 앱 개발
할당된 액세스는 잠금 프레임워크를 사용합니다. 할당된 액세스 사용자가 로그인하면 선택한 키오스크 앱이 잠금 화면 위에서 시작됩니다. 키오스크 앱이 위의 잠금 화면 앱으로 실행되고 있습니다. 자세한 내용은 할당된 액세스에 대한 키오스크 앱 개발을 위한 모범 사례 지침을 참조하세요.
오류 및 복구 옵션 중지
중지 오류가 발생하면 Windows에 중지 오류 코드가 있는 파란색 화면이 표시됩니다. 표준 화면을 OS 오류에 대한 빈 화면으로 바꿀 수 있습니다. 자세한 내용은 시스템 오류 및 복구 옵션 구성을 참조하세요.
잠금 화면 알림
디바이스가 잠겨 있을 때 사용자가 알림을 볼 수 없도록 잠금 화면에서 알림을 제거하는 것이 좋습니다. 고려해야 할 몇 가지 옵션은 다음과 같습니다.
Type | 경로 | 이름/설명 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/AboveLock/
AllowToasts |
정수. 를 로 설정합니다. 0 |
GPO | 컴퓨터 구성\관리 템플릿\System\Logon\잠금 화면에서 앱 알림 끄기 | 활성화 |
문제 해결 및 로그
할당된 액세스를 테스트할 때 문제를 해결하는 데 도움이 되는 로깅을 사용하도록 설정하는 것이 유용할 수 있습니다. 로그는 구성 및 런타임 문제를 식별하는 데 도움이 될 수 있습니다. 다음 로그를 사용하도록 설정할 수 있습니다. 애플리케이션 및 서비스 로그>Microsoft>Windows>AssignedAccess>Operational.
다음 레지스트리 키에는 할당된 액세스 구성이 포함됩니다.
HKLM\Software\Microsoft\Windows\AssignedAccessConfiguration
HKLM\Software\Microsoft\Windows\AssignedAccessCsp
다음 레지스트리 키에는 할당된 액세스 정책을 사용하는 각 사용자에 대한 구성이 포함되어 있습니다.
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
키오스크 문제 해결에 대한 자세한 내용은 키오스크 모드 문제 해결을 참조하세요.
다음 단계
XML 파일을 만들어 할당된 액세스를 구성하는 방법을 알아봅니다.