하이브리드 키 신뢰 모델에서 비즈니스용 Windows Hello 구성 및 등록
이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.
-
배포 유형:됩니다.
-
신뢰 유형:
-
조인 유형:Microsoft Entra 조인 , Microsoft Entra 하이브리드 조인 모두에 Single Sign-On이 있습니다.
필수 구성 요소가 충족되고 PKI 구성의 유효성이 검사되면 비즈니스용 Windows Hello 배포는 다음 단계로 구성됩니다.
비즈니스용 Windows Hello 정책 설정 구성
키 신뢰 모델에서 비즈니스용 Windows Hello 사용하도록 설정하는 데 필요한 정책 설정이 하나 있습니다.
또 다른 선택 사항이지만 권장되는 정책 설정은 다음과 같습니다.
다음 지침에서는 Microsoft Intune 또는 GPO(그룹 정책)를 사용하여 디바이스를 구성하는 방법을 설명합니다.
Intune/CSP
GPO참고
Microsoft Intune 사용하여 비즈니스용 Windows Hello 구성 문서를 검토하여 비즈니스용 Windows Hello 구성하기 위해 Microsoft Intune 제공하는 다양한 옵션에 대해 알아봅니다.
Intune 테넌트 전체 정책을 사용하도록 설정하고 요구 사항에 맞게 구성한 경우 비즈니스용 Windows Hello 등록으로 건너뛸 수 있습니다.
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
| 범주 | 설정 이름 | 값 |
|---|---|---|
| 비즈니스용 Windows Hello | 비즈니스용 Windows Hello 사용 | true |
| 비즈니스용 Windows Hello | 보안 디바이스 필요 | true |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
또는 PassportForWork CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
| 설정 |
|---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- 데이터 형식: bool- 값: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- 데이터 형식: bool- 값: True |
그룹 정책 및 Intune 모두 사용하여 비즈니스용 Windows Hello 구성을 배포하는 경우 그룹 정책 설정이 우선하며 Intune 설정이 무시됩니다. 정책 충돌에 대한 자세한 내용은 여러 정책 원본의 정책 충돌을 참조하세요.
비즈니스용 Windows Hello 동작을 제어하도록 다른 정책 설정을 구성할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello 정책 설정을 참조하세요.
비즈니스용 Windows Hello 등록
비즈니스용 Windows Hello 프로비저닝 프로세스는 사용자 프로필이 로드된 직후와 사용자가 데스크톱을 받기 직전에 시작됩니다. 프로비저닝 프로세스를 시작하려면 모든 필수 구성 요소 검사를 통과해야 합니다.
애플리케이션 및 서비스 로그 Microsoft > Windows에서 사용자 디바이스 등록 관리자 로그를 확인하여 필수 구성 요소 검사의 상태 확인할 수 있습니다>.
이 정보는 콘솔의 dsregcmd.exe /status 명령을 사용하여 사용할 수도 있습니다. 자세한 내용은 dsregcmd를 참조하세요.
사용자 환경
사용자가 로그인하면 비즈니스용 Windows Hello 등록 프로세스가 시작됩니다.
- 디바이스가 생체 인식 인증을 지원하는 경우 사용자에게 생체 인식 제스처를 설정하라는 메시지가 표시됩니다. 이 제스처는 디바이스의 잠금을 해제하고 비즈니스용 Windows Hello 필요한 리소스에 인증하는 데 사용할 수 있습니다. 생체 인식 제스처를 설정하지 않으려면 사용자가 이 단계를 건너뛸 수 있습니다.
- 사용자에게 organization 계정으로 Windows Hello 사용하라는 메시지가 표시됩니다. 사용자가 확인을 선택합니다.
- 프로비저닝 흐름은 등록의 다단계 인증 부분으로 진행됩니다. 프로비저닝은 구성된 형식의 MFA를 통해 사용자에게 적극적으로 연락을 시도하고 있음을 사용자에게 알릴 수 있습니다. 인증이 성공하거나 실패하거나 시간이 초과될 때까지 프로비저닝 프로세스가 진행되지 않습니다. 실패 또는 시간 제한 MFA로 인해 오류가 발생하며 사용자에게 다시 시도하도록 요청합니다.
- MFA가 성공하면 프로비전 흐름은 사용자에게 PIN을 만들고 유효성을 검사할 것을 요청합니다. 이 PIN은 디바이스에 구성된 모든 PIN 복잡성 정책을 관찰해야 합니다.
- 프로비저닝의 나머지에는 사용자에 대한 비대칭 키 쌍을 요청하는 비즈니스용 Windows Hello가 포함됩니다. TPM의 키 쌍(또는 정책을 통해 명시적으로 설정된 경우 필요)이 좋습니다. 키 쌍을 획득하면 Windows는 IdP와 통신하여 공개 키를 등록합니다. 키 등록이 완료되면 프로비저닝을 비즈니스용 Windows Hello PIN을 사용하여 로그인할 수 있음을 사용자에게 알릴 수 있습니다. 사용자가 프로비저닝 애플리케이션을 닫고 데스크톱에 액세스할 수 있습니다.
등록 후 Microsoft Entra Connect는 사용자의 키를 Microsoft Entra ID Active Directory로 동기화합니다.
중요
사용자의 공개 키를 Microsoft Entra ID 온-프레미스 Active Directory 동기화하는 데 필요한 최소 시간은 30분입니다. Microsoft Entra Connect 스케줄러는 동기화 간격을 제어합니다. 이 동기화 대기 시간은 사용자의 공개 키가 Active Directory에 동기화될 때까지 온-프레미스 리소스를 인증하고 사용하는 사용자의 기능을 지연합니다. 동기화되면 사용자는 온-프레미스 리소스를 인증하고 액세스할 수 있습니다. Microsoft Entra 동기화 연결: 스케줄러를 읽어 organization 동기화 주기를 보고 조정합니다.
시퀀스 다이어그램
프로비저닝 흐름을 더 잘 이해하려면 디바이스 조인 및 인증 유형에 따라 다음 시퀀스 다이어그램을 검토합니다.
- 관리 인증을 사용하여 조인된 Microsoft Entra 디바이스에 대한 프로비저닝
- 페더레이션 인증을 사용하여 조인된 Microsoft Entra 디바이스에 대한 프로비저닝
- 관리 인증을 사용하여 하이브리드 키 신뢰 배포 모델에서 프로비전
인증 흐름을 더 잘 이해하려면 다음 시퀀스 다이어그램을 검토합니다.