다단계 잠금 해제
비즈니스용 Windows Hello는 디바이스 잠금 해제를 위해 단일 자격 증명(PIN 및 생체 인식)의 사용을 지원합니다. 따라서 이러한 자격 증명이 노출된 경우(어깨 너머로 훔쳐봄) 공격자가 시스템에 액세스할 수 있습니다.
신뢰할 수 있는 신호로 Windows Hello를 확장하여 비즈니스용 Windows Hello를 다단계 잠금 해제로 구성할 수 있습니다. 관리자는 디바이스의 잠금을 해제하기 위해 요인과 신뢰할 수 있는 신호의 조합을 요청하도록 디바이스를 구성할 수 있습니다.
다단계 잠금 해제는 다음과 같은 조직에 적합합니다.
- PIN만으로는 보안 요구 사항을 충족하지 않는다고 표현했습니다.
- 정보 작업자가 자격 증명을 공유하지 못하도록 방지하려는 경우
- 조직에서 규정 2단계 인증 정책을 준수하기를 원합니다.
- 친숙한 Windows 로그인 사용자 환경을 유지하고 사용자 지정 솔루션에 정착하지 않으려면
작동 방식
첫 번째 잠금 해제 요소 자격 증명 공급자 및 두 번째 잠금 해제 자격 증명 공급자 는 구성의 대부분을 담당합니다. 이러한 각 구성 요소에는 다른 Windows 자격 증명 공급자를 나타내는 GUID(Globally Unique Identifier)가 포함되어 있습니다. 정책 설정을 사용하도록 설정하면 Windows에서 사용자가 데스크톱으로 진행할 수 있도록 허용하기 전에 각 범주에서 하나 이상의 자격 증명 공급자를 사용하여 디바이스의 잠금을 해제합니다.
이 정책 설정에는 세 구성 요소가 있습니다.
- 1단계 잠금 해제 요소 자격 증명 공급자
- 2단계 잠금 해제 요소 자격 증명 공급자
- 디바이스 잠금 해제용 신호 규칙
잠금 해제 요소 구성
주의
DontDisplayLastUserName 보안 정책을 사용하도록 설정하면 다단계 잠금 해제를 사용하는 기능을 방해하는 것으로 알려져 있습니다.
정책 설정의 1단계 잠금 해제 요소 자격 증명 공급자 및 2단계 잠금 해제 요소 자격 증명 공급자 부분에는 각기 쉼표로 구분된 자격 증명 공급자 목록이 포함되어 있습니다.
지원되는 자격 증명 공급자는 다음과 같습니다.
자격 증명 공급자 | GUID |
---|---|
PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
지문 | {BEC09223-B018-416D-A0AC-523971B639F5} |
얼굴 인식 | {8AF662BF-65A0-4D0A-A540-A338A999D36F} |
신뢰할 수 있는 신호 (전화 근접, 네트워크 위치) |
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD} |
참고
다단계 잠금 해제는 위 표에 나열되지 않은 비 Microsoft 자격 증명 공급자 또는 자격 증명 공급자를 지원하지 않습니다.
1단계 잠금 해제 요소 자격 증명 공급자의 기본 자격 증명 공급자는 다음과 같습니다.
- PIN
- 지문
- 얼굴 인식
2단계 잠금 해제 요소 자격 증명 공급자의 기본 자격 증명 공급자는 다음과 같습니다.
- 신뢰할 수 있는 신호
- PIN
1단계 및 2단계 잠금 해제 요소로 사용하려는 자격 증명 공급자 GUID에 대해 쉼표로 구분된 목록을 구성합니다. 자격 증명 공급자는 두 목록에 모두 표시될 수 있지만 해당 공급자가 지원하는 자격 증명은 잠금 해제 요소 중 하나만 충족할 수 있습니다. 나열된 자격 증명 공급자는 특정 순서에 있을 필요가 없습니다.
예를 들어 1단계 및 2단계 요소 목록 모두에 PIN 및 지문 자격 증명 공급자가 포함되어 있는 경우, 사용자는 지문이나 PIN을 1단계 잠금 해제 요소로 사용할 수 있습니다. 첫 번째 잠금 해제 요소를 충족하는 데 사용하는 요소는 두 번째 잠금 해제 요소를 충족하는 데 사용할 수 없습니다. 따라서 각 요소는 딱 한 번만 사용할 수 있습니다. 신뢰할 수 있는 신호 공급자는 오직 2단계 잠금 해제 요소 자격 증명 공급자 목록의 일부로만 지정할 수 있습니다.
신뢰할 수 있는 신호 자격 증명 공급자를 위한 신호 규칙 구성
디바이스 잠금 해제용 신호 규칙 설정에는 신뢰할 수 있는 신호 자격 증명 공급자가 디바이스 잠금 해제를 충족하기 위해 사용하는 규칙이 포함됩니다.
규칙 요소
XML에서 신호 규칙을 나타냅니다. 각 신호 규칙에는 특성과 값을 포함하는 시작 및 끝 rule
요소가 있습니다 schemaVersion
. 현재 지원되는 스키마 버전은 입니다 1.0
.
예제
<rule schemaVersion="1.0">
</rule>
신호 요소
각 규칙 요소에는 요소가 있습니다 signal
. 모든 신호 요소에는 요소와 가 type
있습니다 value
. 지원되는 값은 다음과 같습니다.
- bluetooth
- ipConfig
- wifi
Bluetooth
신호 요소에 더 많은 특성을 사용하여 Bluetooth 신호를 정의합니다. Bluetooth 구성은 다른 요소를 사용하지 않습니다. 짧은 끝 태그 />
를 사용하여 신호 요소를 종료할 수 있습니다.
특성 | 값 | 필수 |
---|---|---|
유형 | bluetooth |
예 |
시나리오 | Authentication |
예 |
classOfDevice | "번호" | 아니요 |
rssiMin | "번호" | 아니요 |
rssiMaxDelta | "번호" | 아니요 |
예시:
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
classofDevice 특성은 기본적으로 Phone으로 설정되며 다음 표의 값을 사용합니다.
설명 | 값 |
---|---|
기타 | 0 |
컴퓨터 | 256 |
휴대폰 | 512 |
LAN/네트워크 액세스 지점 | 768 |
오디오/비디오 | 1024 |
주변 장치 | 1280 |
이미징 | 1536 |
착용식 | 1792 |
장난감 | 2048 |
건강 | 2304 |
분류 되지 않음 | 7936 |
rssiMin 속성 값 신호는 디바이스가 "범위 내"에 있는 것으로 간주되기 위해 필요한 강도를 나타냅니다. 기본값 -10을 사용하면 사용자가 평균 크기의 사무실 또는 방에서 돌아다녀도 Windows가 디바이스를 잠그지 않습니다. rssiMaxDelta의 기본값은 -10이며, 신호 강도가 10보다 더 약해지면 Windows에서 장치를 잠그도록 지시합니다.
RSSI 측정값은 쌍을 이루는 두 장치 간의 블루투스 신호가 감소함에 따라 상대적이며 낮습니다. 측정값은 -10보다 0입니다. -10의 측정값은 -60보다 강하며 디바이스가 서로 더 멀리 이동하고 있음을 나타냅니다.
중요
이 정책 설정에 기본값을 사용하는 것이 좋습니다. 측정값은 각 환경의 다양한 조건에 따라 상대적입니다. 따라서 같은 값이 다른 결과를 낳을 수 있습니다. 설정을 광범위하게 배포하기 전에 각 환경에서 정책 설정을 테스트해야 합니다. 그룹 정책 관리 편집기에서 생성된 XML 파일의 RssiMIN 및 rssiMaxDelta 값을 사용하거나 두 특성을 모두 제거하고 기본 값을 사용합니다.
IP 구성
하나 이상의 ipConfiguration 요소를 사용하여 IP 구성 신호를 정의할 수 있습니다. 각 요소는 하나의 문자열 값을 가집니다. IpConfiguration 요소에는 특성 또는 중첩된 요소가 없습니다.
IPv4Prefix
인터넷 표준 소수점 표기법으로 표시되는 IPv4 네트워크 접두사입니다. 네트워크 문자열의 일부로 CIDR(Classless Inter-Domain Routing) 표기법을 사용하는 네트워크 접두사가 필요합니다. 네트워크 포트는 네트워크 문자열에 나타날 수 없습니다. 신호 요소에는 하나의 ipv4Prefix 요소만 포함될 수 있습니다. 예시:
<ipv4Prefix>192.168.100.0/24</ipv4Prefix>
192.168.100.1부터 192.168.100.254까지 범위에서 할당된 IPv4 주소는 이 신호 구성과 일치합니다.
IPv4Gateway
인터넷 표준 소수점 표기법으로 표시되는 IPv4 네트워크 게이트웨이입니다. 네트워크 포트나 접두사는 네트워크 문자열에 나타날 수 없습니다. 신호 요소에는 하나의 ipv4Gateway 요소만 포함될 수 있습니다. 예시:
<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer
인터넷 표준 소수점 표기법으로 표시되는 IPv4 DHCP 서버입니다. 네트워크 포트나 접두사는 네트워크 문자열에 나타날 수 없습니다. 신호 요소에는 하나의 ipv4DhcpServer 요소만 포함될 수 있습니다. 예시:
<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer
인터넷 표준 소수점 표기법으로 표시되는 IPv4 DNS 서버입니다. 네트워크 포트나 접두사는 네트워크 문자열에 표시되지 않아야 합니다. 신호 요소에는 하나 이상의 ipv4DnsServer 요소가 포함될 수 있습니다.
예제:
<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix
인터넷 표준 16진수 인코딩을 사용하여 IPv6 네트워크에 표시되는 IPv6 네트워크 접두사입니다. 네트워크 문자열의 일부로 CIDR 표기법을 따르는 네트워크 접두사가 필요합니다. 네트워크 포트나 범위 ID는 네트워크 문자열에 나타날 수 없습니다. 신호 요소에는 하나의 ipv6Prefix 요소만 포함될 수 있습니다. 예시:
<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway
인터넷 표준 16진수 인코딩으로 표시되는 IPv6 네트워크 게이트웨이입니다. IPv6 범위 ID는 네트워크 문자열에 나타날 수 있습니다. 네트워크 포트나 접두사는 네트워크 문자열에 나타날 수 없습니다. 신호 요소에는 하나의 ipv6Gateway 요소만 포함될 수 있습니다. 예시:
<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer
인터넷 표준 16진수 인코딩으로 표시되는 IPv6 DNS 서버입니다. IPv6 범위 ID는 네트워크 문자열에 나타날 수 있습니다. 네트워크 포트나 접두사는 네트워크 문자열에 나타날 수 없습니다. 신호 요소에는 하나의 ipv6DhcpServer 요소만 포함될 수 있습니다. 예시:
<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer
인터넷 표준 16진수 인코딩으로 표시되는 IPv6 DNS 서버입니다. IPv6 범위 ID는 네트워크 문자열에 나타날 수 있습니다. 네트워크 포트나 접두사는 네트워크 문자열에 나타날 수 없습니다. 신호 요소에는 하나 이상의 ipv6DnsServer 요소가 포함될 수 있습니다. 예시:
<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
dnsSuffix
이 설정의 정규화된 도메인 이름의 일부가 컴퓨터의 기본 DNS 접미사에 있는 조직의 내부 DNS 접미사의 정규화된 도메인 이름입니다. 신호 요소에는 하나 이상의 dnsSuffix 요소가 포함될 수 있습니다. 예시:
<dnsSuffix>corp.contoso.com</dnsSuffix>
Wi-Fi
하나 이상의 wifi 요소를 사용하여 Wi-Fi 신호를 정의합니다. 각 요소는 하나의 문자열 값을 가집니다. Wifi 요소에는 특성 또는 중첩된 요소가 없습니다.
SSID
무선 네트워크의 SSID(서비스 집합 식별자)를 포함합니다. SSID는 무선 네트워크의 이름입니다. SSID 요소가 필요합니다. 예시:
<ssid>corpnetwifi</ssid>
BSSID
무선 액세스 지점의 기본 BSSID(서비스 집합 식별자)를 포함합니다. BSSID는 무선 액세스 지점의 mac 주소입니다. BSSID 요소는 선택 사항입니다. 예시:
<bssid>12-ab-34-ff-e5-46</bssid>
보안
무선 네트워크에 연결할 때 클라이언트가 사용하는 보안 유형을 포함합니다. 보안 요소는 필수이며 다음 값 중 하나를 포함해야 합니다.
값 | 설명 |
---|---|
열기 | 무선 네트워크는 인증 또는 암호화가 필요하지 않은 개방형 네트워크입니다. |
WEP | 무선 네트워크는 유선 등가 개인 정보를 사용하여 보호됩니다. |
WPA-Personal | 무선 네트워크는 Wi-Fi 보호된 액세스를 사용하여 보호됩니다. |
WPA-Enterprise | 무선 네트워크는 Wi-Fi Protected Access-Enterprise를 사용하여 보호됩니다. |
WPA2-Personal | 무선 네트워크는 일반적으로 사전 공유 키를 사용하는 Wi-Fi 보호된 액세스 2를 사용하여 보호됩니다. |
WPA2-Enterprise | 무선 네트워크는 Wi-Fi Protected Access 2-Enterprise를 사용하여 보호됩니다. |
예시:
<security>WPA2-Enterprise</security>
TrustedRootCA
무선 네트워크의 신뢰할 수 있는 루트 인증서의 지문을 포함합니다. 신뢰할 수 있는 모든 루트 인증서를 사용할 수 있습니다. 값은 문자열의 각 바이트가 단일 공백으로 구분되는 16진수 문자열로 표시됩니다. 요소는 선택 사항입니다. 예시:
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
Sig_quality
신뢰할 수 있는 신호로 간주되는 데 필요한 무선 네트워크의 신호 강도를 나타내기 위해 0에서 100 사이의 숫자 값을 포함합니다.
예시:
<sig_quality>80</sig_quality>
신뢰할 수 있는 신호 구성 샘플
중요
이러한 예제는 가독성을 위해 래핑되어 있습니다. 형식이 올바르면 전체 XML 내용이 한 줄에 있어야 합니다.
예제 1
다음 예제에서는 Ipv4Prefix, Ipv4DnsServer 및 DnsSuffix 요소를 사용하여 IPConfig 신호 형식을 구성합니다.
<rule schemaVersion="1.0">
<signal type="ipConfig">
<ipv4Prefix>10.10.10.0/24</ipv4Prefix>
<ipv4DnsServer>10.10.0.1</ipv4DnsServer>
<ipv4DnsServer>10.10.0.2</ipv4DnsServer>
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>
예제 2
다음 예제에서는 dnsSuffix 요소 및 휴대폰용 Bluetooth 신호를 사용하여 IpConfig 신호 유형을 구성합니다. 이 예제는 결과 신호 평가가 true가 되도록 IpConfig 또는 Bluetooth 규칙이 true로 평가되어야 임을 의미합니다.
참고
쉼표를 사용해 각 규칙 요소를 구분합니다.
<rule schemaVersion="1.0">
<signal type="ipConfig">
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>,
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
예제 3
다음 예제에서는 복합 요소를 사용하여 예제 2와 동일하게 구성합니다 and
. 이 예제는 결과 신호 평가가 true가 되도록 IpConfig 및 Bluetooth 규칙이 true로 평가되어야 임을 의미합니다.
<rule schemaVersion="1.0">
<and>
<signal type="ipConfig">
<dnsSuffix>corp.microsoft.com</dnsSuffix>
</signal>
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>
예제 4
다음 예제에서는 Wi-Fi 를 신뢰할 수 있는 신호로 구성합니다.
<rule schemaVersion="1.0">
<signal type="wifi">
<ssid>contoso</ssid>
<bssid>12-ab-34-ff-e5-46</bssid>
<security>WPA2-Enterprise</security>
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
<sig_quality>80</sig_quality>
</signal>
</rule>
다단계 잠금 해제 구성
다단계 잠금 해제를 구성하려면 다음을 사용할 수 있습니다.
- Microsoft Intune/CSP
- 그룹 정책
중요
- 각 그룹에는 PIN이 반드시 포함되어야 합니다.
- 신뢰할 수 있는 신호는 반드시 다른 자격 증명 공급자와 함께 사용해야 합니다.
- 동일한 잠금 해제 요소를 사용하여 두 범주를 모두 충족할 수는 없습니다. 따라서 두 범주에 자격 증명 공급자를 포함하는 경우 두 범주 중 하나를 충족할 수 있지만 둘 다 충족할 수는 없음을 의미합니다.
다음 지침에서는 디바이스를 구성하는 방법에 대한 세부 정보를 제공합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.
Microsoft Intune을 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 |
---|---|
관리 템플릿>비즈니스용 Windows Hello | 디바이스 잠금 해제 플러그 인 |
- 잠금 해제 요소 구성의 정보를 사용하여 첫 번째 및 두 번째 잠금 해제 요소 구성
- 신뢰할 수 있는 신호를 사용하는 경우 신뢰할 수 있는 신호 자격 증명 공급자에 대한 신호 규칙 구성의 정보를 사용하여 잠금 해제 요소에서 사용하는 신뢰할 수 있는 신호를 구성합니다.
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
또는 PassportForWork CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
설정 |
---|
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
중요
필요한 요소가 없는 경우 사용자가 디바이스의 잠금을 해제할 수 없도록 모든 비 Microsoft 자격 증명 공급자를 제거해야 합니다. 대체 옵션은 암호 또는 스마트 카드를 사용하는 것입니다(필요에 따라 두 옵션 모두 비활성화할 수 있음).
사용자 환경
다단계 잠금 해제를 사용하는 경우의 사용자 환경을 보여 주는 간단한 비디오는 다음과 같습니다.
- 사용자가 지문 + Bluetooth 페어링 휴대폰으로 처음 로그인합니다.
- 그런 다음 사용자가 지문 + PIN으로 로그인합니다.
문제 해결
다단계 잠금 해제는 Application and Services Logs\Microsoft\Windows\HelloForBusiness 아래의 이벤트 로그에 디바이스 잠금 해제라는 범주 이름으로 이벤트를 씁니다.
이벤트
이벤트 ID | 세부 정보 |
---|---|
3520 | 잠금 해제 시도 개시 |
5520 | 잠금 해제 정책이 구성되지 않음 |
6520 | 경고 이벤트 |
7520 | 오류 이벤트 |
8520 | 성공 이벤트 |