다음을 통해 공유


Cloud Kerberos 트러스트 배포 가이드

이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.


요구 사항

배포를 시작하기 전에 비즈니스용 Windows Hello 배포 계획 문서에 설명된 요구 사항을 검토합니다.

시작하기 전에 다음 요구 사항이 충족되는지 확인합니다.

중요

클라우드 Kerberos 트러스트 배포 모델을 구현할 때 사용자가 비즈니스용 Windows Hello 인증할 각 Active Directory 사이트에 충분한 수의 읽기-쓰기 도메인 컨트롤러가 있는지 확인해야 합니다. 자세한 내용은 Active Directory에 대한 용량 계획을 참조하세요.

배포 단계

필수 구성 요소가 충족되면 비즈니스용 Windows Hello 배포는 다음 단계로 구성됩니다.

Microsoft Entra Kerberos 배포

암호 없는 보안 키 로그인을 위해 온-프레미스 SSO를 이미 배포한 경우 Microsoft Entra Kerberos가 이미 organization 배포되어 있습니다. 비즈니스용 Windows Hello 지원하도록 기존 Microsoft Entra Kerberos 배포를 다시 배포하거나 변경할 필요가 없으며 비즈니스용 Windows Hello 정책 설정 구성 섹션으로 건너뛸 수 있습니다.

Microsoft Entra Kerberos를 배포하지 않은 경우 암호 없는 보안 키 로그인 사용 설명서의 지침을 따릅니다. 이 페이지에는 Microsoft Entra Kerberos PowerShell 모듈을 설치하고 사용하는 방법에 대한 정보가 포함되어 있습니다. 모듈을 사용하여 비즈니스용 Windows Hello 클라우드 Kerberos 트러스트를 사용하려는 도메인에 대한 Microsoft Entra Kerberos 서버 개체를 만듭니다.

Kerberos 및 클라우드 Kerberos 트러스트 인증 Microsoft Entra

Active Directory 도메인에서 Microsoft Entra Kerberos를 사용하도록 설정하면 AzureADKerberos 컴퓨터 개체가 도메인에 만들어집니다. 이 개체는 다음과 같습니다.

  • RODC(읽기 전용 도메인 컨트롤러) 개체로 표시되지만 물리적 서버와는 연결되지 않습니다.

  • Microsoft Entra ID Active Directory 도메인에 대한 TGT를 생성하는 데만 사용됩니다.

    참고

    RODC에 사용되는 유사한 규칙 및 제한이 AzureADKerberos 컴퓨터 개체에 적용됩니다. 예를 들어, 권한 있는 기본 제공 보안 그룹의 직접 또는 간접 멤버인 사용자는 클라우드 Kerberos 트러스트를 사용할 수 없습니다.

Microsoft Entra Kerberos 서버를 나타내는 컴퓨터 개체를 보여 주는 Active Directory 사용자 및 컴퓨터 콘솔의 스크린샷

Microsoft Entra Kerberos가 비즈니스용 Windows Hello 클라우드 Kerberos 트러스트와 작동하는 방법에 대한 자세한 내용은 비즈니스용 Windows Hello 인증 기술 심층 분석을 참조하세요.

참고

AzureADKerberos 컴퓨터 개체에 구성된 기본 암호 복제 정책은 클라우드 Kerberos 트러스트 또는 FIDO2 보안 키를 사용하여 온-프레미스 리소스에 대한 높은 권한 계정에 서명할 수 없습니다.

Microsoft Entra ID Active Directory로의 가능한 공격 벡터로 인해 컴퓨터 개체CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>의 암호 복제 정책을 완화하여 이러한 계정을 차단 해제하지 않는 것이 좋습니다.

비즈니스용 Windows Hello 정책 설정 구성

Microsoft Entra Kerberos 개체를 설정한 후 비즈니스용 Windows Hello 사용하도록 설정하고 클라우드 Kerberos 트러스트를 사용하도록 구성해야 합니다. 클라우드 Kerberos 트러스트 모델에서 비즈니스용 Windows Hello 구성하는 데 필요한 두 가지 정책 설정이 있습니다.

또 다른 선택 사항이지만 권장되는 정책 설정은 다음과 같습니다.

중요

온-프레미스 인증에 인증서 사용 정책을 사용하도록 설정하면 인증서 신뢰가 클라우드 Kerberos 트러스트보다 우선합니다. 클라우드 Kerberos 트러스트를 사용하도록 설정하려는 머신에 이 정책이 구성되지 않았는지 확인합니다.

다음 지침에서는 Microsoft Intune 또는 GPO(그룹 정책)를 사용하여 디바이스를 구성하는 방법을 설명합니다.

참고

Microsoft Intune 사용하여 비즈니스용 Windows Hello 구성 문서를 검토하여 비즈니스용 Windows Hello 구성하기 위해 Microsoft Intune 제공하는 다양한 옵션에 대해 알아봅니다.

Intune 테넌트 전체 정책을 사용하도록 설정하고 요구 사항에 맞게 구성한 경우 정책 설정 온-프레미스 인증에 클라우드 트러스트 사용만 사용하도록 설정하면 됩니다. 그렇지 않으면 두 설정을 모두 구성해야 합니다.

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주 설정 이름
비즈니스용 Windows Hello 비즈니스용 Windows Hello 사용 true
비즈니스용 Windows Hello 온-프레미스 인증에 클라우드 트러스트 사용 설정됨
비즈니스용 Windows Hello 보안 디바이스 필요 true

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 PassportForWork CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
- 데이터 형식:bool
- 값:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
- 데이터 형식:bool
- 값:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
- 데이터 형식:bool
- 값:True

그룹 정책 및 Intune 모두 사용하여 비즈니스용 Windows Hello 구성을 배포하는 경우 그룹 정책 설정이 우선하며 Intune 설정이 무시됩니다. 정책 충돌에 대한 자세한 내용은 여러 정책 원본의 정책 충돌을 참조하세요.

비즈니스용 Windows Hello 동작을 제어하도록 추가 정책 설정을 구성할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello 정책 설정을 참조하세요.

비즈니스용 Windows Hello 등록

필수 구성 요소 검사가 통과하면 사용자가 로그인한 직후에 비즈니스용 Windows Hello 프로비저닝 프로세스가 시작됩니다. 비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 정책에서 클라우드 Kerberos 트러스트를 사용하는 경우 Microsoft Entra 하이브리드 조인 디바이스에 대한 필수 구성 요소 검사 추가합니다.

애플리케이션 및 서비스 로그Microsoft>Windows에서 사용자 디바이스 등록 관리자 로그를 확인하여 필수 구성 요소 검사 상태 확인할 수 있습니다>.
이 정보는 콘솔의 dsregcmd.exe /status 명령을 사용하여 사용할 수도 있습니다. 자세한 내용은 dsregcmd를 참조하세요.

클라우드 Kerberos 신뢰 필수 구성 요소 검사 프로비저닝을 시작하기 전에 사용자에게 부분 TGT가 있는지 여부를 검색합니다. 이 검사 목적은 Microsoft Entra Kerberos가 사용자의 도메인 및 테넌트용으로 설정되어 있는지 여부를 확인하는 것입니다. Microsoft Entra Kerberos가 설정된 경우 사용자는 다른 잠금 해제 방법 중 하나를 사용하여 로그인하는 동안 부분 TGT를 받습니다. 이 검사 예, 아니요 및 테스트되지 않음의 세 가지 상태가 있습니다. 테스트되지 않음 상태는 클라우드 Kerberos 트러스트가 정책에 의해 적용되지 않거나 디바이스가 Microsoft Entra 조인된 경우 보고됩니다.

참고

클라우드 Kerberos 트러스트 필수 구성 요소 검사 Microsoft Entra 조인된 디바이스에서 수행되지 않습니다. Microsoft Entra Kerberos가 프로비전되지 않은 경우 Microsoft Entra 조인된 디바이스의 사용자는 여전히 로그인할 수 있지만 Active Directory로 보호되는 온-프레미스 리소스에 대한 SSO는 없습니다.

사용자 환경

사용자가 로그인하면 비즈니스용 Windows Hello 등록 프로세스가 시작됩니다.

  1. 디바이스가 생체 인식 인증을 지원하는 경우 사용자에게 생체 인식 제스처를 설정하라는 메시지가 표시됩니다. 이 제스처는 디바이스의 잠금을 해제하고 비즈니스용 Windows Hello 필요한 리소스에 인증하는 데 사용할 수 있습니다. 생체 인식 제스처를 설정하지 않으려면 사용자가 이 단계를 건너뛸 수 있습니다.
  2. 사용자에게 organization 계정으로 Windows Hello 사용하라는 메시지가 표시됩니다. 사용자가 확인을 선택합니다.
  3. 프로비저닝 흐름은 등록의 다단계 인증 부분으로 진행됩니다. 프로비저닝은 구성된 형식의 MFA를 통해 사용자에게 적극적으로 연락을 시도하고 있음을 사용자에게 알릴 수 있습니다. 인증이 성공하거나 실패하거나 시간이 초과될 때까지 프로비저닝 프로세스가 진행되지 않습니다. 실패 또는 시간 제한 MFA로 인해 오류가 발생하며 사용자에게 다시 시도하도록 요청합니다.
  4. MFA가 성공하면 프로비전 흐름은 사용자에게 PIN을 만들고 유효성을 검사할 것을 요청합니다. 이 PIN은 디바이스에 구성된 모든 PIN 복잡성 정책을 관찰해야 합니다.
  5. 프로비저닝의 나머지에는 사용자에 대한 비대칭 키 쌍을 요청하는 비즈니스용 Windows Hello가 포함됩니다. TPM의 키 쌍(또는 정책을 통해 명시적으로 설정된 경우 필요)이 좋습니다. 키 쌍을 획득하면 Windows는 IdP와 통신하여 공개 키를 등록합니다. 키 등록이 완료되면 프로비저닝을 비즈니스용 Windows Hello PIN을 사용하여 로그인할 수 있음을 사용자에게 알릴 수 있습니다. 사용자가 프로비저닝 애플리케이션을 닫고 데스크톱에 액세스할 수 있습니다.

사용자가 클라우드 Kerberos 트러스트를 사용하여 등록을 완료하면 Windows Hello 제스처를 로그인에 즉시 사용할 수 있습니다. Microsoft Entra 하이브리드 조인 디바이스에서 PIN을 처음 사용하려면 DC에 대한 시야가 필요합니다. 사용자가 DC로 로그인하거나 잠금을 해제하면 캐시된 로그인을 가시선 또는 네트워크 연결 없이 후속 잠금 해제에 사용할 수 있습니다.

등록 후 Microsoft Entra Connect는 사용자의 키를 Microsoft Entra ID Active Directory로 동기화합니다.

시퀀스 다이어그램

프로비저닝 흐름을 더 잘 이해하려면 디바이스 조인 및 인증 유형에 따라 다음 시퀀스 다이어그램을 검토합니다.

인증 흐름을 더 잘 이해하려면 다음 시퀀스 다이어그램을 검토합니다.

주요 신뢰 배포 모델에서 클라우드 Kerberos 트러스트로 마이그레이션

키 신뢰 모델을 사용하여 비즈니스용 Windows Hello 배포하고 클라우드 Kerberos 트러스트 모델로 마이그레이션하려는 경우 다음 단계를 수행합니다.

  1. 하이브리드 환경에서 Microsoft Entra Kerberos 설정
  2. 그룹 정책 또는 Intune 통해 클라우드 Kerberos 트러스트 사용
  3. Microsoft Entra 조인된 디바이스의 경우 로그아웃하고 비즈니스용 Windows Hello 사용하여 디바이스에 로그인합니다.

참고

Microsoft Entra 하이브리드 조인 디바이스의 경우 사용자는 DC에 대한 시야를 유지하면서 새 자격 증명으로 첫 번째 로그인을 수행해야 합니다.

인증서 신뢰 배포 모델에서 클라우드 Kerberos 트러스트로 마이그레이션

중요

인증서 신뢰 배포에서 클라우드 Kerberos 트러스트 배포로의 직접 마이그레이션 경로는 없습니다. 클라우드 Kerberos 트러스트로 마이그레이션하려면 먼저 Windows Hello 컨테이너를 삭제해야 합니다.

인증서 신뢰 모델을 사용하여 비즈니스용 Windows Hello 배포하고 클라우드 Kerberos 트러스트 모델을 사용하려는 경우 다음 단계에 따라 비즈니스용 Windows Hello 다시 배포해야 합니다.

  1. 인증서 신뢰 정책을 사용하지 않도록 설정합니다.
  2. 그룹 정책 또는 Intune 통해 클라우드 Kerberos 트러스트를 사용하도록 설정합니다.
  3. 사용자 컨텍스트에서 명령을 certutil.exe -deletehellocontainer 사용하여 인증서 신뢰 자격 증명을 제거합니다.
  4. 로그아웃하고 다시 로그인합니다.
  5. 선택한 메서드를 사용하여 비즈니스용 Windows Hello 프로비전합니다.

참고

Microsoft Entra 하이브리드 조인 디바이스의 경우 사용자는 DC에 대한 시야를 유지하면서 새 자격 증명으로 첫 번째 로그인을 수행해야 합니다.

질문과 대답

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트에 대한 질문과 대답 목록은 비즈니스용 Windows Hello 질문과 대답을 참조하세요.

지원되지 않는 시나리오

다음 시나리오는 비즈니스용 Windows Hello 클라우드 Kerberos 트러스트를 사용하여 지원되지 않습니다.

  • 제공된 자격 증명을 사용하는 RDP/VDI 시나리오(RDP/VDI를 원격 Credential Guard와 함께 사용하거나 인증서가 비즈니스용 Windows Hello 컨테이너에 등록된 경우)
  • 다음으로 실행에 클라우드 Kerberos 트러스트 사용
  • 이전에 DC 연결로 로그인하지 않고 Microsoft Entra 하이브리드 조인 디바이스에서 클라우드 Kerberos 트러스트로 로그인