다음을 통해 공유


비즈니스용 Windows Hello 프로비전 작동 방식

비즈니스용 Windows Hello 프로비저닝을 사용하면 사용자가 암호 없는 인증에 사용할 수 있는 강력하고 강력한 2단계 자격 증명을 등록할 수 있습니다. 프로비전 환경은 다음 사항에 따라 달라집니다.

  • 디바이스를 Microsoft Entra ID 조인하는 방법
  • 비즈니스용 Windows Hello 배포 유형
  • 환경이 관리되거나 페더레이션된 경우

참고

이 섹션의 흐름은 가능한 모든 시나리오에 대해 완전하지 않습니다. 예를 들어 페더레이션 키 트러스트도 지원되는 구성입니다.

관리 인증을 사용하여 조인된 Microsoft Entra 디바이스에 대한 프로비저닝

관리 인증을 사용하여 조인된 디바이스에 Microsoft Entra Windows Hello 프로비저닝 흐름의 시퀀스 다이어그램

단계 설명
A CXH(클라우드 환경 호스트)에서 호스트되는 프로비저닝 애플리케이션은 ADRS(Azure Device Registration Service)에 대한 액세스 토큰을 요청하여 프로비저닝을 시작합니다. 애플리케이션은 Microsoft Entra 웹 계정 관리자 플러그 인을 사용하여 요청을 합니다.
사용자는 두 가지 인증 요소를 제공해야 합니다. 이 단계에서 사용자는 이미 한 가지 인증 요소(일반적으로 사용자 이름 및 암호)를 제공했습니다. Microsoft Entra 다단계 인증 서비스는 두 번째 인증 요소를 제공합니다. 사용자가 OOBE(기본 제공 환경)에서 디바이스를 등록하는 경우와 같이 지난 10분 이내에 Microsoft Entra 다단계 인증을 수행한 경우 현재 MFA가 유효하기 때문에 MFA에 대한 메시지가 표시되지 않습니다.
Microsoft Entra ID 액세스 토큰 요청 및 연결된 MFA 클레임의 유효성을 검사하고, ADRS 액세스 토큰을 만들고, 애플리케이션에 반환합니다.
B ADRS 액세스 토큰을 받은 후 애플리케이션은 디바이스에 Windows Hello 생체 인식 호환 센서가 있는지 검색합니다. 애플리케이션이 생체 인식 센서를 검색하는 경우 사용자에게 생체 인식을 등록할 수 있는 옵션을 제공합니다. 생체 인식 등록을 완료하거나 건너뛴 후 애플리케이션은 사용자가 PIN 및 기본값(생체 인식과 함께 사용할 때의 대체 제스처)을 만들어야 합니다. 사용자가 PIN을 제공하고 확인합니다. 다음으로 애플리케이션은 증명 데이터를 포함하는 키 사전 생성 풀에서 비즈니스용 Windows Hello 키 쌍을 요청합니다. 사용자 키(ukpub/ukpriv)입니다.
C 애플리케이션은 사용자 키 등록을 위해 ADRS 토큰, ukpub, 증명 데이터 및 디바이스 정보를 ADRS로 보냅니다. Azure DRS는 MFA 클레임이 최신 상태로 유지되도록 유효성을 검사합니다. 유효성 검사에 성공하면 Azure DRS는 Microsoft Entra ID 사용자의 개체를 찾아 다중 값 특성에 키 정보를 씁니다. 키 정보에는 생성된 디바이스에 대한 참조가 포함됩니다. Microsoft Entra ID 애플리케이션에 키 ID를 반환하여 사용자 프로비저닝이 종료되고 애플리케이션이 종료되었음을 알릴 수 있습니다.

페더레이션 인증을 사용하여 조인된 Microsoft Entra 디바이스에 대한 프로비저닝

페더레이션 인증을 사용하여 조인된 Microsoft Entra 디바이스에 대한 Windows Hello 프로비저닝 흐름의 시퀀스 다이어그램

단계 설명
A CXH(클라우드 환경 호스트)에서 호스트되는 프로비저닝 애플리케이션은 ADRS(Azure Device Registration Service)에 대한 액세스 토큰을 요청하여 프로비저닝을 시작합니다. 애플리케이션은 Microsoft Entra 웹 계정 관리자 플러그 인을 사용하여 요청을 합니다.
페더레이션된 환경에서 플러그 인은 토큰 요청을 온-프레미스 STS(예: Active Directory Federation Services)로 보냅니다. 온-프레미스 STS는 사용자를 인증하고 사용자가 다른 인증 요소를 수행해야 하는지 여부를 결정합니다.
사용자는 두 가지 인증 요소를 제공해야 합니다. 이 단계에서 사용자는 이미 한 가지 인증 요소(일반적으로 사용자 이름 및 암호)를 제공했습니다. Microsoft Entra 다단계 인증 서비스는 두 번째 인증 요소를 제공합니다. 사용자가 OOBE(기본 제공 환경)에서 디바이스를 등록하는 경우와 같이 지난 10분 이내에 Microsoft Entra 다단계 인증을 수행한 경우 현재 MFA가 유효하기 때문에 MFA에 대한 메시지가 표시되지 않습니다.
온-프레미스 STS 서버는 성공적인 MFA에서 엔터프라이즈 토큰을 발급합니다. 애플리케이션은 토큰을 Microsoft Entra ID 보냅니다.
Microsoft Entra ID 액세스 토큰 요청 및 연결된 MFA 클레임의 유효성을 검사하고, ADRS 액세스 토큰을 만들고, 애플리케이션에 반환합니다.
B ADRS 액세스 토큰을 받은 후 애플리케이션은 디바이스에 Windows Hello 생체 인식 호환 센서가 있는지 검색합니다. 애플리케이션이 생체 인식 센서를 검색하는 경우 사용자에게 생체 인식을 등록할 수 있는 옵션을 제공합니다. 생체 인식 등록을 완료하거나 건너뛴 후 애플리케이션은 사용자가 PIN 및 기본값(생체 인식과 함께 사용할 때의 대체 제스처)을 만들어야 합니다. 사용자가 PIN을 제공하고 확인합니다. 다음으로 애플리케이션은 증명 데이터를 포함하는 키 사전 생성 풀에서 비즈니스용 Windows Hello 키 쌍을 요청합니다. 사용자 키(ukpub/ukpriv)입니다.
C 애플리케이션은 사용자 키 등록을 위해 ADRS 토큰, ukpub, 증명 데이터 및 디바이스 정보를 ADRS로 보냅니다. Azure DRS는 MFA 클레임이 최신 상태로 유지되도록 유효성을 검사합니다. 유효성 검사에 성공하면 Azure DRS는 Microsoft Entra ID 사용자의 개체를 찾아 다중 값 특성에 키 정보를 씁니다. 키 정보에는 생성된 디바이스에 대한 참조가 포함됩니다. Microsoft Entra ID 애플리케이션에 키 ID를 반환하여 사용자 프로비저닝이 종료되고 애플리케이션이 종료되었음을 신호합니다.

관리 인증을 사용하여 클라우드 Kerberos 트러스트 배포 모델에서 프로비전

관리 인증을 사용하는 하이브리드 클라우드 Kerberos 트러스트 배포 모델의 Windows Hello 프로비저닝 흐름의 시퀀스 다이어그램

단계 설명
A CXH(클라우드 환경 호스트)에서 호스트되는 프로비저닝 애플리케이션은 ADRS(Azure Device Registration Service)에 대한 액세스 토큰을 요청하여 프로비저닝을 시작합니다. 애플리케이션은 Microsoft Entra 웹 계정 관리자 플러그 인을 사용하여 요청을 합니다.
사용자는 두 가지 인증 요소를 제공해야 합니다. 이 단계에서 사용자는 이미 한 가지 인증 요소(일반적으로 사용자 이름 및 암호)를 제공했습니다. Microsoft Entra 다단계 인증 서비스는 두 번째 인증 요소를 제공합니다. 사용자가 OOBE(기본 제공 환경)에서 디바이스를 등록하는 경우와 같이 지난 10분 이내에 Microsoft Entra 다단계 인증을 수행한 경우 현재 MFA가 유효하기 때문에 MFA에 대한 메시지가 표시되지 않습니다.
Microsoft Entra ID 액세스 토큰 요청 및 연결된 MFA 클레임의 유효성을 검사하고, ADRS 액세스 토큰을 만들고, 애플리케이션에 반환합니다.
B ADRS 액세스 토큰을 받은 후 애플리케이션은 디바이스에 Windows Hello 생체 인식 호환 센서가 있는지 검색합니다. 애플리케이션이 생체 인식 센서를 검색하는 경우 사용자에게 생체 인식을 등록할 수 있는 옵션을 제공합니다. 생체 인식 등록을 완료하거나 건너뛴 후 애플리케이션은 사용자가 PIN 및 기본값(생체 인식과 함께 사용할 때의 대체 제스처)을 만들어야 합니다. 사용자가 PIN을 제공하고 확인합니다. 다음으로 애플리케이션은 증명 데이터를 포함하는 키 사전 생성 풀에서 비즈니스용 Windows Hello 키 쌍을 요청합니다. 사용자 키(ukpub/ukpriv)입니다.
C 애플리케이션은 사용자 키 등록을 위해 ADRS 토큰, ukpub, 증명 데이터 및 디바이스 정보를 ADRS로 보냅니다. Azure DRS는 MFA 클레임이 최신 상태로 유지되도록 유효성을 검사합니다. 유효성 검사에 성공하면 Azure DRS는 Microsoft Entra ID 사용자의 개체를 찾아 다중 값 특성에 키 정보를 씁니다. 키 정보에는 생성된 디바이스에 대한 참조가 포함됩니다. Microsoft Entra ID 애플리케이션에 키 ID를 반환하여 사용자 프로비저닝이 종료되고 애플리케이션이 종료되었음을 알릴 수 있습니다.

참고

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 사용자의 키를 Microsoft Entra ID Active Directory로 동기화할 필요가 없습니다. 사용자는 자격 증명을 프로비전한 후 Microsoft Entra ID 및 AD에 즉시 인증할 수 있습니다.

관리 인증을 사용하여 하이브리드 키 신뢰 배포 모델에서 프로비전

관리 인증을 사용하는 하이브리드 키 신뢰 배포 모델의 Windows Hello 프로비저닝 흐름의 시퀀스 다이어그램

단계 설명
A CXH(클라우드 환경 호스트)에서 호스트되는 프로비저닝 애플리케이션은 ADRS(Azure Device Registration Service)에 대한 액세스 토큰을 요청하여 프로비저닝을 시작합니다. 애플리케이션은 Microsoft Entra 웹 계정 관리자 플러그 인을 사용하여 요청을 합니다.
사용자는 두 가지 인증 요소를 제공해야 합니다. 이 단계에서 사용자는 이미 한 가지 인증 요소(일반적으로 사용자 이름 및 암호)를 제공했습니다. Microsoft Entra 다단계 인증 서비스는 두 번째 인증 요소를 제공합니다. 사용자가 OOBE(기본 제공 환경)에서 디바이스를 등록하는 경우와 같이 지난 10분 이내에 Microsoft Entra 다단계 인증을 수행한 경우 현재 MFA가 유효하기 때문에 MFA에 대한 메시지가 표시되지 않습니다.
Microsoft Entra ID 액세스 토큰 요청 및 연결된 MFA 클레임의 유효성을 검사하고, ADRS 액세스 토큰을 만들고, 애플리케이션에 반환합니다.
B ADRS 액세스 토큰을 받은 후 애플리케이션은 디바이스에 Windows Hello 생체 인식 호환 센서가 있는지 검색합니다. 애플리케이션이 생체 인식 센서를 검색하는 경우 사용자에게 생체 인식을 등록할 수 있는 옵션을 제공합니다. 생체 인식 등록을 완료하거나 건너뛴 후 애플리케이션은 사용자가 PIN 및 기본값(생체 인식과 함께 사용할 때의 대체 제스처)을 만들어야 합니다. 사용자가 PIN을 제공하고 확인합니다. 다음으로 애플리케이션은 증명 데이터를 포함하는 키 사전 생성 풀에서 비즈니스용 Windows Hello 키 쌍을 요청합니다. 사용자 키(ukpub/ukpriv)입니다.
C 애플리케이션은 사용자 키 등록을 위해 ADRS 토큰, ukpub, 증명 데이터 및 디바이스 정보를 ADRS로 보냅니다. Azure DRS는 MFA 클레임이 최신 상태로 유지되도록 유효성을 검사합니다. 유효성 검사에 성공하면 Azure DRS는 Microsoft Entra ID 사용자의 개체를 찾아 다중 값 특성에 키 정보를 씁니다. 키 정보에는 생성된 디바이스에 대한 참조가 포함됩니다. Microsoft Entra ID 애플리케이션에 키 ID를 반환하여 사용자 프로비저닝이 종료되고 애플리케이션이 종료되었음을 알릴 수 있습니다.
D Microsoft Entra Connect는 다음 동기화 주기에 업데이트를 요청합니다. Microsoft Entra ID 프로비저닝을 통해 안전하게 등록된 사용자의 공개 키를 보냅니다. Microsoft Entra Connect는 공개 키를 수신하고 Active Directory의 msDS-KeyCredentialLink 사용자 특성에 씁니다.

중요

새로 프로비전된 사용자는 Microsoft Entra Connect가 공개 키를 온-프레미스 Active Directory 성공적으로 동기화할 때까지 비즈니스용 Windows Hello 사용하여 로그인할 수 없습니다.

페더레이션 인증을 사용하여 하이브리드 인증서 신뢰 배포 모델에서 프로비전

페더레이션 인증을 사용하는 하이브리드 인증서 신뢰 배포 모델의 Windows Hello 프로비저닝 흐름의 시퀀스 다이어그램

단계 설명
A CXH(클라우드 환경 호스트)에서 호스트되는 프로비저닝 애플리케이션은 ADRS(Azure Device Registration Service)에 대한 액세스 토큰을 요청하여 프로비저닝을 시작합니다. 애플리케이션은 Microsoft Entra 웹 계정 관리자 플러그 인을 사용하여 요청을 합니다.
페더레이션된 환경에서 플러그 인은 토큰 요청을 온-프레미스 STS(예: Active Directory Federation Services)로 보냅니다. 온-프레미스 STS는 사용자를 인증하고 사용자가 다른 인증 요소를 수행해야 하는지 여부를 결정합니다.
사용자는 두 가지 인증 요소를 제공해야 합니다. 이 단계에서 사용자는 이미 한 가지 인증 요소(일반적으로 사용자 이름 및 암호)를 제공했습니다. Microsoft Entra 다단계 인증 서비스(또는 타사 MFA 서비스)는 두 번째 인증 요소를 제공합니다.
온-프레미스 STS 서버는 성공적인 MFA에서 엔터프라이즈 토큰을 발급합니다. 애플리케이션은 토큰을 Microsoft Entra ID 보냅니다.
Microsoft Entra ID 액세스 토큰 요청 및 연결된 MFA 클레임의 유효성을 검사하고, ADRS 액세스 토큰을 만들고, 애플리케이션에 반환합니다.
B ADRS 액세스 토큰을 받은 후 애플리케이션은 디바이스에 Windows Hello 생체 인식 호환 센서가 있는지 검색합니다. 애플리케이션이 생체 인식 센서를 검색하는 경우 사용자에게 생체 인식을 등록할 수 있는 옵션을 제공합니다. 생체 인식 등록을 완료하거나 건너뛴 후 애플리케이션은 사용자가 PIN 및 기본값(생체 인식과 함께 사용할 때의 대체 제스처)을 만들어야 합니다. 사용자가 PIN을 제공하고 확인합니다. 다음으로 애플리케이션은 증명 데이터를 포함하는 키 사전 생성 풀에서 비즈니스용 Windows Hello 키 쌍을 요청합니다. 사용자 키(ukpub/ukpriv)입니다.
C 애플리케이션은 사용자 키 등록을 위해 ADRS 토큰, ukpub, 증명 데이터 및 디바이스 정보를 ADRS로 보냅니다. Azure DRS는 MFA 클레임이 최신 상태로 유지되도록 유효성을 검사합니다. 유효성 검사에 성공하면 Azure DRS는 Microsoft Entra ID 사용자의 개체를 찾아 다중 값 특성에 키 정보를 씁니다. 키 정보에는 생성된 디바이스에 대한 참조가 포함됩니다. Microsoft Entra ID 사용자 키 등록의 끝을 나타내는 키 ID와 키 영수증을 애플리케이션에 반환합니다.
D 프로비저닝의 인증서 요청 부분은 애플리케이션이 키 등록에서 성공적인 응답을 받은 후에 시작됩니다. 애플리케이션은 PKCS#10 인증서 요청을 만듭니다. 인증서 요청에 사용된 키는 안전하게 프로비전된 키와 동일합니다.
애플리케이션은 공개 키를 포함하는 키 수신 및 인증서 요청을 Active Directory Federation Services(AD FS) 팜에 호스트된 인증서 등록 기관으로 보냅니다.
인증서 요청을 받은 후 인증서 등록 기관은 등록된 공개 키 목록을 위해 msDS-KeyCredentialsLink에 대한 Active Directory를 쿼리합니다.
E 등록 기관은 인증서 요청의 공개 키가 사용자의 등록된 키와 일치하는지 확인합니다.
인증서의 공개 키가 등록된 공개 키 목록에 없는 경우 키 확인의 유효성을 검사하여 키가 Azure에 안전하게 등록되었는지 확인합니다.
키 영수증 또는 공개 키의 유효성을 검사한 후 등록 기관은 등록 에이전트 인증서를 사용하여 인증서 요청에 서명합니다.
여자 등록 기관은 인증 요청을 엔터프라이즈 발급 인증 기관으로 보냅니다. 인증 기관은 인증서 요청이 유효한 등록 에이전트에 의해 서명되어 있는지 확인하고 성공하면 인증서를 발급하고 등록 기관에 반환한 다음, 인증서를 애플리케이션에 반환합니다.
G 애플리케이션은 새로 발급된 인증서를 수신하고 사용자의 개인 저장소에 설치합니다. 이렇게 하면 프로비저닝이 종료됩니다.

중요

동기 인증서 등록은 비즈니스용 Windows Hello 인증 인증서를 발급하기 위해 사용자의 공개 키를 동기화하는 Microsoft Entra Connect에 의존하지 않습니다. 사용자는 프로비전이 완료된 직후 인증서를 사용하여 로그인할 수 있습니다. Microsoft Entra Connect는 공개 키를 Active Directory와 계속 동기화하지만 이 흐름에는 표시되지 않습니다.

온-프레미스 키 신뢰 배포 모델의 프로비전

온-프레미스 키 신뢰 배포 모델의 Windows Hello 프로비저닝 흐름의 시퀀스 다이어그램

단계 설명
A CXH(클라우드 환경 호스트)에서 호스트되는 프로비저닝 애플리케이션은 EDRS(Enterprise Device Registration Service)에 대한 액세스 토큰을 요청하여 프로비저닝을 시작합니다. 애플리케이션은 Microsoft Entra 웹 계정 관리자 플러그 인을 사용하여 요청을 합니다.
온-프레미스 배포에서 플러그 인은 토큰 요청을 온-프레미스 STS(예: Active Directory Federation Services)로 보냅니다. 온-프레미스 STS는 사용자를 인증하고 사용자가 다른 인증 요소를 수행해야 하는지 여부를 결정합니다.
사용자는 두 가지 인증 요소를 제공해야 합니다. 이 단계에서 사용자는 이미 한 가지 인증 요소(일반적으로 사용자 이름 및 암호)를 제공했습니다. Microsoft Entra 다단계 인증 서버(또는 타사 MFA 서비스)는 두 번째 인증 요소를 제공합니다.
온-프레미스 STS 서버는 성공적인 MFA에서 엔터프라이즈 DRS 토큰을 발급합니다.
B EDRS 액세스 토큰을 받은 후 애플리케이션은 디바이스에 Windows Hello 생체 인식 호환 센서가 있는지 검색합니다. 애플리케이션이 생체 인식 센서를 검색하는 경우 사용자에게 생체 인식을 등록할 수 있는 옵션을 제공합니다. 생체 인식 등록을 완료하거나 건너뛴 후 애플리케이션은 사용자가 PIN 및 기본값(생체 인식과 함께 사용할 때의 대체 제스처)을 만들어야 합니다. 사용자가 PIN을 제공하고 확인합니다. 다음으로 애플리케이션은 증명 데이터를 포함하는 키 사전 생성 풀에서 비즈니스용 Windows Hello 키 쌍을 요청합니다. 사용자 키(ukpub/ukpriv)입니다.
C 애플리케이션은 사용자 키 등록을 위해 EDRS 토큰, ukpub, 증명 데이터 및 디바이스 정보를 Enterprise DRS로 보냅니다. Enterprise DRS는 MFA 클레임이 최신 상태로 유지되도록 유효성을 검사합니다. 유효성 검사가 성공하면 엔터프라이즈 DRS는 Active Directory에서 사용자의 개체를 찾고, 핵심 정보를 다중 값 특성에 씁니다. 키 정보에는 생성된 디바이스에 대한 참조가 포함됩니다. 엔터프라이즈 DRS는 사용자 키 등록의 끝을 나타내는 애플리케이션에 키 ID를 반환합니다.

온-프레미스 인증서 신뢰 배포 모델에서 프로비전

온-프레미스 인증서 신뢰 배포 모델의 Windows Hello 프로비저닝 흐름의 시퀀스 다이어그램

단계 설명
A CXH(클라우드 환경 호스트)에서 호스트되는 프로비저닝 애플리케이션은 EDRS(Enterprise Device Registration Service)에 대한 액세스 토큰을 요청하여 프로비저닝을 시작합니다. 애플리케이션은 Microsoft Entra 웹 계정 관리자 플러그 인을 사용하여 요청을 합니다.
온-프레미스 배포에서 플러그 인은 토큰 요청을 온-프레미스 STS(예: Active Directory Federation Services)로 보냅니다. 온-프레미스 STS는 사용자를 인증하고 사용자가 다른 인증 요소를 수행해야 하는지 여부를 결정합니다.
사용자는 두 가지 인증 요소를 제공해야 합니다. 이 단계에서 사용자는 이미 한 가지 인증 요소(일반적으로 사용자 이름 및 암호)를 제공했습니다. Microsoft Entra 다단계 인증 서버(또는 타사 MFA 서비스)는 두 번째 인증 요소를 제공합니다.
온-프레미스 STS 서버는 성공적인 MFA에서 엔터프라이즈 DRS 토큰을 발급합니다.
B EDRS 액세스 토큰을 받은 후 애플리케이션은 디바이스에 Windows Hello 생체 인식 호환 센서가 있는지 검색합니다. 애플리케이션이 생체 인식 센서를 검색하는 경우 사용자에게 생체 인식을 등록할 수 있는 옵션을 제공합니다. 생체 인식 등록을 완료하거나 건너뛴 후 애플리케이션은 사용자가 PIN 및 기본값(생체 인식과 함께 사용할 때의 대체 제스처)을 만들어야 합니다. 사용자가 PIN을 제공하고 확인합니다. 다음으로 애플리케이션은 증명 데이터를 포함하는 키 사전 생성 풀에서 비즈니스용 Windows Hello 키 쌍을 요청합니다. 사용자 키(ukpub/ukpriv)입니다.
C 애플리케이션은 사용자 키 등록을 위해 EDRS 토큰, ukpub, 증명 데이터 및 디바이스 정보를 Enterprise DRS로 보냅니다. Enterprise DRS는 MFA 클레임이 최신 상태로 유지되도록 유효성을 검사합니다. 유효성 검사가 성공하면 엔터프라이즈 DRS는 Active Directory에서 사용자의 개체를 찾고, 핵심 정보를 다중 값 특성에 씁니다. 키 정보에는 생성된 디바이스에 대한 참조가 포함됩니다. 엔터프라이즈 DRS는 사용자 키 등록의 끝을 나타내는 애플리케이션에 키 ID를 반환합니다.
D 프로비저닝의 인증서 요청 부분은 애플리케이션이 키 등록에서 성공적인 응답을 받은 후에 시작됩니다. 애플리케이션은 PKCS#10 인증서 요청을 만듭니다. 인증서 요청에 사용된 키는 안전하게 프로비전된 키와 동일합니다.
애플리케이션은 공개 키가 포함된 인증서 요청을 AD FS(Active Directory Federation Services) 팜에 호스트된 인증서 등록 기관으로 보냅니다.
인증서 요청을 받은 후 인증서 등록 기관은 등록된 공개 키 목록을 위해 msDS-KeyCredentialsLink에 대한 Active Directory를 쿼리합니다.
E 등록 기관은 인증서 요청의 공개 키가 사용자의 등록된 키와 일치하는지 확인합니다.
공개 키의 유효성을 검사한 후 등록 기관은 등록 에이전트 인증서를 사용하여 인증서 요청에 서명합니다.
여자 등록 기관은 인증 요청을 엔터프라이즈 발급 인증 기관으로 보냅니다. 인증 기관은 인증서 요청이 유효한 등록 에이전트에 의해 서명되어 있는지 확인하고 성공하면 인증서를 발급하고 등록 기관에 반환한 다음, 인증서를 애플리케이션에 반환합니다.
G 애플리케이션은 새로 발급된 인증서를 수신하고 사용자의 개인 저장소에 설치합니다. 이렇게 하면 프로비저닝이 종료됩니다.