802.1 x 유선 인증 사용

2017년 11월 14일 Windows 10 업데이트(빌드 15063.726)는 Surface Hub 디바이스에서 802.1x 유선 인증 정책 구성을 사용하도록 설정했습니다. 이 기능은 조직이 IEEE 802.1x 인증 프로토콜을 사용해 표준화된 유선 네트워크 인증을 적용할 수 있게 해줍니다. MDM 또는 프로비저닝 패키지를 통해 WLAN 프로필을 사용하는 무선 인증에 이미 사용되었습니다. 이 항목에서는 유선 인증에 사용할 Surface Hub를 구성하는 방법을 설명합니다.

Surface Hub에서 802.1x 유선 인증 적용 및 사용은 MDM OMA-URI 프로필 또는 프로비저닝 패키지를 통해 수행할 수 있습니다.

설정할 기본 구성은 LanProfile 정책입니다. 선택한 인증 방법에 따라 사용자 또는 컴퓨터 인증서(예: 사용자/디바이스 인증서의 경우 ClientCertificateInstall 또는 디바이스 인증서의 경우 RootCATrustedCertificates)를 추가하기 위해 EapUserData 정책이나 MDM 정책 등 다른 정책이 필요할 수 있습니다.

LanProfile 정책 요소

지원되는 802.1x 인증 방법 중 하나를 사용하여 Surface Hub를 구성하려면 다음 OMA URI를 활용합니다.

./Vendor/MSFT/SurfaceHub/Dot3/LanProfile

이 OMA URI 노드는 XML의 텍스트 문자열을 매개 변수로 사용합니다. 매개 변수로 제공되는 XML은 802.1X 스키마의 요소를 포함하여 유선 LAN 프로필 스키마를 준수해야 합니다.

대부분의 경우, 관리자 또는 사용자가 다음 NETSH 명령을 사용하여 이미 802.1X용 네트워크에서 구성된 기존 PC로부터 LanProfile XML을 내보낼 수 있습니다.

netsh lan export profile folder=.

이 명령을 실행하면 다음 출력이 제공되고 현재 디렉터리에 Ethernet.xml 파일이 배치됩니다.

Interface: Ethernet
Profile File Name: .\Ethernet.xml
1 profile(s) were exported successfully.

Surface Hub에서 802.1x를 완전히 사용하지 않도록 설정하려면 프로비전 패키지를 사용하여 SurfaceHub\Dot3\LanProfile 노드를 다음 xml로 설정할 수 있습니다.

<?xml version="1.0" encoding="UTF-8"?>
<LANProfile xmlns="https://www.microsoft.com/networking/LAN/profile/v1">
   <MSM>
       <security>
           <OneXEnforced>false</OneXEnforced>
           <OneXEnabled>false</OneXEnabled>
       </security>
  </MSM>
</LANProfile>

EapUserData 정책 요소

선택한 인증 방법이 인증서가 아니라 사용자 이름 및 암호를 요구하는 경우 EapUserData 요소를 사용하여 네트워크를 인증하는 데 사용할 디바이스에 대한 자격 증명을 지정할 수 있습니다.

./Vendor/MSFT/SurfaceHub/Dot3/EapUserData 

이 OMA URI 노드는 XML의 텍스트 문자열을 매개 변수로 사용합니다. 매개 변수로 제공된 XML은 PEAP MS-CHAPv2 사용자 속성 예시를 준수해야 합니다. 이 예제에서는 테스트 및 ias-domain 의 모든 인스턴스를 사용자 정보로 바꿔야 합니다.

인증서 추가

선택한 인증 방법이 인증서 기반인 경우 프로비저닝 패키지를 만들거나, MDM을 활용하거나, 설정(설정>업데이트 및 보안>인증서)에서 인증서를 가져와서 해당 인증서를 해당 인증서 저장소의 Surface Hub 디바이스에 배포해야 합니다. 인증서를 추가할 때 각 PFX에는 하나의 인증서만 포함되어야 합니다(PFX에는 여러 인증서가 있을 수 없음).