도메인 가입 디바이스 공개 키 인증

Kerberos는 Windows Server 2012 및 Windows 8부터 인증서를 사용하여 로그인할 수 있도록 도메인 가입 디바이스에 대한 지원을 추가했습니다. 이 변경을 통해 타사 공급업체는 도메인 인증에 사용할 도메인 가입 디바이스에 대한 인증서를 프로비전하고 초기화하는 솔루션을 만들 수 있습니다.

자동 공개 키 프로비저닝

Windows 10 버전 1507 및 Windows Server 2016부터 도메인 가입 디바이스는 Windows Server 2016 DC(도메인 컨트롤러)에 바인딩된 공개 키를 자동으로 프로비전합니다. 키가 프로비전되면 Windows에서 도메인에 대한 공개 키 인증을 사용할 수 있습니다.

키 생성

디바이스가 Credential Guard를 실행하는 경우 Credential Guard로 보호되는 퍼블릭/프라이빗 키 쌍이 만들어집니다.

Credential Guard를 사용할 수 없고 TPM이 있는 경우 공개/프라이빗 키 쌍이 TPM으로 보호됩니다.

둘 다 사용할 수 없는 경우 키 쌍이 생성되지 않으며 디바이스는 암호를 사용하여 인증할 수 있습니다.

컴퓨터 계정 공개 키 프로비전

Windows가 시작되면 공개 키가 컴퓨터 계정에 대해 프로비전되는지 확인합니다. 그렇지 않은 경우 바인딩된 공개 키를 생성하고 Windows Server 2016 이상 DC를 사용하여 AD의 계정에 대해 구성합니다. 모든 DC가 하위 수준인 경우 키가 프로비전되지 않습니다.

공개 키만 사용하도록 디바이스 구성

그룹 정책 설정 인증서를 사용하여 디바이스 인증 지원을 Force로 설정한 경우 디바이스는 인증을 위해 Windows Server 2016 이상을 실행하는 DC를 찾아야 합니다. 이 설정은 관리 템플릿 > 시스템 > Kerberos 아래에 있습니다.

암호만 사용하도록 디바이스 구성

그룹 정책 설정 인증서를 사용한 디바이스 인증 지원을 사용하지 않도록 설정하면 암호가 항상 사용됩니다. 이 설정은 관리 템플릿 > 시스템 > Kerberos 아래에 있습니다.

공개 키를 사용하여 도메인 가입 디바이스 인증

Windows에 도메인 가입 디바이스에 대한 인증서가 있는 경우 Kerberos는 먼저 인증서를 사용하여 인증하고 실패 시 암호로 다시 시도합니다. 이렇게 하면 디바이스가 하위 수준 DC에 인증할 수 있습니다.

자동으로 프로비전된 공개 키에는 자체 서명된 인증서가 있으므로 키 신뢰 계정 매핑을 지원하지 않는 도메인 컨트롤러에서 인증서 유효성 검사가 실패합니다. 기본적으로 Windows는 디바이스의 도메인 암호를 사용하여 인증을 다시 시도합니다.