편집

다음을 통해 공유


비즈니스용 Windows Hello에 대한 일반적인 질문

비즈니스용 Windows Hello는 비대칭 키 쌍을 사용하여 암호 로그인을 강력한 인증으로 대체합니다. 이 FAQ(질문과 대답) 문서는 비즈니스용 Windows Hello에 대해 자세히 알아볼 수 있도록 돕기 위한 것입니다.

개념

비즈니스용 Windows Hello와 Windows Hello의 차이점은 무엇인가요?

Windows Hello는 Windows에서 제공하는 생체 인식 프레임워크를 나타냅니다. Windows Hello를 사용하면 사용자가 생체 인식을 사용하여 자신을 성공적으로 식별할 때 사용자 이름과 암호를 안전하게 저장하고 인증을 위해 해제하여 생체 인식을 사용하여 디바이스에 로그인할 수 있습니다. 비즈니스용 Windows Hell는 인증에 사용자 제스처(PIN 또는 생체 인식)를 필요로 하는 장치의 보안 모듈로 보호되는 비대칭 키를 사용합니다.

PIN이 온라인 암호보다 더 나은 이유

세 가지 주요 이유:

  1. PIN은 디바이스에 연결됩니다. 온라인 암호와 Hello PIN의 한 가지 중요한 차이점은 PIN이 설정된 특정 디바이스에 연결되어 있다는 것입니다. 해당 특정 하드웨어가 없으면 누구에게도 해당 PIN은 소용이 없습니다. 온라인 암호를 얻은 사람은 어디서나 계정에 로그인할 수 있지만 PIN을 받는 경우 디바이스에도 액세스해야 합니다. 특정 디바이스를 제외한 다른 곳에서는 PIN을 사용할 수 없습니다. 여러 디바이스에서 로그인하려면 각 디바이스에서 Hello를 설정해야 합니다.
  2. PIN은 디바이스에 로컬입니다. 온라인 암호가 서버로 전송됩니다. 암호는 전송 중 가로채거나 서버에서 가져올 수 있습니다. PIN은 디바이스에 로컬이며, 어디에서도 전송되지 않으며 서버에 저장되지 않습니다. PIN을 만들면 ID 공급자와 신뢰 관계를 설정하고, 인증에 사용되는 비대칭 키 쌍을 만듭니다. PIN을 입력하면 인증 서버에 전송되는 요청에 서명하는 데 사용되는 인증 키의 잠금을 해제합니다. 비즈니스용 Windows Hello를 사용하면 PIN은 TPM(신뢰할 수 있는 플랫폼 모듈)에서 프라이빗 키를 로드하는 데 사용되는 사용자 제공 엔트로피입니다. 서버에 PIN 복사본이 없습니다. 이 문제에 대해 Windows 클라이언트에는 현재 PIN 복사본도 없습니다. 프라이빗 키에 성공적으로 액세스하려면 사용자가 엔트로피, TPM으로 보호된 키 및 해당 키를 생성한 TPM을 제공해야 합니다.
  3. PIN은 하드웨어에서 지원됩니다. Hello PIN은 암호화 작업을 수행하도록 설계된 보안 암호화 프로세서인 TPM(신뢰할 수 있는 플랫폼 모듈) 칩에 의해 지원됩니다. 칩에는 변조를 방지하는 여러 가지 실제 보안 메커니즘이 포함되어 있으며, 악성 소프트웨어가 TPM의 보안 기능을 변조할 수 없습니다. Windows는 로컬 암호를 TPM에 연결하지 않으므로 PIN은 로컬 암호보다 더 안전한 것으로 간주됩니다. 사용자 키 자료가 생성되고 디바이스의 TPM 내에서 사용할 수 있습니다. TPM은 키 자료를 캡처하고 다시 사용하려는 공격자로부터 보호합니다. Hello는 비대칭 키 쌍을 사용하므로 사용자가 액세스하는 ID 공급자 또는 웹 사이트가 손상된 경우 사용자 자격 증명을 도난할 수 없습니다. TPM은 PIN 무차별 암호 대입 공격을 비롯한 다양한 알려진 잠재적 공격으로부터 보호합니다. 잘못된 추측이 너무 많으면 디바이스가 잠깁니다.

A PIN은 PIN에서 사용하는 엔트로피의 강도로 전달되지 않는 암호보다 강력합니다. 엔트로피를 제공하는 것과 대칭 키(암호) 사용을 계속하는 것의 차이에 관한 것입니다. TPM에는 무차별 암호 대입 PIN 공격을 저지하는 망치 방지 기능(공격자가 모든 PIN 조합을 시도하려는 지속적인 시도)이 있습니다. 일부 조직에서는 어깨 서핑에 대해 걱정할 수 있습니다. 이러한 조직의 경우 PIN의 복잡성을 늘리기보다는 다단계 잠금 해제 기능을 구현합니다.

누군가가 장치를 훔치면 어떻게 될까요?

TPM이 보호하는 Windows Hello 자격 증명을 손상하려면 공격자가 물리적 디바이스에 액세스할 수 있어야 합니다. 그런 다음 공격자는 사용자의 생체 인식을 스푸핑하거나 PIN을 추측하는 방법을 찾아야 합니다. 이러한 모든 작업은 TPM 망치 방지 보호가 디바이스를 잠그기 전에 수행해야 합니다.

생체 인식을 사용하는 데 PIN이 필요한 이유는 무엇인가요?

Windows Hello를 사용하면 지문, 홍채 또는 얼굴 인식으로 생체 인식 로그인을 사용할 수 있습니다. Windows Hello를 설정할 때 생체 인식 설정 후에 PIN을 만들라는 메시지가 표시됩니다. PIN을 사용하면 손상으로 인해 기본 생체 인식을 사용할 수 없거나 센서를 사용할 수 없거나 제대로 작동하지 않을 때 로그인할 수 있습니다. 생체 인식 로그인만 구성했고 어떤 이유로든 해당 메서드를 사용하여 로그인할 수 없는 경우 계정 및 암호를 사용하여 로그인해야 합니다. 이 경우 Hello와 동일한 수준의 보호를 제공하지 않습니다.

키는 어떻게 보호되는가?

키 자료가 생성될 때마다 공격으로부터 보호되어야 합니다. 가장 강력한 보호 방법은 특수 하드웨어를 사용하는 것입니다. HSM(하드웨어 보안 모듈)을 사용하여 보안에 중요한 애플리케이션에 대한 키를 생성, 저장 및 처리하는 오랜 기록이 있습니다. 스마트 카드는 특수한 형식의 HSM으로서, 신뢰할 수 있는 컴퓨팅 그룹 TPM 표준 규격의 장치입니다. 가능한 경우 비즈니스용 Windows Hello 구현은 TPM 하드웨어 온보딩을 활용하여 키를 생성하고 보호합니다. 관리자는 소프트웨어에서 주요 작업을 허용하도록 선택할 수 있지만 TPM 하드웨어를 사용하는 것이 좋습니다. TPM은 PIN 무차별 암호 대입 공격(brute-force attack)을 포함하여 여러 가지 알려진 잠재적 공격으로부터 보호합니다. TPM은 계정 잠금 이후 추가 보호 계층도 제공합니다. TPM이 키 자료를 잠근 경우 사용자는 PIN을 다시 설정해야 합니다(즉, IdP에서 다시 등록을 허용하기 전에 사용자가 MFA를 사용하여 IdP에 다시 인증해야 합니다). PIN을 재설정한다는 것은 이전 키 자료로 암호화된 모든 키와 인증서가 제거된다는 의미입니다.

비즈니스용 Windows Hello에 대한 PIN 캐싱은 어떻게 작동되나요?

비즈니스용 Windows Hello는 티켓팅 시스템을 사용하여 PIN 캐싱 사용자 환경을 제공합니다. PIN을 캐시하는 대신 프로세스는 개인 키 작업을 요청하는 데 사용할 수 있는 티켓을 캐시합니다. Microsoft Entra ID 및 Active Directory 로그인 키는 잠금 아래에 캐시됩니다. 즉, 사용자가 대화형으로 로그인하는 한 메시지를 표시하지 않고 키를 계속 사용할 수 있습니다. Microsoft 계정 로그인 키는 트랜잭션 키입니다. 즉, 키에 액세스할 때 항상 사용자에게 메시지가 표시됩니다.

스마트 카드(기본적으로 사용하도록 설정된 스마트 카드 에뮬레이션)로 사용되는 비즈니스용 Windows Hello는 기본 스마트 카드 PIN 캐싱과 동일한 사용자 환경을 제공합니다. 프라이빗 키 작업을 요청하는 각 프로세스는 처음 사용할 때 사용자에게 PIN을 묻는 메시지를 표시합니다. 후속 프라이빗 키 작업은 사용자에게 PIN을 묻는 메시지를 표시하지 않습니다.

비즈니스용 Windows Hello의 스마트 카드 에뮬레이션 기능은 PIN을 확인한 다음 티켓 대신 PIN을 삭제합니다. 프로세스는 PIN을 수신하지 않고 프라이빗 키 작업을 부여하는 티켓을 받습니다. 캐싱을 조정하는 정책 설정이 없습니다.

Windows Hello 생체 인식 데이터는 어디에 저장되어 있나요?

Windows Hello에 등록하면 등록 프로필이라고 하는 생체 인식 표현이 만들어집니다. 등록 프로필 생체 인식 데이터는 디바이스별 데이터이며, 디바이스에 로컬로 저장되며, 디바이스를 나가거나 사용자와 함께 로밍하지 않습니다. 일부 외부 지문 센서는 Windows 디바이스가 아닌 지문 모듈 자체에 생체 인식 데이터를 저장합니다. 이 경우에도 생체 인식 데이터는 해당 모듈에 로컬로 저장되고, 디바이스별로 저장되고, 로밍되지 않으며, 모듈을 나가지 않으며, Microsoft 클라우드 또는 외부 서버로 전송되지 않습니다. 자세한 내용은 엔터프라이즈의 Windows Hello 생체 인식Windows Hello 얼굴 인증을 참조하세요.

장치에 Windows Hello 생체 인식 데이터를 저장하는 데 사용되는 형식은 무엇인가요?

Windows Hello 생체 인식 데이터는 디바이스에 암호화된 템플릿 데이터베이스로 저장됩니다. 생체 인식 센서(예: 얼굴 카메라 또는 지문 판독기)의 데이터는 디바이스에 저장되기 전에 암호화된 데이터 표현 또는 그래프를 만듭니다. Windows Hello(얼굴 또는 지문)에서 사용하는 디바이스의 각 생체 인식 센서에는 템플릿 데이터가 저장되는 자체 생체 인식 데이터베이스 파일이 있습니다. 각 생체 인식 데이터베이스 파일은 SHA256 해시를 생성하는 AES 암호화를 사용하여 시스템에 암호화되는 고유하고 임의로 생성된 키로 암호화됩니다.

Windows Hello 생체 인식 데이터에 대한 액세스 권한이 있는 사람은 누구인가요?

Windows Hello 생체 인식 데이터는 암호화된 형식으로 저장되므로 사용자 또는 Windows Hello 이외의 프로세스에 액세스할 수 없습니다.

Windows Hello 생체 인식 데이터베이스 파일은 언제 생성되나요? 사용자가 Windows Hello 얼굴 또는 지문 인증에 어떻게 등록되어 있나요?

Windows Hello 생체 인식 템플릿 데이터베이스 파일은 사용자가 Windows Hello 생체 인식 기반 인증에 등록된 경우에만 디바이스에 만들어집니다. IT 관리자는 정책 설정을 구성할 수 있지만 생체 인식 또는 PIN을 사용하려는 경우 항상 사용자의 선택입니다. 사용자는 디바이스에서 로그인 옵션으로 이동하여 Windows Hello 생체 인식에 대한 현재 등록을 확인할 수 있습니다. 설정 > 계정 > 로그인 시작 > 옵션으로 이동합니다. 로그인 옵션에 Windows Hello가 표시되지 않으면 디바이스에서 사용할 수 없거나 정책을 통해 관리자가 차단할 수 없습니다. 관리자는 Autopilot 중에 또는 디바이스의 초기 설정 중에 사용자에게 Windows Hello에 등록하도록 요청할 수 있습니다. 관리자는 비즈니스용 Windows Hello 정책 구성을 통해 사용자가 생체 인식에 등록하는 것을 허용하지 않습니다. 그러나 정책 구성을 통해 허용되는 경우 Windows Hello 생체 인식에 등록하는 것은 항상 사용자에게 선택 사항입니다.

Windows Hello 생체 인식 데이터베이스 파일은 언제 삭제되나요? Windows Hello 얼굴 또는 지문 인증에서 사용자를 등록 취소하려면 어떻게 해야 하나요?

디바이스에서 Windows Hello 및 연결된 생체 인식 데이터를 제거하려면 설정 > 계정 > 로그인 시작 > 옵션을 엽니다. 제거할 Windows Hello 생체 인식 인증 방법을 선택한 다음 제거를 선택합니다. 이 작업은 Windows Hello 생체 인식 인증에서 등록을 취소하고 연결된 생체 인식 템플릿 데이터베이스 파일을 삭제합니다. 자세한 내용은 Windows 로그인 옵션 및 계정 보호(microsoft.com)를 참조하세요.

관리 및 운영

Microsoft Configuration Manager를 사용하여 비즈니스용 Windows Hello를 배포하고 관리할 수 있나요?

Configuration Manager 버전 2203부터 Configuration Manager를 사용한 비즈니스용 Windows Hello 배포는 더 이상 지원되지 않습니다.

디바이스에서 비즈니스용 Windows Hello 컨테이너를 삭제하려면 어떻게 하나요?

명령을 certutil.exe -deleteHelloContainer실행하여 비즈니스용 Windows Hello 컨테이너를 삭제할 수 있습니다.

사용자가 PIN을 잊어버리면 어떻게 되나요?

사용자가 암호로 로그인할 수 있는 경우 설정 앱 또는 잠금 화면에서 PIN을 잊어버린 링크를 선택하여 PIN 자격 증명 공급자에서 PIN을 잊어버린 링크를 선택하여 PIN을 다시 설정할 수 있습니다.

온-프레미스 배포의 경우 디바이스를 온-프레미스 네트워크(도메인 컨트롤러 및/또는 인증 기관)에 연결하여 PIN을 다시 설정해야 합니다. 하이브리드 배포는 Microsoft Entra 테넌트 온보딩을 통해 비즈니스용 Windows Hello PIN 재설정 서비스를 사용하여 PIN을 다시 설정할 수 있습니다. 비 파괴적 PIN 재설정은 회사 네트워크에 액세스하지 않고 작동합니다. 파괴적인 PIN 재설정을 사용하려면 회사 네트워크에 액세스해야 합니다. 파괴적 및 비 파괴적 PIN 재설정에 대한 자세한 내용은 PIN 재설정을 참조하세요.

비즈니스용 Windows Hello를 사용하면 단순한 PIN은 사용할 수 없게 되나요?

그렇습니다. 간단한 우리의 PIN 알고리즘은 한 자리에서 다음 자리의 상수 델타를 가진 모든 PIN을 찾아 허용하지 않습니다. 알고리즘은 다음 숫자에 도달하는 데 필요한 단계 수를 계산하여 10('0')으로 오버플로합니다. 예를 들자면 다음과 같습니다.

  • PIN 1111의 상수 델타(0,0,0)가 있으므로 허용되지 않습니다.
  • PIN 1234에는 상수 델타(1,1,1)가 있으므로 허용되지 않습니다.
  • PIN 1357의 상수 델타(2,2,2)가 있으므로 허용되지 않습니다.
  • PIN 9630의 상수 델타(7,7,7)가 있으므로 허용되지 않습니다.
  • PIN 1593에는 상수 델타(4,4,4)가 있으므로 허용되지 않습니다.
  • PIN 7036에는 상수 델타(3,3,3)가 있으므로 허용되지 않습니다.
  • PIN 1231에는 상수 델타(1,1,2)가 없으므로 허용됩니다.
  • PIN 1872에는 상수 델타(7,9,5)가 없으므로 허용됩니다.

이 검사는 반복 숫자, 순차적 숫자 및 간단한 패턴을 방지합니다. PIN 길이와 관계없이 항상 허용되지 않는 100개의 PIN 목록이 생성됩니다. 이 알고리즘은 영숫자 PIN에는 적용되지 않습니다.

비즈니스용 Windows Hello를 사용할 때 수집되는 진단 데이터는 무엇인가요?

Microsoft가 제대로 작동하도록 돕고, 사기 행위를 감지 및 방지하고, Windows Hello를 계속 개선하기 위해 사람들이 Windows Hello를 사용하는 방법에 대한 진단 데이터가 수집됩니다. 예시:

  • 얼굴, 홍채, 지문 또는 PIN으로 로그인하는지 여부에 대한 데이터
  • 사용하는 횟수
  • 작동 여부 이 모든 것은 Microsoft가 더 나은 제품을 빌드하는 데 도움이 되는 중요한 정보입니다. 데이터는 가명화되고, 생체 인식 정보를 포함하지 않으며, Microsoft로 전송되기 전에 암호화됩니다. 언제든지 Microsoft에 진단 데이터 전송을 중지하도록 선택할 수 있습니다. Windows의 진단 데이터에 대해 자세히 알아봅니다.

비즈니스용 Windows Hello를 사용하는 동안 PIN을 비활성화할 수 있나요?

아니요. 암호로부터의 전환은 암호 사용을 서서히 줄여가는 것으로 이루어집니다. 생체 인식을 사용하여 인증할 수 없는 경우 암호가 아닌 대체 메커니즘이 필요합니다. PIN은 대체 메커니즘입니다. PIN 자격 증명 공급자를 사용하지 않도록 설정하거나 숨기면 생체 인식 사용이 비활성화됩니다.

권한이 없는 사용자가 비즈니스용 Windows Hello에 등록된 디바이스를 소유하게 되면 어떻게 되나요?

권한이 없는 사용자는 생체 인식 옵션을 활용할 수 없으며 PIN을 입력할 수 있는 유일한 옵션이 있습니다.

사용자가 임의의 PIN을 입력하여 디바이스의 잠금을 해제하려고 하면 세 번의 시도가 실패한 후 자격 증명 공급자는 다음과 같은 메시지를 표시합니다 . 잘못된 PIN을 여러 번 입력했습니다. 다시 시도하려면 아래 A1B2C3을 입력합니다. 챌린지 구 A1B2C3을 입력하면 사용자에게 PIN을 입력할 수 있는 기회가 한 번 더 부여됩니다. 실패하면 공급자가 비활성화되어 사용자에게 디바이스를 다시 부팅할 수 있는 유일한 옵션이 남게 됩니다. 다시 부팅한 후 앞서 언급한 패턴이 반복됩니다.

실패한 시도가 계속되면 디바이스는 첫 번째 재부팅 후 1분, 네 번째 다시 부팅 후 2분, 다섯 번째 재부팅 후 10분 동안 지속되는 잠금 상태가 됩니다. 각 잠금 기간은 그에 따라 증가합니다. 이 동작은 TPM 2.0 망치 방지 기능의 결과입니다. TPM 망치 방지 기능에 대한 자세한 내용은 TPM 2.0 망치 방지 기능을 참조하세요.

디자인 및 계획

비즈니스용 Windows Hello가 에어 갭 환경에서 작동할 수 있나요?

예. 온-프레미스 비즈니스용 Windows Hello 배포를 사용하고 인터넷 연결이 필요하지 않은 타사 MFA 공급자와 결합하여 비즈니스용 Windows Hello 배포를 수행할 수 있습니다.

단일 Windows 디바이스에서 비즈니스용 Windows Hello에 등록할 수 있는 사용자는 몇 명입니까?

단일 디바이스에서 지원되는 최대 등록 수는 10개입니다. 이렇게 하면 각각 10명의 사용자가 얼굴을 등록하고 최대 10개의 지문을 등록할 수 있습니다. 사용자가 10명 이상인 디바이스 또는 많은 디바이스에 로그인하는 사용자(예: 지원 기술자)의 경우 FIDO2 보안 키를 사용하는 것이 좋습니다.

Active Directory를 Microsoft Entra ID로 확장했습니다. 온-프레미스 배포 모델을 사용할 수 있나요?

아니요. 조직에서 Microsoft 클라우드 서비스를 사용하는 경우 하이브리드 배포 모델을 사용해야 합니다. 온-프레미스 배포는 클라우드로 이동하기 전에 더 많은 시간이 필요하고 Active Directory만 사용하는 조직에만 적용됩니다.

비즈니스용 Windows Hello와 Microsoft Entra Connect에서 동기화되는 특성은 무엇인가요?

시나리오에 따라 동기화되는 특성 목록은 Microsoft Entra Connect 동기화: Microsoft Entra ID에 동기화된 특성을 검토합니다. 비즈니스용 Windows Hello를 포함하는 기본 시나리오는 Windows 10 시나리오 및 디바이스 쓰기 저장 시나리오입니다. 사용자 환경에는 다른 특성이 포함될 수 있습니다.

비즈니스용 Windows Hello에서 비 Microsoft MFA 공급자를 사용할 수 있나요?

예, 페더레이션된 하이브리드 배포를 사용하는 경우 AD FS MFA 어댑터를 제공하는 비 Microsoft를 사용할 수 있습니다. 비 Microsoft MFA 어댑터 목록은 여기에서 찾을 수 있습니다.

비즈니스용 Windows Hello는 비 Microsoft 페더레이션 서버에서 작동하나요?

비즈니스용 Windows Hello는 프로비저닝 환경에서 사용되는 프로토콜을 지원하는 비 Microsoft 페더레이션 서버에서 작동합니다.

프로토콜 설명
[MS KPP]: 키 프로비저닝 프로토콜 클라이언트가 사용자-장치 쌍에서 암호화 키 세트를 등록하는 메커니즘을 정의하는 키 프로비저닝 프로토콜을 지정합니다.
[MS-OAPX]: OAuth 2.0 프로토콜 확장 OAuth 2.0 인증 프레임워크를 확장하는 데 사용되는 OAuth 2.0 프로토콜 확장을 지정합니다. 이러한 확장을 사용하면 리소스 사양, 요청 식별자 및 로그인 힌트와 같은 권한 부여 기능을 사용할 수 있습니다.
[MS OAPXBC]: 브로커 클라이언트용 OAuth 2.0 프로토콜 확장 Broker 클라이언트에 대한 OAuth 2.0 프로토콜 확장, 브로커 클라이언트가 호출 클라이언트를 대신하여 액세스 토큰을 가져올 수 있는 RFC6749 확장(OAuth 2.0 권한 부여 프레임워크)을 지정합니다.
[MS-OIDCE]: OpenID Connect 1.0 프로토콜 확장 OpenID Connect 1.0 프로토콜 확장을 지정합니다. 이러한 확장은 사용자 계정 이름, 로컬 고유 식별자, 암호 만료 시간 및 암호 변경 URL을 포함하여 사용자에 대한 정보를 전달하는 다른 클레임을 정의합니다. 또한 이러한 확장은 액세스 토큰 발급자를 검색할 수 있도록 하고 공급자 기능에 대한 추가 정보를 제공하는 더 많은 공급자 메타 데이터를 정의합니다.

비즈니스용 Windows Hello에서 로컬 Windows 계정을 등록할 수 있나요?

비즈니스용 Windows Hello는 로컬 계정으로 작동하도록 설계되지 않았습니다.

비즈니스용 Windows Hello의 생체 인식 요구 사항은 무엇인가요?

자세한 내용은 Windows Hello 생체 인식 요구 사항을 참조하세요.

Windows Hello 얼굴 인증을 사용하여 등록하거나 잠금을 해제하는 마스크를 착용할 수 있나요?

비슷한 마스크를 착용한 다른 사용자가 디바이스의 잠금을 해제할 수 있기 때문에 등록할 마스크를 착용하는 것은 보안 문제입니다. Windows Hello 얼굴 인증을 사용하여 등록하거나 잠금을 해제할 때 마스크를 착용하는 경우 마스크를 제거합니다. 작업 환경에서 마스크를 일시적으로 제거할 수 없는 경우 얼굴 인증에서 등록 취소하고 PIN 또는 지문만 사용하는 것이 좋습니다.

비즈니스용 Windows Hello는 Microsoft Entra 등록 디바이스에서 어떻게 작동하나요?

정책에 의해 기능이 사용하도록 설정된 경우 사용자에게 Microsoft Entra 등록 디바이스에서 비즈니스용 Windows Hello 키를 설정하라는 메시지가 표시됩니다. 사용자에게 기존 Windows Hello 컨테이너가 있는 경우 비즈니스용 Windows Hello 키가 해당 컨테이너에 등록되고 기존 제스처를 사용하여 보호됩니다.

사용자가 Windows Hello를 사용하여 Microsoft Entra 등록 디바이스에 로그인한 경우 비즈니스용 Windows Hello 키를 사용하여 Microsoft Entra 리소스를 사용하려고 할 때 사용자의 회사 ID를 인증합니다. 비즈니스용 Windows Hello 키는 Microsoft Entra MFA(다단계 인증) 요구 사항을 충족하고 리소스에 액세스할 때 사용자에게 표시되는 MFA 프롬프트 수를 줄입니다.

Microsoft Entra에서 도메인 가입 디바이스를 등록할 수 있습니다. 도메인 가입 디바이스에 편리한 PIN이 있는 경우 편리한 PIN으로 로그인하면 더 이상 작동하지 않습니다. 이 구성은 비즈니스용 Windows Hello에서 지원되지 않습니다.

자세한 내용은 Microsoft Entra 등록 디바이스를 참조하세요.

비즈니스용 Windows Hello는 비 Windows 운영 체제에서 작동하나요?

비즈니스용 Windows Hello는 Windows 플랫폼의 기능입니다.

비즈니스용 Windows Hello는 Microsoft Entra Domain Services 클라이언트에서 작동하나요?

아니요, Microsoft Entra Domain Services는 Azure에서 별도로 관리되는 환경이며 클라우드 Microsoft Entra ID를 사용하는 하이브리드 디바이스 등록은 Microsoft Entra Connect를 통해 사용할 수 없습니다. 따라서 비즈니스용 Windows Hello는 Microsoft Entra Domain Services에서 작동하지 않습니다.

비즈니스용 Windows Hello는 다단계 인증으로 간주합니까?

비즈니스용 Windows Hello는 관찰된 인증 요소, 즉 사용자가 가지고 있는 것, 알고 있는 것, 사용자의 일부인 요소를 기반으로 하는 2단계 인증 입니다. 비즈니스용 Windows Hello는 이 두 가지 요소, 즉 가지고 있는 것(장치의 보안 모듈로 보호되는 사용자의 개인 키)과 알고 있는 것(사용자의 PIN)을 통합합니다. 적절한 하드웨어를 사용할 경우, 생체 인식을 도입하여 사용자 환경을 개선할 수 있습니다. 생체 인식을 사용하면 "알고 있는 것" 인증 요소를 "사용자의 일부인 것" 요소로 바꿀 수 있으며, 사용자가 "알고 있는 요소"로 대체 될 수 있습니다.

참고

비즈니스용 Windows Hello 키는 Microsoft Entra MFA(다단계 인증) 요구 사항을 충족하고 리소스에 액세스할 때 사용자에게 표시되는 MFA 프롬프트 수를 줄입니다. 자세한 내용은 기본 새로 고침 토큰이란?을 참조하세요.

인증, 키 또는 인증서에 대해 더 좋거나 더 안전한 것은 무엇인가요?

두 인증 유형 모두 동일한 보안을 제공합니다. 하나는 다른 것보다 더 안전하지 않습니다. 배포의 신뢰 모델은 Active Directory에 인증하는 방법을 결정합니다. 키 신뢰와 인증서 신뢰는 모두 동일한 하드웨어 기반 2단계 자격 증명을 사용합니다. 두 트러스트 형식 간의 차이점은 최종 엔터티 인증서 발급입니다.

  • 키 신뢰 모델은 원시 키를 사용하여 Active Directory에 인증합니다. 키 트러스트에는 엔터프라이즈 발급 인증서가 필요하지 않으므로 사용자에게 인증서를 발급할 필요가 없습니다(도메인 컨트롤러 인증서는 여전히 필요).
  • 인증서 신뢰 모델은 인증서를 사용하여 Active Directory에 인증합니다. 따라서 사용자에게 인증서를 발급해야 합니다. 인증서 신뢰에 사용되는 인증서는 TPM으로 보호되는 프라이빗 키를 사용하여 엔터프라이즈의 발급 CA에서 인증서를 요청합니다.

편의 PIN이란?

편리한 PIN 은 암호보다 Windows에 로그인하는 간단한 방법을 제공하지만 여전히 인증에 암호를 사용합니다. Windows에 올바른 편리한 PIN이 제공되면 암호 정보가 캐시에서 로드되고 사용자를 인증합니다. 편의 PIN을 사용하는 조직은 비즈니스용 Windows Hello로 이동해야 합니다. 새 Windows 배포는 편의 PIN이 아닌 비즈니스용 Windows Hello를 배포해야 합니다.

Microsoft Entra ID와 함께 편리한 PIN을 사용할 수 있나요?

아니요. Microsoft Entra 조인 및 Microsoft Entra 하이브리드 조인 디바이스에서 편의 PIN을 설정할 수 있지만 Microsoft Entra 사용자 계정(동기화된 ID 포함)에는 편리한 PIN이 지원되지 않습니다. 편의 PIN은 온-프레미스 Active Directory 사용자 및 로컬 계정 사용자에 대해서만 지원됩니다.

가상 스마트 카드는 어떨까요?

비즈니스용 Windows Hello는 Windows용 최신 2단계 인증입니다. 가상 스마트 카드를 사용하는 고객은 비즈니스용 Windows Hello로 이동하는 것이 좋습니다.

하이브리드 배포를 허용하려면 어떤 URL이 필요한가요?

필수 URL 목록은 Microsoft 365 Common 및 Office Online을 참조하세요.

환경에서 Microsoft Intune을 사용하는 경우 Microsoft Intune용 네트워크 엔드포인트를 참조하세요.

기능

컴퓨터에 기본 제공 Windows Hello 호환 카메라가 있는 경우 외부 Windows Hello 호환 카메라를 사용할 수 있나요?

예, 장치에 내부 Windows Hello 카메라가 있는 경우 외부 Windows Hello 호환 카메라를 사용할 수 있습니다. 두 카메라가 모두 있는 경우 외부 카메라는 얼굴 인증에 사용됩니다. 자세한 내용은 Windows 10 버전 21H1을 지원하는 IT 도구를 참조하세요. ESS를 사용하는 경우 Windows Hello 고급 로그인 보안을 참조하세요.

노트북 덮개를 닫거나 도킹할 때 외부 Windows Hello 호환 카메라 또는 기타 Windows Hello 호환 액세서리를 사용할 수 있나요?

키보드가 닫힌 일부 노트북 및 태블릿은 컴퓨터가 덮개를 닫은 상태에서 도킹할 때 외부 Windows Hello 호환 카메라 또는 기타 Windows Hello 호환 액세서리를 사용하지 않을 수 있습니다. 이 문제는 Windows 11 버전 22H2에서 해결되었습니다.

프라이빗 브라우저 모드 또는 "incognito" 모드에서 비즈니스용 Windows Hello 자격 증명을 사용할 수 있나요?

비즈니스용 Windows Hello 자격 증명은 프라이빗 브라우저 모드 또는 시크릿 모드에서 사용할 수 없는 디바이스 상태에 액세스해야 합니다. 따라서 프라이빗 브라우저 또는 Incognito 모드에서는 사용할 수 없습니다.

PIN과 생체 인식을 모두 사용하여 디바이스의 잠금을 해제할 수 있나요?

다단계 잠금 해제를 사용하여 사용자가 디바이스 잠금을 해제하는 추가 요소를 제공하도록 요구할 수 있습니다. 인증은 계속 2단계지만, Windows가 사용자에게 바탕 화면에 액세스하도록 허용하려면 다른 인증 요소가 필요합니다. 자세한 내용은 다단계 잠금 해제를 참조하세요.

Cloud Kerberos 트러스트

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트란?

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트Microsoft Entra 하이브리드 조인 디바이스에서 보안 키 로그인을 지원하고 Microsoft Entra 조인 디바이스에서 온-프레미스 리소스 액세스를 지원하기 위해 도입된 인프라를 사용하여 비즈니스용 Windows Hello를 배포할 수 있도록 하는 신뢰 모델입니다. 인증서 인증 시나리오를 지원할 필요가 없는 경우 클라우드 Kerberos 트러스트가 기본 배포 모델입니다. 자세한 내용은 클라우드 Kerberos 트러스트 배포를 참조하세요.

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 내 온-프레미스 환경에서 작동하나요?

이 기능은 순수 온-프레미스 AD 도메인 서비스 환경에서 작동하지 않습니다.

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 하이브리드 환경에 있는 RODC를 사용하여 Windows 로그인에서 작동하나요?

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 부분 TGT를 교환할 쓰기 가능한 DC를 찾습니다. 사이트당 하나 이상의 쓰기 가능한 DC가 있는 한 클라우드 Kerberos 트러스트를 사용하여 로그인하면 작동합니다.

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트를 사용하려면 도메인 컨트롤러에 대한 가시선이 필요한가요?

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 다음과 같은 경우 도메인 컨트롤러에 대한 가시선이 필요합니다.

  • 사용자가 프로비저닝 후 처음으로 로그인하거나 비즈니스용 Windows Hello를 사용하여 잠금을 해제합니다.
  • Active Directory로 보호되는 온-프레미스 리소스에 액세스하려고 시도

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트에서 RDP/VDI를 사용할 수 있나요?

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트는 RDP/VDI를 사용하여 제공된 자격 증명으로 사용할 수 없습니다. 키 트러스트와 마찬가지로 인증서가 이 목적을 위해 비즈니스용 Windows Hello에 등록된 경우 RDP에 클라우드 Kerberos 트러스트를 사용할 수 있습니다. 또는 인증서를 배포할 필요가 없는 원격 Credential Guard 를 사용하는 것이 좋습니다.

비즈니스용 Windows Hello 클라우드 Kerberos 트러스트를 사용하려면 필수 구성 요소에 따라 모든 도메인 컨트롤러를 완전히 패치해야 합니까?

아니요, 모든 클라우드 Kerberos 트러스트 디바이스의 부하를 처리하는 데 필요한 수만 있습니다.

키 신뢰

하이브리드 키 트러스트를 프로비전한 후 인증이 즉시 실패하는 이유는 무엇인가요?

하이브리드 배포에서 사용자의 공개 키는 도메인 컨트롤러에 대해 인증하는 데 사용되기 전에 Microsoft Entra ID에서 Active Directory로 동기화해야 합니다. 이 동기화는 Microsoft Entra Connect에서 처리되며 정상적인 동기화 주기 동안 발생합니다.

비즈니스용 Windows Hello 키 신뢰 및 RDP를 사용할 수 있나요?

RDP(원격 데스크톱 프로토콜)는 제공된 자격 증명으로 키 기반 인증 사용을 지원하지 않습니다. 그러나 키 신뢰 모델에 인증서를 배포하여 RDP를 사용하도록 설정할 수 있습니다. 자세한 내용은 RDP를 사용하도록 키 신뢰 사용자에게 인증서 배포를 참조하세요. 또는 인증서를 배포할 필요가 없는 원격 Credential Guard 를 사용하는 것이 좋습니다.