Microsoft Entra 조인된 디바이스에 대한 Single Sign-On 구성
이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.
- 배포 유형:됩니다.
- 신뢰 유형:키 신뢰에 인증서를 배포해야 합니다. 트러스트에 인증서를 발급해야 합니다.
- 조인 유형:Microsoft Entra 조인
비즈니스용 Windows Hello Microsoft Entra 조인된 디바이스와 결합하면 사용자가 강력한 2단계 자격 증명을 사용하여 클라우드 기반 리소스에 쉽게 액세스할 수 있습니다. 조직에서 리소스를 클라우드로 전환할 때 일부 리소스는 온-프레미스에 남아 있을 수 있으며 Microsoft Entra 조인된 디바이스에 액세스해야 할 수 있습니다. 하이브리드 배포에 대한 추가 구성을 사용하면 키 또는 인증서를 사용하여 비즈니스용 Windows Hello 사용하여 Microsoft Entra 조인된 디바이스에 대한 온-프레미스 리소스에 Single Sign-On을 제공할 수 있습니다.
참고
클라우드 Kerberos 트러스트 모델을 사용할 때는 이러한 단계가 필요하지 않습니다.
필수 구성 요소
Microsoft Entra 하이브리드 조인 디바이스와 달리 Microsoft Entra 조인된 디바이스는 Active Directory 도메인과 관계가 없습니다. 해당 요인은 사용자가 Active Directory를 인증하는 방식을 변경합니다. 다음 구성의 유효성을 검사하여 Microsoft Entra 조인된 디바이스를 지원하는지 확인합니다.
- CRL(인증서 해지 목록) 배포 지점
- 도메인 컨트롤러 인증서
- 온-프레미스 도메인 컨트롤러에 도달하기 위한 네트워크 인프라. 컴퓨터가 외부에 있는 경우 VPN 솔루션을 사용할 수 있습니다.
CRL 배포 지점 (CDP)
인증 기관이 발급한 인증서를 해지할 수 있습니다. 인증 기관에서 인증서를 해지하면 인증서에 대한 정보를 CRL( 인증서 해지 목록 )에 씁니다.
인증서 유효성 검사 중에 Windows는 현재 인증서를 CRL의 정보와 비교하여 인증서가 유효한지 확인합니다.
스크린샷에서 도메인 컨트롤러 인증서의 CDP 속성은 LDAP 경로를 보여줍니다. 도메인에 가입 장치에 대한 Active Directory의 사용은 가용성이 높은 CRL 배포 지점을 제공합니다. 그러나 Microsoft Entra 조인된 디바이스는 Active Directory에서 데이터를 읽을 수 없으며 인증서 유효성 검사는 CRL을 읽기 전에 인증할 기회를 제공하지 않습니다. 인증은 순환 문제가 됩니다. 사용자가 인증을 시도하지만 인증을 완료하려면 Active Directory를 읽어야 하지만 인증되지 않았기 때문에 사용자가 Active Directory를 읽을 수 없습니다.
이 문제를 resolve 위해 CRL 배포 지점은 인증이 필요하지 않은 Microsoft Entra 조인된 디바이스에서 액세스할 수 있는 위치여야 합니다. 가장 쉬운 방법은 HTTP (HTTPS 아님)를 사용하는 웹 서버에 CRL 배포 지점을 게시하는 것입니다.
CRL 배포 지점에 HTTP 배포 지점이 나열되지 않는 경우 먼저 배포 지점 목록에 HTTP CRL 배포 지점을 포함하도록 발급 인증 기관을 다시 구성해야 합니다.
참고
CA가 Base 와 Delta CRL을 모두 게시한 경우 HTTP 경로에 Delta CRL 을 게시해야 합니다. (IIS) 웹 서버에서 이중 이스케이프를 허용하여 델타 CRL을 가져오는 웹 서버를 포함합니다.
도메인 컨트롤러 인증서
인증 기관은 발급되는 인증서에 CDP 정보를 씁니다. 배포 지점이 변경되면 새 CDP를 포함하려면 이전에 발급한 인증서를 인증 기관에 다시 발급해야 합니다. 도메인 컨트롤러 인증서는 Active Directory에 인증하는 Microsoft Entra 조인된 디바이스의 중요한 구성 요소 중 하나입니다.
Windows에서 도메인 컨트롤러 인증서의 유효성을 검사해야 하는 이유는 무엇인가요?
비즈니스용 Windows Hello Microsoft Entra 가입된 디바이스에서 도메인으로 인증할 때 엄격한 KDC 유효성 검사 보안 기능을 적용합니다. 이 적용은 KDC(키 배포 센터)에서 충족해야 하는 더 제한적인 기준을 적용합니다. Microsoft Entra 조인된 디바이스에서 비즈니스용 Windows Hello 사용하여 인증하는 경우 Windows 클라이언트는 다음을 모두 충족하도록 하여 도메인 컨트롤러의 회신 유효성을 검사합니다.
- 도메인 컨트롤러에는 제공된 인증서에 대한 프라이빗 키가 있습니다.
- 도메인 컨트롤러의 인증서를 발급한 루트 CA는 디바이스의 신뢰할 수 있는 루트 인증 기관에 있습니다.
- 다른 이전 템플릿 대신 Kerberos 인증 인증서 템플릿 사용
- 도메인 컨트롤러의 인증서에는 KDC 인증 EKU(확장 키 사용)가 있습니다.
- 도메인 컨트롤러의 인증서 주체 대체 이름에는 도메인 이름과 일치하는 DNS 이름이 있습니다.
- 도메인 컨트롤러의 인증서 서명 해시 알고리즘은 sha256입니다.
- 도메인 컨트롤러의 인증서 공개 키는 RSA(2048비트)입니다.
중요
비즈니스용 Windows Hello 사용하여 Microsoft Entra 하이브리드 조인 디바이스에서 도메인으로 인증해도 도메인 컨트롤러 인증서에 KDC 인증 EKU가 포함되어 있지 않습니다. 기존 도메인 환경에 Microsoft Entra 조인된 디바이스를 추가하는 경우 도메인 컨트롤러 인증서가 KDC 인증 EKU를 포함하도록 업데이트되었는지 확인해야 합니다.
발급 CA에 대한 CRL 배포 지점 구성
이 절차 집합을 사용하여 http 기반 CRL 배포 지점을 포함하도록 도메인 컨트롤러 인증서를 발급하는 CA를 업데이트합니다.
인터넷 정보 서비스를 구성하여 CRL 배포 지점을 호스팅합니다.
Microsoft Entra 조인된 디바이스가 인증 없이 인증서의 유효성을 쉽게 검사할 수 있도록 웹 서버에서 새 인증서 해지 목록을 호스트해야 합니다. 해당 파일을 다양한 방법으로 웹 서버에 호스팅할 수 있습니다. 다음 단계는 하나일 뿐이며 새 CRL 배포 지점을 추가하는 데 익숙하지 않은 관리자에게 유용할 수 있습니다.
중요
https 또는 서버 인증 인증서를 사용하려면 사용자의 CRL 배포 지점을 호스팅하는 IIS 서버를 구성하지 않아야 합니다. 클라이언트는 http를 사용하는 배포 지점에 액세스해야 합니다.
웹 서버 설치
- 로컬 관리자로 서버에 로그인하고 로그인하는 동안 시작되지 않은 경우 서버 관리자 시작합니다.
- 탐색 창에서 로컬 서버 노드를 선택합니다. 관리를 선택하고 역할 및 기능 추가를 선택합니다.
- 역할 및 기능 추가 마법사에서 서버 선택을 선택합니다. 선택한 서버가 로컬 서버인지 확인합니다. 서버 역할을 선택합니다. 웹 서버(IIS) 옆에 있는 검사 상자를 선택합니다.
- 마법사의 나머지 옵션을 통해 다음 을 선택하고 기본값을 수락하고 웹 서버 역할을 설치합니다.
웹 서버 구성
Windows 관리 도구에서 IIS(인터넷 정보 서비스) 관리자 열기
탐색 창을 확장하여 기본 웹 사이트를 표시합니다. 기본 웹 사이트를 선택하고 마우스 오른쪽 단추로 클릭하고 가상 디렉터리 추가...를 선택합니다.
가상 디렉터리 추가 대화 상자에서 별칭에 cdp를 입력합니다. 실제 경로의 경우 인증서 해지 목록을 호스트할 실제 파일 위치를 입력하거나 찾습니다. 이 예제에서는 경로
c:\cdp
가 사용됩니다. 확인참고
나중에 공유 및 파일 사용 권한을 구성하는 데 해당 경로를 사용하므로 기록해 두세요.
탐색 창의 기본 웹 사이트에서 CDP를 선택합니다. 콘텐츠 창에서 디렉터리 찾아보기를 엽니다. 세부 정보 창에서 사용을 선택합니다.
탐색 창의 기본 웹 사이트에서 CDP를 선택합니다. 구성 편집기 열기
섹션 목록에서 system.webServer/security/requestFiltering
내용 창의 명명된 값 쌍 목록에서 allowDoubleEscaping을 True로 구성합니다. 작업 창 적용을 선택합니다.
IIS(인터넷 정보 서비스) 관리자 닫기
CRL 배포 지점 URL에 대한 DNS 리소스 레코드 만들기
- DNS 서버 또는 관리 워크스테이션에서 관리 도구에서 DNS 관리자를 엽니다.
- 사용자의 도메인에 대한 DNS 영역을 표시하려면 정방향 조회 영역을 확장합니다. 탐색 창에서 도메인 이름을 마우스 오른쪽 단추로 클릭하고 새 호스트(A 또는 AAAA)...를 선택합니다.
- 새 호스트 대화 상자에서 이름에 crl을 입력합니다. IP 주소에서 구성한 웹 서버의 IP 주소를 입력합니다. 호스트 추가를 선택합니다. 확인을 선택하여 DNS 대화 상자를 닫습니다. 완료를 선택합니다.
- DNS 관리자 닫기
파일 공유를 준비하여 인증서 해지 목록을 호스팅합니다.
해당 절차에서는 인증 기관이 인증서 해지 목록을 자동으로 게시할 수 있도록 웹 서버에 NTFS 및 공유 권한을 구성합니다.
CDP 파일 공유 구성
- 웹 서버에서 Windows Explorer 열고 웹 서버 구성의 3단계에서 만든 cdp 폴더로 이동합니다.
- cdp 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 공유 탭을 선택합니다. 고급 공유 선택
- 이 폴더를 공유를 선택합니다. 공유 이름에 cdp$를 입력합니다. 권한를 선택합니다.
- cdp$ 사용 권한 대화 상자에서 추가를 선택합니다.
- 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 개체 유형을 선택합니다. 개체 유형 대화 상자에서 컴퓨터를선택한 다음 확인을 선택합니다.
- 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 선택할 개체 이름을 입력하고 인증서 해지 목록을 발급하는 인증 기관을 실행하는 서버의 이름을 입력한 다음 이름 확인을 선택합니다. 확인을 선택합니다.
- Cdp$에 대한 사용 권한 대화 상자에서 그룹 또는 사용자 이름 목록에서 인증 기관을 선택합니다. 사용 권한 섹션에서 모든 제어에 대해 허용을 선택합니다. OK
- 고급 공유 대화 상자에서 확인을 선택합니다.
팁
사용자가 에 액세스할 \\Server FQDN\sharename
수 있는지 확인합니다.
캐싱 해제
- 웹 서버에서 Windows Explorer 열고 웹 서버 구성의 3단계에서 만든 cdp 폴더로 이동합니다.
- cdp 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 공유 탭을 선택합니다. 고급 공유 선택
- 캐싱을 선택합니다. 공유 폴더의 파일 또는 프로그램이 오프라인을 사용할 수 없음을 선택합니다.
- 확인을 선택합니다.
CDP 폴더에 대한 NTFS 사용 권한 구성
- 웹 서버에서 Windows Explorer 열고 웹 서버 구성의 3단계에서 만든 cdp 폴더로 이동합니다.
- cdp 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 보안 탭 선택
- 보안 탭에서 편집을 선택합니다.
- cdp에 대한 사용 권한 대화 상자에서 추가를 선택합니다.
- 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자에서 개체 유형을 선택합니다. 개체 유형 대화 상자에서 컴퓨터를 선택합니다. 확인을 선택합니다.
- 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름을 입력하고 인증 기관의 이름을 입력한 다음 이름 확인을 선택합니다. 확인을 선택합니다.
- cdp에 대한 사용 권한 대화 상자에서 그룹 또는 사용자 이름 목록에서 인증 기관의 이름을 선택합니다. 사용 권한 섹션에서 모든 제어에 대해 허용을 선택합니다. 확인을 선택합니다.
- cdp 속성 대화 상자에서 닫기를 선택합니다.
발급 CA에서 새 CDP 및 게시 위치 구성
웹 서버에서 CRL 배포 지점을 호스팅할 준비가 되었습니다. 이제 새 위치에 CRL을 게시하고 새 CRL 배포 지점을 포함하도록 발급 인증 기관을 구성합니다.
CRL 배포 지점 구성
발급 인증 기관에서 로컬 관리자로 로그인합니다. 관리 도구에서 인증 기관 콘솔 시작
탐색 창에서 인증 기관의 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
확장을 선택합니다. 확장 탭의 확장 선택 목록에서 CDP(CRL 배포 지점) 를 선택합니다 .
확장 탭에서 추가를 선택합니다. 위치에 [domainname]/cdp/를 입력http://crl.합니다. 예를 들어 또는
<http://crl.corp.contoso.com/cdp/>
<http://crl.contoso.com/cdp/>
(후행 슬래시를 잊지 마세요).변수 목록에서CaName>을 선택하고 삽입을< 선택합니다. 변수 목록에서CRLNameSuffix>를 선택하고 삽입을< 선택합니다. 변수 목록에서DeltaCRLAllowed>를 선택하고 삽입을< 선택합니다.
위치에서 텍스트 끝에 .crl을 입력합니다. 확인을 선택합니다.
만든 CDP를 선택합니다.
CRL에 포함을 선택합니다. 클라이언트는 이를 사용하여 델타 CRL 위치를 찾습니다.
발급된 인증서의 CDP 확장에 포함을 선택합니다.
선택 항목 저장 적용 을 선택합니다. 서비스를 다시 시작하라는 메시지가 표시되면 아니요 를 선택합니다.
참고
필요에 따라 사용하지 않는 CRL 배포 지점 및 게시 위치를 제거할 수 있습니다.
CRL 게시 위치 구성
발급 인증 기관에서 로컬 관리자로 로그인합니다. 관리 도구에서 인증 기관 콘솔 시작
탐색 창에서 인증 기관의 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
확장을 선택합니다. 확장 탭의 확장 선택 목록에서 CDP(CRL 배포 지점) 를 선택합니다 .
확장 탭에서 추가를 선택합니다. CDP 파일 공유 구성에서 CRL 배포 지점에 대해 생성한 컴퓨터 및 공유 이름을 입력합니다. 예를 들어 \\app\cdp$\ (후행 슬래시를 잊지 마세요.)
변수 목록에서CaName>을 선택하고 삽입을< 선택합니다. 변수 목록에서CRLNameSuffix>를 선택하고 삽입을< 선택합니다. 변수 목록에서DeltaCRLAllowed>를 선택하고 삽입을< 선택합니다.
위치에서 텍스트 끝에 .crl을 입력합니다. 확인을 선택합니다.
만든 CDP를 선택합니다.
이 위치에 CRL 게시를 선택합니다.
이 위치에 델타 CRL 게시를 선택합니다.
선택 항목 저장 적용 을 선택합니다. 서비스를 다시 시작하라는 메시지가 표시되면 예를 선택합니다. 확인을 선택하여 속성 대화 상자를 닫습니다.
새 CRL 게시
- 발급 인증 기관에서 로컬 관리자로 로그인합니다. 관리 도구에서 인증 기관 콘솔을 시작합니다.
- 탐색 창에서 해지된 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업 위로 마우스를 가져간 다음 선택합니다.
- CRL 게시 대화 상자에서 새 CRL을 선택하고 확인을 선택합니다.
CDP 게시 유효성 검사
새 CRL 배포 지점이 작동하는지 확인합니다.
- 웹 브라우저를 엽니다.
http://crl.[yourdomain].com/cdp
(으)로 이동합니다. 새 CRL 유효성 검사 새 CRL을 게시하여 만든 두 개의 파일이 표시됩니다
도메인 컨트롤러 인증서를 재발급합니다.
CA가 유효한 HTTP 기반 CRL 배포 지점으로 올바르게 구성되면 이전 인증서에 업데이트된 CRL 배포 지점이 없으므로 도메인 컨트롤러에 인증서를 다시 발급해야 합니다.
- 관리 자격 증명을 사용하여 도메인 컨트롤러에 로그인
- 실행 대화 상자를 엽니다. certlm.msc를 입력하여 로컬 컴퓨터에 대한 인증서 관리자를 엽니다.
- 탐색 창에서 개인을 확장합니다. 인증서를 선택합니다. 세부 정보 창의 의도된 목적 인증서 목록에서 KDC 인증을 포함하는 기존 도메인 컨트롤러 인증서를 선택합니다.
- 선택된 인증서를 마우스 오른쪽 단추로 클릭합니다. 모든 작업을 마우스로 가리킨 다음 새 키를 사용하여 인증서 갱신...을 선택합니다. 인증서 등록 마법사에서 새
- 마법사의 인증서 요청 페이지에서 선택한 인증서에 올바른 인증서 템플릿이 있는지 확인하고 상태를 사용할 수 있는지 확인합니다. 등록 선택
- 등록이 완료되면 마침 을 선택하여 마법사를 닫습니다.
- 모든 도메인 컨트롤러에서 이 절차를 반복합니다.
참고
도메인 컨트롤러를 구성하여 해당 인증서를 자동으로 등록하고 갱신할 수 있습니다. 자동 인증서 등록을 사용하면 만료된 인증서로 인해 인증이 중단되는 것을 방지할 수 있습니다. 도메인 컨트롤러용 자동 인증서 등록을 배포하는 방법에 대한 자세한 내용은 Windows Hello 배포 가이드를 참조하세요.
중요
자동 인증서 등록을 사용하지 않는 경우에는 일정 미리 알림을 만들어 인증서 만료 날짜 2개월 전에 알리도록 합니다. 조직의 여러 사용자에게 미리 알림을 보내 두 명 이상의 사용자가 해당 인증서의 만료 시기를 알 수 있도록 해야 합니다.
새 인증서에서 CDP 유효성 검사
관리 자격 증명을 사용하여 도메인 컨트롤러에 로그인
실행 대화 상자를 엽니다. certlm.msc를 입력하여 로컬 컴퓨터에 대한 인증서 관리자를 엽니다.
탐색 창에서 개인을 확장합니다. 인증서를 선택합니다. 세부 정보 창의 의도된 목적 목록에서 기존 도메인 컨트롤러 인증서에 KDC 인증이 포함된 것을 두 번 클릭합니다.
세부 정보 탭을 선택합니다. 목록의 필드 열에 CRL 배포 지점이 표시될 때까지 목록을 아래로 스크롤합니다. CRL 배포 지점 선택
필드 목록 아래의 정보를 검토하여 CRL 배포 지점에 대한 새 URL이 인증서에 있는지 확인합니다. 확인을 선택합니다.
Microsoft Entra 조인된 디바이스에 루트 CA 인증서 배포
도메인 컨트롤러에는 새 CRL 배포 지점을 포함하는 인증서가 있습니다. 다음으로, Microsoft Entra 조인된 디바이스에 배포할 수 있도록 엔터프라이즈 루트 인증서가 필요합니다. 엔터프라이즈 루트 인증서를 디바이스에 배포하면 디바이스가 인증 기관에서 발급한 인증서를 신뢰할 수 있습니다. 인증서가 없으면 Microsoft Entra 조인된 디바이스는 도메인 컨트롤러 인증서를 신뢰하지 않으며 인증이 실패합니다.
엔터프라이즈 루트 인증서 내보내기
- 관리 자격 증명을 사용하여 도메인 컨트롤러에 로그인
- 실행 대화 상자를 엽니다. certlm.msc를 입력하여 로컬 컴퓨터에 대한 인증서 관리자를 엽니다.
- 탐색 창에서 개인을 확장합니다. 인증서를 선택합니다. 세부 정보 창의 의도된 목적 목록에서 기존 도메인 컨트롤러 인증서에 KDC 인증이 포함된 것을 두 번 클릭합니다.
- 인증 경로 탭을 선택합니다. 인증 경로 보기에서 맨 위 노드를 선택하고 인증서 인증서 보기를 선택합니다.
- 새 인증서 대화 상자에서 세부 정보 탭을 선택합니다. 파일 세부 정보로 복사
- 인증서 내보내기 마법사에서 다음을 선택합니다.
- 마법사의 파일 형식 내보내기 페이지에서 다음을 선택합니다.
- 마법사의 내보내기 파일 페이지에서 루트 인증서의 이름과 위치를 입력하고 다음을 선택합니다. 마침을 선택한 다음 확인을 선택하여 성공 대화 상자 닫습니다.
- 확인을 두 번 선택하여 로컬 컴퓨터의 인증서 관리자로 돌아갑니다. 인증서 관리자 닫기
Intune 통해 인증서 배포
Microsoft Intune 사용하여 디바이스를 구성하려면 사용자 지정 정책을 사용합니다.
- Microsoft Intune 관리 센터로 이동합니다.
- 디바이스 > 구성 프로필 > 프로필 만들기 선택
- 플랫폼 > Windows 8.1 이상 및 프로필 유형 > 신뢰할 수 있는 인증서를 선택합니다.
- 만들기를 선택합니다 .
- 구성 설정에서 폴더 아이콘을 선택하고 엔터프라이즈 루트 인증서 파일을 찾습니다. 파일이 선택되면 열기를 선택하여 Intune
- 대상 저장소 드롭다운에서 컴퓨터 인증서 저장소 - 루트를 선택합니다.
- 다음 선택
- 할당에서 다음을 구성 > 하려는 디바이스 또는 사용자를 구성원으로 포함하는 보안 그룹을 선택합니다.
- 정책 구성을 검토하고 만들기를 선택합니다.
온-프레미스 Single Sign-On용 인증서를 사용하려는 경우 온-프레미스 Single Sign-On에 대한 인증서 사용에서 추가 단계를 수행합니다. 그렇지 않으면 비즈니스용 Windows Hello 사용하여 Microsoft Entra 조인된 디바이스에 로그인하고 온-프레미스 리소스에 대한 SSO를 테스트할 수 있습니다.