Microsoft Intune 사용한 암호 없는 인증

암호 없는 인증은 암호를 Windows Hello, FIDO2 보안 키, 암호, 인증서, Microsoft Authenticator 전화 로그인 및 임시 액세스 패스와 같은 더 강력한 로그인 방법으로 대체하여 피싱 및 자격 증명 도난을 줄입니다.

Microsoft Intune 암호 없는 자격 증명을 발급하지 않습니다. 대신 디바이스, 앱 및 사용자 환경을 준비하므로 이러한 암호 없는 메서드는 대규모로 안정적으로 작동합니다. Microsoft Entra ID 자격 증명을 확인하고 인증 및 조건부 액세스 정책을 적용하는 ID 기관이며, Microsoft Intune 디바이스 설정을 구성하고, 규정 준수를 적용하고, 해당 메서드가 의존하는 플랫폼 기능을 사용하도록 설정합니다. Microsoft Entra ID 및 Microsoft Intune 다양한 플랫폼 및 폼 팩터에서 암호 없는 인증을 채택하는 데 필요한 ID 기반 및 디바이스 준비를 제공합니다.

암호 없는 환경은 플랫폼에 따라 다릅니다. Windows에서는 일반적으로 SSO를 통해 디바이스 로그인 및 앱 액세스 모두에 걸쳐 있습니다. macOS에서는 플랫폼 인증 및 SSO를 심층 디바이스 바인딩 ID가 아닌 앱에 집중합니다. iOS/iPadOS 및 Android에서는 디바이스 로그인보다 앱 로그인, 조정된 인증 및 암호 동작에 더 중점을 두는 경우가 많습니다. 플랫폼 요구 사항을 평가하고 배포를 계획할 때는 이러한 차이점을 염두에 두어야 합니다.

이 문서에서는 Microsoft Intune 관리자의 관점에서 암호 없는 전략을 지원하는 방법을 설명합니다. 배포 세부 정보는 각 암호 없는 메서드에 대한 구현 링크를 따릅니다.

Microsoft의 암호 없는 솔루션 작동 방식

Microsoft의 암호 없는 솔루션 쌍은 디바이스 구성 및 정책 적용을 위한 Microsoft Intune ID 및 SSO(Single Sign-On)에 Microsoft Entra ID. 이 조합을 사용하면 사용자가 암호를 입력하지 않고 생체 인식, FIDO2 보안 키 또는 암호와 같은 강력한 자격 증명을 사용하여 인증할 수 있습니다.

Microsoft Entra ID 핵심 ID 공급자입니다. Windows Hello PIN, FIDO2 키 및 암호 없는 자격 증명과 같은 암호 없는 자격 증명을 확인합니다. 인증에 성공하면 Microsoft Entra ID PRT(기본 새로 고침 토큰) 또는 그에 상응하는 토큰을 발급하여 Microsoft 365, Azure 및 기타 보호된 리소스에 원활한 SSO를 사용하도록 설정합니다. 조건부 액세스 정책은 액세스 권한을 부여하기 전에 디바이스 상태, 인증 강도 및 위험 신호를 평가합니다.

Microsoft Intune 설정을 구성하고, 규정 준수를 적용하고, 필요한 앱을 배포하고, 대규모 암호 없는 실용성을 제공하는 플랫폼 환경을 지원하여 암호 없는 로그인을 위한 디바이스를 준비합니다. Microsoft Intune 관리자에게 Windows, macOS, iOS/iPadOS 및 Android용 하나의 관리 평면을 제공합니다.

Windows, macOS, iOS 및 Android의 플랫폼 기능은 생체 인식, 보안 하드웨어(Windows의 TPM, macOS의 보안 Enclave), 암호 지원 및 조정된 Single Sign-On을 비롯한 디바이스 바인딩 환경을 제공합니다.

이러한 분리는 중요합니다. Microsoft Entra ID ID 기관입니다. Microsoft Intune 사용자가 이러한 메서드를 성공적으로 채택하고 사용하는 데 도움이 되는 관리 계층입니다.

암호 없는, MFA 및 피싱 저항

암호 없는 인증은 보안 요소를 제거하지 않습니다. 대부분의 암호 없는 방법은 실제로 MFA(다단계 인증) 요구 사항을 충족합니다. 예를 들어 Windows Hello 생체 인식 제스처(일관성) 또는 PIN(지식)과 쌍을 이루는 디바이스 바인딩 자격 증명(소유)을 사용하여 MFA를 설계에 따라 충족합니다. 따라서 조건부 액세스 인증 강도 정책은 많은 암호 없는 메서드를 MFA 규격 또는 피싱 방지 MFA로 분류합니다.

모든 암호 없는 옵션이 동일한 수준의 보호를 제공하는 것은 아닙니다. 피싱 방지 방법과 피싱 방지 방법의 차이점 이해하면 올바른 인증 강점을 선택하고 보안 ID 전략을 설계하는 데 도움이 됩니다.

  • 피싱 방지 메서드는 사용자가 악의적이거나 스푸핑된 프롬프트와 상호 작용하는 경우에도 가로채거나 재생할 수 없는 하드웨어 바인딩된 비대칭 암호화 키를 사용합니다.
  • 비피싱 방지 메서드는 암호 없는 흐름을 사용하지만 소셜 엔지니어링, 프롬프트 조작 또는 MFA 피로를 통해 여전히 손상될 수 있습니다.

이 문서의 뒷부분에 설명된 각 메서드에는 피싱 저항 수준이 포함됩니다.

더 알아보세요

Microsoft Intune 암호 없는 인증의 이점

Microsoft Intune, Microsoft Entra ID 및 플랫폼 기능을 함께 사용하면 organization 향상됩니다.

  • 원활한 Single Sign-On: 사용자가 디바이스에 한 번 로그인하고 앱, 클라우드 서비스 및 경우에 따라 온-프레미스 리소스에 자동으로 액세스합니다. 암호 재설정 호출 및 반복 인증 프롬프트가 제거됩니다.
  • 디바이스 간 사용자 편의성: 사용자는 여러 디바이스에서 일관적인 네이티브 환경을 얻을 수 있습니다. Windows Hello OS 로그인을 사용하고, macOS는 Touch ID를 Microsoft Entra ID 통합하고, 모바일 플랫폼은 Microsoft Authenticator 및 플랫폼 암호를 사용합니다. 사용자는 디바이스당 별도의 암호를 저글링할 필요가 없습니다.
  • 강력한 보안 태세: 피싱 방지 방법은 자격 증명 도난 및 재생 공격을 방지합니다. 디바이스 규정 준수 게이팅을 사용하면 유효한 자격 증명도 정상 관리형 디바이스에서만 작동하며 제로 트러스트 원칙에 부합합니다.
  • IT 지원 부하 감소: 암호 재설정 감소, 임시 액세스 패스로 원활한 온보딩, 셀프 서비스 복구 옵션으로 기술 지원팀 볼륨 감소
  • 미래 준비 아키텍처: 표준이 발전함에 따라 동기화된 암호 없는 암호 없는 메서드와 하드웨어 지원 자격 증명을 포함한 새로운 암호 없는 메서드는 주요 재설계 없이도 동일한 Microsoft Entra ID + Microsoft Intune 아키텍처에 연결할 수 있습니다.

Microsoft Intune 암호 없는 채택을 유도하는 방법

Microsoft Intune 강력한 최신 자격 증명을 사용하도록 디바이스 및 애플리케이션이 올바르게 구성되도록 하여 암호 없는 인증을 사용하도록 설정하고 운영합니다. Microsoft Entra ID ID 및 인증 정책을 제어하지만 Microsoft Intune 암호 없는 메서드가 의존하는 디바이스 환경을 준비합니다.

주요 기여 포함됩니다.

  • 디바이스 준비: 암호 없는 로그인 흐름에 참여할 수 있도록 디바이스 등록, 등록 및 구성
  • 구성 배포: 비즈니스용 Windows Hello, 인증서 기반 인증, Apple Platform SSO 및 유사한 플랫폼 기능에 필요한 정책을 제공합니다.
  • 규정 준수 및 액세스 신호: 액세스 권한을 부여하기 전에 조건부 액세스가 평가하는 디바이스 상태 및 규정 준수 데이터를 제공합니다.
  • 앱 및 브로커 프로비저닝: ID 조정 및 암호 없는 SSO 시나리오를 사용하도록 설정하는 핵심 애플리케이션(예: Microsoft Authenticator 및 Microsoft Intune 회사 포털)을 배포합니다.
  • 통합 플랫폼 간 관리: 엔터프라이즈 배포를 간소화하기 위해 Windows, macOS, iOS/iPadOS 및 Android 간에 일관된 정책 및 관리 프레임워크를 제공합니다.

사용자가 사용할 수 있는 암호 없는 메서드는 디바이스 플랫폼과 Microsoft Entra ID 사용하도록 설정된 인증 옵션 모두에 따라 달라집니다. Microsoft Intune 각 디바이스를 준비, 구성 및 안전하고 신뢰할 수 있는 암호 없는 환경을 제공할 수 있도록 합니다.

Windows Hello

피싱 방지

Windows Hello 암호를 생성되고 TPM에 봉인된 디바이스 바인딩 비대칭 키로 바꿉니다. 키에 대한 액세스는 PIN 또는 생체 인식 제스처(지문 또는 얼굴 인식)에 의해 제어되며, 단일 로그인 단계에서 소유와 일관성을 결합합니다. 이 방법은 Windows 디바이스에 대해 하드웨어 지원 및 피싱 방지 기능입니다.

Intune 역할
Microsoft Intune 비즈니스용 Windows Hello 정책 설정을 제공하고 적용하여 Windows 디바이스를 Windows Hello 준비합니다.

이 메서드는 다음을 수행해야 할 때 가장 관련이 있습니다.

  • 암호 없는 로그인을 위해 클라우드 우선 Windows 디바이스를 준비합니다.
  • 등록 및 진행 중인 관리 중에 비즈니스용 Windows Hello 정책 설정을 제공합니다.
  • Windows 로그인을 디바이스 규정 준수 및 최신 관리에 맞게 조정합니다.

더 알아보세요

FIDO2 보안 키

피싱 방지

FIDO2 보안 키는 FIDO 자격 증명을 저장하고 디바이스 플랫폼에 의존하지 않고 피싱 방지 인증을 제공하는 물리적 디바이스(USB, NFC 또는 Bluetooth)입니다. 자격 증명은 하드웨어 키에 바인딩되고 암호화 챌린지를 통해 확인되므로 가로채거나 재생할 수 없습니다. FIDO2 키는 공유 디바이스, 높은 보증 환경 또는 플랫폼 기반 자격 증명과 함께 복구 경로로 적합합니다.

Intune 역할
Microsoft Intune 지원되는 플랫폼 및 관련 로그인 환경을 관리하여 디바이스를 이 메서드에 대해 준비하는 데 도움이 될 수 있습니다.

이 방법은 조직에 다음이 필요할 때 적합합니다.

  • 공유 또는 특수 디바이스에 대한 이식 가능한 암호 없는 옵션입니다.
  • 단일 플랫폼 또는 Microsoft Authenticator에 연결되지 않은 강력한 피싱 방지 옵션입니다.
  • 플랫폼 기반 자격 증명과 함께 복구 또는 대체 경로입니다.

구현 지침은 다음을 참조하세요.

암호 키

피싱 방지

암호는 디바이스에 바인딩되거나 디바이스 간에 동기화될 수 있는 FIDO 자격 증명에 대한 표준 기반 우산입니다. Microsoft Entra ID 다음을 사용할 수 있습니다.

  • iOS 17 이상 및 Android 14 이상에서 Windows Hello 또는 Microsoft Authenticator를 통해와 같이 단일 디바이스의 보안 하드웨어(TPM 또는 보안 Enclave)에 저장된 디바이스 바인딩된 암호입니다.
  • 플랫폼 암호 관리자(예: iCloud Keychain 또는 Google Password Manager)에서 관리하는 동기화된 암호 키 또는 디바이스 간 사용을 가능하게 하는 지원되는 타사 공급자.
  • windows의 Microsoft Entra 암호는 생체 인식 확인에 Windows Hello 사용하지만 디바이스 조인 또는 등록이 필요하지 않은 FIDO2 암호입니다. 사용자는 동일한 디바이스에서 여러 Microsoft Entra 계정에 대해 여러 암호를 등록할 수 있으므로 공유 디바이스, 관리되지 않는 엔드포인트 및 비즈니스용 Windows Hello 프로비전되지 않은 시나리오에 적합합니다.

Intune 역할
Microsoft Intune 관점에서 암호는 주로 플랫폼 및 앱 준비에 관한 것으로, 플랫폼 간에 암호 채택을 가능하게 하는 디바이스 및 앱 필수 구성 요소를 관리합니다.

이 종속성은 다음에서 특히 중요합니다.

  • 플랫폼 로그인 및 Windows Hello 광범위한 암호 없는 계획과 교차할 수 있는 Windows. Windows의 Microsoft Entra 암호는 등록되거나 가입되지 않은 디바이스로 암호 검사를 확장하여 관리되는 디바이스의 비즈니스용 Windows Hello 보완합니다.
  • iOS/iPadOSAndroid. 여기서 암호는 모바일 디바이스 상태 및 앱 브로커 동작에 따라 달라질 수 있습니다.
  • macOS- 플랫폼 ID 통합 및 사용자 로그인 환경이 채택을 형성합니다.

구현 지침은 다음을 참조하세요.

Microsoft Authenticator 전화 로그인

피싱 방지

Microsoft Authenticator 전화 로그인은 암호를 사용자의 신뢰할 수 있는 모바일 디바이스에서 푸시 기반 승인 및 번호 일치로 바꿉니다. 편리하고 널리 지원되지만 하드웨어 바인딩된 자격 증명이 아닌 푸시 알림에 의존하므로 MFA 프롬프트 조작과 같은 피싱 공격을 완전히 방지하지는 못합니다.

참고

Microsoft Authenticator 피싱에 강한 디바이스 바인딩된 암호(iOS 17+, Android 14 이상)를 저장할 수도 있습니다 . 이 섹션에서는 푸시 기반 휴대폰 로그인 흐름을 구체적으로 설명합니다.

Intune 역할
Microsoft Intune 모바일 앱 및 디바이스 필수 구성 요소를 배포하고 관리하여 이 흐름을 지원합니다.

많은 환경에서 이 지원에는 다음이 포함됩니다.

  • 관리형 모바일 디바이스에 Microsoft Authenticator 배포
  • Microsoft 앱에서 조정된 로그인 환경 지원
  • 광범위한 모바일 액세스 디자인의 일부인 경우 모바일 플랫폼에 대한 앱 보호 정책 고려 사항을 고려합니다.

구현 지침은 다음을 참조하세요.

임시 액세스 패스

영구 메서드가 아님 - 온보딩 및 복구에 사용됨

TAP(임시 액세스 패스)는 관리자가 사용자가 장기 암호 없는 설정을 완료하기 전에 액세스를 부트스트랩하거나 복구하는 데 도움이 되는 시간 제한 자격 증명입니다. TAP는 영구 암호 없는 방법이 아니며 피싱에 저항하지 않지만 암호를 발급하지 않고 첫 번째 로그인 문제를 해결하므로 성공적인 롤아웃의 중요한 부분인 경우가 많습니다.

Intune 역할
Microsoft Intune 관점에서 임시 액세스 패스는 다음과 같은 경우에 중요합니다.

  • 암호 없는 메서드에 대한 온보딩을 간소화합니다.
  • 배포하는 동안 임시 암호에 대한 의존도를 줄입니다.
  • 온보딩 시나리오를 관리되는 Windows 디바이스 설정에 연결합니다.

TAP를 사용하여 0일째 온보딩

암호 없는 배포의 일반적인 과제는 닭과 달걀 문제입니다. 새 사용자는 암호 없는 자격 증명을 등록하기 위해 로그인해야 하지만 첫 번째 로그인에 대한 암호를 발급하고 싶지는 않습니다. TAP는 초기 디바이스 설정 및 자격 증명 등록을 위한 수명이 짧은 자격 증명을 제공하여 이 문제를 해결합니다.

일반적인 온보딩 흐름은 다음과 같습니다.

  1. 관리 TAP 발급 — IT 관리자 또는 자동화된 워크플로는 Microsoft Entra 관리 센터 또는 Microsoft Graph API 통해 새 사용자에 대한 시간 제한 TAP를 생성합니다.
  2. 사용자가 디바이스를 설정합니다. 사용자가 Windows Autopilot OOBE, macOS 설정 도우미 또는 모바일 디바이스 등록 중에 TAP에 들어갑니다. Windows 11 웹 로그인을 사용하면 잠금 화면에서 직접 TAP 항목을 사용할 수 있습니다.
  3. 사용자가 암호 없는 메서드를 등록합니다. TAP로 로그인한 후 사용자에게 Windows Hello, FIDO2 보안 키, Microsoft Authenticator의 암호 없는 암호 키 또는 다른 암호 없는 메서드를 등록하라는 메시지가 표시됩니다. TAP를 대체하는 영구 자격 증명입니다.
  4. TAP 만료 — TAP는 일회용 또는 시간 제한(구성 가능)이므로 사용자가 암호 없는 메서드를 등록한 후에는 재사용할 수 없습니다.

이 흐름은 임시 암호를 발급한 다음 해지할 필요가 없으며 Microsoft Intune 첫 번째 로그인에서 관리되는 온보딩 경로를 제공합니다.

구현 지침은 다음을 참조하세요.

CBA(인증서 기반 인증)

피싱 방지

CBA(인증서 기반 인증)는 디지털 인증서 및 비대칭 암호화를 사용하여 ID를 확인하여 피싱 방지하고 자격 증명 재생을 방지합니다. PIV 및 CAC와 같은 스마트 카드를 통해 규제 산업 및 정부 환경에서 널리 채택됩니다. Microsoft Intune 주로 디바이스 환경을 준비하는 다른 암호 없는 방법과 달리 CBA는 Microsoft Intune 자격 증명 자체를 배포하는 데 직접적인 역할을 하는 영역 중 하나입니다.

Intune 역할
Microsoft Intune 인증서 배달을 위한 두 가지 인프라 모델을 지원합니다.

  • 온-프레미스 PKI: 기존 CA(인증 기관)가 있는 조직은 Microsoft Intune 인증서 커넥터를 사용하여 온-프레미스 PKI를 Microsoft Intune 연결할 수 있습니다. 커넥터를 사용하면 Microsoft Intune 기존 CA 인프라를 사용하여 관리 디바이스에 SCEP 및 PKCS 인증서 프로필을 배포할 수 있습니다. 이 모델은 이미 엔터프라이즈 CA를 운영하거나 기존 PKI 투자와 통합해야 하는 조직에 적합합니다.
  • Microsoft Cloud PKI: 온-프레미스 인증서 인프라를 단순화하거나 제거하려는 조직의 경우 Microsoft Cloud PKI는 Microsoft Intune Suite 일부로 클라우드 기반 CA를 제공합니다. 클라우드 PKI는 온-프레미스 서버, 커넥터 또는 하드웨어 보안 모듈을 요구하지 않고 인증서를 발급하고 관리합니다.

인프라 모델에 관계없이 Microsoft Intune 인증서 프로필을 사용하여 디바이스에 인증서를 제공합니다.

  • 신뢰할 수 있는 루트 인증서 프로필은 디바이스가 트러스트 체인을 설정할 수 있도록 CA의 루트 인증서를 배포합니다.
  • SCEP 인증서 프로필은 SCEP 사용 CA에서 인증서를 요청하고 배포합니다.
  • PKCS 인증서 프로필은 PKCS #12 표준을 사용하여 인증서를 요청하고 배포합니다.
  • 가져온 PFX 인증서 프로필은 Microsoft Intune 가져온 미리 생성된 인증서를 배포합니다.

이러한 프로필은 Windows, macOS, iOS/iPadOS 및 Android에서 작동하므로 온-프레미스 또는 클라우드 기반 PKI 인프라를 Microsoft Entra ID 정의된 ID 메서드에 연결하는 배달 메커니즘을 Microsoft Intune.

구현 지침은 다음을 참조하세요.

필수 구성 요소

암호 없는 배포를 계획하기 전에 환경이 사용하려는 방법에 대한 라이선스 및 플랫폼 요구 사항을 충족하는지 확인합니다. 일부 암호 없는 기능에는 특정 Microsoft Entra ID 또는 Microsoft Intune 라이선스 계층이 필요하며 각 메서드에는 최소 OS 버전 요구 사항이 있습니다.

라이선스 요구사항

선택한 암호 없는 방법에 따라 organization 사용자에 대한 Microsoft Entra ID P1 또는 Microsoft Entra ID P2 라이선스와 디바이스 관리 및 인증서 배달을 위한 특정 Microsoft Intune 라이선스가 필요할 수 있습니다. 다음 표에서는 일반적인 암호 없는 기능에 대한 라이선스 요구 사항을 요약합니다.

기능 라이선스 요구 사항
Windows Hello Microsoft Entra ID P1(조건부 액세스 적용용)
FIDO2 보안 키 Microsoft Entra ID P1
암호(디바이스 바인딩 및 동기화됨) Microsoft Entra ID P1
Microsoft Authenticator 전화 로그인 Microsoft Entra ID P1
임시 액세스 패스 Microsoft Entra ID P1
CBA(인증서 기반 인증) Microsoft Entra ID P1(위험 기반 조건부 액세스의 경우 P2)
인증 강도 정책 Microsoft Entra ID P1
위험 기반 조건부 액세스 Microsoft Entra ID P2
Microsoft Cloud PKI Microsoft Intune Suite 또는 독립 실행형 클라우드 PKI 라이선스
디바이스 규정 준수 및 구성 프로필 Microsoft Intune 계획 1

더 알아보세요

플랫폼 요구 사항

이 문서에 설명된 암호 없는 메서드는 특정 OS 버전에서만 사용할 수 있는 특정 플랫폼 기능을 사용합니다. 다음 표에서는 각 메서드에 대한 플랫폼 요구 사항을 요약합니다.

메서드 Windows macOS iOS/iPadOS Android
Windows Hello 지원되는 모든 Windows 클라이언트
FIDO2 보안 키 지원되는 모든 Windows 클라이언트
암호 키 Windows 11 지원되는 모든 버전 지원되는 모든 버전 Android 14 이상
Microsoft Authenticator의 디바이스 바인딩된 암호 지원되는 모든 버전 Android 14 이상
플랫폼 SSO(보안 Enclave) 지원되는 모든 버전
웹 로그인(잠금 화면에서 TAP) Windows 11
Microsoft Authenticator 전화 로그인 지원되는 모든 버전 Android 11 이상

참고

지원되는 것은 Microsoft Intune 현재 전체 기능, 정책 배포 및 관리를 지원하는 운영 체제 버전을 나타냅니다.
플랫폼 버전 요구 사항은 각 릴리스 주기에 따라 변경될 수 있습니다. 배포하는 특정 방법에 대한 제품 설명서의 현재 요구 사항을 항상 확인합니다.

더 알아보세요

플랫폼 고려 사항

암호 없는 기능은 아닙니다. ID에 대한 Microsoft Entra ID 사용하고 디바이스 관리를 위해 Microsoft Intune 플랫폼별 환경 집합입니다.

Windows

Windows는 디바이스 등록, 클라우드 로그인, 보안 상태 및 암호 없는 사용자 환경이 함께 작동하는 방식의 가장 완벽한 예입니다.

Microsoft Intune 일반적으로 다음을 통해 Windows 암호 없는 시나리오를 지원합니다.

  • 클라우드 우선, Microsoft Entra 조인 디바이스 준비.
  • 비즈니스용 Windows Hello 구성 제공.
  • FIDO2 보안 키 환경 지원
  • 디바이스 준비 상태를 규정 준수 및 최신 관리에 맞게 조정합니다.
  • Windows Autopilot에 연결할 수 있는 온보딩 환경 지원

사용자가 Windows Hello 또는 FIDO2 키로 로그인하면 Windows는 Microsoft Entra ID 기본 새로 고침 토큰을 가져옵니다. 이 PRT를 통해 Microsoft 365 앱, SaaS 애플리케이션 및 Cloud Kerberos Trust가 구성된 경우 추가 로그인 프롬프트 없이 파일 공유와 같은 온-프레미스 리소스에 대한 원활한 SSO를 사용할 수 있습니다.

더 알아보세요

하이브리드 및 레거시 고려 사항

이 문서에 설명된 암호 없는 환경은 Microsoft Entra 조인된 디바이스에서 클라우드 우선 방향을 가정합니다. 하이브리드 Microsoft Entra 조인 디바이스를 사용하는 조직은 다음과 같은 차이점을 알고 있어야 합니다.

  • 웹 로그인(Windows 잠금 화면에서 TAP에 사용됨)은 하이브리드 Microsoft Entra 조인 디바이스가 아닌 Microsoft Entra 조인된 디바이스에서만 지원됩니다.
  • 비즈니스용 Windows Hello Microsoft Entra 조인된 디바이스와 하이브리드 Microsoft Entra 조인된 디바이스 모두에서 작동하지만 하이브리드 배포에는 신뢰 모델에 따라 추가 인프라가 필요할 수 있습니다.
  • Microsoft Entra 조인된 디바이스에서 온-프레미스 리소스에 액세스하려면 클라우드 Kerberos 트러스트 또는 인증서 기반 트러스트가 필요합니다. Cloud Kerberos 트러스트는 Kerberos 인증을 위해 인증서를 배포할 필요가 없기 때문에 권장되는 모델입니다. 자세한 내용은 [클라우드 Kerberos 트러스트 배포](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust)를 참조하세요.
  • Active Directory Kerberos 인증이 필요한 레거시 애플리케이션은 여전히 암호 없는 방법으로 작동할 수 있지만 NTLM 또는 직접 LDAP 바인딩이 필요한 애플리케이션에는 추가 계획이 필요할 수 있습니다.

환경이 하이브리드인 경우 Microsoft Entra 조인 디바이스부터 암호 없는 롤아웃을 계획하고 인프라에서 지원하는 하이브리드 Microsoft Entra 조인 디바이스로 확장합니다.

더 알아보세요

macOS

macOS에서 암호 없는 계획은 Microsoft Entra ID 플랫폼 로그인 및 Single Sign-On 환경과 통합되는 방법에 따라 달라집니다. Microsoft Intune Apple 중심 ID 통합에 필요한 디바이스 구성을 제공합니다.

Microsoft Enterprise SSO 플러그 인 및 Apple의 플랫폼 SSO 프레임워크를 사용하면 Microsoft Intune 사용자가 Microsoft Entra ID 자격 증명을 사용하여 Mac에 로그인할 수 있는 구성을 배포할 수 있습니다. Secure Enclave 키 메서드로 구성된 경우 Windows Hello 유사한 피싱 방지 하드웨어 지원 로그인 환경을 제공합니다.

이 정보는 계획할 때 중요합니다.

  • 플랫폼 SSO 및 관련 로그인 환경.
  • 디바이스와 Microsoft 앱 간의 Single Sign-On.
  • Windows 및 모바일 디바이스와 함께 일관된 관리 모델입니다.

더 알아보세요

iOS 및 iPadOS

iOS 및 iPadOS에서 암호 없는 계획은 디바이스 로그인보다 앱 로그인, 조정된 인증 및 암호 동작에 더 중점을 둡니다. Microsoft Intune 이러한 환경을 사용자에게 일관되게 만드는 앱과 설정을 배포하고 관리합니다.

iOS의 Microsoft SSO 확장은 Microsoft 및 타사 앱에서 인증 요청을 가로채 초기 디바이스 설정 후 원활한 로그인을 가능하게 할 수 있습니다. Microsoft Authenticator는 인증 브로커 역할을 하며 피싱 방지 인증을 위해 iOS 17 이상에 디바이스 바인딩된 암호를 저장할 수도 있습니다.

더 알아보세요

Android

Android에서 Microsoft Intune 암호 없는 인증 흐름과 조정된 인증 흐름이 의존하는 관리되는 컨텍스트를 설정합니다. 이 컨텍스트는 Microsoft Authenticator 또는 관련 앱 환경이 모바일 액세스 디자인의 일부인 경우에 특히 관련이 있습니다.

회사 포털 및 Microsoft Authenticator는 모두 Android에서 인증 브로커 역할을 할 수 있습니다. 사용자가 broker를 통해 로그인한 후 Microsoft Entra ID 회사 프로필의 모든 브로커 인식 앱에서 SSO를 사용하도록 설정하는 기본 새로 고침 토큰을 발급합니다. Android 14 이상에서 Microsoft Authenticator는 피싱 방지 인증을 위해 디바이스 바인딩된 암호를 저장할 수도 있습니다.

더 알아보세요

암호 없는 인증에 대한 종속성

제로 트러스트 아키텍처

암호 없는 인증은 광범위한 ID 및 디바이스 액세스 전략의 한 부분입니다. Microsoft Intune 관리자의 경우 계획에는 일반적으로 다음 계층이 포함됩니다.

  • ID: Microsoft Entra ID 피싱 방지 인증 방법입니다.
  • 디바이스 신뢰: 등록, 규정 준수 및 구성을 Microsoft Intune.
  • 액세스 정책: 조건부 액세스 및 관련 제외 계획.
  • 데이터 보호: 액세스 권한이 부여된 후 콘텐츠를 보호하는 데 도움이 되는 Microsoft Purview 기능입니다.
  • 조사 및 응답: 위험 또는 손상에 대한 후속 조치가 필요한 경우 신호 및 워크플로를 Microsoft Defender.

더 알아보세요

조건부 액세스

조건부 액세스는 액세스 권한을 부여하기 전에 디바이스 상태 및 인증 강도와 같은 신호를 평가합니다. 암호 없는 메서드와 결합된 경우 조건부 액세스는 피싱 방지 MFA가 필요한 인증 강도 정책을 적용할 수 있습니다. 암호 또는 SMS 코드와 같은 약한 방법을 차단하여 암호를 효과적으로 의무화할 수 있습니다.

암호 없는 조건부 액세스와 함께 조건부 액세스를 구현하는 경우 우발적인 잠금 시나리오를 방지하기 위한 긴급 액세스 계획도 고려합니다.

더 알아보세요

긴급 액세스 및 복구

암호를 제거할 때 일반적인 관심사는 사용자가 자신의 유일한 암호 없는 디바이스(휴대폰, FIDO2 키 또는 Windows Hello 있는 노트북)를 분실할 때 발생하는 일입니다. 복구 계획이 없으면 관리자는 지원 에스컬레이션에 직면할 수 있으며 사용자는 중요한 리소스에서 잠글 수 있습니다.

암호 없는 배포의 일부로 이러한 시나리오를 계획합니다.

  • 긴급 액세스 계정: 조건부 액세스 정책 및 암호 없는 적용에서 제외된 두 개 이상의 비상 계정을 유지 관리합니다. 이러한 계정은 잘못된 구성 또는 중단으로 다른 모든 액세스가 차단되는 경우 대체 경로를 제공합니다. 자격 증명을 안전하게 저장하고 이러한 계정에서 로그인 활동을 모니터링합니다.
  • 임시 액세스 패스로 복구: 사용자가 암호 없는 디바이스를 분실하면 관리자가 새 TAP를 실행하여 사용자가 로그인하고 대체 자격 증명을 등록할 수 있습니다. 이 방법은 사용자를 암호로 다시 설정하지 않도록 방지하고 암호 없는 모델 내에서 복구 흐름을 유지합니다.
  • 등록된 여러 방법: 가능한 경우 사용자가 둘 이상의 암호 없는 메서드를 등록하도록 권장합니다. 예를 들어 랩톱에서 비즈니스용 Hello를 사용하는 사용자는 휴대폰에서 Microsoft Authenticator에 암호를 등록할 수도 있습니다. 한 디바이스가 손실된 경우 다른 메서드는 여전히 작동합니다.
  • 셀프 서비스 자격 증명 관리: 사용자는 내 보안 정보에서 인증 방법을 관리할 수 있습니다. TAP 기반 복구와 결합하면 자격 증명 재설정에 대한 기술 지원팀 종속성이 줄어듭니다.
  • 확인된 ID 사용한 총 손실 복구: 사용자가 등록된 모든 자격 증명 및 디바이스를 분실하는 시나리오의 경우 확인된 ID 사용하여 계정 복구를 Microsoft Entra 암호 또는 기술 지원팀에서 발급한 자격 증명에 의존하지 않는 ID 확인 복구 경로를 제공합니다.

암호 없는 암호를 적용하기 전에 복구를 계획하는 것이 필수적입니다. 복구 경로 없이 암호를 차단하는 롤아웃은 전환에 대한 관리자 및 사용자 신뢰를 침식시키는 잠금 시나리오의 종류를 만듭니다.

더 알아보세요

규정 준수 및 디바이스 준비 상태

암호 없는 경우 사용자가 환경에 의존하기 전에 디바이스가 올바른 상태에 있는 경우가 많습니다. 준비에는 일반적으로 다음이 포함됩니다.

확인 및 진행 중인 작업

암호 없는 배포의 유효성을 검사하기 위해 일반적인 검사점은 다음과 같습니다.

사용자 채택 및 커뮤니케이션

기술 준비는 암호 없는 롤아웃의 한 부분일 뿐입니다. 암호에 익숙한 사용자는 로그인 흐름이 변경될 때 혼동이나 저항이 발생할 수 있습니다. 사용자 통신 및 지원을 계획하면 원활한 전환과 광범위한 기술 지원팀 에스컬레이션이 차이를 만들 수 있습니다.

다음 사례를 고려합니다.

  • 변경 내용 조기에 전달: 사용자에게 로그인 환경이 변경되고 있는 이유, 변경 이유 및 예상 사항을 알려주세요. 기억해야 할 암호가 적고, 로그인 속도가 빨라지고, 보안이 강화되는 이점에 집중합니다.
  • 플랫폼별 지침 제공: 암호 없는 환경은 Windows(Hello 생체 인식 또는 PIN), macOS(플랫폼 SSO를 사용한 터치 ID), iOS(Authenticator 또는 passkeys) 및 Android(Authenticator broker)에서 다릅니다. 사용자가 가지고 있는 플랫폼에 맞게 커뮤니케이션을 조정합니다.
  • 파일럿 그룹 식별: organization 암호 없이 적용하기 전에 환경을 테스트하고 피드백을 제공할 수 있는 사용자 그룹으로 시작합니다. IT 직원, 얼리어답터 및 보안 인식 팀은 종종 좋은 후보입니다.
  • 기술 지원팀 직원 준비: 지원 팀이 복구를 위해 임시 액세스 패스를 발급하는 방법, 자격 증명 등록을 통해 사용자를 안내하는 방법 및 문제가 발생할 때 로그인 로그를 검사 위치를 알고 있는지 확인합니다.

더 알아보세요

  • Last updated on