비즈니스용 Windows Hello 구성

이 문서에서는 조직에서 비즈니스용 Windows Hello를 구성하는 옵션과 이를 구현하는 방법을 설명합니다.

구성 옵션

다음 옵션을 사용하여 비즈니스용 Windows Hello를 구성할 수 있습니다.

• CSP(구성 서비스 공급자): Microsoft Intune과 같은 MDM(모바일 디바이스 관리) 솔루션에서 관리하는 디바이스에 일반적으로 사용됩니다. CSP는 일반적으로 배포 시 또는 관리되지 않는 디바이스에 사용되는 프로비저닝 패키지로 구성할 수도 있습니다. 비즈니스용 Windows Hello를 구성하려면 PassportForWork CSP를 사용합니다.
• GPO(그룹 정책): Active Directory 조인 또는 Microsoft Entra 하이브리드 조인된 디바이스에 사용되며 디바이스 관리 솔루션에서 관리되지 않음

정책 우선 순위

비즈니스용 Windows Hello 정책 중 일부는 컴퓨터 및 사용자 구성 모두에 사용할 수 있습니다. 다음 목록에서는 비즈니스용 Windows Hello의 정책 우선 순위에 대해 설명합니다.

• 사용자 정책이컴퓨터 정책보다 우선합니다. 사용자 정책이 설정된 경우 해당 컴퓨터 정책은 무시됩니다. 사용자 정책이 설정되지 않은 경우 컴퓨터 정책이 사용됩니다.
• 비즈니스용 Windows Hello 정책 설정은 다음 계층 구조를 사용하여 적용됩니다.
  • 사용자 - GPO
  • 컴퓨터 - GPO
  • 사용자 - PassportForWork CSP
  • 디바이스 - PassportForWork CSP
  • Exchange 활성 동기화 - DeviceLock CSP

Microsoft Entra 테넌트 ID 검색

CSP 또는 다른 비즈니스용 Windows Hello 정책 설정의 레지스트리를 통해 구성하려면 디바이스가 등록된 Microsoft Entra 테넌트 ID를 지정해야 합니다.

테넌트 ID를 조회하려면 Microsoft Entra 테넌트 ID를 찾 거나 다음을 시도하여 조직의 계정으로 로그인하는 방법을 참조하세요.

GET https://graph.microsoft.com/v1.0/organization?$select=id

예를 들어 PassportForWork CSP 설명서 에서는 OMA-URI를 사용하여 비즈니스용 Windows Hello 옵션을 구성하는 방법을 설명합니다.

./Device/Vendor/MSFT/PassportForWork/{TenantId}

디바이스를 구성할 때 를 Microsoft Entra 테넌트 ID로 대체 TenantID 합니다. 예를 들어 Microsoft Entra 테넌트 ID가 인 경우 OMA-URI는 dcd219dd-bc68-4b9b-bf0b-4a33a796be35다음과 같습니다.

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

Microsoft Intune을 사용하여 비즈니스용 Windows Hello 구성

Intune에 등록된 Microsoft Entra 조인 디바이스 및 Microsoft Entra 하이브리드 조인 디바이스의 경우 Intune 정책을 사용하여 비즈니스용 Windows Hello를 관리할 수 있습니다.

Intune에서 비즈니스용 Windows Hello를 사용하도록 설정하고 구성하는 방법에는 여러 가지가 있습니다.

• 테넌트 수준에서 적용된 정책을 사용합니다. 테넌트 정책:
  • 등록 시간에만 적용되며 구성 변경 내용은 Intune에 이미 등록된 디바이스에는 적용되지 않습니다.
  • Intune에 등록되는 모든 디바이스 에 적용됩니다. 이러한 이유로 정책은 일반적으로 사용하지 않도록 설정되며 비즈니스용 Windows Hello는 보안 그룹을 대상으로 하는 정책을 사용하여 사용하도록 설정됩니다.
• 디바이스 등록 후에 적용되는 디바이스 구성 정책입니다. 정책 변경 내용은 정기적인 정책 새로 고침 간격 동안 디바이스에 적용됩니다. 선택할 수 있는 정책 유형은 다음과 같습니다.
  • 설정 카탈로그
  • 보안 기준
  • PassportForWork CSP를 통한 사용자 지정 정책
  • 계정 보호 정책
  • ID 보호 정책 템플릿

테넌트 전체 정책 확인

등록 시 적용된 비즈니스용 Windows Hello 정책 설정을 확인하려면 다음을 수행합니다.

1. Microsoft Intune 관리 센터에 로그인
2. 디바이스>Windows>Windows 등록 선택
3. 비즈니스용 Windows Hello 선택
4. 비즈니스용 Windows Hello 구성 상태 및 구성될 수 있는 설정 확인

여러 정책 원본에서 정책 충돌

비즈니스용 Windows Hello는 GPO 또는 CSP에서 구성할 수 있지만 둘 다의 조합은 구성할 수 없습니다. 예기치 않은 결과가 발생할 수 있으므로 비즈니스용 Windows Hello에 대한 GPO 및 CSP 정책 설정을 혼합하지 마십시오. GPO 및 CSP 정책 설정을 혼합하는 경우 그룹 정책 설정을 지울 때까지 충돌하는 CSP 설정이 적용되지 않습니다.

비즈니스용 Windows Hello 등록 사용 안 함

비즈니스용 Windows Hello는 기본적으로 Microsoft Entra에 가입된 디바이스에 대해 사용하도록 설정됩니다. 자동 사용을 사용하지 않도록 설정해야 하는 경우 다음을 비롯한 다양한 옵션이 있습니다.

• 테넌트 전체 정책을 사용하여 Windows Hello 사용 안 함
• ESP(등록 상태 페이지)를 사용하도록 설정하면서 Intune에서 사용할 수 있는 정책 유형 중 하나를 사용하여 사용하지 않도록 설정합니다. ESP는 디바이스가 필요한 모든 정책을 받을 때까지 사용자가 데스크톱에 액세스하지 못하도록 구성할 수 있습니다. 자세한 내용은 등록 상태 페이지 설정을 참조하세요. 구성할 정책 설정은 비즈니스용 Windows Hello 사용입니다.
• 비즈니스용 Windows Hello를 사용하지 않도록 설정하는 프로비저닝 패키지를 사용하여 디바이스를 프로비전합니다. 자세한 내용은 Windows용 패키지 프로비전을 참조하세요.
• OS 배포 중에 비즈니스용 Windows Hello를 사용하지 않도록 레지스트리 설정을 수정할 수 있는 스크립팅된 솔루션

다음 단계

비즈니스용 Windows Hello 정책 설정 목록은 비즈니스용 Windows Hello 정책 설정을 참조하세요.

비즈니스용 Windows Hello 기능 및 구성 방법에 대한 자세한 내용은 다음을 참조하세요.

• PIN 재설정
• 이중 등록
• 동적 잠금
• 다단계 잠금 해제
• RDP(원격 데스크톱) 로그인