이 문서에서는 Azure Virtual Desktop에서 사용할 수 있는 ID 및 인증 방법의 종류에 대한 간략한 개요를 제공합니다.
ID
Azure Virtual Desktop은 선택한 구성에 따라 다양한 유형의 ID를 지원합니다. 이 섹션에서는 각 구성에 사용할 수 있는 ID에 대해 설명합니다.
중요
Azure Virtual Desktop은 하나의 사용자 계정으로 Microsoft Entra ID 로그인한 다음 별도의 사용자 계정으로 Windows에 로그인하는 것을 지원하지 않습니다. 두 개의 서로 다른 계정으로 동시에 로그인하면 사용자가 잘못된 세션 호스트에 다시 연결되고, Azure Portal 정보가 잘못되거나 누락되고, App Attach를 사용하는 동안 오류 메시지가 표시될 수 있습니다.
온-프레미스 ID
Azure Virtual Desktop에 액세스하려면 Microsoft Entra ID 통해 사용자를 검색할 수 있어야 하므로 AD DS(Active Directory Domain Services)에만 존재하는 사용자 ID는 지원되지 않습니다. 여기에는 Active Directory Federation Services(AD FS)를 사용하는 독립 실행형 Active Directory 배포가 포함됩니다.
하이브리드 ID
Azure Virtual Desktop은 AD FS를 사용하여 페더레이션된 id를 포함하여 Microsoft Entra ID 통해 하이브리드 ID를 지원합니다. AD DS에서 이러한 사용자 ID를 관리하고 Microsoft Entra Connect를 사용하여 Microsoft Entra ID 동기화할 수 있습니다. Microsoft Entra ID 사용하여 이러한 ID를 관리하고 Microsoft Entra Domain Services 동기화할 수도 있습니다.
하이브리드 ID를 사용하여 Azure Virtual Desktop에 액세스할 때 AD(Active Directory) 및 Microsoft Entra ID 사용자의 UPN(사용자 계정 이름) 또는 SID(보안 식별자)가 일치하지 않는 경우가 있습니다. 예를 들어 AD 계정은 user@contoso.local Microsoft Entra ID 에 해당할 user@contoso.com 수 있습니다. Azure Virtual Desktop은 AD 및 Microsoft Entra ID 계정에 대한 UPN 또는 SID가 일치하는 경우에만 이러한 유형의 구성을 지원합니다. SID는 AD의 사용자 개체 속성 "ObjectSID"와 Microsoft Entra ID "OnPremisesSecurityIdentifier"를 참조합니다.
클라우드 전용 ID
Azure Virtual Desktop은 Microsoft Entra 조인된 VM을 사용할 때 클라우드 전용 ID를 지원합니다. 이러한 사용자는 Microsoft Entra ID 직접 만들어지고 관리됩니다.
참고
조인 유형 Microsoft Entra 세션 호스트를 호스트하는 Azure Virtual Desktop 애플리케이션 그룹에 하이브리드 ID를 할당할 수도 있습니다.
페더레이션 ID
Microsoft Entra ID 또는 Active Directory Domain Services 이외의 타사 IdP(ID 공급자)를 사용하여 사용자 계정을 관리하는 경우 다음을 확인해야 합니다.
- IdP는 Microsoft Entra ID 페더레이션됩니다.
- 세션 호스트가 Microsoft Entra 조인되거나 하이브리드 조인을 Microsoft Entra.
- 세션 호스트에 Microsoft Entra 인증을 사용하도록 설정합니다.
외부 ID
Azure Virtual Desktop은 현재 외부 ID를 지원하지 않습니다.
인증 방법
Azure Virtual Desktop 리소스에 액세스할 때는 다음과 같은 세 가지 인증 단계가 있습니다.
- 클라우드 서비스 인증: 리소스 구독 및 게이트웨이 인증을 포함하는 Azure Virtual Desktop 서비스에 인증하는 것은 Microsoft Entra ID.
- 원격 세션 인증: 원격 VM에 인증. 권장되는 SSO(Single Sign-On)를 포함하여 원격 세션에 인증하는 방법에는 여러 가지가 있습니다.
- 세션 내 인증: 원격 세션 내의 애플리케이션 및 웹 사이트에 인증합니다.
각 인증 단계에 대해 서로 다른 클라이언트에서 사용할 수 있는 자격 증명 목록을 보려면 플랫폼 간에 클라이언트를 비교합니다.
중요
인증이 제대로 작동하려면 로컬 컴퓨터도 원격 데스크톱 클라이언트에 필요한 URL에 액세스할 수 있어야 합니다.
다음 섹션에서는 이러한 인증 단계에 대한 자세한 정보를 제공합니다.
클라우드 서비스 인증
Azure Virtual Desktop 리소스에 액세스하려면 먼저 Microsoft Entra ID 계정으로 로그인하여 서비스에 인증해야 합니다. 인증은 리소스 검색을 구독하거나 연결을 시작하거나 서비스에 진단 정보를 보낼 때 게이트웨이에 연결할 때마다 발생합니다. 이 인증에 사용되는 Microsoft Entra ID 리소스는 Azure Virtual Desktop(앱 ID 9cdead84-a844-4324-93f2-b2e6bb768d07)입니다.
다단계 인증
조건부 액세스를 사용하여 Azure Virtual Desktop에 Microsoft Entra 다단계 인증 적용의 지침에 따라 배포에 Microsoft Entra 다단계 인증을 적용하는 방법을 알아봅니다. 또한 이 문서에서는 사용자에게 자격 증명을 입력하라는 메시지가 표시되는 빈도를 구성하는 방법을 설명합니다. Microsoft Entra 조인된 VM을 배포할 때 Microsoft Entra 조인된 세션 호스트 VM에 대한 추가 단계를 확인합니다.
암호 없는 인증
비즈니스용 Windows Hello 및 기타 암호 없는 인증 옵션(예: FIDO 키)과 같이 Microsoft Entra ID 지원하는 모든 인증 유형을 사용하여 서비스에 인증할 수 있습니다.
스마트 카드 인증
스마트 카드 사용하여 Microsoft Entra ID 인증하려면 먼저 Microsoft Entra 인증서 기반 인증을 구성하거나 사용자 인증서 인증을 위해 AD FS를 구성해야 합니다.
타사 ID 공급자
타사 ID 공급자가 Microsoft Entra ID 페더레이션하는 한 사용할 수 있습니다.
원격 세션 인증
Single Sign-On을 사용하도록 설정하지 않았거나 자격 증명을 로컬로 저장하지 않은 경우 연결을 시작할 때 세션 호스트에 인증해야 합니다.
SSO(Single Sign-On)
SSO를 사용하면 연결이 세션 호스트 자격 증명 프롬프트를 건너뛰고 Microsoft Entra 인증을 통해 Windows에 자동으로 로그인할 수 있습니다. Microsoft Entra 조인되거나 하이브리드 조인을 Microsoft Entra 세션 호스트의 경우 Microsoft Entra 인증을 사용하여 SSO를 사용하도록 설정하는 것이 좋습니다. Microsoft Entra 인증은 암호 없는 인증 및 타사 ID 공급자에 대한 지원을 비롯한 다른 이점을 제공합니다.
Azure Virtual Desktop은 Windows 데스크톱 및 웹 클라이언트에 대한 AD FS(Active Directory Federation Services)를 사용하는 SSO도 지원합니다.
SSO가 없으면 클라이언트는 사용자에게 모든 연결에 대한 세션 호스트 자격 증명을 묻는 메시지를 표시합니다. 메시지가 표시되지 않도록 하는 유일한 방법은 클라이언트에 자격 증명을 저장하는 것입니다. 다른 사용자가 리소스에 액세스하지 못하도록 보안 디바이스에만 자격 증명을 저장하는 것이 좋습니다.
스마트 카드 및 비즈니스용 Windows Hello
Azure Virtual Desktop은 세션 호스트 인증을 위해 NTLM(NT LAN Manager)과 Kerberos를 모두 지원합니다. 그러나 스마트 카드 및 비즈니스용 Windows Hello Kerberos를 사용하여 로그인할 수 있습니다. Kerberos를 사용하려면 클라이언트가 도메인 컨트롤러에서 실행되는 KDC(키 배포 센터) 서비스에서 Kerberos 보안 티켓을 가져와야 합니다. 티켓을 얻으려면 클라이언트에 도메인 컨트롤러에 대한 직접 네트워킹 가시선이 필요합니다. 회사 네트워크 내에서 직접 연결하거나, VPN 연결을 사용하거나, KDC 프록시 서버를 설정하여 시야를 얻을 수 있습니다.
세션 내 인증
RemoteApp 또는 데스크톱에 연결되면 세션 내에서 인증하라는 메시지가 표시될 수 있습니다. 이 섹션에서는 이 시나리오에서 사용자 이름 및 암호 이외의 자격 증명을 사용하는 방법을 설명합니다.
세션 내 암호 없는 인증
Azure Virtual Desktop은 Windows 데스크톱 클라이언트를 사용할 때 비즈니스용 Windows Hello 또는 FIDO 키와 같은 보안 디바이스를 사용하여 세션 내 암호 없는 인증을 지원합니다. 세션 호스트 및 로컬 PC에서 다음 운영 체제를 사용하는 경우 암호 없는 인증이 자동으로 사용하도록 설정됩니다.
- Windows 11(KB5018418) 이상에 대한 2022-10 누적 업데이트 설치된 단일 또는 다중 세션을 Windows 11.
- Windows 10(KB5018410) 이상에 대한 2022-10 누적 업데이트 설치된 단일 또는 다중 세션 버전 20H2 이상을 Windows 10.
- Windows Server 2022-10 Microsoft 서버 운영 체제(KB5018421) 이상 누적 업데이트가 설치되어 있습니다.
호스트 풀에서 암호 없는 인증을 사용하지 않도록 설정하려면 RDP 속성을 사용자 지정해야 합니다. Azure Portal 디바이스 리디렉션 탭에서 WebAuthn 리디렉션 속성을 찾거나 PowerShell을 사용하여 redirectwebauthn 속성을 0으로 설정할 수 있습니다.
사용하도록 설정하면 세션의 모든 WebAuthn 요청이 로컬 PC로 리디렉션됩니다. 비즈니스용 Windows Hello 또는 로컬로 연결된 보안 디바이스를 사용하여 인증 프로세스를 완료할 수 있습니다.
비즈니스용 Windows Hello 또는 보안 디바이스를 사용하여 Microsoft Entra 리소스에 액세스하려면 FIDO2 보안 키를 사용자의 인증 방법으로 사용하도록 설정해야 합니다. 이 메서드를 사용하도록 설정하려면 FIDO2 보안 키 사용 방법의 단계를 수행합니다.
세션 내 스마트 카드 인증
세션에서 스마트 카드 사용하려면 세션 호스트에 스마트 카드 드라이버를 설치하고 스마트 카드 리디렉션을 사용하도록 설정했는지 확인합니다. 스마트 카드 리디렉션을 사용할 수 있도록 Windows App 및 원격 데스크톱 앱에 대한 비교 차트를 검토합니다.
다음 단계
- 배포를 안전하게 유지하는 다른 방법에 대해 궁금하세요? 보안 모범 사례를 확인하세요.
- Microsoft Entra 조인된 VM에 연결하는 데 문제가 있나요? Microsoft Entra 조인된 VM에 대한 연결 문제 해결을 살펴봅니다.
- 세션 내 암호 없는 인증에 문제가 있나요? WebAuthn 리디렉션 문제 해결을 참조하세요.
- 회사 네트워크 외부에서 스마트 카드를 사용하시겠습니까? KDC 프록시 서버를 설정하는 방법을 검토합니다.