Windows 로그인 화면에서 Microsoft Entra 셀프 서비스 암호 재설정 사용

Microsoft Entra ID에서 SSPR(셀프 서비스 암호 재설정)을 사용하면 사용자는 관리자 또는 기술 지원팀의 개입 없이 암호를 변경하거나 재설정할 수 있습니다. 일반적으로 사용자는 다른 디바이스에서 웹 브라우저를 열어 SSPR 포털액세스합니다. Windows 7, 8, 8.1, 10 및 11을 실행하는 컴퓨터에서 환경을 개선하기 위해 사용자가 Windows 로그인 화면에서 암호를 재설정하도록 설정할 수 있습니다.

이 문서에서는 관리자가 엔터프라이즈의 Windows 디바이스에 SSPR을 사용하도록 설정하는 방법을 보여 줍니다.

IT 팀이 Windows 디바이스에서 SSPR을 사용하는 기능을 사용하도록 설정하지 않았거나 로그인하는 동안 문제가 있는 경우 기술 지원팀에 문의하여 추가 지원을 받으세요.

일반적인 제한 사항

Windows 로그인 화면에서 SSPR을 사용하는 경우 다음과 같은 제한 사항이 적용됩니다.

• 암호 재설정은 현재 원격 데스크톱 또는 Hyper-V 향상된 세션에서 지원되지 않습니다.

• 일부 타사 자격 증명 공급자는 이 기능에 문제를 일으키는 것으로 알려져 있습니다.

• EnableLUA 레지스트리 키를 수정하여 사용자 계정 컨트롤을 비활성화하면 문제가 발생하는 것으로 알려져 있습니다.

• 이 기능은 802.1x 네트워크 인증이 배포되고 사용자 로그온 직전에 수행 옵션이 있는 네트워크에서는 작동하지 않습니다. 802.1x 네트워크 인증이 배포된 네트워크의 경우 컴퓨터 인증을 사용하여 이 기능을 사용하도록 설정하는 것이 좋습니다.

• Microsoft Entra 하이브리드 조인 머신은 새 암호를 사용하고 캐시된 자격 증명을 업데이트하기 위해 도메인 컨트롤러에 대한 네트워크 연결 라인이 있어야 합니다. 장치는 조직의 내부 네트워크 또는 온-프레미스 도메인 컨트롤러에 대한 네트워크 액세스 권한이 있는 가상 사설망에 있어야 합니다. SSPR이 유일한 요구 사항인 경우 도메인 컨트롤러에 대한 네트워크 연결선이 필요하지 않습니다.

• 이미지를 사용하는 경우 실행하기 sysprep 전에 단계를 수행하기 CopyProfile 전에 기본 제공 관리자에 대해 웹 캐시가 지워졌는지 확인합니다. 자세한 내용은 사용자 지정 기본 사용자 프로필을 사용할 때 성능 저하를 참조하세요.

• 다음 설정은 Windows 10 장치에서 암호를 사용하고 재설정하는 기능을 방해하는 것으로 알려져 있습니다.

  • 잠금 화면 알림이 꺼져 있으면 암호 재설정 작동하지 않습니다.
  • HideFastUserSwitching 가 사용 또는 1로 설정되어 있는지 확인합니다.
  • DontDisplayLastUserName 가 사용 또는 1로 설정되어 있는지 확인합니다.
  • NoLockScreen 가 사용 또는 1로 설정되어 있는지 확인합니다.
  • BlockNonAdminUserInstall 가 사용 또는 1로 설정되어 있는지 확인합니다.
  • EnableLostMode 장치에 설정되어 있는지 확인합니다.
  • Explorer.exe 는 사용자 지정 셸로 대체됩니다.
  • 대화형 로그온: 스마트 카드 필요 를 사용 또는 1로 설정합니다.

• 다음 세 가지 설정을 조합하면 이 기능이 작동하지 않을 수 있습니다.

  • 대화형 로그온: CTRL+ALT+DEL 이 사용 안 함 으로 설정될 필요가 없습니다(Windows 10 버전 1710 이하에만 해당).
  • DisableLockScreenAppNotifications 가 사용 또는 1로 설정되어 있는지 확인합니다.
  • Windows 버전은 Home 버전입니다.

Windows 11 및 Windows 10 암호 재설정

로그인 화면에서 SSPR에 대한 Windows 11 또는 Windows 10 디바이스를 구성하려면 다음 필수 구성 요소 및 구성 단계를 검토합니다.

Windows 11 및 Windows 10 필수 구성 요소

• Microsoft Entra 관리 센터에최소한 인증 정책 관리자로 로그인하고 Microsoft Entra SSPR을 사용하도록 설정합니다.
• 사용자는 Windows 로그인 화면에서 이 기능을 사용하기 전에 SSPR에 등록해야 합니다.
  • 모든 사용자는 암호를 재설정하기 전에 인증 연락처 정보를 제공해야 하며, 이는 Windows 로그인 화면에서 SSPR을 사용하는 데 고유하지 않습니다.
• 네트워크 프록시 요구 사항:
  • 포트 443을 passwordreset.microsoftonline.com 및 ajax.aspnetcdn.com.
  • Windows 10 디바이스에는 SSPR을 수행하는 데 사용되는 임시 defaultuser1 계정에 대한 컴퓨터 수준 프록시 구성 또는 범위가 지정된 프록시 구성이 필요합니다. 자세한 내용은 문제 해결 섹션을 참조하세요.
• Windows 10 버전 2018년 4월 업데이트(v1803) 이상을 실행하고 디바이스는 다음 중 하나여야 합니다.
  • Microsoft Entra가 합류했습니다.
  • Microsoft Entra 하이브리드가 합류했습니다.

Intune을 사용하여 Windows 11 및 Windows 10 사용

Intune을 사용하여 Windows 로그인 화면에서 SSPR을 사용하도록 구성 변경을 배포하는 것이 가장 유연한 방법입니다. Intune을 사용하면 정의한 특정 컴퓨터 그룹에 구성 변경 내용을 배포할 수 있습니다. 이 방법을 사용하려면 장치의 Intune 등록이 필요합니다.

Intune에서 장치 구성 정책 만들기Create a device configuration policy in Intune

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스 구성>프로필로 이동한 다음, + 프로필 만들기를 선택하여 새 디바이스 구성 프로필을 만듭니다.

   • 플랫폼의 경우 Windows 10 이상을 선택합니다.
   • 프로필 유형(Profile type)에서 템플릿(Templates)을 선택한 다음 사용자 지정 템플릿을 선택합니다.

3. 만들기를 선택한 다음 프로필에 의미 있는 이름(예: Windows 11 로그인 화면 SSPR)을 제공합니다.

   필요에 따라 프로필에 대한 의미 있는 설명을 제공하고 다음을 선택합니다.

4. 구성 설정에서 추가 를 선택하고 암호 재설정 링크를 활성화하기 위해 다음 OMA-URI 설정을 입력하세요.

   • 설정이 수행하는 작업을 설명하는 의미 있는 이름(예: SSPR 링크 추가)을 입력합니다.
   • 필요에 따라 설정에 대한 의미 있는 설명을 입력합니다.
   • OMA-URI를 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset로 설정합니다.
   • 데이터 형식을정수로 설정합니다.
   • 값을1로 설정합니다.

   추가를 선택하고 다음을 선택합니다.

5. 특정 사용자, 장치 또는 그룹에 정책을 할당할 수 있습니다. 환경에 원하는 프로필을 할당합니다. 모범 사례는 먼저 디바이스의 테스트 그룹에 할당한 다음, 다음을 선택하는 것입니다.

   자세한 내용은 Microsoft Intune의 사용자 및 디바이스 프로필 할당을 참조하세요.

6. 사용자 환경에 대해 원하는 적용 가능성 규칙(예: OS 버전이 Windows 10 Enterprise인 경우 프로필 할당)을 구성한 다음, 다음을 선택합니다.

7. 프로필을 검토한 다음 만들기를 선택합니다.

레지스트리를 사용하여 Windows 11 및 Windows 10 사용

레지스트리 키를 사용하여 Windows 로그인 화면에서 SSPR을 사용하도록 설정하려면 다음 단계를 수행합니다.

1. 관리 자격 증명을 사용하여 Windows PC에 로그인합니다.

2. Windows + R을 선택하여 실행 대화 상자를 연 다음 regedit를 관리자 권한으로 실행합니다.

3. 다음 레지스트리 키를 설정합니다.

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Windows 11 및 Windows 10 암호 재설정 문제 해결

Windows 로그인 화면에서 SSPR을 사용하는 데 문제가 있는 경우 Microsoft Entra 감사 로그에는 다음 예제 출력과 같이 IP 주소 및 ClientType암호 재설정이 발생한 에 대한 정보가 포함됩니다.

사용자가 Windows 11 또는 10 디바이스의 로그인 화면에서 암호를 재설정하면 defaultuser1이라는 낮은 권한의 임시 계정이 만들어집니다. 이 계정은 암호 재설정 프로세스를 안전하게 유지하는 데 사용됩니다.

계정 자체에는 임의로 생성된 암호가 있으며, 이 암호는 조직의 암호 정책에 대해 유효성이 검사됩니다. 암호는 장치 로그인에 표시되지 않으며 사용자가 암호를 재설정한 후 자동으로 제거됩니다. 프로필이 여러 defaultuser 개 있을 수 있지만 무시해도 됩니다.

Windows 암호 재설정에 대한 프록시 구성

암호 재설정 중에 SSPR은 https://passwordreset.microsoftonline.com/n/passwordreset연결할 임시 로컬 사용자 계정을 만듭니다. 프록시가 사용자 인증을 위해 구성되면 "문제가 발생했습니다. 나중에 다시 시도하세요." 이 오류는 로컬 사용자 계정에 인증된 프록시를 사용할 수 있는 권한이 없기 때문에 발생합니다.

이 경우 다음 해결 방법 중 하나를 사용합니다.

• 컴퓨터에 로그인한 사용자 유형에 종속되지 않는 컴퓨터 전체 프록시 설정을 구성합니다. 예를 들어, 워크스테이션에 대해 그룹 정책 컴퓨터별(사용자별이 아닌) 프록시 설정 정책을 활성화할 수 있습니다.

• 기본 계정에 대한 레지스트리 템플릿을 수정하는 경우 SSPR에 사용자별 프록시 구성을 사용할 수도 있습니다. 명령은 다음과 같습니다.

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• "Something went wrong" 오류는 URL https://passwordreset.microsoftonline.com/n/passwordreset에 대한 연결을 방해하는 경우에도 발생할 수 있습니다. 예를 들어, 이 오류는 바이러스 백신 소프트웨어가 URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com, 및 ocsp.digicert.com에 대한 제외 없이 워크스테이션에서 실행될 때 발생할 수 있습니다. 문제가 해결되었는지 여부를 테스트하려면 이 소프트웨어를 일시적으로 사용하지 않도록 설정합니다.

Windows 7, 8 및 8.1 암호 재설정

Windows 로그인 화면에서 SSPR에 대한 Windows 7, 8 또는 8.1 디바이스를 구성하려면 다음 필수 구성 요소 및 구성 단계를 검토합니다.

Windows 7, 8 및 8.1 필수 구성 요소

• Microsoft Entra 관리 센터에최소한 인증 정책 관리자로 로그인하고 Microsoft Entra SSPR을 사용하도록 설정합니다.
• 사용자는 이 기능을 사용하기 전에 Windows 로그인 화면에서 SSPR에 등록해야 합니다.
  • 모든 사용자는 암호를 재설정하기 전에 인증 연락처 정보를 제공해야 하며, 이는 Windows 로그인 화면에서 SSPR을 사용하는 데 고유하지 않습니다.
• 네트워크 프록시 요구 사항:
  • 포트 443을 passwordreset.microsoftonline.com.
• Windows 7 또는 Windows 8.1 운영 체제에 패치가 적용되었습니다.
• TLS 1.2 는 TLS(전송 계층 보안) 레지스트리 설정의 지침에 따라 사용하도록 설정되었습니다.
• 컴퓨터에서 둘 이상의 타사 자격 증명 공급자를 사용하도록 설정하면 Windows 로그인 화면에서 둘 이상의 사용자 프로필이 표시됩니다.

SSPR 구성 요소 설치

Windows 7, 8 및 8.1의 경우 Windows 로그인 화면에서 SSPR을 사용하도록 설정하려면 컴퓨터에 작은 구성 요소를 설치해야 합니다. 이 SSPR 구성 요소를 설치하려면 다음 단계를 수행합니다.

1. 활성화하려는 Windows 버전에 적합한 설치 프로그램을 다운로드합니다.

   소프트웨어 설치 프로그램은 Microsoft 다운로드 센터에서 사용할 수 있습니다.

2. 설치하려는 컴퓨터에 로그인하고 설치 프로그램을 실행합니다.

3. 설치 후 재부팅을 수행하는 것이 좋습니다.

4. 재부팅 후 Windows 로그인 화면에서 사용자를 선택하고 암호를 잊으셨습니까? 를 선택하여 암호 재설정 워크플로를 시작합니다.

5. 단계에 따라 비밀번호를 재설정합니다.

   

무인 설치

프롬프트 없이 SSPR 구성 요소를 설치하거나 제거하려면 다음 명령을 사용합니다.

• 자동 설치: 를 사용합니다 msiexec /i SsprWindowsLogon.PROD.msi /qn.
• 자동 제거: 를 사용합니다 msiexec /x SsprWindowsLogon.PROD.msi /qn.

Windows 7, 8 및 8.1 암호 재설정 문제 해결

Windows 로그인 화면에서 SSPR을 사용할 때 문제가 있는 경우 이벤트가 컴퓨터 및 Microsoft Entra ID에 기록됩니다. Microsoft Entra 이벤트에는 암호 재설정이 발생한 IP 주소 및 ClientType 매개 변수에 대한 정보가 포함됩니다.

더 많은 로깅이 필요한 경우 컴퓨터에서 레지스트리 키를 변경하여 자세한 정보 로깅을 사용하도록 설정합니다. 문제 해결 목적으로만 자세한 정보 로깅을 사용하도록 설정하려면 다음 레지스트리 키 값을 사용합니다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• 자세한 정보 로깅을 사용하도록 설정하려면 만들고 REG_DWORD: "EnableLogging"1로 설정합니다.
• 자세한 정보 로깅을 비활성화하려면 REG_DWORD: "EnableLogging"으로 변경합니다.
• 소스 AADPasswordResetCredentialProvider아래의 응용 프로그램 이벤트 로그에서 디버그 로깅을 검토합니다.

사용자에게 표시되는 내용

Windows 디바이스에 대해 SSPR을 구성하면 사용자에게 어떤 변화가 있나요? 로그인 화면에서 암호를 재설정할 수 있는지 어떻게 알 수 있나요? 다음 예제 스크린샷은 사용자가 SSPR을 사용하여 암호를 재설정할 수 있는 다른 옵션을 보여 줍니다.

사용자가 로그인하려고 하면 로그인 화면에서 SSPR 환경을 여는 암호 재설정 또는 암호 분실 링크가 표시됩니다. 이제 사용자는 웹 브라우저에 액세스하기 위해 다른 장치를 사용할 필요 없이 암호를 재설정할 수 있습니다.

이 기능을 사용하는 방법에 대한 자세한 내용은 회사 또는 학교 암호 재설정을 참조하세요.

관련 콘텐츠

사용자 등록 환경을 간소화하기 위해 SSPR에 대한 사용자 인증 연락처 정보를 미리 채울 수 있습니다.