다음을 통해 공유

Microsoft Entra ID의 인증 방법 - macOS용 플랫폼 자격 증명

macOS용 플랫폼 자격 증명은 Microsoft Enterprise SSOe(Single Sign-On 확장)를 사용하여 활성화된 macOS의 새로운 기능입니다. 보안 엔클레이브로 지원되는 하드웨어에 바인딩된 암호화 키를 프로비전하여 Microsoft Entra ID를 사용한 인증을 통해 앱 간 SSO에 사용합니다. 사용자의 로컬 계정 암호는 영향을 받지 않으며 Mac에 로그온하는 데 필요합니다.

플랫폼 Single Sign-On을 사용하여 사용자가 자신의 ID 공급자에 macOS 계정을 등록하라는 팝업 창의 예를 보여 주는 스크린샷.

macOS용 플랫폼 자격 증명을 사용하면 Touch ID를 구성하여 디바이스 잠금을 해제하고 비즈니스용 Windows Hello 기술을 기반으로 피싱 방지 자격 증명을 사용할 수 있습니다. 이렇게 하면 보안 키의 필요성을 제거하여 고객 조직의 비용을 절감하고 Secure Enclave와의 통합을 통해 제로 트러스트 목표를 발전시킬 수 있습니다.

macOS용 플랫폼 자격 증명은 브라우저 다시 인증 시나리오를 포함하여 WebAuthn 챌린지에서 사용하기 위한 피싱 방지 자격 증명으로도 사용할 수 있습니다. FIDO 정책에서 키 제한 정책을 사용하는 경우 macOS 플랫폼 자격 증명에 대한 AAGUID를 허용된 AAGUID 목록에 추가해야 합니다 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

macOS 플랫폼 SSO를 사용한 사용자 로그인과 관련된 단계를 간략하게 설명하는 다이어그램.

  1. 사용자는 UserSecureEnclaveKey에 대한 액세스를 제공하기 위해 키 모음의 잠금을 해제하는 지문 또는 암호 동작을 사용하여 macOS를 잠금 해제합니다.
  2. macOS는 Microsoft Entra ID에서 nonce(한 번만 사용할 수 있는 임의의 임의 숫자)를 요청합니다.
  3. Microsoft Entra ID는 5분 동안 유효한 임시 수치를 반환합니다.
  4. OS(운영 체제)는 Secure Enclave에 있는 UserSecureEnclaveKey로 서명된 포함된 어설션을 사용하여 Microsoft Entra ID에 로그인 요청을 보냅니다.
  5. Microsoft Entra ID는 UserSecureEnclave 키의 사용자가 안전하게 등록된 공개 키를 사용하여 서명된 어설션의 유효성을 검사합니다. Microsoft Entra ID는 서명 및 nonce의 유효성을 검사합니다. 어설션의 유효성이 검사되면 Microsoft Entra ID는 등록 중에 교환되고 응답을 OS로 다시 보내는 UserDeviceEncryptionKey의 공개 키로 암호화된 PRT(기본 새로 고침 토큰)를 만듭니다.
  6. OS는 응답의 암호를 해독 및 유효성을 검사하고, SSO 토큰을 검색하고, SSO를 제공하기 위해 SSO 확장과 저장 및 공유합니다. 사용자는 SSO를 사용하여 macOS, 클라우드 및 온-프레미스 애플리케이션에 액세스할 수 있습니다.

macOS용 플랫폼 자격 증명을 구성하고 배포하는 방법에 대한 자세한 내용은 macOS 플랫폼 SSO를 참조하세요.

SmartCard를 사용하는 macOS 플랫폼 싱글 사인온

macOS용 PSSO(플랫폼 Single Sign-On)를 사용하면 사용자는 SmartCard 인증 방법을 사용하여 암호 없이 로그인할 수 있습니다. 사용자는 외부 스마트 카드 또는 스마트 카드 호환 하드웨어 기반 토큰(예: Yubikey)을 사용하여 디바이스에 로그인합니다. 디바이스가 잠금 해제되면 스마트 카드는 MICROSOFT Entra ID와 함께 사용하여 CBA(인증서 기반 인증)를 사용하여 인증에 Microsoft Entra ID를 사용하는 앱에서 SSO를 부여합니다. 이 기능이 작동하려면 사용자에 대해 CBA를 구성하고 사용하도록 설정해야 합니다. CBA를 구성하는 방법에 대한 자세한 내용은 Microsoft Entra 인증서 기반 인증을 구성하는 방법을 참조하세요.

이를 사용하도록 설정하려면 관리자가 Microsoft Intune 또는 다른 지원되는 MDM(모바일 장치 관리) 솔루션을 사용하여 PSSO를 구성해야 합니다.

macOS 플랫폼 SSO를 사용한 사용자 로그인과 관련된 단계를 간략하게 설명하는 다이어그램.

  1. 사용자는 스마트 카드 핀을 사용하여 macOS의 잠금을 해제합니다. 이 핀은 스마트 카드와 키 모음의 잠금을 해제하여 Secure Enclave에 있는 디바이스 등록 키에 대한 액세스를 제공합니다.
  2. macOS는 Microsoft Entra ID에서 nonce(한 번만 사용할 수 있는 임의의 숫자)를 요청합니다.
  3. Microsoft Entra ID는 5분 동안 유효한 임시 수치를 반환합니다.
  4. OS(운영 체제)는 스마트 카드에서 사용자의 Microsoft Entra 인증서로 서명된 포함된 어설션을 사용하여 Microsoft Entra ID로 로그인 요청을 보냅니다.
  5. Microsoft Entra ID는 서명, 어설션, 그리고 nonce의 유효성을 검사합니다. 어설션의 유효성이 검사되면 Microsoft Entra ID는 등록 중에 교환되고 응답을 OS로 다시 보내는 UserDeviceEncryptionKey의 공개 키로 암호화된 PRT(기본 새로 고침 토큰)를 만듭니다.
  6. OS는 응답의 암호를 해독 및 유효성을 검사하고, SSO 토큰을 검색하고, SSO를 제공하기 위해 SSO 확장과 저장 및 공유합니다. 사용자는 SSO를 사용하여 macOS, 클라우드 및 온-프레미스 애플리케이션에 액세스할 수 있습니다.

관련 콘텐츠

Microsoft Entra ID에서 사용할 수 있는 인증 및 확인 방법은 무엇인가요?

  • Last updated on