클라우드 PC 사용자의 ID는 해당 사용자와 클라우드 PC를 관리하는 액세스 관리 서비스를 정의합니다. 이 ID는 다음을 정의합니다.
- 사용자가 액세스할 수 있는 클라우드 PC의 유형입니다.
- 사용자가 액세스할 수 있는 비클라우드 PC 리소스 유형입니다.
또한 디바이스는 조인 유형에 따라 결정된 ID를 Microsoft Entra ID 수 있습니다. 장치의 경우 조인 유형은 다음을 정의합니다.
- 장치가 도메인 컨트롤러에 대한 가시선을 필요로 하는 경우.
- 장치 관리 방법.
- 사용자가 장치에 인증하는 방법입니다.
ID 유형
네 가지 ID 유형이 있습니다.
- 하이브리드 ID: 온-프레미스 Active Directory Domain Services 만든 다음 Microsoft Entra ID 동기화되는 사용자 또는 디바이스입니다.
- 클라우드 전용 ID: 생성되고 Microsoft Entra ID만 존재하는 사용자 또는 디바이스입니다.
- 페더레이션 ID: Microsoft Entra ID 또는 Active Directory Domain Services 아닌 타사 ID 공급자에서 생성된 다음 Microsoft Entra ID 페더레이션된 사용자입니다.
- 외부 ID: Microsoft Entra 테넌트 외부에서 만들어지고 관리되지만 organization 리소스에 액세스하기 위해 Microsoft Entra 테넌트로 초대되는 사용자입니다.
참고
- Windows 365 Single Sign-On이 사용하도록 설정된 경우 페더레이션 ID를 지원합니다.
- Windows 365 Single Sign-On이 사용하도록 설정된 경우 외부 ID를 지원합니다. 모든 요구 사항 및 제한 사항은 외부 ID 를 참조하세요.
외부 ID
외부 ID 지원을 사용하면 Entra ID 테넌트로 사용자를 초대하고 클라우드 PC를 제공할 수 있습니다. 외부 ID에 클라우드 PC를 제공할 때 몇 가지 요구 사항 및 제한 사항이 있습니다.
- 요구 사항
- 클라우드 PC 운영 체제: 클라우드 PC는 Windows 11(KB5065789) 이상에 대한 2025-09 누적 업데이트 Windows 11 Enterprise 버전 24H2 이상을 실행해야 합니다.
- 클라우드 PC 조인 유형: 클라우드 PC는 Entra 조인이어야 합니다.
- Single Sign-On: 클라우드 PC 에 대해 Single Sign-On 을 구성해야 합니다.
- Windows App 클라이언트: 외부 ID는 Windows 또는 웹 브라우저의 Windows App 연결해야 합니다.
- 라이선스: 외부 ID에 클라우드 PC의 소프트웨어 및 서비스에 대한 적절한 자격이 있는지 확인합니다. 자세한 내용은 Windows 365 라이선스 지침을 참조하세요.
- 제한 사항
Intune 디바이스 구성 정책: 외부 ID에 할당된 디바이스 구성 정책은 사용자의 클라우드 PC에 적용되지 않습니다. 대신 디바이스에 디바이스 구성 정책을 할당합니다.
Windows 365 Government 가용성: Windows 365 상업용(엔터프라이즈, 비즈니스 및 최전방) 버전만 지원됩니다. Windows 365 정부는 지원되지 않습니다.
클라우드 간 초대: 클라우드 간 사용자는 지원되지 않습니다. 소셜 ID 공급자, Microsoft Azure 상용 클라우드의 사용자 또는 인력 테넌트에서 등록된 기타 ID 공급자를 Microsoft Entra 사용자에게만 클라우드 PC를 제공할 수 있습니다. 21Vianet에서 운영하는 Microsoft Azure Government 또는 Microsoft Azure 초대한 사용자를 위해 클라우드 PC를 프로비전할 수 없습니다.
토큰 보호: Microsoft Entra 외부 ID에 대한 토큰 보호에 대한 특정 제한 사항이 있습니다. 플랫폼별 토큰 보호에 대한 Windows App 지원에 대해 자세히 알아봅니다.
Kerberos 인증: 외부 ID는 Kerberos 또는 NTLM 프로토콜을 사용하여 온-프레미스 리소스에 인증할 수 없습니다.
Windows App 클라이언트: Windows에서 Windows App 사용하는 경우 클라이언트의 최신 공개 릴리스를 실행하지 않는 경우 Windows App 실행하는 디바이스에서 레지스트리 키를 설정해야 할 수 있습니다. 필요한 레지스트리 키에 대해 자세히 알아봅니다.
Microsoft 365 앱: 다음 경우에만 Microsoft 365 앱의 Windows 데스크톱 버전에 로그인할 수 있습니다.
- 초대된 사용자는 Entra 기반 계정 또는 Microsoft 365 앱 대한 라이선스가 부여된 Microsoft 계정입니다.
- 초대된 사용자는 홈 organization 조건부 액세스 정책에 의해 Microsoft 365 앱에 액세스하는 것이 차단되지 않습니다.
초대된 계정에 관계없이 클라우드 PC의 웹 브라우저에서 적절한 Microsoft 365 앱을 사용하여 공유된 Microsoft 365 파일에 액세스할 수 있습니다.
외부 ID 및 Windows 365 라이선스 지침에 대한 환경 구성에 대한 권장 사항은 Microsoft Entra B2B 모범 사례를 참조하세요.
장치 조인 유형
클라우드 PC를 프로비전할 때 선택할 수 있는 두 가지 조인 유형이 있습니다.
- Microsoft Entra 하이브리드 조인: 이 조인 유형을 선택하면 Windows 365 클라우드 PC를 사용자가 제공하는 Windows Server Active Directory 도메인에 조인합니다. 그런 다음 Microsoft Entra 하이브리드 조인에 대해 organization 올바르게 구성된 경우 디바이스가 Microsoft Entra ID 동기화됩니다.
- Microsoft Entra 조인: 이 조인 유형을 선택하면 Windows 365 클라우드 PC를 Microsoft Entra ID 직접 조인합니다.
다음 표에서는 선택한 조인 유형에 따른 주요 기능 또는 요구 사항을 보여 줍니다.
| 기능 또는 요구 사항 | 하이브리드 조인 Microsoft Entra | Microsoft Entra 조인 |
|---|---|---|
| Azure 구독을 신청합니다. | 필수 | 선택 |
| 도메인 컨트롤러에 대한 가시선이 있는 Azure 가상 네트워크 | 필수 | 선택 |
| 로그인에 지원되는 사용자 ID 유형 | 하이브리드 사용자만 해당 | 하이브리드 사용자, 클라우드 전용 사용자 또는 외부 ID |
| 정책 관리 | GPO(그룹 정책 개체) 또는 Intune MDM | Intune MDM 전용 |
| 비즈니스용 Windows Hello 로그인 지원됨 | 예, 연결 장치는 직접 네트워크 또는 VPN을 통해 도메인 컨트롤러에 대한 가시선이 있어야 합니다. | 예 |
인증
사용자가 클라우드 PC에 액세스하는 경우 다음과 같은 세 가지 인증 단계가 있습니다.
- 클라우드 서비스 인증: 리소스 구독 및 게이트웨이 인증을 포함하는 Windows 365 서비스에 대한 인증은 Microsoft Entra ID.
- 원격 세션 인증: 클라우드 PC에 인증. 권장되는 SSO(Single Sign-On)를 포함하여 원격 세션에 인증하는 방법에는 여러 가지가 있습니다.
- 세션 내 인증: 클라우드 PC 내의 애플리케이션 및 웹 사이트에 인증.
각 인증 단계에 대해 서로 다른 클라이언트에서 사용할 수 있는 자격 증명 목록을 보려면 플랫폼 간에 클라이언트를 비교합니다.
중요
인증이 제대로 작동하려면 사용자의 로컬 컴퓨터가 Azure Virtual Desktop 필수 URL 목록의 원격 데스크톱 클라이언트 섹션에 있는 URL에도 액세스할 수 있어야 합니다.
Windows 365 서비스의 일부로 Single Sign-On(Windows 365 서비스 인증 및 클라우드 PC 인증을 모두 충족할 수 있는 단일 인증 프롬프트로 정의됨)을 제공합니다. 자세한 내용은 Single Sign-On을 참조하세요.
다음 섹션에서는 이러한 인증 단계에 대한 자세한 정보를 제공합니다.
클라우드 서비스 인증
사용자는 다음과 같은 경우 Windows 365 서비스로 인증해야 합니다.
- windows.cloud.microsoft에 액세스합니다.
- 클라우드 PC에 직접 매핑되는 URL로 이동합니다.
- 지원되는 클라이언트를 사용하여 클라우드 PC를 나열합니다.
Windows 365 서비스에 액세스하려면 먼저 Microsoft Entra ID 계정으로 로그인하여 서비스에 인증해야 합니다.
다단계 인증
조건부 액세스 정책 설정의 지침에 따라 클라우드 PC에 Microsoft Entra 다단계 인증을 적용하는 방법을 알아봅니다. 또한 이 문서에서는 사용자에게 자격 증명을 입력하라는 메시지가 표시되는 빈도를 구성하는 방법을 설명합니다.
암호 없는 인증
사용자는 비즈니스용 Windows Hello 및 기타 암호 없는 인증 옵션(예: FIDO 키)과 같은 Microsoft Entra ID 지원되는 모든 인증 유형을 사용하여 서비스에 인증할 수 있습니다.
스마트 카드 인증
스마트 카드 사용하여 Microsoft Entra ID 인증하려면 먼저 Microsoft Entra 인증서 기반 인증을 구성하거나 사용자 인증서 인증을 위해 AD FS를 구성해야 합니다.
타사 ID 공급자
타사 ID 공급자가 Microsoft Entra ID 페더레이션하는 한 사용할 수 있습니다.
원격 세션 인증
Single Sign-On을 아직 사용하도록 설정하지 않았고 사용자가 해당 자격 증명을 로컬로 저장하지 않은 경우 연결을 시작할 때 클라우드 PC에 인증해야 합니다.
SSO(Single Sign-On)
SSO(Single Sign-On)를 사용하면 연결에서 클라우드 PC 자격 증명 프롬프트를 건너뛰고 Microsoft Entra 인증을 통해 사용자를 Windows에 자동으로 로그인할 수 있습니다. Microsoft Entra 인증은 암호 없는 인증 및 타사 ID 공급자에 대한 지원을 비롯한 다른 이점을 제공합니다. 시작하려면 Single Sign-On을 구성하는 단계를 검토합니다.
중요
외부 ID가 클라우드 PC에 로그인하도록 SSO를 구성해야 합니다. SSO가 구성되지 않은 경우 사용자는 원격 세션 인증 프롬프트에서 중단됩니다.
SSO가 없으면 클라이언트는 모든 연결에 대해 사용자에게 클라우드 PC 자격 증명을 묻는 메시지를 표시합니다. 메시지가 표시되지 않도록 하는 유일한 방법은 클라이언트에 자격 증명을 저장하는 것입니다. 다른 사용자가 리소스에 액세스하지 못하도록 보안 디바이스에만 자격 증명을 저장하는 것이 좋습니다.
세션 내 인증
클라우드 PC에 연결한 후 세션 내에서 인증하라는 메시지가 표시될 수 있습니다. 이 섹션에서는 이 시나리오에서 사용자 이름 및 암호 이외의 자격 증명을 사용하는 방법을 설명합니다.
세션 내 암호 없는 인증
Windows 365 Windows 데스크톱 클라이언트를 사용할 때 비즈니스용 Windows Hello 또는 FIDO 키와 같은 보안 디바이스를 사용하여 세션 내 암호 없는 인증을 지원합니다. 클라우드 PC 및 로컬 PC에서 다음 운영 체제를 사용하는 경우 암호 없는 인증이 자동으로 사용하도록 설정됩니다.
- Windows 11 Enterprise Windows 11(KB5018418) 이상에 대한 2022-10 누적 업데이트 설치되어 있습니다.
- Windows 10 Enterprise 2022-10 누적 업데이트 Windows 10(KB5018410) 이상이 설치된 20H2 이상 버전입니다.
사용하도록 설정하면 세션의 모든 WebAuthn 요청이 로컬 PC로 리디렉션됩니다. 비즈니스용 Windows Hello 또는 로컬로 연결된 보안 디바이스를 사용하여 인증 프로세스를 완료할 수 있습니다.
비즈니스용 Windows Hello 또는 보안 디바이스를 사용하여 Microsoft Entra 리소스에 액세스하려면 FIDO2 보안 키를 사용자의 인증 방법으로 사용하도록 설정해야 합니다. 이 메서드를 사용하도록 설정하려면 FIDO2 보안 키 사용 방법의 단계를 수행합니다.
세션 내 스마트 카드 인증
세션에서 스마트 카드 사용하려면 클라우드 PC에 스마트 카드 드라이버를 설치하고 클라우드 PC에 대한 RDP 디바이스 리디렉션 관리의 일환으로 스마트 카드 리디렉션을 허용해야 합니다. 클라이언트 비교 차트를 검토하여 클라이언트가 스마트 카드 리디렉션을 지원하는지 확인합니다.
다음 단계
클라우드 PC 수명 주기에 대해 알아봅니다.