기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SCEP용 커넥터용 Microsoft Intune 구성
Microsoft Intune 모바일 디바이스 관리(MDM) 시스템에서를 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 SCEP for Microsoft Intune용 커넥터를 생성한 후 Microsoft Intune을 구성하는 방법에 대한 지침을 제공합니다.
사전 조건
Microsoft Intune용 SCEP용 커넥터를 생성하기 전에 다음 사전 조건을 완료해야 합니다.
Entra ID를 생성합니다.
Microsoft Intune 테넌트를 생성합니다.
Microsoft Entra ID로 앱 등록을 생성합니다. 앱 등록에 대한 애플리케이션 수준 권한을 관리하는 방법에 대한 자세한 내용은 Microsoft Entra 설명서의 Microsoft Entra ID에서 앱의 요청된 권한 업데이트를
참조하세요. 앱 등록에는 다음 권한이 있어야 합니다. Intune에서 scep_challenge_provider를 설정합니다.
Microsoft Graph의 경우 Application.Read.All 및 User.Read를 설정합니다.
앱 등록 관리자 동의에서 애플리케이션을 부여해야 합니다. 자세한 내용은 Microsoft Entra 설명서의 애플리케이션에 테넌트 전체 관리자 동의 부여
를 참조하세요. 작은 정보
앱 등록을 생성할 때 애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID 또는 기본 도메인을 기록해 둡니다. Microsoft Intune용 SCEP용 커넥터를 생성할 때 이러한 값을 입력합니다. 이러한 값을 가져오는 방법에 대한 자세한 내용은 Microsoft Entra 설명서의 리소스에 액세스할 수 있는 Microsoft Entra 애플리케이션 및 서비스 보안 주체 생성을
참조하세요.
1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여
SCEP for Microsoft Intune용 커넥터를 생성한 후에는 SCEP용 커넥터가 Microsoft Intune과 통신할 수 있도록 Microsoft 앱 등록에 페더레이션 자격 증명을 생성해야 합니다.
Microsoft Intune에서 외부 CA AWS Private CA 로를 구성하려면
Microsoft Entra ID 콘솔에서 앱 등록으로 이동합니다.
SCEP용 커넥터와 함께 사용하도록 생성한 애플리케이션을 선택합니다. 클릭하는 애플리케이션의 애플리케이션(클라이언트) ID는 커넥터를 생성할 때 지정한 ID와 일치해야 합니다.
관리형 드롭다운 메뉴에서 인증서 및 보안 암호를 선택합니다.
페더레이션 자격 증명 탭을 선택합니다.
자격 증명 추가를 선택합니다.
연합 자격 증명 시나리오 드롭다운 메뉴에서 기타 발급자를 선택합니다.
SCEP for Microsoft Intune용 커넥터 세부 정보에서 OpenID 발급자 값을 복사하여 발급자 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 SCEP용 커넥터
목록에서 커넥터를 선택합니다. 또는 GetConnector를 호출하여 URL을 가져온 다음 응답에서 Issuer값을 복사할 수 있습니다.SCEP for Microsoft Intune용 커넥터 세부 정보에서 OpenID 대상 값을 복사하여 대상 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 SCEP용 커넥터
목록에서 커넥터를 선택합니다. 또는 GetConnector를 호출하여 URL을 가져온 다음 응답에서 Subject값을 복사할 수 있습니다.(선택 사항) 이름 필드에 인스턴스의 이름을 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다AWS Private CA.
(선택 사항) 설명 필드에 설명을 입력합니다.
대상 필드에서 편집(선택 사항)을 선택합니다. 커넥터의 OpenID 주제 값을 복사하여 주제 필드에 붙여 넣습니다. AWS 콘솔의 커넥터 세부 정보 페이지에서 OpenID 발급자 값을 볼 수 있습니다. 또는 GetConnector를 호출하여 URL을 가져온 다음 응답에서
Audience값을 복사할 수 있습니다.추가를 선택합니다.
2단계: Microsoft Intune 구성 프로파일 설정
Microsoft Intune AWS Private CA 을 호출할 수 있는 권한을 부여한 후에는 Microsoft Intune을 사용하여 디바이스가 인증서 발급을 위해 SCEP용 커넥터에 연결하도록 지시하는 Microsoft Intune 구성 프로파일을 생성해야 합니다.
신뢰할 수 있는 인증서 구성 프로필을 생성합니다. 신뢰를 구축하려면 SCEP용 커넥터와 함께 사용 중인 체인의 루트 CA 인증서를 Microsoft Intune에 업로드해야 합니다. 신뢰할 수 있는 인증서 구성 프로파일을 생성하는 방법에 대한 자세한 내용은 Microsoft Intune 설명서의 Microsoft Intune용 신뢰할 수 있는 루트 인증서 프로파일을
참조하세요. 새 인증서가 필요할 때 디바이스가 커넥터를 가리키도록 SCEP 인증서 구성 프로파일을 생성합니다. 구성 프로필의 프로필 유형은 SCEP 인증서여야 합니다. 구성 프로필의 루트 인증서의 경우 이전 단계에서 생성한 신뢰할 수 있는 인증서를 사용해야 합니다.
SCEP 서버 URLs의 경우 커넥터 세부 정보에서 퍼블릭 SCEP URL을 복사하여 SCEP 서버 URLs 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 SCEP용 커넥터
목록에서 커넥터를 선택합니다. 또는 ListConnectors를 호출하여 URL을 가져온 다음 응답에서 Endpoint값을 복사할 수 있습니다. Microsoft Intune에서 구성 프로필을 생성하는 방법에 대한 지침은 Microsoft Intune 설명서의 Microsoft Intune에서 SCEP 인증서 프로필 생성 및 할당을 참조하세요. 참고
Mac이 아닌 OS 및 iOS 디바이스의 경우 구성 프로필에서 유효 기간을 설정하지 않으면 SCEP용 커넥터는 유효 기간이 1년인 인증서를 발급합니다. 구성 프로파일에서 확장 키 사용(EKU) 값을 설정하지 않으면 SCEP용 커넥터는 로 설정된 EKU로 인증서를 발급합니다
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2). macOS 또는 iOS 디바이스의 경우 Microsoft Intune은 구성 프로필의ExtendedKeyUsage또는Validity파라미터를 준수하지 않습니다. 이러한 디바이스의 경우 SCEP용 커넥터는 클라이언트 인증을 통해 이러한 디바이스에 1년의 유효 기간이 있는 인증서를 발급합니다.
3단계: SCEP용 커넥터에 대한 연결 확인
SCEP용 커넥터 엔드포인트를 가리키는 Microsoft Intune 구성 프로파일을 생성한 후 등록된 디바이스가 인증서를 요청할 수 있는지 확인합니다. 확인하려면 정책 할당 실패가 없는지 확인합니다. 확인하려면 Intune 포털에서 디바이스 > 디바이스 관리 > 구성으로 이동하여 구성 정책 할당 실패에 나열된 항목이 없는지 확인합니다. 있는 경우 이전 절차의 정보로 설정을 확인합니다. 설정이 올바르고 여전히 장애가 있는 경우 모바일 디바이스에서 사용 가능한 데이터 수집
디바이스 등록에 대한 자세한 내용은 Microsoft Intune 설명서의 디바이스 등록이란 무엇입니까?
