Microsoft Intune

1. Entra ID (Azure) 구성

1.1 Application 등록

• "Azure Portal" → "Microsoft Entra ID" → "앱 등록"으로 이동하여 "새 등록" 선택

  

• 앱 이름과 옵션을 선택 후 "등록" 선택

  

• "Activated" 상태 확인

  

1.2 인증서 및 암호 구성

• 생성한 앱 정보에서 왼쪽에 "관리" → "인증서 및 암호" 선택

  

• "클라이언트 비밀" → "새 클라이언트 암호" 선택

  

• "설명" 및 "만료 시간" 설정 후 "추가" 선택

  

• "클라이언트 비밀 값" 복사 (클라이언트 비밀 값은 생성 단계에서 한번만 제공 됨)

  

1.3 API 권한 설정 (Intune scep_challenge_provider)

• 앱 정보에서 왼쪽에 "API 사용 권한" → "권한 추가" 선택

  

• "Microsoft API" → "Intune" 선택

  

• "애플리케이션 사용 권한" 선택한 후 "scep" 검색 후 "scep_challenge_provider" 권한을 선택 후 "권한 추가" 선택합니다.

  

• 구성한 Intune 권한에 대하여 "관리자 동의 허용" 선택 후 관리자 동의 확인 항목에서 "예" 선택합니다.

  

• "Microsoft Graph"을 선택합니다.

  

• "Application.Read.All" 검색 후 "Application.Read.All" 권한 선택 후 "권한 업데이트" 선택

  

• Microsoft Graph에 구성한 "Application.Read.All" 권한에 대하여 "관리자 동의 허용" 선택 후 관리자 동의 확인 항목에서 "예" 선택합니다.

  

• 최종 아래 2가지 항목 모두 애플리케이션 유형으로 권한 부여가 완료 되어야 함.

  

2. Okta 구성

2.1 Device Trust 구성

• Okta 관리자 콘솔에서 "Security" → "Device Integrations" → "Endpoint Management" 이동 → “Add platform” 선택

  

• "Desktop (Windows and macOS Only)" 플랫폼 선택 후 "Next" 선택

  

• 아래 옵션 항목 선택 및 값 입력 후 "Generate" 선택

  

• "SCEP URL" 복사 후 "Save" 선택

  

2.2 Okta CA 인증서 다운로드

• "Device Integrations"에 "Certificate authority" 항목에서 "For endpoint management"로 지정된 인증서를 다운로드 받습니다.

  

• 다운로드 받은 "cert" 파일을 아래와 같이 .cer 확장자로 변경합니다.

  

• 그러면 아래와 같이 보안 인증서 유형으로 cert 파일이 변경됩니다.

  

3. Intune 구성

3.1 신뢰할 수 있는 인증서(Okta CA) 프로필 구성

• Microsoft Intune 관리 센터에 "디바이스 관리" → "구성" 에서 "새 정책" 선택합니다.

  

• 아래 옵션 선택과 탬플릿을 선택 후 "만들기" 선택합니다.

  

• 기본 항목에서 "이름" 입력 후 "다음" 선택

  

• 구성 설정에서 "인증서 파일"은 Okta에서 다운받은 CA (cert.cer) 보안 인증서로 등록하며, 대상 저장소는 "컴퓨터 인증서 저장소 - 중간 저장소"를 선택하고 "다음"을 선택합니다.

  

• 할당에서는 "신뢰할 수 있는 인증서 프로필"을 할당할 그룹을 선택합니다.

  

• 아래는 "Intune Test" 라는 Azure AD 그룹을 테스트 용도로 할당한 예시입니다.

  

• 그룹 할당을 완료하면 "다음" 선택

  

• 적용 가능성 규칙에서는 선택사항으로 규칙을 추가할 수 있으며, "다음" 선택합니다.

  

• 구성한 설정 내역 검토 후 "만들기" 선택

  

• 최종 신뢰할 수 있는 인증서(Okta CA) 구성 완료 정책 내역

  

3.2 SCEP 프로필 구성

• Microsoft Intune 관리 센터에 "디바이스 관리" → "구성" 에서 "새 정책" 선택합니다.

  

• 아래 옵션 선택과 탬플릿을 선택 후 "만들기" 선택합니다.

  

• 기본 항목에서 "이름" 입력 후 "다음" 선택

  

• 구성 설정에서 아래 옵션을 선택 및 입력합니다.

  • 인증서 종류 : 사용자 선택

  • 주체 이름 형식 : CN={{UserPrincipalName}} managementAttestation {{DeviceId}} 입력

  • 인증서 유효 기간 : 년, 1

  • KSP(키 스토리지 공급자) : 있는 경우 TPM(신뢰할 수 있는 플랫폼 모듈) KSP에 등록, 그렇지 않으면 소프트웨어 KSP에 등록 선택

  • 키 사용 : 디지털 서명 선택

  • 키 길이 : 2048 선택

  • 해시 알고리즘 : SHA-2 선택

  • 루트 인증서는 3.1에서 생성한 "Okta CA" 프로필을 선택합니다.

    

  • 확장 키 사용 : 클라이언트 인증 값으로 설정

  • SCEP 서버 URL : 2. Okta 구성에서 2.1 Device Trust 구성의 SCEP URL을 입력합니다.

    

• 할당에서는 "SCEP 프로필"을 할당할 그룹을 선택합니다. 3.1 에서 할당한 그룹과 동일 조건 이여야 합니다.

  

• 아래는 "Intune Test" 라는 Azure AD 그룹을 테스트 용도로 할당한 예시입니다.

  

• 그룹 할당을 완료하면 "다음" 선택

  

• 적용 가능성 규칙에서는 선택사항으로 규칙을 추가할 수 있으며, "다음" 선택합니다.

  

• 구성한 설정 내역 검토 후 "만들기" 선택

  

• 최종 SCEP 인증서 구성 완료 정책 내역

  

4. 인증서 배포 확인

4.1 Microsoft Intune 관리 센터

• Microsoft Intune 관리 센터에 "모든 디바이스"에서 인증서 배포한 디바이스를 선택합니다.

  

• "모니터" → "디바이스 구성" 에서 "Okta CA"와 "Okta SCEP"가 구성이 성공 상태여야 합니다.

  

4.2 사용자 디바이스에서 확인

• 시작 > 실행 > "certmgr.msc" 를 통해 사용자 인증서 저장소로 이동합니다.

  1. 클라이언트 인증서 설치 확인 (개인용 > 인증서)

     

  2. 인증 기관 확인 (중간 인증 기관 > 인증서) - Root 인증Okta Verify에 정상적으로 계정이 등록되어 있어야 Okta의 Managed 디바이스가 적용됩니다.

     

• SCEP 인증서 설치 확인

  • PowerShell 을 통해 결과 확인.

  • 명령어 : Get-WinEvent -LogName "Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin" | Where-Object { $_.Message -like "SCEP" } | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -AutoSize

  

5. Intune을 통한 Okta Verify 배포 / 설치

5.1 Okta Verify

• 관리 콘솔에서 받은 Okta Verify 설치 파일을 아래와 같이 별도 폴더로 이동합니다.

  

5.2 Microsoft-Win32-Content-Prep-Tool

• Microsoft-Win32-Content-Prep-Tool 에서 아래와 같이 Zip 파일로 다운로드 받습니다.

  

• 다운로드 받은 zip 파일의 압축을 해제한 이후, "IntuneWinAppUtil" 파일을 5.1 에서 작업한 Okta Verify 설치 파일 폴더로 복사합니다.

  

• 시작 메뉴에서 "cmd"를 검색하여 "명령 프롬프트"를 열고, Okta Verify 설치 파일 폴더로 이동합니다.

  

• "IntuneWinAppUtil.exe" 입력하여 실행하면 아래의 옵션을 추가로 입력하여야 합니다.

  • Please specify the source folder (설치 파일이 있는 폴더) : C:\OktaVerify_Intune

  • Please specify the setup file (설치 파일 이름) : OktaVerifySetup-X.X.X.X.exe (실제 파일 이름 입력 후 Enter)

  • Please specify the output folder (생성될 .intunewin 파일이 저장될 폴더) : C:\OktaVerify_Intune (Enter 또는 다른 폴더 지정)

  • Do you want to specify optional files and folders for the package? [y/N] (선택 사항) : N (Enter)

• 정상적으로 완료 되면 아래와 같이 폴더에 ".intunewin" 파일이 생성됩니다.

  

5.3 Microsoft Intune에서 Okta Verify 배포/설치 앱 생성

• Microsoft Intune 관리센터에 모든 앱 항목에서 "만들기" 선택 후, 기타 앱 유형 에서 Windows 앱(Win32)을 선택합니다 .

  

• 앱 정보 항목에서 "앱 패키지 파일 선택"을 클릭하고, 위에서 생성한 ".intunewin" 파일을 선택한 후 확인을 선택합니다.

  

• "게시자" 정보 입력 후 "다음" 선택합니다.

  

• 프로그램 항목에서 아래 옵션을 입력 후 "다음" 선택합니다.

  • 설치 명령 : OktaVerifySetup-xxxx-yyyyyyy.exe /q OrgUrl=https://{yourOktaDomain}

  • 제거 명령 : OktaVerifySetup-xxxx-yyyyyyy.exe /uninstall /q

    

• 요구 사항 항목에서는 아래 옵션을 선택 후 "다음" 선택합니다.

  • 운영 체제 아키텍처 확인 : 앱을 설치하는 데 필요한 아키텍처를 선택하세요.

  • 최소 운영체제 : Windows 10 1709 선택

    

• 검색 규칙 항목에서는 아래 옵션을 선택 후 "다음" 선택합니다.

  • 경로 : C:\Program Files\Okta\Okta Verify

  • 파일 또는 폴더 : OktaVerify.exe

    

    

• 종속성과 대체 항목에서는 구성사항이 없어 "다음" 선택합니다.

  

• 할당에서는 사용자 / 디바이스 선택 후, "검토 + 만들기" 항목에서는 최종 설정 내역 확인 후 "만들기" 선택합니다.

  

• 최종 Okta Verify 배포/설치 구성 완료 내역

  

6. Okta Managed

6.1 Managed 확인

• Okta 관리 콘솔에서 "Directory" → "Devices"에 "Managed" 필터를 선택하면 현재 구성된 Managed 디바이스를 확인할 수 있습니다.

  

• System Log

  • Device Managed 구성 로그

    • Event : Add device to user

      • 사용자의 디바이스가 Okta에 등록되고 추가 될 때, Managed 디바이스로 적용 되진 않습니다.

        

    • Event : Bind client certificate to device

      • Okta Verify에 사용자 계정 등록을 위한 인증이 완료되어 정상적으로 계정 등록이 완료되면, SCEP 인증서(successful pki.cert.bind)를 통해 디바이스 Managed가 적용됩니다.

        

        

6.2 Managed 정책 구성

• Okta 관리자 콘솔에서 "Security" → "Authentication policies" → "Add policy" 선택합니다.

• "Name" 입력 후 "Save" 선택 합니다.

• "Add rule"을 선택합니다.

• 아래 옵션에 대해 입력 및 선택 합니다.

  • Rule name : Rule 이름을 입력합니다.

  • IF : 조건 설정

    • 그룹(User's group membership includes) or 사용자(User is)에 대한 조건 설정

    • Device state is : Registered (Okta Verify 가 설치되어 있고, 계정이 등록 된 사용자)

      • Device management is : Managed (MDM/MEM에 관리되는 신뢰 디바이스)

  • THEN : 인증 수단 및 인증 기반 설정

    • Access is : Allowed after successful authentication (위 조건에 대한 허용/차단 적용)

    • User must authenticate with : Any 2 factor types (MFA 적용)

    • Possession factor constraints are : Phishing resistant / Require user interaction(Any interaction) (인증 수단의 보안 강화 요건)

    • Authentication methods : Allow specific authentication methods (Okta Verify - FastPass : FastPass는소유+생체 2가지 인증 기반의 인증 수단)

  • When to prompt for authentication : 인증 세션에 대한 설정

    • Prompt for authentication : Every time user signs in to resource (Okta 인증 세션을 기록/보관하지 않고, 매번 Application 접속시 사용자에게 인증을 요구합니다.)

• "Catch-all Rule"에 대해 "Actions" → "Edit" 선택합니다.

  

• "Access is" 항목에 대해 "Denied" 선택 후 "Save" 선택합니다.

  

• "Applications" 항목으로 이동합니다.

  

• "Add app" 선택합니다.

  • <주의사항> Application은 "Authentication Policies"에 대해 단일 구성됩니다. (여러 정책에 Application 할당 불가) 그래서, 기존 Application이 적용된 "Authentication Policies"의 Rule을 검토하여 변경되는 "Authentication Policies"에 구성되어도 이슈가 없는지 충분한 검토 및 테스트 후 "Authentication Policies"에 앱 할당을 진행하시기 바랍니다.

    

• 할당할 Application 검색 후 "Add" 선택하여 정책에 할당합니다.

최종 사용자 경험 (동영상 - Mp4)

• 사용자 Okta 대시보드 연결 (Okta Verify Push + Password) > AWS 콘솔 (Okta Verify FastPass)

• 사용자 Okta 대시보드 연결 (Okta Verify FastPass + Password) > AWS 콘솔 (Okta Verify FastPass)

!! Okta에서 Managed 구성이 안될 때 (Not managed) !!

>> 위에 항목을 확인하였다면 아래 가이드를 따라 Okta Device Managed 재구성을 진행합니다.

• Okta 관리자 콘솔에서 Not managed 디바이스 삭제

  • "Directory" → "Device"에서 "Not managed 디바이스"를 검색 후 "X" 버튼을 눌러 "Deactivated"로 변경합니다.

    

    

  • "Deactivated" 된 디바이스를 "Delete" 합니다.

    

    

• 디바이스에 인증서 재설치

  • 시작 > 실행 > "certmgr.msc" 를 통해 사용자 인증서 저장소로 이동합니다.

  • 개인용 > 인증서 > 발급자 "Organization Intermediate Authority"에 인증서를 삭제합니다.

    

  • 시작 > "설정" 검색 > "설정" 앱 실행

    

  • 계정 > "회사 또는 학교 액세스"로 이동합니다.

    

  • MDM 관리 정보로 이동합니다.

    

  • "장치 동기화 상태" 항목에서 "동기화" 클릭합니다.

    

  • "동기화" 완료되면, 발급자 "Organization Intermediate Authority" 인증서가 다시 생성되게 됩니다. (Intune에서 인증서 배포는 최소 5분 ~ 최대 1시간이 소요 될 수 있다고 합니다.)

    

• Okta Verify 계정 재등록

  • 디바이스에서 Okta Verify 앱 실행

    

  • Okta Verify에 등록된 계정을 선택하면, 계정이 무효화되어 재등록을 선택합니다.

    

  • 인증이 완료 후, Okta Verify에 계정이 정상 등록되어야 합니다.

    

• Okta FastPass를 통한 Okta 인증 진행 (가장 중요!!!)

  • Okta Verify에 계정 등록되어도 Okta Device 등록 상태는 "Not managed" 입니다. 꼭 Okta FastPass를 통한 인증을 한번은 진행하여야 Okta Device 상태가 Managed로 변경됩니다.