안녕하세요. 홍사미입니다. :)
이전에 무선 네트워크, SSID 연결을 PEAP에서 EAP-TLS로 변경한 내용을 작성했었습니다.
인증서를 PC에 배포해서 무선 네트워크 연결을 지원하는 구성이었는데요
요새는 업무에 태블릿을 많이 사용한다는 부분을 캐치하지 못했습니다. ex) 갤럭시 탭
업무에 사용하는 갤럭시 탭에도 인증서를 배포해주기 위한 과정을 설명드리고자 합니다.
제가 찾아본 내용으로는 총 2가지가 있습니다.
① NDES(Network Device Enrollment Service) 네트워크 장치 등록 서비스
- NDES 서버를 구성해서 MS ADCS 의 역할 중 하나인 도메인에 가입되지 않은 기기(모바일, 탭 등)에
인증서를 발급받을 수 있도록 하는 프록시 방법입니다.
② BYOCA(Bring Your Own Certificate Authority), Microsoft Cloud PKI
- 기존에 운영중인 사내 CA(ADCS)를 MS Cloud PKI에 연결해서 Intune을 통해 모바일/태블릿에 인증서를 배포하는 방식입니다.
이미 사내에 Intune, ADCS M365 라이선스가 있는 환경이고 NDES 서버를 별도로 구축하면 관리포인트가 늘어나기 때문에
② BYOCA 방식을 선택했습니다.
BYOCA
총 4단계로 액션플랜을 만들어봤습니다.
1단계
Cloud PKI가 사내 CA를 신뢰하게 만드는 작업이 필요
2단계
사내 ADCS를 클라우드에 연결하는 작업
3단계
Intune에서의 작업 (프로필 3개 생성 후 배포)
① 신뢰할 수 있는 인증서 프로필 ②SCEP 인증서 프로필 ③ Wi-Fi 프로필
4단계
테스트 및 검증
아래는 BYOCA 구성 전체에 대한 흐름을 만든 구성도입니다.
참고하시면 바로 느낌! 오실거예요.
다음 시간에는 테스트 완료 후에 연결 성공한 모습을 전달드릴 수 있도록 하겠습니다. :)
감사합니다.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
주의! 라이선스 확인 필수
테스트 중 정상 동작을 하지 않아서 확인결과 현재(26.05) M365 E5라이선스 만으로는 사용이 어렵다고 합니다.
Cloud PKI 사용을 위해서는 두 가지 중 하나의 라이선스가 필수
- MS Intune Suite
- MS Cloud PKI Standalone Add-on
26년 중 순차적으로 E5 라이선스에 Cloud PKI 기능이 add-on 된다는 것은 확인하였으나,
아직 적용은 되지 않은 것으로 확인되었습니다.
'보안 & 네트워크' 카테고리의 다른 글
| 네트워크 보안 강화, WPA3 사용을 위한 조건 (0) | 2026.05.07 |
|---|---|
| [Wi-Fi 인증] EAP-TLS 서버/클라이언트 인증서 구성 및 GPO 배포 (Part 3 - 완결) (0) | 2026.04.30 |
| [Wi-Fi 인증] EAP-TLS 인증서 만들기 - 서버/클라이언트 (Part 2) (0) | 2026.04.29 |
| [Wi-Fi 인증] PEAP-MSCHAPv2에서 EAP-TLS로 전환한 이유 (Part 1) (0) | 2026.04.29 |
| [SSID] 회사 Wi-Fi 안될 때 해결법 (PEAP/비밀번호 변경 후) (0) | 2026.04.27 |