기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# SCEP용 커넥터용 Microsoft Intune 구성
<a name="connector-for-scep-intune"></a>

Microsoft Intune 모바일 디바이스 관리(MDM) 시스템에서를 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 SCEP for Microsoft Intune용 커넥터를 생성한 후 Microsoft Intune을 구성하는 방법에 대한 지침을 제공합니다.

## 사전 조건
<a name="connector-for-scep-intune-prerequisites"></a>

Microsoft Intune용 SCEP용 커넥터를 생성하기 전에 다음 사전 조건을 완료해야 합니다.
+ Entra ID를 생성합니다.
+ Microsoft Intune 테넌트를 생성합니다.
+ Microsoft Entra ID에서 앱 등록을 생성합니다. [앱 등록에 대한 애플리케이션 수준 권한을 관리하는 방법에 대한 자세한 내용은 Microsoft Entra 설명서의 Microsoft Entra ID에서 앱의 요청된 권한 업데이트를](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) 참조하세요. 앱 등록에는 다음 권한이 있어야 합니다.
  + **Intune**에서 **scep\$1challenge\$1provider**를 설정합니다.
  + **Microsoft Graph**의 경우 **Application.Read.All** 및 **User.Read**를 설정합니다.
+ 앱 등록 관리자 동의에서 애플리케이션을 부여해야 합니다. 자세한 내용은 Microsoft Entra 설명서의 [애플리케이션에 테넌트 전체 관리자 동의 부여](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)를 참조하세요.
**작은 정보**  
앱 등록을 생성할 때 **애플리케이션(클라이언트) ID**와 **디렉터리(테넌트) ID 또는 기본 도메인을** 기록해 둡니다. Microsoft Intune용 SCEP용 커넥터를 생성할 때 이러한 값을 입력합니다. 이러한 값을 가져오는 방법에 대한 자세한 내용은 [Microsoft Entra 설명서의 리소스에 액세스할 수 있는 Microsoft Entra 애플리케이션 및 서비스 보안 주체 생성을](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) 참조하세요.

## 1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여
<a name="connector-for-scep-intune-configure-pca"></a>

SCEP for Microsoft Intune용 커넥터를 생성한 후에는 SCEP용 커넥터가 Microsoft Intune과 통신할 수 있도록 Microsoft 앱 등록에 따라 페더레이션 자격 증명을 생성해야 합니다.

**Microsoft Intune에서 외부 CA AWS Private CA 로를 구성하려면**

1. Microsoft Entra ID 콘솔에서 **앱 등록**으로 이동합니다.

1. SCEP용 커넥터와 함께 사용하도록 생성한 애플리케이션을 선택합니다. 클릭하는 애플리케이션의 애플리케이션(클라이언트) ID는 커넥터를 생성할 때 지정한 ID와 일치해야 합니다.

1. **관리**형 드롭다운 메뉴에서 **인증서 및 보안 암호를** 선택합니다.

1. **페더레이션 자격 증명** 탭을 선택합니다.

1. **자격 증명 추가를** 선택합니다.

1. **페더레이션 자격 증명 시나리오** 드롭다운 메뉴에서 **기타 발급자를** 선택합니다.

1. SCEP for Microsoft Intune용 커넥터 세부 정보에서 **OpenID 발급**자 값을 복사하여 **발급자** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Issuer` 값을 복사할 수 있습니다.

1. **유형**에서 **명시적 주체 식별자**를 선택합니다.

1. 커넥터에서 **OpenID 제목** 값을 복사하여 **값** 필드에 붙여 넣습니다. AWS 콘솔의 커넥터 세부 정보 페이지에서 OpenID 발급자 값을 볼 수 있습니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Audience` 값을 복사할 수 있습니다.

1. (선택 사항) 이름 필드에 인스턴스의 **이름을** 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다**AWS Private CA**.

1. (선택 사항) 설명 필드에 **설명을** 입력합니다.

1. SCEP for Microsoft Intune용 커넥터 세부 정보에서 **OpenID 대상** 값을 복사하여 **대상** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Subject` 값을 복사할 수 있습니다.

1. **추가**를 선택합니다.

## 2단계: Microsoft Intune 구성 프로필 설정
<a name="connector-for-scep-intune-config-profile"></a>

Microsoft Intune AWS Private CA 을 호출할 수 있는 권한을 부여한 후에는 Microsoft Intune을 사용하여 디바이스가 인증서 발급을 위해 SCEP용 커넥터에 연결하도록 지시하는 Microsoft Intune 구성 프로파일을 생성해야 합니다.

1. 신뢰할 수 있는 인증서 구성 프로필을 생성합니다. 신뢰를 구축하려면 SCEP용 커넥터와 함께 사용 중인 체인의 루트 CA 인증서를 Microsoft Intune에 업로드해야 합니다. 신뢰할 수 있는 인증서 구성 프로필을 생성하는 방법에 대한 자세한 내용은 [Microsoft Intune 설명서의 Microsoft Intune에 대한 신뢰할 수 있는 루트 인증서 프로필을](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) 참조하세요.

1. 새 인증서가 필요할 때 디바이스가 커넥터를 가리키도록 SCEP 인증서 구성 프로파일을 생성합니다. 구성 프로필의 **프로필 유형은** **SCEP 인증서**여야 합니다. 구성 프로필의 루트 인증서의 경우 이전 단계에서 생성한 신뢰할 수 있는 인증서를 사용해야 합니다.

   **SCEP 서버 URLs** 경우 커넥터 세부 정보에서 **SCEP URL**을 복사하여 **SCEP 서버 URLs** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html)를 호출하여 URL을 가져온 다음 응답에서 `Endpoint` 값을 복사할 수 있습니다. Microsoft Intune에서 구성 프로파일을 생성하는 방법에 대한 지침은 Microsoft Intune 설명서의 Microsoft [Intune에서 SCEP 인증서 프로파일 생성 및 할당](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)을 참조하세요.
**참고**  
비 Mac OS 및 iOS 디바이스의 경우 구성 프로필에서 유효 기간을 설정하지 않으면 SCEP용 커넥터는 유효 기간이 1년인 인증서를 발급합니다. 구성 프로필에서 확장 키 사용(EKU) 값을 설정하지 않으면 SCEP용 커넥터는 로 설정된 EKU로 인증서를 발급합니다`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`. macOS 또는 iOS 디바이스의 경우 Microsoft Intune은 구성 프로필의 `ExtendedKeyUsage` 또는 `Validity` 파라미터를 준수하지 않습니다. 이러한 디바이스의 경우 SCEP용 커넥터는 클라이언트 인증을 통해 이러한 디바이스에 1년 유효 기간이 있는 인증서를 발급합니다.

## 3단계: SCEP용 커넥터에 대한 연결 확인
<a name="connector-for-scep-verify"></a>

SCEP용 커넥터 엔드포인트를 가리키는 Microsoft Intune 구성 프로파일을 생성한 후 등록된 디바이스가 인증서를 요청할 수 있는지 확인합니다. 확인하려면 정책 할당 실패가 없는지 확인합니다. 확인하려면 Intune 포털에서 **디바이스** > **디바이스 관리** > **구성**으로 이동하여 **구성 정책 할당 실패** 아래에 나열된 항목이 없는지 확인합니다. 있는 경우 이전 절차의 정보로 설정을 확인합니다. 설정이 올바르고 여전히 장애가 있는 경우 [모바일 디바이스에서 사용 가능한 데이터 수집](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)을 참조하세요.

디바이스 등록에 대한 자세한 내용은 Microsoft Intune 설명서의 [디바이스 등록이란 무엇입니까?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)를 참조하세요.