다음을 통해 공유

Windows 로그인 화면에서 Microsoft Entra 셀프 서비스 암호 재설정 사용

  • 아티클

SSPR(셀프 서비스 암호 재설정)은 Microsoft Entra ID의 사용자에게 관리자 또는 지원 센터 개입 없이 암호를 변경하거나 재설정할 수 있는 기능을 제공합니다. 일반적으로 사용자는 다른 디바이스에서 웹 브라우저를 열어 SSPR 포털액세스합니다. Windows 7, 8, 8.1, 10 및 11을 실행하는 컴퓨터에서 환경을 개선하려면 사용자가 Windows 로그인 화면에서 암호를 다시 설정할 수 있습니다.

SSPR 링크가 표시된 Windows 로그인 화면 예제

중요하다

이 자습서에서는 관리자가 엔터프라이즈에서 Windows 디바이스에 대해 SSPR을 사용하도록 설정하는 방법을 보여 줍니다.

IT 팀이 Windows 장치에서 SSPR을 사용할 수 있도록 설정하지 않았거나 로그인하는 동안 문제가 있는 경우 기술 지원팀에 문의하여 추가 지원을 받으세요.

일반적인 제한 사항

Windows 로그인 화면에서 SSPR을 사용하는 경우 다음과 같은 제한 사항이 적용됩니다.

  • 암호 재설정은 현재 원격 데스크톱 또는 Hyper-V 향상된 세션에서 지원되지 않습니다.
  • 일부 타사 자격 증명 공급자는 이 기능에 문제를 일으키는 것으로 알려져 있습니다.
  • EnableLUA 레지스트리 키 수정을 통해 UAC를 사용하지 않도록 설정하면 문제가 발생하는 것으로 알려져 있습니다.
  • 이 기능은 802.1x 네트워크 인증이 배포된 네트워크와 "사용자 로그온 직전에 수행" 옵션이 있는 네트워크에서는 작동하지 않습니다. 802.1x 네트워크 인증이 배포된 네트워크의 경우 컴퓨터 인증을 사용하여 이 기능을 사용하도록 설정하는 것이 좋습니다.
  • Microsoft Entra 하이브리드 조인 컴퓨터는 새 암호를 사용하고 캐시된 자격 증명을 업데이트하려면 도메인 컨트롤러에 대한 네트워크 연결 선이 있어야 합니다. 즉, 디바이스는 조직의 내부 네트워크 또는 온-프레미스 도메인 컨트롤러에 대한 네트워크 액세스 권한이 있는 VPN에 있어야 합니다. SSPR이 유일한 요구 사항인 경우 도메인 컨트롤러에 대한 네트워크 연결선이 필요하지 않습니다.
  • 이미지를 사용하는 경우 sysprep을 실행하기 전에 CopyProfile 단계를 수행하기 전에 기본 제공 관리자에 대해 웹 캐시가 지워지도록 합니다. 이 단계에 대한 자세한 내용은 사용자 지정 기본 사용자 프로필 사용하는 경우 성능 저하를지원 문서에서 확인할 수 있습니다.
  • 다음 설정은 Windows 10 디바이스에서 암호를 사용하고 재설정하는 기능을 방해하는 것으로 알려져 있습니다.
    • 잠금 화면 알림이 꺼져 있으면 암호 재설정 작동하지 않습니다.
    • HideFastUserSwitching 이 활성화 또는 1로 설정됨
    • DontDisplayLastUserName이 사용 또는 1로 설정되었습니다.
    • NoLockScreen 사용으로 설정되었거나 1로 설정됨
    • BlockNonAdminUserInstall이 사용하도록 설정되었거나 1로 설정됨
    • 디바이스에 EnableLostMode이 설정되었습니다.
    • Explorer.exe 사용자 지정 셸로 대체됨
    • 대화형 로그온: 스마트 카드를 사용하도록 설정하거나 1로 설정해야 함
  • 다음 세 가지 설정을 조합하면 이 기능이 작동하지 않을 수 있습니다.
    • 대화형 로그온: Ctrl+Alt+DEL = 사용 안 함(Windows 10 버전 1710 이하에만 해당) 필요 없음
    • DisableLockScreenAppNotifications = 1 혹은 사용함
    • Windows SKU는 Home Edition입니다.

메모

이러한 제한 사항은 디바이스 잠금 화면에서 비즈니스용 Windows Hello PIN 재설정에도 적용됩니다.

Windows 11 및 Windows 10 암호 재설정

로그인 화면에서 SSPR용 Windows 11 또는 Windows 10 디바이스를 구성하려면 다음 필수 구성 요소 및 구성 단계를 검토합니다.

Windows 11 및 Windows 10 필수 구성 요소

  • Microsoft Entra 관리 센터인증 정책 관리자 로그인하고 Microsoft Entra 셀프 서비스 암호 재설정 사용하도록 설정할있습니다.
  • 사용자는 https://aka.ms/ssprsetup 이 기능을 사용하기 전에 SSPR에 등록해야 합니다.
    • Windows 로그인 화면에서 SSPR을 사용하는 것은 고유하지 않으므로 모든 사용자는 암호를 재설정하기 전에 인증 연락처 정보를 제공해야 합니다.
  • 네트워크 프록시 요구 사항:
    • 포트 443에서 passwordreset.microsoftonline.comajax.aspnetcdn.com으로
    • Windows 10 디바이스에는 SSPR을 수행하는 데 사용되는 임시 defaultuser1 계정에 대한 컴퓨터 수준 프록시 구성 또는 범위가 지정된 프록시 구성이 필요합니다(자세한 내용은 문제 해결 섹션 참조).
  • Windows 10 버전 2018년 4월 업데이트(v1803) 이상을 실행하고 디바이스는 다음 중 하나여야 합니다.
    • Microsoft Entra 조인됨
    • Microsoft Entra 하이브리드 조인됨

Microsoft Intune을 사용하여 Windows 11 및 Windows 10에 사용하도록 설정

Microsoft Intune을 사용하여 로그인 화면에서 SSPR을 사용하도록 구성 변경 사항을 배포하는 것이 가장 유연한 방법입니다. Microsoft Intune을 사용하면 사용자가 정의한 특정 컴퓨터 그룹에 구성 변경 사항을 배포할 수 있습니다. 이 방법을 사용하려면 디바이스의 Microsoft Intune 등록이 필요합니다.

Microsoft Intune에서 디바이스 구성 정책 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스 구성 >프로필다음, + 프로필 만들기 선택하여 새 디바이스 구성 프로필을 만듭니다.

    • 플랫폼에서는 Windows 10 이상을 선택합니다
    • 프로필 유형템플릿을 선택한 다음, 아래의 사용자 지정 템플릿을 선택합니다.

  3. 생성선택한 다음, Windows 11 로그인 화면 SSPR 같은 의미 있는 이름을 프로필에 지정하십시오.

    필요에 따라 프로필에 대한 의미 있는 설명을 제공하고 다음 선택합니다.

  4. 구성 설정에서 추가 를 선택하고 암호 재설정 링크를 활성화하기 위해 다음 OMA-URI 설정을 입력하세요.

    • SSPR 링크 추가 같이 설정이 수행하는 작업을 설명하는 의미 있는 이름을 제공합니다.
    • 필요에 따라 설정에 대한 의미 있는 설명을 제공합니다.
    • OMA-URI./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset로 설정되었습니다
    • 데이터 형식정수로 설정됨
    • 1로 설정

    을 선택한 후,추가, 그런 다음 에서.

  5. 정책은 특정 사용자, 디바이스 또는 그룹에 할당할 수 있습니다. 사용자 환경에 원하는 대로 프로필을 할당하고, 먼저 테스트 디바이스 그룹에 할당한 다음, 다음선택합니다.

    자세한 내용은 Microsoft Intune의 사용자 및 디바이스 프로필 할당을 참조하세요.

  6. 적용성 규칙을 원하는 대로 환경에 맞게 구성합니다. 예를 들어 OS 버전이 Windows 10 Enterprise 인 경우 프로필을할당하고, 그 다음 '다음'을선택합니다.

  7. 프로필을 검토한 다음 만들기선택합니다.

레지스트리를 사용하여 Windows 11 및 Windows 10에 사용하도록 설정

레지스트리 키를 사용하여 로그인 화면에서 SSPR을 사용하도록 설정하려면 다음 단계를 완료합니다.

  1. 관리 자격 증명을 사용하여 Windows PC에 로그인합니다.

  2. Windows + R 눌러 실행 대화 상자를 연 다음 관리자 권한으로 regedit 실행합니다.

  3. 다음 레지스트리 키를 설정합니다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Windows 11 및 Windows 10 암호 재설정 문제 해결

Windows 로그인 화면에서 SSPR을 사용하는 데 문제가 있는 경우 Microsoft Entra 감사 로그에는 다음 예제 출력과 같이 암호 재설정이 발생한 ip 주소 및 ClientType 대한 정보가 포함됩니다.

Microsoft Entra 감사 로그 Windows 7 암호 재설정 예시

사용자가 Windows 11 또는 10 디바이스의 로그인 화면에서 암호를 재설정하면 defaultuser1이라는 낮은 권한의 임시 계정이 만들어집니다. 이 계정은 암호 재설정 프로세스를 안전하게 유지하는 데 사용됩니다.

계정 자체에는 조직 암호 정책에 대해 유효성을 검사하는 임의로 생성된 암호가 있으며 디바이스 로그인에 대해 표시되지 않으며 사용자가 암호를 다시 설정하면 자동으로 제거됩니다. 여러 defaultuser 프로필이 있을 수 있지만 무시해도 됩니다.

Windows 암호 재설정에 대한 프록시 구성

암호 재설정 중에 SSPR은 https://passwordreset.microsoftonline.com/n/passwordreset연결할 임시 로컬 사용자 계정을 만듭니다. 사용자 인증을 위해 프록시를 구성한 경우 "문제가 발생했습니다."오류와 함께 실패할 수 있습니다. 나중에 다시 시도하세요." 로컬 사용자 계정에 인증된 프록시를 사용할 권한이 없기 때문입니다.

이 경우 다음 해결 방법 중 하나를 사용할 수 있습니다.

  • 머신에 로그인한 사용자 유형에 따라 달라지지 않는 컴퓨터 전체 프록시 설정을 구성합니다. 예를 들어, 워크스테이션에 대해 그룹 정책 컴퓨터별(사용자별이 아닌) 프록시 설정 정책을 활성화할 수 있습니다.

  • 기본 계정의 레지스트리 템플릿을 수정하는 경우 SSPR에 Per-User 프록시 구성을 사용할 수도 있습니다. 명령은 다음과 같습니다.

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • 오류 "문제가 발생했습니다" 는 URL https://passwordreset.microsoftonline.com/n/passwordreset에 연결이 중단되는 경우에도 발생할 수 있습니다. 예를 들어 이 오류는 url passwordreset.microsoftonline.com, ajax.aspnetcdn.comocsp.digicert.com제외 없이 워크스테이션에서 바이러스 백신 소프트웨어를 실행할 때 발생할 수 있습니다. 문제가 해결되었는지 여부를 테스트하려면 이 소프트웨어를 일시적으로 사용하지 않도록 설정합니다.

Windows 7, 8 및 8.1 암호 재설정

로그인 화면에서 SSPR용 Windows 7, 8 또는 8.1 디바이스를 구성하려면 다음 필수 구성 요소 및 구성 단계를 검토합니다.

Windows 7, 8 및 8.1 필수 구성 요소

  • Microsoft Entra 관리 센터인증 정책 관리자 로그인하고 Microsoft Entra 셀프 서비스 암호 재설정 사용하도록 설정할있습니다.
  • 사용자는 https://aka.ms/ssprsetup 이 기능을 사용하기 전에 SSPR에 등록해야 합니다.
    • Windows 로그인 화면에서 SSPR을 사용하는 것은 고유하지 않으므로 모든 사용자는 암호를 재설정하기 전에 인증 연락처 정보를 제공해야 합니다.
  • 네트워크 프록시 요구 사항:
    • 포트 443에서 passwordreset.microsoftonline.com
  • 패치된 Windows 7 또는 Windows 8.1 운영 체제
  • TLS(전송 계층 보안) 레지스트리 설정 지침을 사용하여 TLS 1.2를 사용하도록 설정합니다.
  • 컴퓨터에서 둘 이상의 타사 자격 증명 공급자를 사용하도록 설정하면 로그인 화면에 둘 이상의 사용자 프로필이 표시됩니다.

경고

TLS 1.2는 자동 협상으로 설정되는 것이 아니라 사용하도록 설정해야 합니다.

설치하다

Windows 7, 8 및 8.1의 경우 로그인 화면에서 SSPR을 사용하도록 설정하려면 컴퓨터에 작은 구성 요소를 설치해야 합니다. 이 SSPR 구성 요소를 설치하려면 다음 단계를 완료합니다.

  1. 사용하려는 Windows 버전에 적합한 설치 관리자를 다운로드합니다.

    소프트웨어 설치 관리자는 https://aka.ms/sspraddin Microsoft 다운로드 센터에서 사용할 수 있습니다.

  2. 설치하려는 컴퓨터에 로그인하고 설치 관리자를 실행합니다.

  3. 설치 후 다시 부팅하는 것이 좋습니다.

  4. 다시 부팅한 후 로그인 화면에서 사용자를 선택하고 "암호 잊으셨나요?"를 선택하여 암호 재설정 워크플로를 시작합니다.

  5. 화면 단계에 따라 워크플로를 완료하여 암호를 재설정합니다.

예제 Windows 7에서

무인 설치

다음 명령을 사용하여 프롬프트 없이 SSPR 구성 요소를 설치하거나 제거할 수 있습니다.

  • 자동 설치의 경우 "msiexec /i SsprWindowsLogon.PROD.msi /qn" 명령을 사용합니다.
  • 조용히 제거하려면 "msiexec /x SsprWindowsLogon.PROD.msi /qn" 명령을 사용합니다.

Windows 7, 8 및 8.1 암호 재설정 문제 해결

Windows 로그인 화면에서 SSPR을 사용하는 데 문제가 있는 경우 이벤트는 컴퓨터와 Microsoft Entra ID에 모두 기록됩니다. Microsoft Entra 이벤트에는 다음 예제 출력과 같이 암호 재설정이 발생한 IP 주소 및 ClientType에 대한 정보가 포함됩니다.

Microsoft Entra 감사 로그에서 Windows 7 암호 재설정 예제

추가 로깅이 필요한 경우 자세한 로깅을 사용하도록 컴퓨터의 레지스트리 키를 변경할 수 있습니다. 문제 해결 목적으로만 다음 레지스트리 키 값을 사용하여 상세 로깅을 활성화합니다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • 자세한 로깅을 사용하도록 설정하려면 REG_DWORD: "EnableLogging"를 만들고 1로 설정하십시오.
  • 자세한 로그 기록을 비활성화하려면 REG_DWORD: "EnableLogging"을 0으로 변경하세요.
  • 원본 AADPasswordResetCredentialProvider의 애플리케이션 이벤트 로그에서 디버그 로깅을 검토합니다.

사용자에게 표시되는 내용

Windows 디바이스에 대해 SSPR이 구성되면 사용자에게 어떤 변경 내용이 있나요? 로그인 화면에서 암호를 재설정할 수 있다는 것을 어떻게 알 수 있나요? 다음 예제 스크린샷에서는 사용자가 SSPR을 사용하여 암호를 재설정할 수 있는 추가 옵션을 보여 줍니다.

SSPR 링크가 표시된 Windows 7 및 10 로그인 화면 예제

사용자가 로그인을 시도할 때, 그들에게 암호 재설정 또는 암호를 잊으셨나요 링크가 나타나며, 이는 로그인 화면에서 셀프 서비스 암호 재설정 환경으로 연결됩니다. 이 기능을 사용하면 다른 디바이스를 사용하여 웹 브라우저에 액세스할 필요 없이 암호를 재설정할 수 있습니다.

사용자가 이 기능을 사용하는 방법에 대한 더 많은 정보는 회사 또는 학교 암호 재설정을 참조하십시오.

다음 단계

사용자 등록 환경을 간소화하기 위해 SSPR 대한 사용자 인증 연락처 정보를 미리 채울있습니다.