Microsoft는 7월 6일과 6월 15일 “What’s New” 업데이트에서 Windows 365의 세 가지 중요한 기능 업데이트를 발표했습니다 — 정책 관리, 암호화 제어, ID 페더레이션을 다룹니다. 각 업데이트는 IT 관리자들이 Microsoft에 해결을 요구해 왔던 다른 문제를 해결합니다. 새로운 기능, 그 중요성, 그리고 취해야 할 조치를 자세히 분석해 보겠습니다.


1. 설정 정책 재순위 지정 (공개 미리 보기)

해결하는 문제

Windows 365 Cloud PC를 관리해 본 적이 있다면 이 시나리오를 겪어봤을 것입니다: 여러 설정 정책이 동일한 Cloud PC를 대상으로 하고, 특정 설정에서 충돌하며, 어느 것이 우선하는지 쉽게 제어할 수 없습니다. 보안 팀에는 BitLocker를 강제하는 정책이 있지만, 부서 수준 정책이 관련 암호화 설정을 실수로 재정의합니다. 결과는 문제 해결이 어려운 예측 불가능한 정책 동작입니다.

새로운 기능

Windows 365는 이제 공개 미리 보기에서설정 정책 재순위 지정을 지원합니다. 관리자는 다음 방법으로 정책 우선순위를 명시적으로 지정할 수 있습니다:

  • 순위 변경 — 명시적 우선순위 값 할당
  • 드래그 앤 드롭 컨트롤 — 관리 센터에서 시각적으로 정책 재정렬
  • 위/아래 이동 — 목록에서 정책 이동

Cloud PC가 동일한 설정에 관련된 여러 정책을 수신할 때, 가장 높은 순위의 정책이 유효한 값을 결정합니다. 이를 통해 정책 우선순위가명시적, 가시적, 관리 가능해집니다.

우선순위 규칙

일반적인 계층 패턴:

  1. 하드 플랫폼 제약/컴플라이언스 요구사항 (재순위로 재정의 불가)
  2. 가장 높은 순위의 Windows 365 설정 정책
  3. 정책 유형 우선순위 (보안 기준이 낮은 중요도의 구성 정책을 재정의할 수 있음)
  4. 범위 동점 (장치 범위 vs 사용자 범위)
  5. 동일 순위 및 유형의 최종 작성자 승 (드물고 권장하지 않음)

IT 관리자 조치 사항

  • 현재 정책 충돌 감사, 조직 우선순위 체계 정의
  • 파일럿 그룹에서 재순위를 테스트한 후 광범위한 롤아웃
  • 순위 변경을 변경 관리 작업으로 취급하고 문서화
  • 필요한 역할: Cloud PC 관리자 또는 Intune 정책 관리자

자세히 알아보기: 설정 개요


2. Windows 365 Reserve 고객 관리 암호화 (공개 미리 보기)

해결하는 문제

Windows 365 Reserve는 장치 고장, 출장 또는 임시 액세스 시나리오를 위한 주문형 Cloud PC 용량을 제공합니다. 하지만 이전에는 Reserve Cloud PC가 Microsoft 관리 암호화 키에 의존했습니다 — 데이터는 암호화되었지만 조직은 암호화 키 자체를 제어할 수 없었습니다. 의료, 금융, 정부와 같은 규제 산업에게 이는 컴플라이언스 갭이었습니다.

새로운 기능

Windows 365 Reserve는 이제 공개 미리 보기에서 **Microsoft Purview Customer Key (CMK)**를 지원합니다. 관리자는 Azure Key Vault에 저장된 고객 관리 키로 Reserve Cloud PC 디스크를 암호화할 수 있습니다.

작동 방식:

  • Microsoft는**데이터 암호화 키 (DEK)**를 사용하여 Reserve Cloud PC 저장 데이터를 암호화
  • DEK는 Azure Key Vault에 저장된**고객 제공 키 암호화 키 (KEK)**로 보호(래핑)
  • 고객의 Key Vault 키 없이는 Microsoft가 데이터를 복호화할 수 없음
  • KEK를 취소하거나 삭제하면 Cloud PC 데이터를 복구할 수 없게 됨 — 사실상의암호화 삭제

주요 기능

  • 키 순환: Key Vault에서 KEK를 업데이트하면 DEK가 자동으로 재래핑
  • 키 취소: KEK를 비활성화 또는 삭제하면 Cloud PC 데이터를 읽을 수 없게 됨
  • 감사: Key Vault 진단 로그를 통한 완전한 키 사용 감사 추적
  • 컴플라이언스 정렬: HIPAA, FedRAMP 등 규제 요구사항 충족 지원

설정 요구사항

  1. Microsoft 지원 키 유형을 충족하는 Azure Key Vault의 RSA 키
  2. 소프트 삭제 및 제거 보호 활성화
  3. get, unwrapKey, wrapKey 권한을 가진 관리 ID
  4. Windows 365 워크로드에 대해 Purview Customer Key 구성 활성화
  5. Key Vault 키 URI 및 버전을 참조하는 Customer Key 정책
  6. Customer Key 정책에 바인딩된 Reserve 프로비저닝 정책

IT 관리자 조치 사항

  • Enterprise Cloud PC에 이미 CMK를 사용 중인 경우: 기존 Key Vault 설정을 검토하고 Reserve에 동일한 키를 사용할지 별도 키를 사용할지 결정
  • CMK가 처음인 경우: 보안 팀에 키 관리 수명 주기 설계를 요청하고 Key Vault 거버넌스 프로세스 확립
  • 중요: 키 삭제는 되돌릴 수 없으며 Cloud PC 데이터를 영구적으로 잠급니다
  • 컴플라이언스 팀: CMK for Reserve가 특정 규제 요구사항을 어떻게 충족하는지 문서화

자세히 알아보기: Microsoft Purview Customer Key 설정 및 W365 지원


3. 외부 ID 도메인 없는 페더레이션 지원

해결하는 문제

Windows 365는 외부 ID의 Cloud PC 액세스를 지원해 왔지만, 페더레이션에는 도메인 기반 ID가 필요했습니다 — Entra ID에서 DNS 도메인을 등록하고 검증해야 했습니다. 이는 다중 테넌트 파트너, 단일 DNS 네임스페이스에 매핑되지 않는 IdP, 컨설턴트 및 계약자와 같은 시나리오에서 제한이 있었습니다.

새로운 기능

Entra ID에서도메인 없는 SAML IdP 페더레이션의 일반 가용성과 함께, Windows 365는 이제 SAML IdP에 구성된 도메인과 다른 이메일 도메인을 가진 외부 ID에 대해 Cloud PC를 프로비저닝할 수 있도록 지원합니다.

페더레이션은 이제테넌트/애플리케이션 수준에서 구성되며 특정 DNS 도메인에 연결되지 않습니다. SAML IdP는 모든 식별자(NameID, 이메일, 주체 클레임)로 어설션을 발행하고, Entra ID는 DNS 도메인 소유권 없이 이러한 어설션을 신뢰합니다.

도메인 없는 페더레이션 vs 도메인 기반 페더레이션

측면도메인 기반 페더레이션도메인 없는 페더레이션
신뢸 앵커검증된 DNS 도메인테넌트/앱 수준 신뢰
사용자 ID 형식도메인에 연결된 UPN모든 SAML 어설션 식별자
DNS 소유권필수불필요
사용 사례내부 기업 ID외부 파트너, B2B

Cloud PC 프로비저닝 흐름

  1. Entra ID에서 외부 IdP 구성 — SAML 메타데이터 추가
  2. 외부 ID 객체 생성 — B2B식 사용자 레코드
  3. 외부 ID 객체에 Windows 365 라이선스 할당
  4. 프로비저닝 정책을 외부 ID 또는 그룹에 타겟팅
  5. 사용자가 홈 IdP로 인증 → SAML 어설션 → Entra ID 검증 → Cloud PC 액세스

중요: 외부 사용자는 Windows App에 로그인하기 전에 조직에 대한 초대를 상환해야 합니다.

보안 영향

장점: 외부 사용자는 홈 조직의 자격 증명으로 인증, 더 강력한 내외부 ID 분리, 파트너 ID 관리 오버헤드 감소

위험: 신뢰 경계가 외부 IdP의 보안 태세로 확장; 클레임 매핑 구성 오류가 과도한 액세스 권한을 부여할 수 있음

보안 모범 사례: 외부 IdP에 MFA 강제 요구; 외부 ID에 조건부 액세스 정책 적용; 외부 사용자를 전용 프로비저닝 정책으로 분할

IT 관리자 조치 사항

  • ID 관리자: SAML 페더레이션 메타데이터 구성, 인증서 순환 계획
  • Windows 365/Intune 관리자: 외부 ID용 전용 프로비저닝 정책 생성, 조건부 액세스 적용
  • 보안 아키텍트: 신뢰 관계 설계, 모니터링 및 오프보딩 프로세스 확립

자세히 알아보기: 외부 ID도메인 없는 SAML IdP 페더레이션


전체적인 전망

이 세 가지 업데이트는 거버넌스, 보안, ID — 조직이 자신 있게 Windows 365 배포를 확장할 수 있는지를 결정하는 세 가지 기둥을 해결합니다:

  • 정책 재순위 지정은 관리자에게 구성 우선순위에 대한 명시적 제어를 제공
  • Reserve의 CMK는 규제 대상 워크로드의 암호화 제어 갭을 해소
  • 도메인 없는 페더레이션은 파트너 및 계약자 Cloud PC 액세스의 마지막 ID 마찰을 제거

조치 사항 요약

  1. 정책 재순위 지정: 현재 정책 충돌 감사, 우선순위 체계 정의, 파일럿 그룹에서 테스트
  2. Reserve의 CMK: 보안 팀 참여, 키 수명 주기 설계, 제거 보호가 있는 Key Vault 설정
  3. 도메인 없는 페더레이션: 파트너 IdP 식별, SAML 메타데이터 구성, 외부 사용자용 전용 프로비저닝 정책 생성

Big Hat Group은 조직의 Windows 365 및 Microsoft Intune 환경 배포와 최적화를 지원합니다. 정책 거버넌스, 암호화 전략 또는 외부 ID 구성에 대한 도움이 필요하신가요? 문의하세요.

X에서 @kkaminski를 팔로우하여 매일 Microsoft 생태계 업데이트를 받아보세요.