Microsoft Entra 하이브리드 조인 구성

디바이스를 Microsoft Entra ID로 가져오면 클라우드 및 온-프레미스 리소스 전체에서 SSO(Single Sign-On)를 통해 사용자 생산성이 최대화됩니다. 동시에 조건부 액세스를 사용하여 리소스에 대한 액세스를 보호할 수 있습니다.

필수 조건

• Microsoft Entra Connect 버전 1.1.819.0 이상
  • Microsoft Entra Connect 동기화 구성에서 기본 디바이스 특성을 제외하지 마세요. Microsoft Entra ID에 동기화된 기본 디바이스 특성에 대해 자세히 알아보려면 Microsoft Entra Connect에 의해 동기화된 특성을 참조하세요.
  • Microsoft Entra 하이브리드에 조인하려는 디바이스의 컴퓨터 개체가 특정 OU(조직 구성 단위)에 속하는 경우 Microsoft Entra Connect에서 동기화할 올바른 OU를 구성합니다. Microsoft Entra Connect를 사용하여 컴퓨터 개체를 동기화하는 방법에 대해 자세히 알아보려면 조직 구성 단위 기반 필터링을 참조하세요.
• Microsoft Entra 테넌트에 대한 전역 관리istrator 자격 증명입니다.
• 각 온-프레미스 Active Directory Domain Services 포리스트에 대한 엔터프라이즈 관리자 자격 증명
• (페더레이션된 도메인의 경우) Active Directory Federation Services가 설치된 Windows Server 2012 R2 이상
• 사용자는 Microsoft Entra ID로 디바이스를 등록할 수 있습니다. 이 설정에 대한 자세한 내용은 디바이스 설정 구성 문서의 디바이스 설정 구성 제목에서 확인할 수 있습니다.

네트워크 연결 요구 사항

Microsoft Entra 하이브리드 조인을 위해서는 디바이스가 조직의 네트워크 내에서 다음 Microsoft 리소스에 액세스할 수 있어야 합니다.

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com(Seamless SSO를 사용하거나 사용할 계획이 있는 경우)
• 조직의 STS(보안 토큰 서비스)(페더레이션된 도메인용)

Warning

조직에서 데이터 손실 방지 또는 Microsoft Entra 테넌트 제한과 같은 시나리오에 대한 SSL 트래픽을 가로채는 프록시 서버를 사용하는 경우 'https://device.login.microsoftonline.com'에 대한 트래픽을 TLS 중단-검사에서 제외해야 합니다. 이 URL을 제외하지 않으면 클라이언트 인증서 인증에 간섭이 발생하고, 디바이스 등록 및 디바이스 기반 조건부 액세스에 문제가 발생할 수 있습니다.

조직에서 아웃바운드 프록시를 통해 인터넷에 액세스해야 하는 경우 WPAD(웹 프록시 자동 검색)를 사용하여 Windows 10 이상 컴퓨터에서 Microsoft Entra ID로 디바이스를 등록할 수 있습니다. WPAD 구성 및 관리 문제를 해결하려면 자동 검색 문제 해결을 참조하세요.

WPAD를 사용하지 않는 경우 Windows 10 1709부터 GPO(그룹 정책 개체)가 있는 컴퓨터에서 WinHTTP 프록시 설정을 구성할 수 있습니다. 자세한 내용은 GPO를 통해 배포되는 WinHTTP 프록시 설정 을 참조하세요.

참고 항목

WinHTTP 설정을 사용하여 컴퓨터에서 프록시 설정을 구성하는 경우 구성된 프록시에 연결할 수 없는 모든 컴퓨터는 인터넷에 연결할 수 없습니다.

조직에서 인증된 아웃바운드 프록시를 통해 인터넷에 액세스해야 하는 경우 Windows 10 이상 컴퓨터가 아웃바운드 프록시에 성공적으로 인증될 수 있는지 확인합니다. Windows 10 이상 컴퓨터는 머신 컨텍스트를 사용하여 디바이스 등록을 실행하므로 머신 컨텍스트를 사용하여 아웃바운드 프록시 인증을 구성합니다. 아웃바운드 프록시 공급자와 함께 구성 요구 사항을 준수하세요.

디바이스 등록 연결 테스트 스크립트를 사용하여 디바이스가 시스템 계정을 통해 필요한 Microsoft 리소스에 액세스할 수 있는지 확인합니다.

관리되는 도메인

대부분의 조직에서는 관리되는 do기본와 함께 Microsoft Entra 하이브리드 조인을 배포합니다. 관리되는 도메인에서는 Seamless Single Sign-On과 함께 PHS(암호 해시 동기화) 또는 PTA(통과 인증)를 사용합니다. 관리되는 도메인 시나리오에서는 페더레이션 서버를 구성할 필요가 없습니다.

관리되는 도메인에 대해 Microsoft Entra Connect를 사용하여 Microsoft Entra 하이브리드 조인을 구성합니다.

1. Microsoft Entra 커넥트 열고 구성을 선택합니다.

2. 추가 작업에서 디바이스 옵션 구성, 다음을 차례로 선택합니다.

3. 개요에서 다음을 선택합니다.

4. Microsoft Entra ID에 커넥트 Microsoft Entra 테넌트의 Global 관리istrator의 자격 증명을 입력합니다.

5. 디바이스 옵션에서 Microsoft Entra 하이브리드 조인 구성을 선택한 후 다음을 선택합니다.

6. 디바이스 운영 체제에서 Active Directory 환경의 디바이스에서 사용하는 운영 체제를 선택하고, 다음을 선택합니다.

7. SCP 구성에서 Microsoft Entra 커넥트 SCP(서비스 연결 지점)를 구성하려는 각 포리스트에 대해 다음 단계를 완료한 다음, 다음을 선택합니다.

   1. 포리스트를 선택합니다.
   2. 인증 서비스를 선택합니다.
   3. 추가를 선택하여 엔터프라이즈 관리자 자격 증명을 입력합니다.

   

8. 구성 준비 완료에서 구성을 선택합니다.

9. 구성 완료에서 끝내기를 선택합니다.

페더레이션된 도메인

페더레이션 환경은 다음 요구 사항을 지원하는 ID 공급자가 있어야 합니다. AD FS(Active Directory Federation Services)를 사용하는 페더레이션된 환경을 사용하는 경우에는 아래 요구 사항이 이미 지원됩니다.

• WIAORMULTIAUTHN 클레임: 이 클레임은 Windows 하위 수준 디바이스에 대한 Microsoft Entra 하이브리드 조인을 수행하는 데 필요합니다.
• WS-Trust 프로토콜: 이 프로토콜은 Microsoft Entra ID를 사용하여 Windows의 현재 Microsoft Entra 하이브리드 조인 디바이스를 인증하는 데 필요합니다. AD FS를 사용하는 경우 다음 WS-Trust 엔드포인트를 사용하도록 설정해야 합니다.
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Warning

adfs/services/trust/2005/windowstransport 및 adfs/services/trust/13/windowstransport는 모두 인트라넷 연결 엔드포인트로만 사용하도록 설정해야 하며 웹 애플리케이션 프록시를 통해 엑스트라넷 연결 엔드포인트로 노출되어서는 안됩니다. WS-Trust Windows 엔드포인트를 비활성화는 방법에 대해 자세히 알아보려면 프록시에서 WS-Trust Windows 엔드포인트 사용 안 함을 참조하세요. 서비스>엔드포인트에서 AD FS 관리 콘솔을 통해 어떤 엔드포인트가 사용하도록 설정되었는지 확인할 수 있습니다.

페더레이션된 환경에 대해 Microsoft Entra Connect를 사용하여 Microsoft Entra 하이브리드 조인을 구성합니다.

1. Microsoft Entra 커넥트 열고 구성을 선택합니다.

2. 추가 작업 페이지에서 디바이스 옵션 구성을 선택한 다음, 다음을 선택합니다.

3. 개요 페이지에서 다음을 선택합니다.

4. Microsoft Entra ID에 대한 커넥트 페이지에서 Microsoft Entra 테넌트의 Global 관리istrator의 자격 증명을 입력한 다음, 다음을 선택합니다.

5. 디바이스 옵션 페이지에서 Microsoft Entra 하이브리드 조인 구성을 선택한 후 다음을 선택합니다.

6. SCP 페이지에서 다음 단계를 완료한 후 다음을 선택합니다.

   1. 포리스트를 선택합니다.
   2. 인증 서비스를 선택합니다. 조직에 Windows 10 이상의 클라이언트만 있고 컴퓨터/디바이스 동기화를 구성하거나 조직에서 원활한 SSO를 사용하지 않는 한 AD FS 서버를 선택해야 합니다.
   3. 추가를 선택하여 엔터프라이즈 관리자 자격 증명을 입력합니다.

   

7. 디바이스 운영 체제 페이지에서 Active Directory 환경의 디바이스에서 사용되는 운영 체제를 선택한 후 다음을 선택합니다.

8. 페더레이션 구성 페이지에서 AD FS 관리자에 대한 자격 증명을 입력하고 다음을 선택합니다.

9. 구성 준비 페이지에서 구성을 선택합니다.

10. 구성 완료 페이지에서 끝내기를 선택합니다.

페더레이션 주의 사항

Windows 10 1803 이상에서는 AD FS를 사용하여 페더레이션된 환경에 대한 즉각적인 Microsoft Entra 하이브리드 조인이 실패하는 경우 Microsoft Entra 커넥트 Microsoft Entra ID의 컴퓨터 개체를 동기화하여 Microsoft Entra 하이브리드 조인에 대한 디바이스 등록을 완료합니다.

기타 시나리오

조직은 전체 출시 전에 환경의 하위 집합에서 Microsoft Entra 하이브리드 조인을 테스트할 수 있습니다. 대상 배포를 완료하는 단계는 Microsoft Entra 하이브리드 조인 대상 배포 문서에서 확인할 수 있습니다. 조직은 이 파일럿 그룹에 다양한 역할 및 프로필의 사용자 샘플을 포함해야 합니다. 대상 롤아웃은 전체 조직에서 사용하도록 설정하기 전에 계획에서 해결할 수 없는 문제를 식별하는 데 도움이 됩니다.

일부 조직에서는 Microsoft Entra 커넥트 사용하여 AD FS를 구성하지 못할 수 있습니다. 클레임을 수동으로 구성하는 단계는 Microsoft Entra 하이브리드 조인을 수동으로 구성 문서에서 찾을 수 있습니다.

US Gov 클라우드(GCCHigh 및 DoD 포함)

Azure Government 조직의 경우 Microsoft Entra 하이브리드 조인을 위해서는 디바이스가 조직 네트워크 내부에서 다음 Microsoft 리소스에 액세스할 수 있어야 합니다.

• https://enterpriseregistration.windows.netandhttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us(Seamless SSO를 사용하거나 사용할 계획이 있는 경우)

Microsoft Entra 하이브리드 조인 문제 해결

도메인 조인 Windows 디바이스에 대한 Microsoft Entra 하이브리드 조인을 완료하는 데 문제가 발생하는 경우 다음을 참조하세요.

• dsregcmd 명령을 사용하여 디바이스 문제 해결
• Windows 현재 디바이스에 대한 Microsoft Entra 하이브리드 조인 문제 해결
• Windows 하위 디바이스에 대한 Microsoft Entra 하이브리드 조인 문제 해결
• 보류 중인 디바이스 상태 문제 해결

관련 콘텐츠

• Microsoft Entra 하이브리드 조인 확인
• 조건부 액세스를 사용하여 규격 또는 Microsoft Entra 하이브리드 조인 디바이스를 요구합니다.
• 비즈니스용 Windows Hello 배포 계획