Microsoft Entra 하이브리드 조인 하위 수준 디바이스 문제 해결

이 문서는 다음 디바이스에만 적용됩니다.

• Windows 7
• Windows 8.1
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2

Windows 10 이상 및 Windows Server 2016의 경우 Windows 10 및 Windows Server 2016 디바이스에 조인된 Microsoft Entra 하이브리드 문제 해결을 참조하세요.

이 문서에서는 다음 시나리오를 지원하도록 Microsoft Entra 하이브리드 조인 디바이스를 구성했다고 가정합니다.

• 디바이스 기반 조건부 액세스

이 문서에서는 잠재적인 문제를 해결하는 방법에 대한 문제 해결 지침을 제공합니다.

알아야 할 사항:

• 하위 수준 Windows 디바이스에 대한 Microsoft Entra 하이브리드 조인은 Windows 10 이상에서와 약간 다르게 작동합니다. 대부분의 고객은 AD FS(페더레이션된 도메인용)가 필요한지 또는 Seamless SSO를 구성해야 하는지(관리되는 도메인용)를 잘 모릅니다.
• Firefox 및 Microsoft Edge 브라우저의 프라이빗 검색 모드에서는 Seamless SSO가 작동하지 않습니다. 또한 브라우저가 고급 보호 모드에서 실행 중이거나 고급 보안 구성이 활성화된 경우에는 Internet Explorer에서 작동하지 않습니다.
• 페더레이션된 도메인을 사용하는 고객의 경우 SCP(서비스 연결 지점)가 관리되는 도메인 이름(예: contoso.com 대신 contoso.onmicrosoft.com)을 가리키도록 구성된 경우 하위 수준 Windows 디바이스에 대한 Microsoft Entra 하이브리드 가입이 작동하지 않습니다.
• 여러 도메인 사용자가 하위 수준 Microsoft Entra 하이브리드 조인 디바이스에 로그인하면 동일한 실제 디바이스가 Microsoft Entra ID에 여러 번 나타납니다. 예를 들어 jdoe 및 jharnett가 디바이스에 로그인하는 경우 사용자 정보 탭에 각각에 대해 별도 등록(DeviceID)이 만들어집니다.
• 운영 체제 재설치 또는 수동 재등록으로 인해 사용자 정보 탭에 디바이스에 대한 여러 항목이 있을 수도 있습니다.
• 초기 디바이스 등록/조인은 로그온 또는 잠금/잠금 해제 상태에서 시도를 수행하도록 구성됩니다. 작업 스케줄러 작업에 의해 트리거되는 5분 지연이 있을 수 있습니다.
• KB4284842가 Windows 7 SP1 또는 Windows Server 2008 R2 SP1에 설치되어 있는지 확인합니다. 이 업데이트는 암호를 변경한 후 고객이 보호된 키에 액세스할 수 없어서 발생하는 이후의 인증 실패를 방지합니다.
• 사용자가 UPN을 변경한 후 Microsoft Entra 하이브리드 조인이 실패하여 Seamless SSO 인증 프로세스가 중단될 수 있습니다. 조인 프로세스 중에 브라우저 세션 쿠키가 지워지거나 사용자가 명시적으로 로그아웃하고 기존 UPN을 제거하지 않는 한 이전 UPN이 Microsoft Entra ID로 계속 전송되는 것을 볼 수 있습니다.

1단계: 등록 상태 검색

장치 등록 상태를 확인하려면

1. Microsoft Entra 하이브리드 조인을 수행한 사용자 계정으로 로그인합니다.
2. 명령 프롬프트를 엽니다.
3. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i 입력

이 명령을 실행하면 조인 상태에 대한 세부 정보를 제공하는 대화 상자가 표시됩니다.

2단계: Microsoft Entra 하이브리드 조인 상태 평가

디바이스가 Microsoft Entra 하이브리드에 조인되어 있지 않은 경우 "조인" 단추를 클릭하여 Microsoft Entra 하이브리드 조인을 시도할 수 있습니다. Microsoft Entra 하이브리드 조인 시도가 실패하면 실패에 대한 세부 정보가 표시됩니다.

가장 일반적인 문제는 다음과 같습니다.

• 잘못 구성된 AD FS 또는 Microsoft Entra ID 또는 네트워크 문제

  

  • Autoworkplace.exe는 Microsoft Entra ID 또는 AD FS를 사용하여 자동으로 인증할 수 없습니다. 이 문제는 누락되었거나 잘못 구성된 AD FS(페더레이션된 도메인용) 또는 누락되었거나 잘못 구성된 Microsoft Entra Seamless Single Sign-On(관리되는 도메인용) 또는 네트워크 문제로 인해 야기될 수 있습니다.
  • MFA(다단계 인증)가 사용자에 대해 사용하도록 설정/구성되고 WIAORMULTIAUTHN이 AD FS 서버에서 구성되지 않았을 수 있습니다.
  • 또 다른 가능성은 HRD(홈 영역 검색) 페이지가 사용자 상호 작용을 기다리고 autoworkplace.exe가 자동으로 토큰을 요청하는 것을 방지하는 경우입니다.
  • 클라이언트의 IE 인트라넷 영역에 AD FS 및 Microsoft Entra URL이 누락되었을 수 있습니다.
  • 네트워크 연결 문제로 인해 autoworkplace.exe가 AD FS 또는 Microsoft Entra URL에 연결하지 못할 수 있습니다.
  • Autoworkplace.exe를 사용하려면 클라이언트에서 조직의 온-프레미스 AD 도메인 컨트롤러로 직접 가시권이 형성되어야 합니다. 즉, Microsoft Entra 하이브리드 조인은 클라이언트가 조직의 인트라넷에 연결된 경우에만 성공적으로 수행됩니다.
  • 조직에서 Microsoft Entra Seamless Single Sign-On을 사용하는 경우 디바이스의 IE 인트라넷 설정에 https://autologon.microsoftazuread-sso.com이 없습니다.
  • 인터넷 설정 Do not save encrypted pages to disk이(가) 선택되어 있습니다.

• 도메인 사용자로 로그인하지 않았습니다.

  

  이 문제가 발생할 수 있는 몇 가지 다른 이유가 있습니다.

  • 로그인한 사용자가 도메인 사용자가 아닙니다(예: 로컬 사용자). 하위 수준 디바이스의 Microsoft Entra 하이브리드 조인은 도메인 사용자에게만 지원됩니다.
  • 클라이언트가 도메인 컨트롤러에 연결할 수 없습니다.

• 할당량에 도달함

  

• 서비스가 응답하지 않습니다.

  

Applications and Services Log\Microsoft-Workplace Join의 이벤트 로그에서 상태 정보를 찾을 수도 있습니다.

Microsoft Entra 하이브리드 조인 실패의 가장 일반적인 원인은 다음과 같습니다.

• 컴퓨터가 조직의 내부 네트워크에 연결되어 있지 않거나 온-프레미스 AD 도메인 컨트롤러에 연결된 VPN에 연결되어 있지 않습니다.
• 로컬 컴퓨터 계정으로 컴퓨터에 로그온됩니다.
• 서비스 구성 문제:
  • AD FS 서버가 WIAORMULTIAUTHN을 지원하도록 구성되지 않았습니다.
  • 컴퓨터의 포리스트에는 Microsoft Entra ID에서 확인된 도메인 이름을 가리키는 서비스 연결점 개체가 없습니다.
  • 또는 도메인이 관리되는 경우 Seamless SSO가 구성되지 않았거나 작동하지 않습니다.
  • 디바이스 제한에 도달했습니다.

다음 단계

• Microsoft 오류 조회 도구