사용자 기반 Microsoft Entra 하이브리드 조인: OU(조직 구성 단위)에서 컴퓨터 계정 제한 늘리기

Windows Autopilot 사용자 기반 Microsoft Entra 하이브리드 조인 단계:

• 1단계: Windows 자동 Intune 등록 설정
• 2단계: Active Directory용 Intune 커넥터 설치

• 3단계: OU(조직 구성 단위)에서 컴퓨터 계정 제한 늘리기

• 4단계: 디바이스를 Windows Autopilot 디바이스로 등록
• 5단계: 디바이스 그룹 만들기
• 6단계: Windows Autopilot ESP(등록 상태 페이지) 구성 및 할당
• 7단계: Microsoft Entra 하이브리드 조인 Windows Autopilot 프로필 만들기 및 할당
• 8단계: 도메인 가입 프로필 구성 및 할당
• 9단계: 사용자에게 Windows Autopilot 디바이스 할당(선택 사항)
• 10단계: 디바이스 배포

Windows Autopilot 사용자 기반 Microsoft Entra 하이브리드 조인 워크플로에 대한 개요는 Windows Autopilot 사용자 기반 Microsoft Entra 하이브리드 조인 개요를 참조하세요.

참고

적절한 OU(조직 구성 단위)에 대한 컴퓨터 계정 제한이 이미 증가한 경우 이 단계를 건너뛰고 4단계: Windows Autopilot 디바이스로 디바이스 등록으로 이동합니다.

OU(조직 구성 단위)에서 컴퓨터 계정 제한 늘리기

업데이트된 커넥터

중요

이 단계는 다음 조건 중 하나에서만 필요합니다.

• Intune Connector for Active Directory를 설치하고 구성한 관리자는 Active Directory 요구 사항에 대한 Intune 커넥터에 설명된 대로 적절한 권한이 없습니다.
• Intune 커넥터를 설치하고 구성한 관리자는 위에서 설명한 대로 적절한 권한을 가지지만 MSA(관리 서비스 계정)에는 Intune Connector 설치 중에 지정된 조직 구성 단위에서 컴퓨터 개체를 만들 수 있는 권한이 부여되지 않았습니다.
• ODJConnectorEnrollmentWizard.exe.config MSA에 사용 권한이 있어야 하는 OU를 추가하도록 XML 파일이 수정되지 않았습니다.

Active Directory용 Intune 커넥터의 목적은 컴퓨터를 도메인에 조인하고 OU에 추가하는 것입니다. 이러한 이유로 active Directory용 Intune 커넥터에 사용되는 관리 서비스 계정에는 컴퓨터가 온-프레미스 도메인에 가입된 OU에서 컴퓨터 계정을 만들 수 있는 권한이 있어야 합니다.

Active Directory의 기본 사용 권한으로 Active Directory용 Intune 커넥터의 도메인 조인은 처음에 Active Directory의 OU에 대한 권한 수정 없이 작동할 수 있습니다. 그러나 MSA가 10대 이상의 컴퓨터를 온-프레미스 도메인에 조인하려고 하면 기본적으로 Active Directory는 단일 계정만 온-프레미스 도메인에 최대 10개의 컴퓨터를 조인할 수 있기 때문에 작동이 중지됩니다.

다음 사용자는 10가지 컴퓨터 도메인 가입 제한에 의해 제한되지 않습니다.

• 관리자 또는 도메인 관리자 그룹의 사용자: 최소 권한 원칙 모델을 준수하려면 MSA를 관리자 또는 도메인 관리자로 만드는 것이 좋습니다.
• 컴퓨터 계정을 만들기 위해 Active Directory의 OU(조직 구성 단위) 및 컨테이너에 위임된 권한이 있는 사용자: 이 방법은 최소 권한 원칙 모델을 따르기 때문에 권장됩니다.

이 제한을 해결하려면 MSA에 컴퓨터가 온-프레미스 도메인에 가입된 OU(조직 구성 단위)에서 컴퓨터 계정 만들기 권한이 필요합니다. Active Directory용 Intune 커넥터는 다음 조건 중 하나가 충족되는 한 MSA에 대한 권한을 OU로 설정합니다.

• active Directory용 Intune 커넥터를 설치하는 관리자에게는 OU에 대한 권한을 설정하는 데 필요한 권한이 있습니다.
• active Directory용 Intune 커넥터를 구성하는 관리자는 OU에 대한 권한을 설정하는 데 필요한 권한이 있습니다.

active Directory용 Intune 커넥터를 설치하거나 구성하는 관리자에게 OU에 대한 권한을 설정하는 데 필요한 권한이 없는 경우 다음 단계를 수행해야 합니다.

1. OU에 대한 권한을 설정하는 데 필요한 권한으로 계정으로 Active Directory 사용자 및 컴퓨터 콘솔에 액세스할 수 있는 컴퓨터에 로그인합니다.

2. DSA.msc를 실행하여 Active Directory 사용자 및 컴퓨터 콘솔을 엽니다.

3. 원하는 도메인을 확장하고 Windows Autopilot 중에 컴퓨터가 조인하는 OU(조직 구성 단위)로 이동합니다.

   참고

   Windows Autopilot 배포 중에 컴퓨터가 조인하는 OU는 나중에 도메인 가입 프로필 구성 및 할당 단계에서 지정됩니다.

4. OU를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

   참고

   컴퓨터가 OU 대신 기본 컴퓨터 컨테이너를 조인하는 경우 컴퓨터 컨테이너를 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

5. 열리는 OU 속성 창에서 보안 탭을 선택합니다.

6. 보안 탭에서 고급을 선택합니다.

7. 고급 보안 설정 창에서 추가를 선택합니다.

8. 사용 권한 항목 창의 보안 주체 옆에 있는 보안 주체 선택 링크를 선택합니다.

9. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 창에서 개체 유형... 단추를 선택합니다.

10. 개체 유형 창에서 서비스 계정 검사 상자를 선택한 다음 확인을 선택합니다.

11. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 창의 선택할 개체 이름 입력에서 active Directory용 Intune 커넥터에 사용되는 MSA의 이름을 입력합니다.

    팁

    MSA는 active Directory용 Intune 커넥터 설치 단계/섹션에서 만들어졌으며 의 이름 형식 msaODJ##### 은 임의의 ##### 문자 5개입니다. MSA 이름을 알 수 없는 경우 다음 단계에 따라 MSA 이름을 찾습니다.

    1. Intune Connector for Active Directory를 실행하는 서버에서 시작 메뉴를 마우스 오른쪽 단추로 클릭한 다음 컴퓨터 관리를 선택합니다.
    2. 컴퓨터 관리 창에서 서비스 및 애플리케이션을 확장한 다음 서비스를 선택합니다.
    3. 결과 창에서 활성 서비스에 대한 ODJConnector Intune 이름으로 서비스를 찾습니다. MSA의 이름은 로그온 열에 나열됩니다.

12. 이름 확인을 선택하여 MSA 이름 항목의 유효성을 검사합니다. 항목의 유효성이 검사되면 확인을 선택합니다.

13. 사용 권한 항목 창에서 적용 대상: 드롭다운 메뉴를 선택한 다음, 이 개체만을 선택합니다.

14. 사용 권한에서 모든 항목의 선택을 취소한 다음 컴퓨터 개체 만들기 검사 상자만 선택합니다.

15. 확인을 선택하여 사용 권한 항목 창을 닫습니다.

16. 고급 보안 설정 창에서 적용 또는 확인을 선택하여 변경 내용을 적용합니다.

레거시 커넥터

Active Directory용 Intune 커넥터의 목적은 컴퓨터를 도메인에 조인하고 OU에 추가하는 것입니다. 이러한 이유로 active Directory용 Intune 커넥터를 실행하는 서버에는 컴퓨터가 온-프레미스 도메인에 조인되는 OU에서 컴퓨터 계정을 만들 수 있는 권한이 있어야 합니다.

Active Directory의 기본 사용 권한으로 Active Directory용 Intune 커넥터의 도메인 조인은 처음에 Active Directory의 OU에 대한 권한 수정 없이 작동할 수 있습니다. 그러나 Intune Connector for Active Directory를 실행하는 서버가 10대 이상의 컴퓨터를 온-프레미스 도메인에 조인하려고 하면 기본적으로 Active Directory는 단일 계정만 온-프레미스 도메인에 최대 10개의 컴퓨터를 조인할 수 있기 때문에 작동이 중지됩니다.

다음 사용자는 10가지 컴퓨터 도메인 가입 제한에 의해 제한되지 않습니다.

• 관리자 또는 도메인 관리자 그룹의 사용자 - 최소 권한 원칙 모델을 준수하기 위해 Microsoft는 Active Directory용 Intune 커넥터를 실행하는 컴퓨터 계정을 관리자 또는 도메인 관리자로 만들지 않는 것이 좋습니다.
• 컴퓨터 계정을 만들기 위해 Active Directory의 OU(조직 구성 단위) 및 컨테이너에 위임된 권한이 있는 사용자 - 이 방법은 최소 권한 원칙 모델을 따르기 때문에 권장됩니다.

이 제한을 해결하려면 Intune Connector for Active Directory를 실행하는 서버에는 컴퓨터가 온-프레미스 도메인에 조인되는 OU(조직 구성 단위)에서 컴퓨터 계정 만들기 권한이 필요합니다.

Windows Autopilot 중에 컴퓨터가 조인하는 OU(조직 구성 단위)의 컴퓨터 계정 제한을 늘리려면 Active Directory 사용자 및 컴퓨터 콘솔에 액세스할 수 있는 컴퓨터에서 다음 단계를 수행합니다.

1. DSA.msc를 실행하여 Active Directory 사용자 및 컴퓨터 콘솔을 엽니다.

2. 원하는 도메인을 확장하고 Windows Autopilot 중에 컴퓨터가 조인하는 OU(조직 구성 단위)로 이동합니다.

   참고

   Windows Autopilot 배포 중에 컴퓨터가 조인하는 OU는 나중에 도메인 가입 프로필 구성 및 할당 단계에서 지정됩니다.

3. OU를 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

   참고

   컴퓨터가 OU 대신 기본 컴퓨터 컨테이너를 조인하는 경우 컴퓨터 컨테이너를 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

4. 제어 위임 마법사의 제어 위임 마법사 창에서 다음을 선택합니다.

5. 사용자 또는 그룹 창의 선택한 사용자 및 그룹에서추가를 선택합니다.

6. 이 개체 유형 선택 옆에 있는 사용자, 컴퓨터 또는 그룹 선택 창에서 개체 유형을 선택합니다.

7. 개체 유형 창에서 컴퓨터 검사 상자를 선택한 다음 확인을 선택합니다. 이 창의 다른 항목은 기본값으로 남겨둘 수 있습니다.

8. 사용자, 컴퓨터 또는 그룹 선택 창의 선택할 개체 이름 입력 상자에서 Active Directory용 Intune 커넥터 설치 단계에서 Intune Connector for Active Directory가 설치된 컴퓨터의 이름을 입력합니다.

9. 이름 확인을 선택하여 항목의 유효성을 검사합니다. 항목의 유효성이 검사되면 확인을 선택합니다.

10. 사용자 또는 그룹 창에서 선택한 사용자 및 그룹:에 올바른 컴퓨터가 표시되는지 확인한 다음, 다음을 선택합니다.

11. 위임할 작업 창에서 위임할 사용자 지정 작업 만들기를 선택한 다음, 다음을 선택합니다.

12. Active Directory 개체 유형 창에서 다음을 수행합니다.

    1. 폴더에서 다음 개체만을 선택합니다.

    2. 폴더의 다음 개체에서만컴퓨터 개체를 선택합니다.

    3. 이 폴더에서 선택한 개체 만들기 확인란을 선택합니다.

    4. 다음을 선택합니다.

13. 사용 권한 창의 Permissions:에서 모든 권한 검사 상자를 선택한 다음, 다음을 선택합니다.

    참고

    모든 권한 검사 상자를 선택하면 권한: 아래의 다른 모든 옵션이 자동으로 선택됩니다. 확인란의 자동 선택은 정상이며 필요합니다. 검사 상자가 자동으로 선택되면 선택 취소하지 마세요.

14. 제어 위임 마법사 완료 창에서 마침을 선택합니다.

다음 단계: 디바이스를 Windows Autopilot 디바이스로 등록

4단계: 디바이스를 Windows Autopilot 디바이스로 등록

관련 콘텐츠

조직 구성 단위에서 컴퓨터 계정 제한을 늘리는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

• OU(조직 구성 단위)에서 컴퓨터 계정 제한을 늘입니다.
• 사용자가 도메인에 가입할 수 있는 워크스테이션 수에 대한 기본 제한입니다.
• 도메인에 워크스테이션을 추가합니다.