Windows Autopilot 사용자 기반 Microsoft Entra 하이브리드 조인 단계:
- 2단계: Active Directory용 Intune 커넥터 설치
- 3단계: OU(조직 구성 단위)에서 컴퓨터 계정 제한 늘리기
- 4단계: 디바이스를 Windows Autopilot 디바이스로 등록
- 5단계: 디바이스 그룹 만들기
- 6단계: Windows Autopilot ESP(등록 상태 페이지) 구성 및 할당
- 7단계: Microsoft Entra 하이브리드 조인 Windows Autopilot 프로필 만들기 및 할당
- 8단계: 도메인 가입 프로필 구성 및 할당
- 9단계: 사용자에게 Windows Autopilot 디바이스 할당(선택 사항)
- 10단계: 디바이스 배포
Windows Autopilot 사용자 기반 Microsoft Entra 하이브리드 조인 워크플로에 대한 개요는 Windows Autopilot 사용자 기반 Microsoft Entra 하이브리드 조인 개요를 참조하세요.
참고
active Directory용 Intune 커넥터가 이미 설치 및 구성된 경우 이 단계를 건너뛰고 3단계: OU(조직 구성 단위)에서 컴퓨터 계정 제한 늘리기로 이동합니다.
Active Directory용 Intune 커넥터 설치
ODJ(오프라인 도메인 조인) 커넥터라고도 하는 Active Directory용 Intune 커넥터의 목적은 Windows Autopilot 프로세스 중에 컴퓨터를 온-프레미스 도메인에 조인하는 것입니다. active Directory용 Intune 커넥터는 도메인 조인 프로세스 중에 Active Directory의 지정된 OU(조직 구성 단위)에 컴퓨터 개체를 만듭니다.
중요
Intune 2501부터 Intune 보안을 강화하고 MSA(관리 서비스 계정)를 사용하여 최소 권한 원칙을 따르는 Active Directory용 업데이트된 Intune 커넥터를 사용합니다. Intune 내에서 Active Directory용 Intune 커넥터를 다운로드하면 Active Directory용 업데이트된 Intune 커넥터가 다운로드됩니다. 이전 레거시 Intune Connector for Active Directory는 여전히 active Directory용 Intune 커넥터에서 다운로드할 수 있지만, Microsoft는 앞으로 업데이트된 Intune Connector for Active Directory 설치 관리자를 사용하는 것이 좋습니다. 이전 레거시 Intune Connector for Active Directory는 2025년 6월에 계속 작동합니다. 그러나 기능 손실을 방지하려면 이전에 Active Directory용 업데이트된 Intune 커넥터로 업데이트해야 합니다. 자세한 내용은 Windows Autopilot 하이브리드 Microsoft Entra 조인 배포에 대한 권한이 낮은 계정이 있는 Active Directory용 Intune 커넥터를 참조하세요.
Active Directory용 Intune 커넥터를 업데이트된 버전으로 업데이트하는 작업은 자동으로 수행되지 않습니다. Active Directory용 레거시 Intune 커넥터를 수동으로 제거한 다음 업데이트된 커넥터를 수동으로 다운로드하고 설치해야 합니다. Active Directory용 Intune 커넥터의 수동 제거 및 설치 프로세스에 대한 지침은 다음 섹션에서 제공합니다.
설치 중인 Intune Connector for Active Directory의 버전에 해당하는 탭을 선택합니다.
업데이트된 커넥터설치를 시작하기 전에 Active Directory 서버 요구 사항에 대한 모든 Intune 커넥터가 충족되는지 확인합니다.
팁
Active Directory용 Intune 커넥터를 설치하고 구성하는 관리자가 Active Directory용 Intune 커넥터 요구 사항에 설명된 대로 적절한 도메인 권한을 가지는 것이 좋지만 필수는 아닙니다. 이 요구 사항을 사용하면 Intune Connector for Active Directory 설치 관리자 및 구성 프로세스에서 컴퓨터 개체가 만들어지는 컴퓨터 컨테이너 또는 OU에서 MSA에 대한 권한을 올바르게 설정할 수 있습니다. 관리자에게 이러한 권한이 없는 경우 적절한 권한이 있는 관리자는 OU(조직 구성 단위)에서 컴퓨터 계정 제한 늘리기 섹션을 따라야 합니다.
인터넷 Explorer 향상된 보안 구성 끄기
버전 6.2504.2001.8부터 Active Directory용 업데이트된 Intune 커넥터는 Microsoft 인터넷 Explorer 빌드된 WebBrowser 대신 Microsoft Edge에서 빌드된 WebView2를 사용하도록 전환되었습니다. 이 변경은 Windows Server 인터넷 Explorer 보안 강화 구성 설정을 더 이상 끌 필요가 없음을 의미합니다. 인터넷 Explorer 향상된 보안 구성 설정과 관련된 문제를 방지하려면 Active Directory용 Intune 커넥터 버전 6.2504.2001.8 이상을 설치해야 합니다.
Active Directory용 Intune 커넥터 다운로드
active Directory용 Intune 커넥터가 설치된 서버에서 Microsoft Intune 관리 센터에 로그인합니다.
홈 화면에서 왼쪽 창에서 디바이스를 선택합니다.
디바이스 | 개요 화면의 플랫폼별에서 Windows를 선택합니다.
Windows | Windows 디바이스 화면의 디바이스 온보딩에서 등록을 선택합니다.
Windows | Windows 등록 화면의 Windows Autopilot 아래에서 Active Directory용 Intune 커넥터를 선택합니다.
Active Directory용 Intune 커넥터 화면에서 추가를 선택합니다.
열리는 커넥터 추가 창의 Active Directory용 Intune 커넥터 구성에서 Active Directory용온-프레미스 Intune 커넥터 다운로드를 선택합니다. 링크는 라는
ODJConnectorBootstrapper.exe파일을 다운로드합니다.
서버에 active Directory용 Intune 커넥터 설치
중요
Active Directory용 Intune 커넥터 설치는 다음 도메인 권한이 있는 계정으로 수행해야 합니다.
- 필수 - Managed Service 계정 컨테이너에서 msDs-ManagedServiceAccount 개체를 만듭니다.
- 선택 사항 - Active Directory의 OU 사용 권한 수정 - 업데이트된 Intune Connector for Active Directory를 설치하는 관리자에게 이 권한이 없는 경우 이러한 권한이 있는 관리자가 추가 구성 단계를 수행해야 합니다. 자세한 내용은 조직 구성 단위에서 컴퓨터 계정 제한 늘리기/섹션을 참조하세요.
로컬 관리자 권한이 있는 계정으로 active Directory용 Intune 커넥터가 설치되는 서버에 로그인합니다.
이전 레거시 Intune Connector for Active Directory가 설치된 경우 먼저 제거한 후 업데이트된 Intune Connector for Active Directory를 설치합니다. 자세한 내용은 Active Directory용 Intune 커넥터 제거를 참조하세요.
중요
이전 레거시 Intune Connector for Active Directory를 제거할 때 제거 프로세스의 일부로 레거시 Intune Connector for Active Directory 설치 관리자를 실행해야 합니다. Active Directory용 레거시 Intune 커넥터 설치 관리자가 실행 시 제거하라는 메시지가 표시되면 을 선택하여 제거합니다. 이 단계를 수행하면 이전 레거시 Intune Connector for Active Directory가 완전히 제거됩니다. Active Directory용 레거시 Intune 커넥터 설치 관리자는 Intune Connector for Active Directory에서 다운로드할 수 있습니다.
팁
Active Directory용 단일 Intune 커넥터만 있는 도메인에서 먼저 업데이트된 Intune Connector for Active Directory를 다른 서버에 설치하는 것이 좋습니다. 현재 서버에서 Active Directory용 레거시 Intune 커넥터를 제거하기 전에 다른 서버에 업데이트된 Intune Connector for Active Directory를 설치해야 합니다. Intune Connector for Active Directory를 다른 서버에 설치하면 현재 서버에서 Intune Connector for Active Directory가 업데이트되는 동안 가동 중지 시간이 발생하지 않습니다.
ODJConnectorBootstrapper.exe다운로드한 파일을 열어 active Directory용 Intune 커넥터 설치를 시작합니다.Active Directory용 Intune 커넥터 설치를 단계별로 실행합니다.
설치가 끝나면 Active Directory용 Intune 커넥터 시작 확인란을 선택합니다.
참고
active Directory용 Intune 커넥터 설치가 Active Directory용 Intune 커넥터 시작 확인란을 선택하지 않고 실수로 닫힌 경우 Active Directory용 Intune 커넥터를 선택하여 Active Directory용Intune 커넥터> 구성을 다시 열 수 있습니다Intune 시작 메뉴의 Active Directory용 커넥터입니다.
Active Directory용 Intune 커넥터에 로그인
Intune 커넥터 for Active Directory 창의 등록 탭에서 로그인을 선택합니다.
로그인 탭에서 Intune 관리자 역할의 Microsoft Entra ID 자격 증명으로 로그인합니다. 사용자 계정에는 할당된 Intune 라이선스가 있어야 합니다. 로그인 프로세스를 완료하는 데 몇 분 정도 걸릴 수 있습니다.
참고
Active Directory용 Intune 커넥터를 등록하는 데 사용되는 계정은 설치 시 임시 요구 사항일 뿐입니다. 서버가 등록된 후에는 계정이 사용되지 않습니다.
로그인 프로세스가 완료되면 다음을 수행합니다.
- Active Directory용 Intune 커넥터가 성공적으로 등록됨 확인 창이 나타납니다. 확인을 선택하여 창을 닫습니다.
-
이름이 "<MSA_name>"인 관리 서비스 계정이 성공적으로 설정되었습니다. 확인 창이 나타납니다. MSA의 이름은 5개의 임의 문자 형식
msaODJ########## 입니다. 생성된 MSA의 이름을 알립니다. 그런 다음 확인을 선택하여 창을 닫습니다. 나중에 OU에서 컴퓨터 개체를 만들 수 있도록 MSA를 구성하려면 MSA의 이름이 필요할 수 있습니다.
등록 탭에는 Active Directory용 커넥터가 등록되어 Intune 표시됩니다. 로그인 단추가 회색으로 표시되고 관리 서비스 계정 구성이 사용하도록 설정됩니다.
Active Directory용 Intune 커넥터 창을 닫습니다.
Active Directory용 Intune 커넥터가 활성 상태인지 확인합니다.
인증 후 Active Directory용 Intune 커넥터 설치가 완료됩니다. 설치가 완료되면 다음 단계에 따라 Intune 활성 상태인지 확인합니다.
여전히 열려 있는 경우 Microsoft Intune 관리 센터로 이동합니다. 커넥터 추가 창이 계속 표시되면 닫습니다.
Microsoft Intune 관리 센터가 아직 열려 있지 않은 경우:
Microsoft Intune 관리 센터에 로그인합니다.
홈 화면에서 왼쪽 창에서 디바이스를 선택합니다.
디바이스 | 개요 화면의 플랫폼별에서 Windows를 선택합니다.
Windows | Windows 디바이스 화면의 디바이스 온보딩에서 등록을 선택합니다.
Windows | Windows 등록 화면의 Windows Autopilot 아래에서 Active Directory용 Intune 커넥터를 선택합니다.
Active Directory용 Intune 커넥터 페이지에서 다음을 수행합니다.
- 서버가 커넥터 이름 아래에 표시되고 상태 아래에 활성으로 표시되는지 확인합니다.
- Active Directory용 업데이트된 Intune Connector의 경우 버전이 6.2501.2000.5보다 크거나 같은지 확인합니다.
서버가 표시되지 않으면 새로 고침을 선택하거나 페이지에서 이동한 다음 Active Directory용 Intune 커넥터 페이지로 다시 이동합니다.
참고
새로 등록된 서버가 Microsoft Intune 관리 센터의Intune Connector for Active Directory 페이지에 표시되는 데 몇 분 정도 걸릴 수 있습니다. 등록된 서버는 Intune 서비스와 성공적으로 통신할 수 있는 경우에만 나타납니다.
Active Directory용 비활성 Intune 커넥터는 Intune Connector for Active Directory 페이지에 계속 표시되며 30일 후에 자동으로 정리됩니다.
Intune Connector for Active Directory가 설치되면 Applications and Services Logs>Microsoft>Intune>ODJConnectorService 경로 아래의 이벤트 뷰어 로깅을 시작합니다. 이 경로에서 관리 및 운영 로그를 찾을 수 있습니다.
OU에서 개체를 만들 수 있도록 MSA 구성(선택 사항)
기본적으로 MSA는 컴퓨터 컨테이너에서 컴퓨터 개체를 만들 수 있는 액세스 권한만 있습니다. MSA는 OU(조직 구성 단위)에서 컴퓨터 개체를 만들 수 있는 액세스 권한이 없습니다. MSA가 OU에서 개체를 만들 수 있도록 하려면 active Directory용 Intune Connector가 설치된 디렉터리에 있는 XML 파일에 ODJConnectorEnrollmentWizard OU를 추가 ODJConnectorEnrollmentWizard.exe.config 해야 합니다(일반적으로 C:\Program Files\Microsoft Intune\ODJConnector\).
OU에서 개체를 만들 수 있도록 MSA를 구성하려면 다음 단계를 수행합니다.
Intune Connector for Active Directory가 설치된 서버에서 Intune Connector for Active Directory가 설치된 디렉터리(일반적으로
C:\Program Files\Microsoft Intune\ODJConnector\)로 이동합니다ODJConnectorEnrollmentWizard.디렉터리에서
ODJConnectorEnrollmentWizard텍스트 편집기에서 기존ODJConnectorEnrollmentWizard.exe.configXML 파일(예: 메모장)을 엽니다.add keyXML 파일의 요소에서 다음을 수행ODJConnectorEnrollmentWizard.exe.config합니다.- 옆에
value=MSA가 컴퓨터 개체를 만들 수 있는 액세스 권한이 있어야 하는 원하는 OU를 추가합니다. - OU 이름은 LDAP 고유 이름 형식이어야 하며 해당하는 경우 이스케이프해야 합니다.
- 각 OU를 세미콜론(;))으로 구분하여 여러 OU를 지원합니다.
- 옆에 따옴표(")를 유지해야 합니다
value=. 모든 OU 값은 한 쌍의 따옴표 안에 있어야 합니다. - 키 요소
OrganizationalUnitsUsedForOfflineDomainJoin의 이름을 변경하지 마세요.
다음 예제는 LDAP 고유 이름 형식의 여러 OU를 사용하는 예제 XML 항목입니다.
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>팁
예제에서 옆에
value=있는 예제 빨간색 텍스트를 LDAP 고유 이름 형식의 organization OU로 바꿉 있습니다. 예제와 같이 모든 OU 항목이 따옴표(") 내에 있고 각 OU가 세미콜론(;))으로 구분되어 있는지 확인합니다.- 옆에
원하는 모든 OU가 추가되면 XML 파일을 저장합니다
ODJConnectorEnrollmentWizard.exe.config.OU 권한을 수정할 수 있는 적절한 권한이 있는 관리자는 시작 메뉴에서 Intune Connector for Active DirectoryIntune Connector for Active Directory로 이동하여 active Directory> 용 Intune 커넥터를 엽니다.
중요
active Directory용 Intune 커넥터를 설치하고 구성하는 관리자에게 OU 권한을 수정할 수 있는 권한이 없는 경우 OU 권한을 수정할 수 있는 권한이 있는 관리자 대신 조직 구성 단위의 컴퓨터 계정 제한 늘리기 섹션/단계를 따라야 합니다.
Intune 커넥터 for Active Directory 창의 등록 탭에서 관리 서비스 계정 구성을 선택합니다.
이름이 "<MSA_name>"인 관리 서비스 계정이 성공적으로 설정되었습니다. 확인 창이 나타납니다. 확인을 선택하여 창을 닫습니다.