Microsoft Entra 하이브리드 조인 대상 배포

  • 아티클

전체 조직에서 사용하도록 설정하기 전에 대상 배포를 사용하여 하이브리드 Microsoft Entra 조인 디바이스에 대한 계획 및 필수 조건의 유효성을 검사할 수 있습니다. 이 문서에서는 Microsoft Entra 하이브리드 조인의 대상 배포를 수행하는 방법을 설명합니다.

주의

Active Directory에서 값을 수정할 때는 주의해야 합니다. 설정된 환경에서 변경하면 의도하지 않은 결과가 발생할 수 있습니다.

Windows 현재 디바이스에 Microsoft Entra 하이브리드 조인의 대상 배포

Windows 10 실행하는 디바이스의 경우 하이브리드 조인을 수행하도록 지원되는 최소 버전은 Windows 10(버전 1607)입니다. 최신 버전의 Windows 10 또는 11로 업그레이드하는 것이 가장 좋습니다. 이전 운영 체제를 지원해야 하는 경우 하위 수준 디바이스 지원 섹션 을 참조하세요.

Windows 현재 디바이스에서 Microsoft Entra 하이브리드 조인의 대상 배포를 수행하려면 다음을 수행해야 합니다.

  1. 있는 경우 Windows Server Active Directory에서 SCP(서비스 커넥트ion Point) 항목을 지웁니다.
  2. GPO(그룹 정책 개체)를 사용하여 기본 조인된 컴퓨터에서 SCP에 대한 클라이언트 쪽 레지스트리 설정을 구성합니다.
  3. AD FS(Active Directory Federation Services)를 사용하는 경우 GPO를 사용하여 AD FS 서버에서 SCP에 대한 클라이언트 쪽 레지스트리 설정도 구성해야 합니다.
  4. 디바이스 동기화를 사용하도록 설정하려면 Microsoft Entra 커넥트 동기화 옵션을 사용자 지정해야 할 수 있습니다.

SCP는 특정 상황에서 디바이스의 레지스트리에서 로컬로 구성될 수 있습니다. 디바이스가 해당 구성을 사용하는 레지스트리에서 값을 찾으면 SCP에 대한 디렉터리를 쿼리하고 하이브리드 조인을 시도합니다.

Microsoft Windows Server Active Directory에서 SCP 지우기

ADSI 편집기(Active Directory Services Interfaces Editor)를 사용하여 Microsoft Windows Server Active Directory에서 SCP 개체를 수정합니다.

  1. 관리 워크스테이션 또는 도메인 컨트롤러에서 ADSI 편집 데스크톱 애플리케이션을 엔터프라이즈 관리자로 시작합니다.
  2. 도메인의 구성 명명 컨텍스트에 연결합니다.
  3. CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration으로 이동합니다.
  4. 리프 개체 CN=62a0ff2e-97b9-4513-943f-0d221bd30080을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
    1. 특성 편집기 창에서 키워드를 선택하고 편집을 선택합니다.
    2. azureADIdazureADName 값(한 번에 하나씩)을 선택하고 제거를 선택합니다.
  5. ADSI 편집을 닫습니다.

SCP에 대한 클라이언트 쪽 레지스트리 설정 구성

다음 예제를 사용하여 GPO(그룹 정책 개체)를 만들어 디바이스의 레지스트리에 SCP 항목을 구성하는 레지스트리 설정을 배포합니다.

  1. 그룹 정책 관리 콘솔을 열고 도메인에 새 그룹 정책 개체를 만듭니다.
    1. 새로 만든 GPO에 이름(예: ClientSideSCP)을 제공합니다.
  2. GPO를 편집하고 컴퓨터 구성>기본 설정>Windows 설정>레지스트리 경로를 찾습니다.
  3. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새로 만들기>레지스트리 항목을 선택합니다.
    1. 일반 탭에서 다음을 구성합니다.
      1. 작업: 업데이트
      2. 하이브: HKEY_LOCAL_MACHINE
      3. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 값 이름: TenantId
      5. 값 형식: REG_SZ
      6. 값 데이터: ID 개요>속성>테넌트 ID에서 >찾을 수 있는 Microsoft Entra 테넌트 ID의 GUID(Globally Unique Identifier) 또는 테넌트 ID입니다.
    2. 확인을 선택합니다.
  4. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새로 만들기>레지스트리 항목을 선택합니다.
    1. 일반 탭에서 다음을 구성합니다.
      1. 작업: 업데이트
      2. 하이브: HKEY_LOCAL_MACHINE
      3. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 값 이름: TenantName
      5. 값 형식: REG_SZ
      6. 값 데이터: AD FS와 같은 페더레이션된 환경을 사용하는 경우 확인된 도메인 이름. 확인된 도메인 이름 또는 onmicrosoft.com 도메인 이름(예: 관리형 환경을 사용하는 경우 contoso.onmicrosoft.com)
    2. 확인을 선택합니다.
  5. 새로 만든 GPO 편집기를 닫습니다.
  6. 새로 만든 GPO를 제어된 롤아웃 모집단에 속하는 do기본 조인된 컴퓨터를 포함하는 올바른 OU(조직 구성 단위)에 연결합니다.

AD FS 설정 구성

Microsoft Entra ID가 AD FS와 페더레이션된 경우 먼저 앞서 언급한 지침에 따라 GPO를 AD FS 서버에 연결하여 클라이언트 쪽 SCP를 구성해야 합니다. SCP 개체는 디바이스 개체에 대한 인증 원본을 정의합니다. 온-프레미스 또는 Microsoft Entra ID일 수 있습니다. 클라이언트 쪽 SCP가 AD FS용으로 구성되면 디바이스 개체의 원본이 Microsoft Entra ID로 설정됩니다.

참고 항목

AD FS 서버에서 클라이언트 쪽 SCP를 구성하지 못한 경우 디바이스 ID의 원본은 온-프레미스로 간주됩니다. 그러면 ADFS는 AD FS 디바이스 등록의 특성 “MaximumInactiveDays”에 정의된 규정된 기간 이후에 온-프레미스 디렉터리에서 디바이스 개체 삭제를 시작합니다. ADFS 디바이스 등록 개체는 Get-AdfsDeviceRegistration cmdlet을 사용하여 찾을 수 있습니다.

하위 수준 디바이스 지원

Windows 하위 수준 디바이스를 등록하려면 조직에서는 Microsoft Download Center에 제공되는 비 Windows 10 컴퓨터용 Microsoft Workplace Join을 설치해야 합니다.

Microsoft Configuration Manager와 같은 소프트웨어 배포 시스템을 사용하여 패키지를 배포할 수 있습니다. 패키지는 quiet 매개 변수를 사용하여 표준 자동 설치 옵션을 지원합니다. 구성 관리자의 현재 분기는 완료된 등록을 추적하는 기능과 같은 이전 버전보다 나은 이점이 추가로 제공됩니다.

설치 관리자는 사용자 컨텍스트에서 실행되는 예약된 작업을 시스템에 만듭니다. 사용자가 Windows에 로그인할 때 이 작업이 트리거됩니다. 작업은 Microsoft Entra ID로 인증한 후 사용자 자격 증명을 사용하여 Microsoft Entra ID로 디바이스를 자동으로 조인합니다.

디바이스 등록을 제어하려면 선택된 Windows 하위 수준 디바이스 그룹에 Windows Installer 패키지를 배포해야 합니다.

참고 항목

MICROSOFT Windows Server Active Directory에서 SCP가 구성되지 않은 경우 GPO(그룹 정책 개체)를 사용하여 기본 조인된 컴퓨터에서 SCP에 대한 클라이언트 쪽 레지스트리 설정 구성에 설명된 것과 동일한 접근 방식을 따라야 합니다.

디바이스가 보류 상태인 이유

온-프레미스 디바이스용 Microsoft Entra Connect 동기화에서 Microsoft Entra Hybrid Join 작업을 구성하는 경우 작업은 디바이스 개체를 Microsoft Entra ID에 동기화하고, 디바이스가 디바이스 등록을 완료하기 전에 일시적으로 디바이스의 등록 상태를 "보류 중"으로 설정합니다. 이 보류 상태는 디바이스를 등록하기 전에 Microsoft Entra 디렉터리에 추가해야 하기 때문입니다. 디바이스 등록 프로세스에 대한 자세한 내용은 작동 방법: 디바이스 등록을 참조하세요.

사후 유효성 검사

모든 것이 예상대로 작동하는지 확인한 후 Microsoft Entra ID를 사용하여 나머지 Windows 현재 및 하위 수준 디바이스를 자동으로 등록할 수 있습니다. Microsoft Entra Connect를 사용하여 SCP를 구성하여 Microsoft Entra 하이브리드 조인을 자동화합니다.

관련 콘텐츠