하이브리드 Azure Active Directory 조인 구현 계획

온-프레미스 Active Directory Domain Services(AD DS) 환경을 사용하고, Azure AD에 AD DS 도메인 조인 컴퓨터를 연결하려는 경우 하이브리드 Azure AD 조인으로 이 작업을 수행할 수 있습니다.

온-프레미스 리소스에 대한 SSO 액세스는 Azure AD 조인된 디바이스에서도 사용할 수 있습니다. 자세한 내용은 온-프레미스 리소스에 대한 SSO가 Azure AD 조인 디바이스에서 작동하는 방식을 참조하세요.

필수 구성 요소

이 문서에서는 사용자가 Azure Active Directory의 디바이스 ID 관리 소개를 잘 알고 있다고 가정합니다.

참고

Windows 10 이상 하이브리드 Azure AD 조인에 필요한 최소 도메인 컨트롤러 버전은 Windows Server 2008 R2입니다.

하이브리드 Azure AD 조인 디바이스에는 주기적으로 도메인 컨트롤러에 대한 네트워크 라인이 필요합니다. 이 연결이 없으면 디바이스를 사용할 수 없게 됩니다.

도메인 컨트롤러의 가시선에 들어오지 않는 시나리오:

  • 디바이스 암호 변경 암호 변경
  • 사용자 암호 변경(캐시된 자격 증명)
  • TPM 다시 설정

구현 계획

하이브리드 Azure AD 구현을 계획하려면 다음 사항을 숙지해야 합니다.

  • 지원되는 디바이스 검토
  • 알아야 할 사항 검토
  • 하이브리드 Azure AD 조인의 대상 배포 검토
  • ID 인프라에 따라 시나리오 선택
  • 하이브리드 Azure AD 조인에 대한 온-프레미스 AD UPN 지원 검토

지원되는 디바이스 검토

하이브리드 Azure AD 조인은 광범위한 Windows 디바이스를 지원합니다. 이전 버전의 Windows를 실행하는 디바이스에 대한 구성에는 다른 단계가 필요하므로 지원되는 디바이스는 두 가지 범주로 그룹화됩니다.

Windows 현재 디바이스

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • 참고: Azure 국가별 클라우드 고객은 버전 1803이 필요합니다.
  • Windows Server 2019

Windows 데스크톱 운영 체제를 실행하는 디바이스의 경우 지원되는 버전은 Windows 10 릴리스 정보 문서에 나열되어 있습니다. 모범 사례로 Microsoft는 최신 버전의 Windows로 업그레이드 하는 것을 권장합니다.

Windows 하위 수준 디바이스

첫 번째 계획 단계에서는 사용자 환경을 검토하고 Windows 하위 수준 디바이스를 지원해야 하는지 여부를 결정해야 합니다.

알아야 할 사항 검토

지원되지 않는 시나리오

  • 도메인 컨트롤러(DC) 역할을 실행하는 Windows Server에서는 하이브리드 Azure AD 조인이 지원되지 않습니다.
  • 자격 증명 로밍 또는 사용자 프로필 로밍 또는 필수 프로필을 사용하는 경우에는 Windows 하위 수준 디바이스에서 하이브리드 Azure AD 조인이 지원되지 않습니다.
  • Server Core OS는 어떤 유형의 디바이스 등록도 지원하지 않습니다.
  • USMT(사용자 상태 마이그레이션 도구)에서는 디바이스 등록이 작동하지 않습니다.

OS 이미징 고려 사항

  • 시스템 준비 도구(Sysprep)를 사용하고 설치를 위해 Windows 10 1809 이전 이미지를 사용하는 경우 이미지가 Azure AD에 이미 하이브리드 Azure AD 조인으로 등록된 디바이스에서 만들어지지 않았는지 확인합니다.

  • VM(가상 머신) 스냅샷을 사용하여 VM을 더 만드는 경우, Azure AD에 이미 하이브리드 Azure AD 조인으로 등록된 VM의 스냅샷이 아닌지 확인합니다.

  • 다시 부팅 시 디스크에 대한 변경 내용을 지우는 통합 쓰기 필터와 유사한 기술을 사용하는 경우 이 기술은 디바이스가 하이브리드 Azure AD에 조인된 후에 적용되어야 합니다. 하이브리드 Azure AD 조인을 완료하기 전에 해당 기술을 사용하도록 설정하면 디바이스가 다시 부팅될 때마다 조인이 해제됩니다.

디바이스에서 Azure AD 등록 상태 처리

Windows 10 이상 도메인 조인 디바이스가 테넌트에 등록된 Azure AD인 경우 하이브리드 Azure AD 조인 및 Azure AD 등록 디바이스의 이중 상태로 이어질 수 있습니다. 이 시나리오를 자동으로 해결하려면 Windows 10 1803(KB4489894 적용) 이상으로 업그레이드하는 것이 좋습니다. 1803 이전 릴리스에서는 하이브리드 Azure AD 조인을 사용하도록 설정하기 전에 Azure AD 등록 상태를 수동으로 제거해야 합니다. 1803 이상 릴리스에서는 이중 상태를 방지하기 위해 다음과 같은 변경 내용이 적용되었습니다.

  • 디바이스가 하이브리드 Azure AD 조인되고 동일한 사용자가 로그인하면 사용자의 기존 Azure AD 등록된 상태가 자동으로 제거됩니다. 예를 들어 디바이스에 사용자 A의 Azure AD 등록 상태가 있는 경우 사용자 A가 디바이스에 로그인할 때만 사용자 A에 대한 이중 상태가 정리됩니다. 동일한 디바이스에 여러 사용자가 있는 경우 해당하는 사용자가 로그인하면 이중 상태가 개별적으로 정리됩니다. Azure AD 등록 상태를 제거한 후, 자동 등록을 통해 Azure AD 등록의 일부로 등록을 수행하는 경우 Windows 10은 Intune 또는 다른 MDM에서 디바이스 등록을 취소합니다.
  • 디바이스의 로컬 계정에 대한 Azure AD 등록 상태는 해당 변경의 영향을 받지 않습니다. 도메인 계정에만 적용됩니다. 사용자가 도메인 사용자가 아니므로 로컬 계정에 대한 Azure AD 등록 상태는 사용자 로그온 후에도 자동으로 제거되지 않습니다.
  • HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001 레지스트리 값을 추가하여 도메인 조인 디바이스가 Azure AD에 등록되지 않도록 방지할 수 있습니다.
  • Windows 10 1803에서 비즈니스용 Windows Hello가 구성된 경우 사용자는 이중 상태 정리 후에 비즈니스용 Windows Hello를 다시 구성해야 합니다. 이 문제는 KB4512509로 해결되었습니다.

참고

Windows 10 및 Windows 11은 Azure AD 등록 상태를 로컬에서 자동으로 제거하지만 Azure AD의 디바이스 개체는 Intune에서 관리하는 경우 즉시 삭제되지 않습니다. dsregcmd /status를 실행하여 Azure AD 등록 상태 제거를 확인하고 이를 바탕으로 디바이스가 Azure AD가 등록되지 않도록 고려할 수 있습니다.

단일 포리스트, 여러 Azure AD 테넌트용 하이브리드 Azure AD 조인

디바이스를 각 테넌트에 대한 하이브리드 Azure AD 조인으로 등록하려면 조직은 SCP 구성이 AD가 아닌 디바이스에서 수행되도록 해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 하이브리드 Azure AD 조인 대상 배포 문서에서 확인할 수 있습니다. 조직에서는 특정 Azure AD 기능이 단일 포리스트, 여러 Azure AD 테넌트 구성에서 작동하지 않는다는 것을 이해하는 것이 중요합니다.

기타 고려 사항

  • 사용자 환경에서 VDI(가상 데스크톱 인프라)를 사용하는 경우 디바이스 ID 및 데스크톱 가상화를 참조하세요.

  • 하이브리드 Azure AD 조인은 FIPS 규격 TPM 2.0에 대해 지원되며 TPM 1.2에 대해서는 지원되지 않습니다. 디바이스에 FIPS 규격 TPM 1.2가 있는 경우 하이브리드 Azure AD 조인을 진행하기 전에 디바이스를 사용하지 않도록 설정해야 합니다. TPM은 TPM 제조업체에 따라 다르므로 Microsoft에서 FIPS 모드를 사용하지 않도록 설정하는 도구를 제공하지 않습니다. 지원이 필요한 경우 하드웨어 OEM에 문의하세요.

  • Windows 10 1903 릴리스부터는 TPM 1.2가 하이브리드 Azure AD 조인과 함께 사용되지 않으며 해당 TPM이 있는 디바이스는 TPM이 없는 것으로 간주됩니다.

  • UPN 변경은 Windows 10 2004 업데이트를 시작하는 경우에만 지원됩니다. Windows 10 2004 업데이트 이전 디바이스의 경우 사용자 디바이스에서 SSO 및 조건부 액세스 문제가 발생할 수 있습니다. 이 문제를 해결하려면 Azure AD에서 디바이스 조인을 취소한 다음(상승된 권한으로 "dsregcmd /leave" 실행) 다시 조인(자동으로 진행됨)해야 합니다. 하지만 비즈니스용 Windows Hello를 통해 로그인하는 사용자에게는 이 문제가 발생하지 않습니다.

대상 하이브리드 Azure AD 조인 검토

조직에서는 전체 조직에 대해 사용하도록 설정하기 전에 하이브리드 Azure AD 조인의 대상 롤아웃을 수행할 수 있습니다. 수행 방법을 알아보려면 하이브리드 Azure AD 조인 대상 배포 문서를 검토하세요.

경고

조직은 파일럿 그룹에 다양한 역할 및 프로필의 사용자 샘플을 포함해야 합니다. 대상 롤아웃은 전체 조직에서 사용하도록 설정하기 전에 계획에서 해결하지 못한 문제를 식별하는 데 도움이 됩니다.

ID 인프라에 따라 시나리오 선택

하이브리드 Azure AD 조인은 UPN을 라우팅할 수 있는지에 따라 관리형 환경과 페더레이션된 환경 모두에서 작동합니다. 지원되는 시나리오에 대한 표는 페이지 하단을 참조하세요.

관리 환경

관리형 환경은 Seamless Single Sign On을 사용하여 PHS(암호 해시 동기화) 또는 PTA(통과 인증)를 통해 배포할 수 있습니다.

이러한 시나리오는 인증용 페더레이션 서버를 구성할 필요가 없습니다.

참고

단계적 롤아웃을 사용한 클라우드 인증은 Windows 10 1903 업데이트에서 시작하는 경우에만 지원됩니다.

페더레이션 환경

페더레이션 환경은 다음 요구 사항을 지원하는 ID 공급자가 있어야 합니다. AD FS(Active Directory Federation Services)를 사용하는 페더레이션된 환경을 사용하는 경우에는 아래 요구 사항이 이미 지원됩니다.

  • WIAORMULTIAUTHN 클레임: 이 클레임은 Windows 하위 수준 디바이스의 하이브리드 Azure AD 조인을 수행하는 데 필요합니다.
  • WS-Trust 프로토콜: 이 프로토콜은 Azure AD를 사용하여 현재 Windows 하이브리드 Azure AD 조인 디바이스를 인증하는 데 필요합니다. AD FS를 사용하는 경우 다음 WS-Trust 엔드포인트를 사용하도록 설정해야 합니다. /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

경고

adfs/services/trust/2005/windowstransport 또는 adfs/services/trust/13/windowstransport는 모두 인트라넷 연결 엔드포인트로만 사용하도록 설정해야 하며 웹 애플리케이션 프록시를 통해 엑스트라넷 연결 엔드포인트로 노출되어서는 안됩니다. WS-Trust Windows 엔드포인트를 비활성화는 방법에 대해 자세히 알아보려면 프록시에서 WS-Trust Windows 엔드포인트 사용 안 함을 참조하세요. 서비스엔드포인트에서 AD FS 관리 콘솔을 통해 어떤 엔드포인트가 사용하도록 설정되었는지 확인할 수 있습니다.

버전 1.1.819.0부터 Azure AD Connect는 하이브리드 Azure AD 조인을 구성하는 마법사를 제공합니다. 마법사를 사용하면 구성 프로세스를 크게 간소화할 수 있습니다. 필요한 버전의 Azure AD Connect를 설치할 수 없는 경우 디바이스 등록을 수동으로 구성하는 방법을 참조하세요.

하이브리드 Azure AD 조인에 대한 온-프레미스 AD 사용자 UPN 지원 검토

경우에 따라 온-프레미스 AD 사용자 UPN이 Azure AD UPN과 다를 수 있습니다. 이러한 경우 Windows 10 이상의 하이브리드 Azure AD 조인은 인증 방법, 도메인 유형 및 Windows 버전을 기반으로 온-프레미스 AD UPN에 대한 제한된 지원을 제공합니다. 사용자 환경에 있을 수 있는 온-프레미스 AD UPN에는 두 가지 유형이 있습니다.

  • 라우팅 가능 사용자 UPN: 라우팅 가능 UPN에는 도메인 등록 기관에 등록되어 유효한 것으로 확인된 도메인이 있습니다. 예를 들어 contoso.com이 Azure AD의 기본 도메인인 경우 contoso.org는 Contoso에서 소유하고 Azure AD에서 확인된 온-프레미스 AD의 기본 도메인입니다.
  • 라우팅 불가능 사용자 UPN: 라우팅 불가능 UPN에는 확인된 도메인이 없으며 조직의 프라이빗 네트워크 내에서만 적용할 수 있습니다. contoso.com이 Azure AD의 기본 도메인이고 contoso.local은 온-프레미스 AD의 기본 도메인이지만 인터넷에서 확인할 수 없는 도메인이며 Consoso의 네트워크 내에서만 사용되는 경우를 예로 들 수 있습니다.

참고

이 섹션의 정보는 온-프레미스 사용자 UPN에만 적용됩니다. 온-프레미스 컴퓨터 도메인 접미사(예: computer1.contoso.local)에는 적용되지 않습니다.

다음 표에서는 Windows 10 하이브리드 Azure AD 조인에서 이러한 온-프레미스 AD UPN에 대한 지원을 자세히 설명합니다.

온-프레미스 AD UPN 유형 도메인 유형 Windows 10 버전 Description
라우팅 가능 페더레이션 1703 릴리스 일반 공급
라우팅 불가능 페더레이션 1803 릴리스 일반 공급
라우팅 가능 관리 1803 릴리스 일반적으로 사용 가능한 Windows 잠금 화면의 Azure AD SSPR은 온-프레미스 UPN이 Azure AD UPN과 다른 환경에서 지원되지 않습니다. 온-프레미스 UPN은 Azure AD의 onPremisesUserPrincipalName 특성과 동기화되어야 합니다.
라우팅 불가능 관리 지원되지 않음

다음 단계