다음을 통해 공유


Microsoft Entra 하이브리드 조인 구현 계획

온-프레미스 AD DS(Active Directory Domain Services) 환경을 사용 중이고 Microsoft Entra ID에 AD DS 도메인 조인 컴퓨터를 연결하려는 경우 Microsoft Entra 하이브리드 조인을 사용하면 됩니다.

온-프레미스 리소스에 대한 SSO(Single Sign-On) 액세스는 Microsoft Entra 조인 디바이스에서도 사용할 수 있습니다. 자세한 내용은 온-프레미스 리소스에 대한 SSO가 Microsoft Entra 조인 디바이스에서 작동하는 방식을 참조하세요.

필수 조건

이 문서에서는 사용자가 Microsoft Entra ID의 디바이스 ID 관리 소개를 잘 알고 있다고 가정합니다.

참고 항목

Windows 10 이상 Microsoft Entra 하이브리드 조인에 필요한 최소 도메인 컨트롤러(DC) 버전은 Windows Server 2008 R2입니다.

Microsoft Entra 하이브리드 조인 디바이스는 주기적으로 도메인 컨트롤러에 대한 네트워크 가시선이 필요합니다. 이 연결이 없으면 디바이스를 사용할 수 없게 됩니다.

도메인 컨트롤러의 가시선에 들어오지 않는 시나리오에는 다음이 포함됩니다.

  • 디바이스 암호 변경 암호 변경
  • 사용자 암호 변경(캐시된 자격 증명)
  • TPM(신뢰할 수 있는 플랫폼 모듈) 초기화

구현 계획

하이브리드 Microsoft Entra 구현 계획을 수립하려면 다음 사항을 숙지해야 합니다.

  • 지원되는 디바이스 검토
  • 알아야 할 사항 검토
  • Microsoft Entra 하이브리드 조인의 대상 배포 검토
  • ID 인프라에 따라 시나리오 선택
  • Microsoft Entra 하이브리드 조인에 대한 온-프레미스 Microsoft Windows Server Active Directory UPN(사용자 계정 이름) 지원 검토

지원되는 디바이스 검토

Microsoft Entra 하이브리드 조인은 광범위한 Windows 디바이스를 지원합니다.

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • 참고: Azure 국가별 클라우드 고객은 버전 1803이 필요합니다.
  • Windows Server 2019

모범 사례로 Microsoft는 최신 버전의 Windows로 업그레이드 하는 것을 권장합니다.

알아야 할 사항 검토

지원되지 않는 시나리오

  • DC(도메인 컨트롤러) 역할을 실행하는 Windows Server에서는 Microsoft Entra 하이브리드 조인이 지원되지 않습니다.
  • Server Core OS는 어떤 유형의 디바이스 등록도 지원하지 않습니다.
  • USMT(사용자 상태 마이그레이션 도구)에서는 디바이스 등록이 작동하지 않습니다.

OS 이미징 고려 사항

  • 시스템 준비 도구(Sysprep)를 사용하고 설치에 Windows 10 1809 이전 이미지를 사용하는 경우 해당 이미지는 이미 Microsoft Entra ID에 Microsoft Entra 하이브리드 조인으로 등록된 디바이스의 이미지가 아니어야 합니다.

  • VM(가상 머신) 스냅샷을 사용하여 더 많은 VM을 만드는 경우 해당 스냅샷은 이미 Microsoft Entra ID에 Microsoft Entra 하이브리드 조인으로 등록된 VM의 스냅샷이 아니어야 합니다.

  • 다시 부팅 시 디스크 변경 내용을 지우는 통합 쓰기 필터 및 이와 유사한 기술을 사용하는 경우 디바이스의 Microsoft Entra 하이브리드 조인 후에 이러한 기술을 적용해야 합니다. Microsoft Entra 하이브리드 조인을 완료하기 전에 이러한 기술을 적용하면 디바이스가 다시 부팅될 때마다 조인이 해제됩니다.

디바이스에서 Microsoft Entra 등록됨 상태 처리

Windows 10 이상 도메인 조인 디바이스가 테넌트에 등록된 Microsoft Entra인 경우 해당 디바이스는 Microsoft Entra 하이브리드 조인 상태와 Microsoft Entra 등록됨 상태의 이중 상태를 가질 수 있습니다. 이 시나리오를 자동으로 해결하려면 Windows 10 1803(KB4489894 적용) 이상으로 업그레이드하는 것이 좋습니다. 1803 이전 릴리스에서는 Microsoft Entra 하이브리드 조인을 사용하도록 설정하려면 먼저 Microsoft Entra 등록됨 상태를 수동으로 제거해야 합니다. 1803 이상 릴리스에서는 이중 상태를 방지하기 위해 다음과 같은 변경 내용이 적용되었습니다.

  • 사용자의 기존 Microsoft Entra 등록됨 상태는 디바이스가 Microsoft Entra 하이브리드 조인되고 동일한 사용자가 로그인한 후에 자동으로 제거됩니다. 예를 들어 사용자 A가 디바이스에서 Microsoft Entra 등록됨 상태인 경우 사용자 A가 디바이스에 로그인할 때만 사용자 A의 이중 상태가 정리됩니다. 동일한 디바이스에 여러 사용자가 있는 경우 해당하는 사용자가 로그인하면 이중 상태가 개별적으로 정리됩니다. 관리자가 Microsoft Entra 등록됨 상태를 제거한 후, 자동 등록을 통해 Microsoft Entra 등록 시 등록이 수행되면 Windows 10은 Intune 또는 다른 MDM(모바일 장치 관리)에서 디바이스 등록을 취소합니다.
  • 디바이스의 로컬 계정에서 Microsoft Entra 등록됨 상태는 이 변경의 영향을 받지 않습니다. 도메인 계정에만 적용됩니다. 사용자가 도메인 사용자가 아니므로 로컬 계정의 Microsoft Entra 등록됨 상태는 사용자 로그온 후에도 자동으로 제거되지 않습니다.
  • HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001 레지스트리 값을 추가하여 도메인 조인 디바이스가 Microsoft Entra에 등록되지 않도록 방지할 수 있습니다.
  • Windows 10 1803에서 비즈니스용 Windows Hello가 구성된 경우 사용자는 이중 상태 정리 후에 비즈니스용 Windows Hello를 다시 구성해야 합니다. 이 문제는 KB4512509로 해결됩니다.

참고 항목

Windows 10 및 Windows 11은 Microsoft Entra 등록됨 상태를 로컬에서 자동으로 제거하지만, Microsoft Entra ID의 디바이스 개체는 Intune에서 관리하는 경우 즉시 삭제되지 않습니다. dsregcmd /status를 실행하여 Microsoft Entra 등록됨 상태가 제거되었는지 확인하고, 이를 바탕으로 디바이스를 Microsoft Entra에 등록하지 않는 방안을 고려해 볼 수 있습니다.

단일 포리스트, 다중 Microsoft Entra 테넌트용 Microsoft Entra 하이브리드 조인

디바이스를 Microsoft Entra 하이브리드 조인으로 각 테넌트에 등록하려는 조직은 Microsoft Windows Server Active Directory가 아닌 디바이스에서 SCP(서비스 연결점)를 구성해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 Microsoft Entra 하이브리드 조인 대상 배포 문서에서 확인할 수 있습니다. 특정 Microsoft Entra 기능은 단일 포리스트, 다중 Microsoft Entra 테넌트 구성에서 작동하지 않는다는 점에 유의해야 합니다.

기타 고려 사항

  • 사용자 환경에서 VDI(가상 데스크톱 인프라)를 사용하는 경우 디바이스 ID 및 데스크톱 가상화를 참조하세요.

  • Microsoft Entra 하이브리드 조인은 FIPS(Federal Information Processing Standard) 규격 TPM 2.0에 지원되며 TPM 1.2에는 지원되지 않습니다. 디바이스에 FIPS 규격 TPM 1.2를 사용하는 경우 Microsoft Entra 하이브리드 조인을 진행하기 전에 디바이스를 사용하지 않도록 설정해야 합니다. TPM은 TPM 제조업체에 따라 다르므로 Microsoft에서 FIPS 모드를 사용하지 않도록 설정하는 도구를 제공하지 않습니다. 지원이 필요한 경우 하드웨어 OEM에 문의하세요.

  • Windows 10 1903 릴리스부터는 Microsoft Entra 하이브리드 조인에 TPM 1.2가 사용되지 않으며, 이러한 TPM을 사용하는 디바이스는 TPM이 없는 것처럼 처리됩니다.

  • UPN 변경은 Windows 10 2004 업데이트를 시작하는 경우에만 지원됩니다. Windows 10 2004 업데이트 이전 디바이스의 경우 사용자 디바이스에서 SSO 및 조건부 액세스 문제가 발생할 수 있습니다. 이 문제를 해결하려면 Microsoft Entra ID에서 디바이스 조인을 취소하고(상승된 권한으로 "dsregcmd /leave" 실행) 다시 조인해야 합니다(자동으로 진행됨). 하지만 비즈니스용 Windows Hello를 통해 로그인하는 사용자에게는 이 문제가 발생하지 않습니다.

대상 Microsoft Entra 하이브리드 조인 검토

조직 전체에 Microsoft Entra 하이브리드 조인을 사용하도록 설정하기 전에 대상 롤아웃을 수행하려는 경우가 있습니다. 수행 방법을 알아보려면 Microsoft Entra 하이브리드 조인 대상 배포 문서를 검토하세요.

Warning

조직은 파일럿 그룹에 다양한 역할 및 프로필의 사용자 샘플을 포함해야 합니다. 대상 롤아웃은 전체 조직에서 사용하도록 설정하기 전에 계획에서 해결하지 못했을 수 있는 문제를 식별하는 데 도움이 됩니다.

ID 인프라에 따라 시나리오 선택

Microsoft Entra 하이브리드 조인은 UPN의 라우팅 가능 여부에 따라 관리형 환경과 페더레이션 환경에서 모두 작동합니다. 지원되는 시나리오에 대한 표는 페이지 하단을 참조하세요.

관리 환경

관리형 환경은 매끄러운 Single Sign-On을 사용하여 PHS(암호 해시 동기화) 또는 PTA(통과 인증)를 통해 배포할 수 있습니다.

이러한 시나리오는 인증(AuthN)용 페더레이션 서버를 구성할 필요가 없습니다.

참고 항목

단계적 롤아웃을 사용한 클라우드 인증은 Windows 10 1903 업데이트에서 시작하는 경우에만 지원됩니다.

페더레이션 환경

페더레이션 환경은 다음 요구 사항을 지원하는 ID 공급자가 있어야 합니다. AD FS(Active Directory Federation Services)를 사용하는 페더레이션된 환경을 사용하는 경우에는 아래 요구 사항이 이미 지원됩니다.

WS-Trust 프로토콜: 이 프로토콜은 Microsoft Entra ID를 사용하여 Windows의 현재 Microsoft Entra 하이브리드 조인 디바이스를 인증하는 데 필요합니다. AD FS를 사용하는 경우 다음 WS-Trust 엔드포인트를 사용하도록 설정해야 합니다.

/adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Warning

adfs/services/trust/2005/windowstransport 또는 adfs/services/trust/13/windowstransport는 모두 인트라넷 연결 엔드포인트로만 사용하도록 설정해야 하며 웹 애플리케이션 프록시를 통해 엑스트라넷 연결 엔드포인트로 노출되어서는 안됩니다. WS-Trust Windows 엔드포인트를 비활성화는 방법에 대해 자세히 알아보려면 프록시에서 WS-Trust Windows 엔드포인트 사용 안 함을 참조하세요. 서비스>엔드포인트에서 AD FS 관리 콘솔을 통해 어떤 엔드포인트가 사용하도록 설정되었는지 확인할 수 있습니다.

1.1.819.0 버전부터 Microsoft Entra Connect는 Microsoft Entra 하이브리드 조인을 구성하는 마법사를 제공합니다. 마법사를 사용하면 구성 프로세스를 크게 간소화할 수 있습니다. 필요한 버전의 Microsoft Entra Connect를 설치할 수 없는 경우 디바이스 등록을 수동으로 구성하는 방법을 참조하세요. contoso.com이 확인된 사용자 지정 도메인으로 등록된 경우 동기화된 온-프레미스 AD DS UPN 접미사가 test.contoso.com과 같은 하위 도메인에 있더라도 사용자는 PRT를 가져올 수 있습니다.

Microsoft Entra 하이브리드 조인에 대한 온-프레미스 Microsoft Windows Server Active Directory 사용자 UPN 지원 검토

  • 라우팅 가능 사용자 UPN: 라우팅 가능 UPN에는 도메인 등록 기관에 등록되어 유효한 것으로 확인된 도메인이 있습니다. 예를 들어 contoso.com이 Microsoft Entra ID의 기본 도메인인 경우 contoso.org는 Contoso가 소유하고 Microsoft Entra ID가 확인한 온-프레미스 AD의 기본 도메인입니다.
  • 라우팅 불가능 사용자 UPN: 라우팅 불가능 UPN에는 확인된 도메인이 없으며 조직의 프라이빗 네트워크 내에서만 적용할 수 있습니다. contoso.com이 Microsoft Entra ID의 기본 도메인이고 contoso.local은 온-프레미스 AD의 기본 도메인이지만 인터넷에서 확인할 수 없는 도메인이며 Consoso의 네트워크 내에서만 사용되는 경우를 예로 들 수 있습니다.

참고 항목

이 섹션의 정보는 온-프레미스 사용자 UPN에만 적용됩니다. 온-프레미스 컴퓨터 도메인 접미사(예: computer1.contoso.local)에는 적용되지 않습니다.

다음 표는 Windows 10 Microsoft Entra 하이브리드 조인의 이러한 온-프레미스 Microsoft Windows Server Active Directory UPN 지원에 대한 세부 정보를 제공합니다.

온-프레미스 Microsoft Windows Server Active Directory UPN 유형 도메인 유형 Windows 10 버전 설명
라우팅 가능 페더레이션 1703 릴리스 일반적으로 사용 가능
라우팅 불가능 페더레이션 1803 릴리스 일반적으로 사용 가능
라우팅 가능 관리 1803 릴리스 일반적으로 사용 가능한 Windows 잠금 화면의 Microsoft Entra SSPR은 온-프레미스 UPN이 Microsoft Entra UPN과 다른 환경에서는 지원되지 않습니다. 온-프레미스 UPN은 Microsoft Entra ID의 onPremisesUserPrincipalName 특성과 동기화되어야 합니다.
라우팅 불가능 관리 지원되지 않음

다음 단계