이 자습서에서는 여러 사용자를 지원하도록 MDM(모바일 장치 관리)을 통해 Microsoft Entra Joined Mac을 구성하는 방법에 대해 알아봅니다. PSSO(Platform SSO), 보안 enclave, 스마트 카드 또는 암호를 사용하여 Mac 디바이스를 등록할 수 있는 세 가지 방법이 있습니다. 최상의 암호 없는 환경을 위해 보안 Enclave 또는 스마트 카드를 사용하는 것이 좋습니다. 그러나 공유 또는 다중 사용자 Mac은 대신 암호 방법을 사용하면 도움이 될 수 있습니다. 암호가 있는 공유 Mac의 일반적인 시나리오는 학교 또는 대학의 컴퓨터 랩입니다. 이러한 시나리오에서는 학생이 여러 디바이스를 사용하고, 여러 학생이 동일한 디바이스를 사용하며, 암호만 있고 MFA 또는 암호 없는 자격 증명이 없습니다.
필수 조건
- 필요한 최소 버전은 macOS 14 Sonoma 이상이어야 합니다. macOS 13 Ventura는 플랫폼 SSO 전체에서 지원되지만 Sonoma만 이 가이드에 설명된 플랫폼 SSO 공유 Mac 시나리오에 필요한 도구를 지원합니다.
- Microsoft Intune 회사 포털 앱 버전 5.2404.0 이상
- MDM 내에 관리자가 구성한 플랫폼 SSO MDM 페이로드입니다.
MDM 구성
공유 디바이스에서 Platform SSO를 구성하는 세 가지 주요 단계가 있습니다.
- 회사 포털 배포합니다. 자세한 내용은 macOS 앱용 회사 포털 추가를 참조하세요.
- 플랫폼 SSO 구성을 배포합니다. 필요한 플랫폼 SSO 구성을 사용하여 설정 카탈로그 프로필을 만들고 배포합니다.
- macOS 로그인 화면 구성을 배포합니다. macOS 로그인 화면 구성을 변경하여 새 사용자가 로그인할 수 있도록 할 수 있습니다.
플랫폼 SSO 프로필 구성
플랫폼 SSO MDM 프로필은 다중 사용자 디바이스를 지원하기 위해 다음 구성을 적용해야 합니다.
| 구성 매개 변수 | 값 | 참고 |
|---|---|---|
| 화면 잠김 동작 | 처리 안 함 | 필수 |
| 등록 토큰 | {{기기등록}} | 최상의 등록 사용자 환경에 권장 |
| 인증 방법 | 암호 | 이 문서에 권장되는 보안 Enclave 키는 단일 사용자 디바이스에 권장됩니다. |
| 권한 부여 활성화 | 활성화됨 | 필수 |
| 로그인 시 사용자 생성을 사용 | 활성화됨 | 필수 |
| 새 사용자 권한 부여 모드 | 표준 | 권장 |
| 사용자 매핑에 대한 토큰 --> 계정 이름 | 선호_사용자이름 | 필수 |
| 사용자에 대한 토큰 매핑 --> 전체 이름 | 이름 | 필수 |
| 공유 디바이스 키 사용 | 활성화됨 | 필수 |
| 사용자 권한 부여 모드 | 표준 | 권장 |
| 팀 식별자 | UBF8T346G9 | 필수 |
| 확장 식별자 | com.microsoft.CompanyPortalMac.ssoextension | 필수 |
| 유형 | 리디렉션 | 필수 |
| URL들 |
https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.net, https://login.partner.microsoftonline.cn, https://login.chinacloudapi.cn, https://login.microsoftonline.ushttps://login-us.microsoftonline.com |
필수 |
Intune을 원하는 MDM으로 사용하는 경우 구성 프로필 설정은 다음과 같이 표시됩니다.
macOS 로그인 화면 구성
새 사용자가 로그온하여 macOS 로그인 화면에서 만들 수 있도록 하려면 다음 두 가지 구성을 사용할 수 있습니다.
관리되는 다른 사용자를 표시합니다. 이 구성을 사용하면 macOS 로그인 화면에 생성된 프로필 목록과 사용자 이름 및 암호로 로그인하는 데 사용할 수 있는 "다른 사용자" 단추가 표시됩니다. 사용자는 기존 프로필을 선택하여 MICROSOFT Entra ID UPN(사용자 계정 이름)으로 로그인하거나 로그인할 수 있습니다.
전체 이름을 표시합니다. 이 구성을 사용하면 macOS 로그인 화면이 표시되고 사용자 목록이 없는 사용자 이름 및 암호 필드가 표시됩니다. 사용자는 Microsoft Entra ID UPN으로 로그인할 수 있습니다.
이러한 구성은 Intune 설정 카탈로그의 로그인>로그인 창 동작 아래에서 찾을 수 있습니다.
디바이스 등록 및 신청
Mac 디바이스를 Platform SSO에 등록하려면 디바이스를 MDM에 등록해야 합니다. 공유 디바이스의 경우 디바이스를 설정하는 사용자는 일반적으로 관리자 또는 기술자가 됩니다. 대체 로컬 관리자 계정이 만들어지지 않는 한 이 사용자는 로컬 관리 권한을 갖습니다.
참고
자동화된 디바이스 등록을 사용하여 등록하는 경우 사용자가 다음과 같이 로컬 계정을 만들도록 디바이스를 설정하도록 권장할 수 있습니다.
- 계정 이름: Microsoft Entra ID 사용자 이름(예: user@domain.com).
- 전체 이름: 이름과 성. 이는 설치 도우미 중에 생성된 로컬 계정이 등록 중에 Microsoft Entra ID 계정과 연결되기 때문입니다.
공유 디바이스에서 Platform SSO를 설정하는 세 가지 고급 단계가 있습니다.
- IT 관리자 또는 위임된 사용자가 Intune에 디바이스를 등록합니다.
- IT 관리자 또는 위임된 사용자가 해당 자격 증명을 사용하여 디바이스를 Microsoft Entra ID에 등록합니다.
- 이제 새 사용자가 Microsoft Entra ID 로그인 화면에서 로그인할 수 있도록 디바이스가 준비되었습니다.
조직은 디바이스 소유권에 따라 다른 방법을 사용하여 공유 디바이스를 Intune에 등록할 수 있습니다.
| 등록 방법 | 디바이스 소유권 | 요구 사항 |
|---|---|---|
| 사용자 선호도 없이 자동화된 디바이스 등록 | 회사 또는 학교 소유 | ✔️ Apple Business Manager에 등록 ✔️ Intune에서 구성된 자동화된 기기 등록 |
| 회사 포털 | 개인적 | 없음 |
플랫폼 SSO 등록
디바이스가 MDM에 등록되고 회사 포털 설치되면 Platform SSO에 디바이스를 등록해야 합니다. 등록 필수 팝업이 화면의 오른쪽 위에 나타납니다. 팝업을 사용하여 Microsoft Entra ID 자격 증명을 사용하여 Platform SSO에 디바이스를 등록합니다.
화면 오른쪽 위에 있는 등록 필요 팝업으로 이동합니다. 팝업을 마우스로 가리키고 등록을 선택합니다.
Microsoft Entra ID를 사용하여 디바이스를 등록하라는 메시지가 표시됩니다. 로그인 자격 증명을 입력하고 다음을 선택합니다.
- 관리자가 디바이스 등록 흐름에 MFA를 구성했을 수 있습니다. 그렇다면 모바일 디바이스에서 Authenticator 앱을 열고 MFA 흐름을 완료합니다.
단일 로그인 창이 나타나면 로컬 계정 암호를 입력하고 확인을 선택합니다.
로컬 암호가 Microsoft Entra ID 암호와 다른 경우 화면 오른쪽 위에 인증 필요 팝업이 나타납니다. 배너를 마우스로 가리키고 로그인을 선택합니다.
Microsoft Entra 창이 나타나면 Microsoft Entra ID 암호를 입력하고 로그인을 선택합니다.
이제 Mac의 잠금을 해제한 후 Platform SSO를 사용하여 Microsoft 앱 리소스에 액세스할 수 있습니다. 이 시점부터는 디바이스에 플랫폼 SSO를 사용하도록 설정했기 때문에 이전 암호가 작동하지 않습니다.
디바이스 등록 상태 확인
위의 단계를 완료한 후에는 디바이스 등록 상태를 확인하는 것이 좋습니다.
등록이 성공적으로 완료되었는지 확인하려면 설정으로 이동하여 사용자 및 그룹을 선택합니다.
네트워크 계정 서버 옆에 있는 편집을 선택하고 플랫폼 SSO가 등록됨으로 나열되어 있는지 확인합니다.
인증에 사용된 방법을 확인하려면 사용자 및 그룹 창에서 사용자 이름으로 이동하여 정보 아이콘을 선택합니다. 보안 Enclave, 스마트 카드, 암호 중 어떤 방법이 나열되었는지 확인합니다.
참고
터미널 앱을 사용하여 등록 상태를 확인할 수도 있습니다. 다음 명령을 실행하여 디바이스 등록 상태를 확인합니다. 출력 아래쪽에서 SSO 토큰이 검색된 것을 볼 수 있습니다. macOS 13 Ventura 사용자의 경우 등록 상태를 확인하려면 이 명령이 필요합니다.
app-sso platform -s
로그인 시 사용자 생성 기능을 테스트하기
다음으로, 테넌트에 있는 다른 사용자가 디바이스에 로그인할 준비가 되었다는 것을 확인해야 합니다.
- 초기 설정을 수행하는 데 사용한 계정으로 Mac에서 로그아웃합니다.
- 로그인 화면에서 새 사용자 계정으로 로그인하려면 기타... 옵션을 선택합니다.
- 사용자의 Microsoft Entra ID 사용자 계정 이름 및 암호를 입력합니다.
- 사용자 계정 이름 및 암호가 올바르면 사용자가 로그인됩니다. 사용자는 기본적으로 여러 설치 도우미 대화 상자를 통과하도록 지시받은 다음 macOS 데스크톱에 배치됩니다.
문제 해결
사용자가 성공적으로 로그인할 수 없는 경우 다음 리소스를 사용하여 문제를 해결합니다.
- macOS Platform Single Sign-On 알려진 문제 및 문제 해결 가이드를 참조하세요.
- 사용자가 다른 디바이스의 브라우저에서 사용자 계정 이름 및 암호를 사용하여 Microsoft Entra ID에 성공적으로 로그인할 수 있는지 확인합니다. 사용자가 웹앱(예: 웹앱)으로 이동하도록 하여 테스트할 수 있습니다. https://myapps.microsoft.com