Microsoft Entra ID 및 Azure 역할 기반 액세스 제어를 사용하여 Azure 또는 Arc 지원 Windows Server에서 Windows 가상 머신에 로그인

조직은 Microsoft Entra 인증과 통합하여 Azure 또는 Azure Arc를 사용하여 연결된 Windows 디바이스의 보안을 향상시킬 수 있습니다. 이제 Microsoft Entra ID를 Windows Server 2019 Datacenter 버전 이상 또는 Windows 10 1809 이상에서 RDP(원격 데스크톱 프로토콜)에 대한 핵심 인증 플랫폼으로 사용할 수 있습니다. 그런 다음 디바이스에 대한 액세스를 허용하거나 거부하는 Azure RBAC(역할 기반 액세스 제어) 및 조건부 액세스 정책을 중앙에서 제어하고 적용할 수 있습니다.

이 문서에서는 Microsoft Entra ID 기반 인증을 사용하여 Windows 머신을 만들고 구성하고 로그인하는 방법을 보여 줍니다.

Microsoft Entra ID 기반 인증을 사용하여 Azure의 Windows 디바이스에 로그인하거나 Azure Arc를 사용하여 연결된 경우 많은 보안 이점이 있습니다. 다음을 포함합니다.

• 암호 없는 Microsoft Entra 인증을 사용하여 Windows 디바이스에 로그인합니다. 로컬 관리자 계정에 대한 의존도를 줄입니다.
• Microsoft Entra ID에 대해 구성하는 암호 복잡성 및 암호 수명 정책을 사용하면 Windows 디바이스를 보호하는 데도 도움이 됩니다.
• Azure 역할 기반 액세스 제어 사용:
  • 일반 사용자 또는 관리자 권한으로 로그인할 수 있는 사용자를 지정합니다.
  • 사용자가 팀에 가입하거나 팀을 떠날 때 Azure 역할 기반 액세스 제어 정책을 업데이트하여 적절한 액세스 권한을 부여할 수 있습니다.
  • 직원이 조직을 떠나고 해당 사용자 계정이 사용하지 않도록 설정되거나 Microsoft Entra ID에서 제거되면 더 이상 리소스에 액세스할 수 없습니다.
• 조건부 액세스 정책 "피싱 방지 MFA" 및 사용자 로그인 위험과 같은 기타 신호를 사용합니다.
• Azure Policy를 사용하여 정책을 배포 및 감사하여 Windows 디바이스에 대한 Microsoft Entra 로그인을 요구하고 디바이스에서 승인되지 않은 로컬 계정의 사용에 플래그를 지정합니다.
• Intune을 사용하여 가상 데스크톱 인프라(VDI) 배포의 일부인 Azure Windows VM의 MDM(모바일 장치 관리) 자동 등록을 통해 Microsoft의 Entra 조인을 자동화하고 확장하세요. MDM 자동 등록에는 Microsoft Entra ID P1 라이선스가 필요합니다. Windows Server VM은 MDM 등록을 지원하지 않습니다.

MDM 자동 등록에는 Microsoft Entra ID P1 라이선스가 필요합니다. Windows Server VM은 MDM 등록을 지원하지 않습니다.

중요

이 기능을 사용하도록 설정하면 Azure 가상 머신/Arc 지원 컴퓨터가 Microsoft Entra에 조인됩니다. 온-프레미스 Active Directory 또는 Microsoft Entra Domain Services와 같은 다른 도메인에 가입할 수 없습니다. 이렇게 해야 하는 경우 확장을 제거하여 Microsoft Entra에서 디바이스 연결을 끊습니다. 또한 지원되는 골든 이미지를 배포하는 경우 확장을 설치하여 Microsoft Entra ID 인증을 사용하도록 설정할 수 있습니다.

요구 사항

지원되는 Azure 지역 및 Windows 배포

이 기능이 지원되는 Windows 배포판은 현재 다음과 같습니다.

• Windows 11 21H2 이상이 설치되었습니다.
• Windows 10 버전 1809 이상이 설치되었습니다.
• 데스크톱 환경과 함께 설치된 Windows Server 1809 이상

• Windows 11 24H2 이상이 설치되었습니다.
• 데스크톱 환경과 함께 설치된 Windows Server 2025 이상.

이제 다음 Azure 클라우드에서 이 기능을 사용할 수 있습니다.

• Azure 글로벌
• Azure Government (애저 정부 클라우드)
• 21Vianet에서 운영하는 Microsoft Azure

참고

CIS 강화 이미지는 Microsoft Windows Enterprise 및 Microsoft Windows Server 제품에 대한 Microsoft Entra ID 인증을 지원합니다. 자세한 내용은 Microsoft Windows Enterprise의 CIS 강화 이미지를 참조하세요.

네트워크 요구 사항

Azure 또는 Arc 지원 Windows Server의 가상 머신에 Microsoft Entra 인증을 사용하도록 설정하려면 네트워크 구성에서 TCP 포트 443을 통해 다음 엔드포인트에 대한 아웃바운드 액세스를 허용하는지 확인해야 합니다.

Azure 글로벌:

• https://enterpriseregistration.windows.net: 디바이스 등록.

• http://169.254.169.254: Azure 인스턴스 메타데이터 서비스의 엔드포인트입니다.

• http://localhost:40342: Arc Instance 메타데이터 서비스 엔드포인트입니다.

• https://login.microsoftonline.com: 인증 흐름입니다.
• https://pas.windows.net: Azure 역할 기반 액세스 제어 흐름입니다.

Azure Government:

• https://enterpriseregistration.microsoftonline.us: 디바이스 등록.

• http://169.254.169.254: Azure 인스턴스 메타데이터 서비스의 엔드포인트입니다.

• http://localhost:40342: Arc Instance 메타데이터 서비스 엔드포인트입니다.

• https://login.microsoftonline.us: 인증 흐름입니다.
• https://pasff.usgovcloudapi.net: Azure 역할 기반 액세스 제어 흐름입니다.

21Vianet에서 운영하는 Microsoft Azure:

• https://enterpriseregistration.partner.microsoftonline.cn: 디바이스 등록.

• http://169.254.169.254: Azure 인스턴스 메타데이터 서비스의 엔드포인트입니다.

• http://localhost:40342: Arc Instance 메타데이터 서비스 엔드포인트입니다.

• https://login.chinacloudapi.cn: 인증 흐름입니다.
• https://pas.chinacloudapi.cn: Azure 역할 기반 액세스 제어 흐름입니다.

Azure Arc 지원 Windows Server의 경우 Arc 연결 서버 설명서에 더 많은 네트워크 요구 사항이 제공됩니다.

인증 요구 사항

Microsoft Entra 게스트 계정은 Microsoft Entra 인증을 통해 Azure VM, Azure Bastion 지원 VM 또는 Arc 지원 Windows Server에 연결할 수 없습니다.

Azure 또는 Arc 지원 Windows Server에서 Windows 가상 머신에 Microsoft Entra 로그인 사용

Azure 또는 Arc 지원 Windows Server에서 Windows 가상 머신에 Microsoft Entra 로그인을 사용하려면 다음을 수행해야 합니다.

1. 디바이스에 대한 Microsoft Entra 로그인 확장을 사용하도록 설정합니다.
2. 사용자에 대한 Azure 역할 할당을 구성합니다.

Microsoft Entra 로그인 확장 사용

자세한 배포 방법 및 샘플은 디바이스에 대한 적절한 링크를 따릅니다.

• Windows를 실행하는 Azure 가상 머신
• Arc 사용 가능 Windows Server

Microsoft Entra 로그인 가상 머신 확장을 설치하기 전에 Azure 가상 머신 또는 Arc 지원 Windows Server에서 시스템 할당 관리 ID를 사용하도록 설정해야 합니다. 관리 ID는 단일 Microsoft Entra 테넌트에 저장되며 현재 디렉터리 간 시나리오를 지원하지 않습니다.

다음 샘플에서는 Arc 지원 Windows Server용 Azure Virtual Machine 확장 및 확장에 대한 Azure 템플릿을 보여 줍니다.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.HybridCompute/machines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2024-07-10",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "2.1.0.0",
        "autoUpgradeMinorVersion": true,
        "settings": {
            "mdmId": ""
        }
      }
    }
  ]
}

참고

Arc 지원 Windows Server에 대한 Microsoft Entra 로그인 확장 기능은 settings 내에 mdmId 속성이 중첩되어야 합니다. 속성 값은 빈 문자열로 남을 수 있습니다.

디바이스에 확장이 설치되면 provisioningState이(가) Succeeded을(를) 표시합니다.

역할 할당 구성

사용자가 Azure 가상 머신 또는 Arc 연결 Windows Server에 로그인하도록 허용하려면 먼저 Microsoft Entra의 사용자 계정을 Azure의 역할 할당에 추가해야 합니다. Azure 가상 머신과 Arc 지원 Windows Server 모두에 동일한 역할이 사용됩니다.

사용자 역할을 할당하려면 Virtual Machine 데이터 액세스 관리자 역할 또는 역할 기반 액세스 제어 관리자 역할과 같은 작업을 포함하는 Microsoft.Authorization/roleAssignments/write 역할이 있어야 합니다. 그러나 가상 머신 데이터 액세스 관리자와 다른 역할을 사용하는 경우 역할 할당을 만들 수 있는 권한을 줄이는 조건을 추가하는 것이 좋습니다.

• 가상 머신 관리자 로그인: 이 역할이 할당된 사용자는 관리자 권한으로 Azure 가상 머신에 로그인할 수 있습니다.
• 가상 머신 사용자 로그인: 이 역할이 할당된 사용자는 일반 사용자 권한으로 Azure 가상 머신에 로그인할 수 있습니다.

참고

로컬 관리자 그룹의 구성원에 사용자를 추가하거나 명령을 실행 net localgroup administrators /add "AzureAD\UserUpn" 하여 디바이스에서 로컬 관리자가 되도록 사용자를 수동으로 상승시키는 것은 지원되지 않습니다. 로그인 권한을 부여하려면 Azure에서 역할을 사용해야 합니다.

참고

소유자 또는 기여자 역할이 할당된 Azure 사용자는 디바이스에 로그인할 수 있는 권한이 자동으로 부여되지 않습니다. 이는 가상 머신을 제어하는 사용자와 가상 머신에 액세스하는 사용자 사이에 감사된 분리를 제공하기 위함입니다.

다음 설명서에서는 Azure의 역할 할당에 사용자 계정을 추가하는 단계별 세부 정보를 제공합니다.

• Azure Portal을 사용하여 Azure 역할 할당
• Azure CLI를 사용하여 Azure 역할 할당
• Azure PowerShell을 사용하여 Azure 역할 할당

Windows VM에 Microsoft Entra 자격 증명을 사용하여 로그인

다음 두 방법 중 하나를 사용하여 RDP에 로그인 할 수 있습니다.

• 지원되는 Microsoft Entra 자격 증명을 사용하는 암호 없는 인증(권장)
• 인증서 신뢰 모델을 사용하여 배포된 비즈니스용 Windows Hello를 통한 암호/제한적인 비밀번호 없는 인증

Microsoft Entra ID로 암호 없는 인증을 사용하여 로그인

Azure에서 Windows VM에 암호 없는 인증을 사용하려면 다음 운영 체제에서 Windows 클라이언트 컴퓨터와 세션 호스트(VM)가 필요합니다.

• 2022년 10월 Windows 11용 누적 업데이트(KB5018418) 이상이 설치된 Windows 11.
• Windows 10용 2022년 10월 누적 업데이트(KB5018410) 이상이 설치된 Windows 10, 버전 20H2 이상.
• Windows Server 2022에 Microsoft 서버 운영 체제용 2022년 10월 누적 업데이트(KB5018421) 또는 그 이상의 버전이 설치되어 있음.

참고

웹 계정을 사용하여 원격 컴퓨터 옵션에 로그인하는 경우 로컬 디바이스를 도메인 또는 Microsoft Entra ID에 가입할 필요가 없습니다.

원격 컴퓨터에 연결하려면:

• Windows 검색에서 원격 데스크톱 연결을 시작하거나 mstsc.exe을 실행합니다.
• 고급 탭에서 웹 계정을 사용하여 원격 컴퓨터에 로그인 옵션을 선택합니다. 이 옵션은 enablerdsaadauth RDP 속성과 동등합니다. 자세한 내용은 원격 데스크톱 서비스에서 지원되는 RDP 속성을 참조하세요.
• 원격 컴퓨터의 이름을 지정하고 연결을 선택합니다.

중요

IP 주소는 웹 계정을 사용하여 원격 컴퓨터 옵션에 로그인하는 데 사용할 수 없습니다. 이름은 Microsoft Entra ID에 있는 원격 디바이스의 호스트 이름과 일치해야 하고 네트워크 주소 지정 가능하여 원격 디바이스의 IP 주소로 확인해야 합니다.

• 자격 증명을 묻는 메시지가 표시되면 사용자 이름을 user@domain.com 형식으로 지정합니다.
• 그런 다음, 새 PC에 연결할 때 원격 데스크톱 연결을 허용하라는 메시지가 표시됩니다. Microsoft Entra는 메시지를 다시 표시하기 전에 30일 동안 최대 15개의 호스트를 기억합니다. 이 대화 상자가 표시되면 예를 선택하여 연결합니다.

중요

조직에서 Microsoft Entra 조건부 액세스를 사용하는 경우 디바이스는 원격 컴퓨터에 대한 연결을 허용하기 위해 조건부 액세스 요구 사항을 충족해야 합니다. 제어된 액세스를 위해 애플리케이션 Microsoft 원격 데스크톱(a4a365df-50f1-4397-bc59-1a1564b8bb9c)에 조건부 액세스 정책을 적용할 수 있습니다.

참고

원격 세션의 Windows 잠금 화면은 Microsoft Entra 인증 토큰 또는 FIDO 키와 같은 암호 없는 인증 방법을 지원하지 않습니다. 이러한 인증 방법에 대한 지원 부족은 사용자가 원격 세션에서 화면의 잠금을 해제할 수 없다는 것을 의미합니다. 사용자 작업 또는 시스템 정책을 통해 원격 세션을 잠그려고 하면 세션 연결이 끊어지고 서비스가 사용자에게 메시지를 보냅니다. 세션의 연결을 끊으면 비활성 기간 후 연결이 다시 시작되면 Microsoft Entra ID가 해당 조건부 액세스 정책을 다시 평가합니다.

Microsoft Entra ID로 암호/제한된 암호 없는 인증을 사용하여 로그인

중요

Microsoft Entra ID에 조인된 VM에 대한 원격 연결은 Microsoft Entra에 등록(최소 필수 빌드 20H1)되거나 Microsoft Entra에 조인되거나 Microsoft Entra 하이브리드가 VM과 동일한 디렉터리에 조인되어 있는 Windows 10 이상의 PC에서만 허용됩니다. 또한 Microsoft Entra 자격 증명을 사용하는 RDP의 경우 사용자는 두 개의 Azure 역할, 즉 가상 머신 관리자 로그인 또는 가상 머신 사용자 로그인 중 하나에 속해야 합니다.

Microsoft Entra에 등록된 Windows 10 이상 PC를 사용하는 경우 AzureAD\UPN 형식(예: AzureAD\john@contoso.com)으로 자격 증명을 입력해야 합니다. 현재 Azure Bastion을 사용하여 Azure CLI 및 네이티브 RDP 클라이언트 mstsc를 통해 Microsoft Entra 인증으로 로그인할 수 있습니다.

Microsoft Entra ID를 사용하여 Windows Server 2019 가상 머신에 로그인하려면 다음을 수행합니다.

1. Microsoft Entra 로그인을 사용하여 사용하도록 설정된 가상 머신의 개요 페이지로 이동합니다.
2. 연결을 선택하여 가상 머신에 연결 창을 엽니다.
3. RDP 파일 다운로드를 선택합니다.
4. 열기를 선택하여 원격 데스크톱 연결 클라이언트를 엽니다.
5. 연결을 선택하여 Windows 로그인 대화 상자를 엽니다.
6. Microsoft Entra 자격 증명을 사용하여 로그인합니다.

이제 VM 사용자 또는 VM 관리자와 같은 할당된 역할 권한으로 Windows Server 2019 Azure 가상 머신에 로그인되었습니다.

참고

Azure Portal의 .RDP 가상 머신 개요 페이지로 이동하고 연결 옵션을 사용하는 대신 컴퓨터에 로컬로 파일을 저장하여 가상 머신에 대한 향후 원격 데스크톱 연결을 시작할 수 있습니다.

조건부 액세스 정책 적용

사용자가 Azure 또는 Arc 지원 Windows Server의 Windows 디바이스에 액세스하기 전에 "피싱 방지 MFA" 또는 사용자 로그인 위험 검사와 같은 조건부 액세스 정책을 적용할 수 있습니다. 조건부 액세스 정책을 적용하려면 클라우드 앱 또는 작업 할당 옵션에서 Microsoft Azure Windows Virtual Machine 로그인 앱을 선택해야 합니다.

디바이스 구성 규칙을 사용하여 로그인을 제한하는 조건부 액세스 정책은 Windows Server 디바이스에서 연결할 때 지원되지 않습니다.

참고

MFA를 컨트롤로 요구하는 경우 대상 Windows 디바이스에 RDP 세션을 시작하는 클라이언트의 일부로 MFA 클레임을 제공해야 합니다. Windows의 원격 데스크톱 애플리케이션은 조건부 액세스 정책을 지원합니다. 그러나 웹 로그인을 사용하는 경우 비즈니스용 Windows Hello PIN 또는 생체 인식 인증을 사용해야 합니다. 생체 인식 인증에 대한 지원이 Windows 10 버전 1809의 RDP 클라이언트에 추가되었습니다. 비즈니스용 Windows Hello 인증을 사용하는 원격 데스크톱은 인증서 신뢰 모델을 사용하고 키 신뢰 모델에 사용할 수 없는 배포에만 사용할 수 있습니다.

Azure Policy를 사용하여 표준 충족 및 규정 준수 평가

Azure Policy를 사용하여 다음을 수행합니다.

• 새 Windows 디바이스와 기존 Windows 디바이스에 대해 Microsoft Entra 로그인이 사용하도록 설정되어 있는지 확인합니다.
• 규정 준수 대시보드에서 현재 환경의 규정 준수를 대규모로 평가합니다.

이 기능을 사용하면 여러 수준에서 적용할 수 있습니다. Microsoft Entra 로그인을 사용하도록 설정하지 않은 환경 내에서 새 Windows 및 기존 Windows 디바이스에 플래그를 지정할 수 있습니다. Azure Policy를 사용하여 Azure 또는 Arc 지원 Windows Server의 Windows 가상 머신에 Microsoft Entra 확장을 배포할 수도 있습니다.

이러한 기능 외에도 Azure Policy를 사용하여 디바이스에서 승인되지 않은 로컬 계정을 만든 Windows 머신을 검색하고 플래그를 지정할 수 있습니다. 자세한 내용은 Azure Policy를 검토하세요.

배포 문제 해결

디바이스가 Microsoft Entra 조인 프로세스를 완료하려면 AADLoginForWindows 확장을 성공적으로 설치해야 합니다. 확장을 올바르게 설치하지 못한 경우 다음 단계를 수행합니다.

1. 디바이스에 연결하고 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1에서 CommandExecution.log파일을 검사합니다.

   초기 실패 후 확장이 다시 시작되면 배포 오류가 있는 로그가 CommandExecution_YYYYMMDDHHMMSSSSS.log로 저장됩니다.

2. 디바이스에서 PowerShell 창을 엽니다. 호스트에서 실행되는 Azure Instance Metadata Service 엔드포인트에 대해 다음 쿼리가 예상 출력을 반환했는지 확인합니다.

   Azure 가상 머신의 경우:

   실행할 명령	예상 출력
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Azure 가상 머신에 대한 올바른 정보
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Azure 구독과 연결된 유효한 테넌트 ID
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	이 가상 머신에 할당된 관리 ID에 대해 Microsoft Entra ID에서 발급한 유효한 액세스 토큰

   Arc 지원 Windows 서버의 경우:

   실행할 명령	예상 출력
   curl.exe -H Metadata:true "http://localhost:40342/metadata/instance?api-version=2017-08-01"	Azure Arc 지원 Windows Server에 대한 올바른 정보
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/info?api-version=2018-02-01"	Azure 구독과 연결된 유효한 테넌트 ID
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	이 Azure Arc 지원 Windows Server에 할당된 관리 ID에 대해 Microsoft Entra ID에서 발급한 유효한 액세스 토큰

   https://jwt.ms/와 같은 도구를 사용하여 액세스 토큰을 디코딩할 수 있습니다. 액세스 토큰의 oid 값이 디바이스의 관리 ID와 일치하는지 확인합니다.

3. PowerShell을 통해 디바이스에서 필요한 엔드포인트에 액세스할 수 있는지 확인합니다.

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Azure 구독에 연결된 Microsoft Entra 테넌트 ID로 <TenantID>을(를) 교체하십시오. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net 및 pas.windows.net는 예상되는 동작인 404 찾을 수 없음을 반환해야 합니다.

4. dsregcmd /status를 실행하여 디바이스 상태를 봅니다. 디바이스 상태가 AzureAdJoined : YES로 표시되는지 확인하는 것이 목적입니다.

   Microsoft Entra 조인 활동은 User Device Registration\Admin 로그 아래에 있는 Event Viewer (local)\Applications 및 Services Logs\Microsoft\Windows\User Device Registration\Admin에서 이벤트 뷰어로 캡처됩니다.

AADLoginForWindows 확장이 오류 코드와 함께 실패하는 경우 다음 단계를 수행할 수 있습니다.

디바이스 이름이 이미 있음

Azure 가상 머신의 호스트 이름과 동일한 displayName을 가진 디바이스 개체가 있는 경우 디바이스는 호스트 이름 중복 오류와 함께 Microsoft Entra를 조인하지 못합니다. 호스트 이름을 수정하여 중복을 방지합니다.

터미널 오류 코드 1007 및 종료 코드 -2145648574

터미널 오류 코드 1007 및 종료 코드 -2145648574는 DSREG_E_MSI_TENANTID_UNAVAILABLE로 해석됩니다. 확장이 Microsoft Entra 테넌트 정보를 쿼리할 수 없습니다.

로컬 관리자로 디바이스에 연결하고 엔드포인트가 Azure Instance Metadata Service에서 유효한 테넌트 ID를 반환했는지 확인합니다. 디바이스의 관리자 권한 PowerShell 창에서 다음 명령을 실행합니다.

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

관리자가 AADLoginForWindows 확장을 설치하려고 하지만 디바이스에 시스템 할당 관리 ID가 없는 경우에도 이 문제가 발생할 수 있습니다. 이 경우 디바이스의 ID 창으로 이동합니다. 시스템 할당 페이지에서 상태 토글이 켜짐으로 설정되어 있는지 확인합니다.

종료 코드 -2145648607

종료 코드 -2145648607은 DSREG_AUTOJOIN_DISC_FAILED로 해석됩니다. 확장이 https://enterpriseregistration.windows.net 엔드포인트에 연결할 수 없습니다.

1. PowerShell을 통해 디바이스에서 필요한 엔드포인트에 액세스할 수 있는지 확인합니다.

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Azure 구독의 Microsoft Entra 테넌트 ID로 <TenantID>를 바꾸십시오. 테넌트 ID를 찾아야 하는 경우 계정 이름 위로 마우스를 가져가거나 Entra ID>개요>속성>테넌트 ID를 선택할 수 있습니다.

   enterpriseregistration.windows.net에 연결을 시도하면 404 찾을 수 없음이 반환될 수 있으며, 이는 예상한 동작입니다. pas.windows.net에 연결을 시도하면 PIN 자격 증명을 묻는 메시지가 표시되거나 404 찾을 수 없음이 반환될 수 있습니다. (PIN을 입력할 필요가 없습니다.) URL에 연결할 수 있는지 확인할 때 두 방법 중 어떤 것을 사용해도 됩니다.

2. "호스트 <URL>를 확인할 수 없음"으로 인해 명령이 실패하는 경우 이 명령을 실행하여 Windows에서 사용 중인 DNS 서버를 확인합니다.

   nslookup <URL>

   <URL>을 엔드포인트에서 사용하는 정규화된 도메인 이름(예: login.microsoftonline.com)으로 바꿉니다.

3. 다음과 같이 공용 DNS 서버를 지정하면 명령이 성공하는지 확인합니다.

   nslookup <URL> 208.67.222.222

4. 필요한 경우 디바이스가 속한 네트워크 보안 그룹에 할당된 DNS 서버를 변경합니다.

종료 코드 51

종료 코드 51은 "이 확장은 이 운영 체제에서 지원되지 않습니다."로 변환됩니다.

AADLoginForWindows 확장은 운영 체제 Windows Server 2019 또는 Windows 10 1809 이상이 있는 Azure 가상 머신 및 Arc 지원 Windows Server에서 운영 체제 Windows Server 2025 또는 Windows 11 24H2를 사용하는 Arc 지원 Windows Server에만 설치됩니다. 지원되는 Windows 버전 또는 빌드인지 확인하세요. 지원되지 않는 경우 확장을 제거합니다.

로그인 문제 해결

다음 정보를 사용하여 로그인 문제를 해결할 수 있습니다.

dsregcmd /status를 실행하여 디바이스 및 SSO(Single Sign-On) 상태를 볼 수 있습니다. 목표는 디바이스 상태가 AzureAdJoined : YES로 표시되고 SSO 상태가 AzureAdPrt : YES로 표시되도록 하는 것입니다.

Microsoft Entra 계정을 통한 RDP 로그인은 이벤트 뷰어의 Applications and Services Logs\Microsoft\Windows\AAD\Operational 이벤트 로그 아래에 캡처됩니다.

Azure 역할 할당되지 않음

디바이스에 대한 원격 데스크톱 연결을 시작할 때 다음과 같은 오류 메시지가 표시될 수 있습니다. "이 디바이스를 사용할 수 없도록 계정이 구성되었습니다. 자세한 내용은 시스템 관리자에게 문의하세요"라는 오류 메시지가 표시될 수 있습니다.

사용자에게 Virtual Machine 관리자 로그인 또는 Virtual Machine 사용자 로그인 역할을 부여하는 Azure 역할 기반 액세스 제어 정책을 확인합니다.

Azure 역할 할당에 문제가 있는 경우 Azure 역할 기반 액세스 제어 문제 해결을 참조하세요.

권한 없는 클라이언트 또는 암호 변경 필요

디바이스에 대한 원격 데스크톱 연결을 시작할 때 다음과 같은 오류 메시지가 표시될 수 있습니다. "자격 증명이 작동하지 않았습니다."

다음 솔루션을 시도해 봅니다.

• 원격 데스크톱 연결을 시작하는 데 사용하는 Windows 10 이상 PC는 Microsoft Entra에 조인되어 있거나 동일한 Microsoft Entra 디렉터리에 조인된 Microsoft Entra 하이브리드여야 합니다. 디바이스 ID에 관한 자세한 내용은 디바이스 ID란? 문서를 참조하세요.

  Windows 10 Build 20H1은 디바이스에 대한 RDP 연결을 시작하기 위해 Microsoft Entra 등록 PC에 대한 지원을 추가했습니다. Microsoft Entra가 등록된 PC(Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인 아님)를 RDP 클라이언트로 사용하여 디바이스에 대한 연결을 시작하는 경우, 형식 AzureAD\UPN(예: AzureAD\john@contoso.com)으로 자격 증명을 입력해야 합니다.

  Microsoft Entra 조인이 완료된 후 AADLoginForWindows 확장이 제거되지 않았는지 확인합니다.

  또한 네트워크 보안: 온라인 ID를 사용하도록 이 컴퓨터에 대한 PKU2U 인증 요청을 허용 보안 정책을 서버 및 클라이언트 모두에서 사용하도록 설정해야 합니다.

• 사용자에게 임시 암호가 없는지 확인합니다. 임시 암호는 원격 데스크톱 연결에 로그인하는 데 사용할 수 없습니다.

  웹 브라우저에서 사용자 계정으로 로그인합니다. 예를 들어, 프라이빗 검색 창에서 Azure Portal에 로그인합니다. 암호를 변경하라는 메시지가 표시되면 새 암호를 설정합니다. 그리고 다시 연결해 봅니다.

MFA 로그인 방법 필요

디바이스에 대한 원격 데스크톱 연결을 시작할 때 다음과 같은 오류 메시지가 표시될 수 있습니다. "사용하려는 로그인 방법은 허용되지 않습니다. 다른 로그인 방법을 시도하거나 시스템 관리자에게 문의하세요"라는 오류 메시지가 표시될 수 있습니다.

MFA가 필요한 조건부 액세스 정책을 구성하는 경우 연결을 시작하는 디바이스에서 Windows Hello와 같은 강력한 인증을 사용하는지 확인해야 합니다.

또 다른 MFA 관련 오류 메시지는 이전에 설명한 메시지입니다. "자격 증명이 작동하지 않았습니다."

사용자별 레거시 사용/적용된 Microsoft Entra 다단계 인증 설정을 구성하고 오류가 표시되는 경우 사용자별 MFA 설정을 제거하여 문제를 해결할 수 있습니다. 자세한 내용은 로그인 이벤트 보안을 위해 사용자별 Microsoft Entra 다단계 인증 사용 문서를 참조하세요.

비즈니스용 Windows Hello가 옵션이 아닌 경우 Microsoft Azure Windows Virtual Machine 로그인 앱을 제외하는 조건부 액세스 정책을 구성합니다. 비즈니스용 Windows Hello에 대한 자세한 내용은 비즈니스용 Windows Hello 개요를 참조하세요.

RDP를 사용하는 생체 인식 인증 지원이 Windows 10 버전 1809에 추가되었습니다. RDP 중에 비즈니스용 Windows Hello 인증을 사용하는 방법은 인증서 신뢰 모델 또는 키 신뢰 모델을 사용하는 배포에 사용할 수 있습니다.

Microsoft Entra 피드백 포럼에서 이 기능에 대한 사용자 의견을 공유하거나 사용 관련 문제를 보고할 수 있습니다.

누락된 애플리케이션

Microsoft Azure Windows Virtual Machine 로그인 애플리케이션이 조건부 액세스에 누락된 경우 해당 애플리케이션이 테넌트에 있는지 확인합니다.

1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. Entra ID>엔터프라이즈 애플리케이션으로 이동하십시오.
3. 필터를 제거하여 모든 애플리케이션을 표시하고 VM을 검색합니다. 결과로 Microsoft Azure Windows Virtual Machine 로그인이 표시되지 않으면, 서비스 주체가 테넌트에서 누락된 것입니다.

Graph PowerShell을 통해 확인하는 또 다른 방법은 다음과 같습니다.

1. Graph PowerShell SDK를 설치합니다.
2. Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All"을(를) 실행한 후 "Application.ReadWrite.All"을(를) 실행하십시오.
3. 전역 관리자 계정으로 로그인합니다.
4. 사용 권한 프롬프트에 동의합니다.
5. Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'을(를) 실행합니다.

   • 이 명령으로 인해 출력이 없고 PowerShell 프롬프트로 반환하는 경우 다음 Graph PowerShell 명령을 사용하여 서비스 주체를 만들 수 있습니다.

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • 성공적인 출력은 Microsoft Azure Windows Virtual Machine 로그인 앱과 해당 ID가 생성되었음을 보여줍니다.

6. Disconnect-MgGraph 명령을 사용하여 Graph PowerShell에서 로그아웃합니다.

일부 테넌트에는 Microsoft Azure Windows Virtual Machine 로그인 대신 Azure Windows VM 로그인이라는 애플리케이션이 표시될 수 있습니다. 애플리케이션의 애플리케이션 ID가 372140e0-b3b7-4226-8ef9-d57986796201과 동일합니다.

Azure Windows VM 로그인 리소스에 규정 준수 디바이스 조건부 액세스 정책이 적용되고 Windows Server 디바이스에서 연결하는 경우 이 기능을 사용할 수 없습니다.

조건부 액세스 정책의 Windows Server 디바이스 준수 구성은 지원되지 않습니다.

다음 단계

Microsoft Entra ID에 대한 자세한 내용은 Microsoft Entra ID란?을 참조하세요.