Intune 및 Windows Autopilot을 사용하여 Microsoft Entra 하이브리드 조인 디바이스 배포

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

중요

Microsoft는 Microsoft Entra 조인을 사용하여 새 디바이스를 클라우드 네이티브로 배포하는 것이 좋습니다. Autopilot을 포함하여 Microsoft Entra 하이브리드 조인 디바이스로 새 디바이스를 배포하는 것은 권장되지 않습니다. 자세한 내용은 Microsoft Entra 조인된 하이브리드와 클라우드 네이티브 엔드포인트에 조인된 Microsoft Entra 하이브리드: organization 적합한 옵션을 참조하세요.

Intune 및 Windows Autopilot을 사용하여 Microsoft Entra 하이브리드 조인 디바이스를 설정할 수 있습니다. 이렇게 하려면 이 문서의 단계를 수행합니다. Microsoft Entra 하이브리드 조인에 대한 자세한 내용은 하이브리드 조인 및 공동 관리 Microsoft Entra 이해를 참조하세요.

필수 구성 요소

• Microsoft Entra 하이브리드 조인 디바이스를 성공적으로 구성했습니다. Get-MgDevice cmdlet을 사용하여 디바이스 등록을 확인해야 합니다.
• 도메인 및 OU 기반 필터링이 Microsoft Entra Connect의 일부로 구성된 경우 Autopilot 디바이스에 대한 기본 OU(조직 구성 단위) 또는 컨테이너가 동기화 scope 포함되어 있는지 확인합니다.

디바이스 등록을 위한 필수 조건

등록할 디바이스는 다음 요구 사항을 따라야 합니다.

• Windows 11 또는 Windows 10 버전 1809 이상을 사용합니다.
• Windows Autopilot 네트워크 요구 사항에 따라 인터넷에 액세스할 수 있어야 합니다.
• Active Directory 도메인 컨트롤러에 대한 액세스 권한이 있어야 합니다.
• 조인하려는 도메인의 도메인 컨트롤러를 ping할 수 있습니다.
• 프록시를 사용하는 경우 WPAD 프록시 설정 옵션을 사용하도록 설정하고 구성해야 합니다.
• OOBE(첫 실행 경험)를 수행합니다.
• Microsoft Entra ID OOBE에서 지원하는 권한 부여 유형을 사용합니다.

필수는 아니지만 AD FS(Active Directory Federated Services)에 대한 Microsoft Entra 하이브리드 조인을 구성하면 배포 중에 더 빠른 Windows Autopilot Microsoft Entra 등록 프로세스가 가능합니다. 암호 사용을 지원하지 않고 AD FS를 사용하는 페더레이션된 고객은 prompt=login 매개 변수 지원을 Active Directory Federation Services 문서의 단계에 따라 인증 환경을 올바르게 구성해야 합니다.

Intune 커넥터 서버 필수 구성 요소

• .NET Framework 버전 4.7.2 이상에서 Windows Server 2016 이상을 실행하는 컴퓨터에 Active Directory용 Intune 커넥터를 설치해야 합니다.

• Intune 커넥터를 호스트하는 서버는 인터넷 및 Active Directory에 액세스할 수 있어야 합니다.

  참고

  Intune 커넥터 서버에는 Active Directory와 통신하는 데 필요한 RPC 포트 요구 사항을 포함하는 도메인 컨트롤러에 대한 표준 도메인 클라이언트 액세스가 필요합니다. 자세한 내용은 다음 문서를 참조하세요.

  • Windows 서비스 개요 및 네트워크 포트 요구 사항
  • Active Directory 도메인 및 트러스트를 위한 방화벽 구성 방법
  • 포트 및 프로토콜이 필요한 하이브리드 ID

• 규모와 가용성을 늘리기 위해 환경에 여러 개의 커넥터를 설치할 수 있습니다. 다른 Intune 커넥터를 실행하지 않는 서버에 커넥터를 설치하는 것이 좋습니다. 각 커넥터는 지원할 모든 도메인에서 컴퓨터 개체를 만들 수 있어야 합니다.

• organization 여러 도메인이 있고 여러 Intune 커넥터를 설치하는 경우 모든 도메인에서 컴퓨터 개체를 만들 수 있는 도메인 서비스 계정을 사용해야 합니다. 이 요구 사항은 특정 도메인에 대해서만 Microsoft Entra 하이브리드 조인을 구현하려는 경우에도 마찬가지입니다. 이러한 도메인이 신뢰할 수 없는 도메인인 경우 Windows Autopilot을 사용하지 않으려는 도메인에서 커넥터를 제거해야 합니다. 그렇지 않으면 여러 도메인에서 여러 커넥터가 있는 경우 모든 커넥터가 모든 도메인에서 컴퓨터 개체를 만들 수 있어야 합니다.

  이 커넥터 서비스 계정에는 다음 사용 권한이 있어야 합니다.

  • 서비스로 로그온합니다.
  • 도메인 사용자 그룹의 일부여야 합니다.
  • 커넥터를 호스트하는 Windows 서버의 로컬 관리자 그룹의 구성원이어야 합니다.

  중요

  관리되는 서비스 계정은 서비스 계정에 대해 지원되지 않습니다. 서비스 계정은 도메인 계정이어야 합니다.

• Intune Connector에는 Intune과 동일한 엔드포인트가 필요합니다.

Windows 자동 MDM 등록 설정

1. Azure 포털에 로그인합니다. 왼쪽 창에서 Microsoft Entra ID>모바일리티(MDM 및 MAM)>Microsoft Intune 선택합니다.

2. Intune 및 Windows를 사용하여 Microsoft Entra 조인된 디바이스를 배포하는 사용자가 MDM 사용자 scope 포함된 그룹의 구성원인지 확인합니다.

3. MDM 사용 약관 URL, MDM 검색 URL 및 MDM 규정 준수 URL 상자에 기본값을 사용한 다음, 저장을 선택합니다.

조직 구성 단위에서 컴퓨터 계정 제한 증가

Active Directory용 Intune Connector는 온-프레미스 Active Directory 도메인에 Autopilot에 등록된 컴퓨터를 만듭니다. Intune Connector를 호스팅하는 컴퓨터에는 도메인 내에 컴퓨터 개체를 만들 수 있는 권한이 있어야 합니다.

일부 도메인에서는 컴퓨터를 만들 수 있는 권한이 컴퓨터에 부여되지 않습니다. 또한 도메인에서는 컴퓨터 개체를 만들 수 있는 권한이 위임되지 않은 모든 사용자 및 컴퓨터에 기본 제공 제한(기본값 10)이 적용됩니다. Microsoft Entra 하이브리드 조인 디바이스가 만들어지는 조직 구성 단위에서 Intune 커넥터를 호스트하는 컴퓨터에 권한을 위임해야 합니다.

컴퓨터를 만들 수 있는 권한이 있는 조직 구성 단위는 다음과 일치해야 합니다.

• 도메인 가입 프로필에 입력된 조직 구성 단위입니다.
• 선택한 프로필이 없는 경우 도메인에 대한 컴퓨터의 도메인 이름

1. Active Directory 사용자 및 컴퓨터(DSA.msc)를 엽니다.

2. Microsoft Entra 하이브리드 조인 컴퓨터 >대리자 제어를 만드는 데 사용할 조직 구성 단위를 마우스 오른쪽 단추로 클릭합니다.

   

3. 컨트롤 위임 마법사에서 다음>추가>개체 형식을 선택합니다.

4. 개체 형식 창에서 컴퓨터>확인을 선택합니다.

   

5. 사용자, 컴퓨터 또는 그룹 선택 창의 선택할 개체 이름 입력 상자에 Connector가 설치된 컴퓨터의 이름을 입력합니다.

   

6. 이름 확인을 선택하여 항목 > 의 유효성을 검사합니다.다음으로 확인>합니다.

7. 위임할 사용자 지정 작업 만들기>다음을 차례로 선택합니다.

8. 폴더>컴퓨터 개체에서 다음 개체만을 선택합니다.

9. 이 폴더에서 선택한 개체 만들기 및 이 폴더에서 선택한 개체 삭제를 선택합니다.

   

10. 다음을 선택합니다.

11. 사용 권한에서 모든 권한 확인란을 선택합니다. 다른 모든 옵션이 선택됩니다.

    

12. 다음>마침을 선택합니다.

Intune Connector 설치

설치를 시작하기 전에 모든 Intune 커넥터 서버 필수 구성 요소가 충족되는지 확인합니다.

설치 단계

1. 인터넷 Explorer 향상된 보안 구성을 끕니다. 기본적으로 Windows Server에는 Internet Explorer 보안 강화 구성이 켜져 있습니다. Intune Connector for Active Directory에 로그인할 수 없는 경우 관리자에 대한 인터넷 Explorer 향상된 보안 구성을 끕니다. 인터넷 Explorer 강화된 보안 구성을 해제하려면 다음을 수행합니다.

   1. Intune 커넥터가 설치된 서버에서 서버 관리자 엽니다.
   2. 서버 관리자 왼쪽 창에서 로컬 서버를 선택합니다.
   3. 서버 관리자 오른쪽 속성 창에서 IE 보안 강화 구성 옆에 있는 켜기 또는 끄기 링크를 선택합니다.
   4. 인터넷 Explorer 강화된 보안 구성 창의 관리자:에서 끄기를 선택한 다음 확인을 선택합니다.

2. Microsoft Intune 관리 센터에서디바이스>Windows>Windows 등록>Active Directory>용 Intune 커넥터추가를 선택합니다.

3. 지침에 따라 커넥터를 다운로드합니다.

4. 다운로드한 커넥터 설치 파일, ODJConnectorBootstrapper.exe를 열어서 커넥터를 설치합니다.

5. 설치가 끝나면 지금 구성을 선택합니다.

6. 로그인을 선택합니다.

7. 전역 관리자 또는 Intune 관리자 역할 자격 증명을 입력합니다. 사용자 계정에는 할당된 Intune 라이선스가 있어야 합니다.

8. 디바이스>Windows>Windows 등록>Active Directory용 Intune Connector로 이동한 후 연결 상태가 활성인지 확인합니다.

참고

• 전역 관리자 역할은 설치 시 임시 요구 사항입니다.
• 커넥터에 로그인한 후 Microsoft Intune 관리 센터에 표시되는 데 몇 분 정도 걸릴 수 있습니다. Intune 서비스와 통신할 수 있는 경우에만 표시됩니다.
• 비활성 Intune 커넥터는 여전히 Intune 커넥터 페이지에 표시되며 30일 후에 자동으로 정리됩니다.

Intune 커넥터가 설치되면 애플리케이션 및 서비스 로그>Microsoft>Intune>ODJConnectorService 경로 아래의 이벤트 뷰어 로깅을 시작합니다. 이 경로에서 관리 및 운영 로그를 찾을 수 있습니다.

참고

Intune 커넥터는 원래 ODJ Connector Service라는 로그의 애플리케이션 및 서비스 로그 바로 아래에 이벤트 뷰어 로그인했습니다. 그러나 Intune 커넥터에 대한 로깅은 이후 애플리케이션 및 서비스 로그>Microsoft>Intune>ODJConnectorService 경로로 이동되었습니다. 원래 위치의 ODJ 커넥터 서비스 로그가 비어 있거나 업데이트되지 않는 경우 새 경로 위치를 대신 검사.

웹 프록시 설정 구성

네트워킹 환경에 웹 프록시가 있는 경우 기존 온-프레미스 프록시 서버 작업을 참조하여 Active Directory용 Intune Connector가 제대로 작동하는지 확인합니다.

디바이스 그룹 만들기

1. Microsoft Intune 관리 센터에서그룹>새로 만들기 그룹을 선택합니다.

2. 그룹 창에서 다음 옵션을 선택합니다.

   1. 그룹 유형에서 보안을 선택합니다.
   2. 그룹 이름 및 그룹 설명을 입력합니다.
   3. 멤버 자격 유형을 선택합니다.

3. 멤버 자격 유형에 대해 동적 디바이스를 선택한 경우 그룹 창에서 동적 장치 멤버를 선택합니다.

4. 규칙 구문 상자에서 편집을 선택하고 다음 코드 줄 중 하나를 입력합니다.

   • Autopilot 디바이스를 모두 포함하는 그룹을 만들려면 (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")을(를) 입력합니다.
   • Intune의 그룹 태그 필드는 Microsoft Entra 디바이스의 OrderID 특성에 매핑됩니다. 특정 그룹 태그(OrderID)를 사용하여 모든 Autopilot 디바이스를 포함하는 그룹을 만들려는 경우 (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")을(를) 입력합니다.
   • 특정 구매 주문 ID로 Autopilot 디바이스가 모두 포함된 그룹을 만들려면 (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")을(를) 입력합니다.

5. 저장>만들기를 선택합니다.

Autopilot 디바이스 등록

다음 방법 중 하나를 선택하여 Autopilot 디바이스를 등록합니다.

이미 등록된 Autopilot 디바이스 등록

1. 대상 디바이스를 모두 Autopilot으로 변환을 예로 설정하여 Autopilot 배포 프로필을 만듭니다.

2. Autopilot에 자동으로 등록하려는 멤버가 포함되는 그룹에 프로필을 할당합니다.

자세한 내용은 Autopilot 배포 프로필 만들기를 참조하세요.

등록되지 않은 Autopilot 등록

디바이스가 아직 등록되지 않은 경우 직접 등록할 수 있습니다. 자세한 내용은 수동 등록을 참조하세요.

OEM에서 디바이스 등록

새 디바이스를 구입하는 경우 일부 OEM에서 디바이스를 등록할 수 있습니다. 자세한 내용은 OEM 등록을 참조하세요.

등록된 Autopilot 디바이스 표시

Intune에 등록하기 전에 등록된 Autopilot 디바이스가 세 곳에 표시됩니다(이름이 일련 번호로 설정됨).

• Azure Portal의 Intune에 있는 Autopilot 디바이스 창. 디바이스 등록>Windows 등록>디바이스를 선택합니다.
• Azure Portal Intune의 Microsoft Entra 디바이스 창입니다. 디바이스>Microsoft Entra 디바이스를 선택합니다.
• 디바이스 모든 디바이스를 선택하여 Azure Portal Microsoft Entra ID Microsoft Entra모든 디바이스> 창

Autopilot 디바이스가 등록되면, 네 곳에 표시됩니다.

• Azure Portal의 Intune에 있는 Autopilot 디바이스 창. 디바이스 등록>Windows 등록>디바이스를 선택합니다.
• Azure Portal Intune의 Microsoft Entra 디바이스 창입니다. 디바이스>Microsoft Entra 디바이스를 선택합니다.
• Azure Portal Microsoft Entra ID Microsoft Entra 모든 디바이스 창입니다. 디바이스>모든 디바이스를 선택합니다.
• Azure Portal의 Intune에 있는 모든 디바이스 창. 디바이스>모든 디바이스를 선택합니다.

Autopilot 디바이스가 등록되면, 해당 이름이 디바이스의 호스트 이름이 됩니다. 기본적으로 호스트 이름은 DESKTOP-으로 시작됩니다.

디바이스가 Autopilot에 등록되면 디바이스 개체가 Microsoft Entra ID 미리 생성됩니다. 디바이스가 하이브리드 Microsoft Entra 배포를 거치면 의도적으로 다른 디바이스 개체가 만들어지고 중복 항목이 생성됩니다.

BYO VPN

다음 VPN 클라이언트를 테스트하고 유효성을 검사합니다.

VPN 클라이언트

• 기본 제공 Windows VPN 클라이언트
• Cisco AnyConnect(Win32 클라이언트)
• Pulse Secure(Win32 클라이언트)
• GlobalProtect(Win32 클라이언트)
• 검사점(Win32 클라이언트)
• Citrix NetScaler(Win32 클라이언트)
• SonicWall(Win32 클라이언트)
• FortiClient VPN(Win32 클라이언트)

참고

이 VPN 클라이언트 목록은 Autopilot에서 작동하는 모든 VPN 클라이언트의 포괄적인 목록이 아닙니다. Autopilot과의 호환성 및 지원 가능성 또는 Autopilot에서 VPN 솔루션 사용과 관련된 문제에 대해서는 해당 VPN 공급업체에 문의하세요.

지원되지 않는 VPN 클라이언트

다음 VPN 솔루션은 Autopilot에서 작동하지 않는 것으로 알려져 있으므로 Autopilot에서 사용할 수 없습니다.

• UWP 기반 VPN 플러그 인
• 사용자 인증이 필요한 모든 클라이언트
• DirectAccess

참고

BYO VPN을 사용하는 경우 Windows Autopilot 배포 프로필에서 AD 연결 건너뛰기 검사 옵션에 대해 예를 선택해야 합니다. Always-On VPN은 자동으로 연결되므로 이 옵션이 필요하지 않습니다.

Autopilot 배포 프로필 만들기 및 할당

Autopilot 배포 프로필은 Autopilot 디바이스를 구성하는 데 사용됩니다.

1. Microsoft Intune 관리 센터에서디바이스>Windows>등록>배포 프로필프로필 만들기를 > 선택합니다.

2. 기본 사항 페이지에서 이름 및 선택적 설명을 입력합니다.

3. 할당된 그룹의 모든 디바이스가 Autopilot에 자동으로 등록되도록 하려면 모든 대상 디바이스를 Autopilot으로 변환을예로 설정합니다. 할당된 그룹의 모든 회사 소유의 비 Autopilot 디바이스는 Autopilot 배포 서비스에 등록됩니다. 개인 소유 디바이스는 Autopilot에 등록되지 않습니다. 등록을 처리하는 데 48시간 정도가 걸립니다. 디바이스가 등록 취소되고 다시 설정되면 Autopilot에서 디바이스를 다시 등록합니다. 이러한 방식으로 디바이스를 등록한 후에는 이 설정을 사용하지 않도록 설정하거나 프로필 할당을 제거해도 Autopilot 배포 서비스에서 디바이스가 제거되지 않습니다. 대신 디바이스를 직접 제거해야 합니다.

4. 다음을 선택합니다.

5. OOBE(첫 실행 경험) 페이지에서 배포 모드로 사용자 구동을 선택합니다.

6. Microsoft Entra ID 조인 상자에서 Microsoft Entra 하이브리드 조인을 선택합니다.

7. VPN 지원을 사용하는 조직의 네트워크에서 디바이스를 배포하는 경우 도메인 연결 확인 건너뛰기 옵션을 예로 설정합니다. 자세한 내용은 VPN 지원을 사용하는 Microsoft Entra 하이브리드 조인을 위한 사용자 기반 모드를 참조하세요.

8. 필요하다면 OOBE(첫 실행 경험) 페이지의 나머지 옵션을 구성합니다.

9. 다음을 선택합니다.

10. 범위 태그 페이지에서 이 프로필의 범위 태그를 선택합니다.

11. 다음을 선택합니다.

12. 할당 페이지에서 검색을 포함>할 그룹 선택을 선택하고 디바이스 그룹 >선택을 선택합니다.

13. 다음>만들기를 선택합니다.

참고

Intune은 할당된 그룹의 새 디바이스를 주기적으로 확인한 다음 해당 디바이스에 프로필을 할당하는 프로세스를 시작합니다. Autopilot 프로필 할당 프로세스와 관련된 여러 가지 요인으로 인해 할당에 대한 예상 시간은 시나리오마다 다를 수 있습니다. 이러한 요인에는 Microsoft Entra 그룹, 멤버 자격 규칙, 디바이스 해시, Intune 및 Autopilot 서비스 및 인터넷 연결이 포함될 수 있습니다. 할당 시간은 특정 시나리오와 관련된 모든 요소 및 변수에 따라 달라집니다.

(선택 사항) 등록 상태 페이지 설정

1. Microsoft Intune 관리 센터에서디바이스>Windows 등록>등록>상태 페이지를 선택합니다.

2. 등록 상태 페이지 창에서 기본값>설정을 선택합니다.

3. 프로필 및 앱 설치 진행률 표시 상장에서 예를 선택합니다.

4. 필요에 따라 다른 옵션을 구성합니다.

5. 저장을 선택합니다.

도메인 가입 프로필 만들기 및 할당

1. Microsoft Intune 관리 센터에서디바이스>구성 프로필프로필 만들기를 > 선택합니다.

2. 다음 속성을 입력합니다.

   • 이름: 새 프로필에 대한 설명이 포함된 이름을 입력합니다.
   • 설명: 프로필에 대한 설명을 입력합니다.
   • 플랫폼: Windows 10 이상을 선택합니다.
   • 프로필 유형: 템플릿을 선택하고, 템플릿 이름 도메인 조인을 선택한 다음, 만들기를 선택합니다.

3. 이름 및 설명을 입력하고 다음을 선택합니다.

4. 컴퓨터 이름 접두사와 도메인 이름을 제공합니다.

5. (선택 사항) OU(조직 구성 단위)를 DN 형식으로 제공합니다. 다음과 같은 선택 사항이 있습니다.

   • Intune 커넥터를 실행하는 Windows 2016 디바이스에 컨트롤이 위임되는 OU를 제공합니다.
   • 컨트롤이 온-프레미스 Active Directory 루트 컴퓨터에 위임되는 OU를 제공합니다.
   • 이 개체를 비워 두면 Active Directory 기본 컨테이너(CN=Computers 변경하지 않은 경우)에 컴퓨터 개체 가 만들어집니다.

   몇 가지 유효한 예는 다음과 같습니다.

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   다음은 몇 가지 유효하지 않은 예입니다.

   • CN=Computers,DC=contoso,DC=com (컨테이너를 지정할 수 없습니다. 대신 도메인에 대한 기본값을 사용하기 위해 값을 비워 둡니다.)
   • OU=Mine (특성을 통해 도메인을 지정해야 합니다. DC= )

   참고

   조직 구성 단위의 값에 따옴표를 사용하지 마세요.

6. 확인>만들기를 선택합니다. 프로필이 만들어지고 목록에 표시됩니다.

7. 디바이스 그룹 만들기 단계에서 사용된 동일한 그룹에 디바이스 프로필을 할당합니다. 디바이스를 다른 도메인 또는 OU에 조인해야 하는 경우 다른 그룹을 사용할 수 있습니다.

참고

Microsoft Entra 하이브리드 조인용 Windows Autopilot의 명명 기능은 %SERIAL%와 같은 변수를 지원하지 않습니다. 컴퓨터 이름에 대한 접두사만 지원합니다.

ODJ 커넥터 제거

ODJ 커넥터는 실행 파일을 통해 컴퓨터에 로컬로 설치됩니다. 컴퓨터에서 ODJ 커넥터를 제거해야 하는 경우 컴퓨터에서도 로컬로 수행해야 합니다. ODJ 커넥터는 Intune 포털 또는 그래프 API 호출을 통해 제거할 수 없습니다.

컴퓨터에서 ODJ 커넥터를 제거하려면 다음 단계를 수행합니다.

1. ODJ 커넥터를 호스트하는 컴퓨터에 로그인합니다.
2. 시작 메뉴를 마우스 오른쪽 단추로 클릭하고 설정을 선택합니다.
3. Windows 설정 창에서 앱을 선택합니다.
4. 앱 & 기능에서 Active Directory용 Intune 커넥터를 찾아 선택합니다.
5. Intune Connector for Active Directory에서 제거 단추를 선택한 다음 제거 단추를 다시 선택합니다.
6. ODJ 커넥터가 제거됩니다.

다음 단계

Windows Autopilot이 구성되었으면 이러한 디바이스를 관리하는 방법을 알아봅니다. 자세한 내용은 Microsoft Intune 디바이스 관리란?을 참조하세요.

관련 문서

• 디바이스 ID란?입니다.
• 클라우드 네이티브 엔드포인트에 대해 자세히 알아봅니다.
• Microsoft Entra 조인된 하이브리드와 클라우드 네이티브 엔드포인트에 조인된 Microsoft Entra 하이브리드입니다.
• 자습서: Microsoft Intune 사용하여 클라우드 네이티브 Windows 엔드포인트를 설정하고 구성합니다.
• 방법: Microsoft Entra 조인 구현 계획
• Windows 엔드포인트 관리 변환을 위한 프레임워크입니다.
• 하이브리드 Azure AD 및 공동 관리 시나리오 이해
• 원격 Windows Autopilot 및 하이브리드 Azure Active Directory 조인 성공