등록된 디바이스를 사용하여 온-프레미스 조건부 액세스 구성

다음 문서에서는 등록된 디바이스를 사용하여 온-프레미스 조건부 액세스를 설치하고 구성하는 방법을 안내합니다.

인프라 필수 구성 요소

다음 필수 구성 요소가 필요합니다.

요구 사항	설명
Microsoft Entra ID P1 또는 P2를 사용하는 Microsoft Entra 구독	온-프레미스 조건부 액세스에 디바이스 쓰기 저장을 사용하도록 설정하려면 무료 평가판이 괜찮습니다.
Intune 구독	디바이스 준수 시나리오에 MDM 통합에만 필요 -무료 평가판은 괜찮습니다.
Microsoft Entra Connect 동기화	여기에 최신 버전을 가져옵니다.
Windows Server 2016	10586 빌드 또는 AD FS용 그 이상의 버전
Windows Server 2016 Active Directory 스키마	스키마 수준 85 이상이 필요합니다.
Windows Server 2016 도메인 컨트롤러	비즈니스용 Hello 키 신뢰 배포에만 필요합니다. 자세한 내용은 여기 참조하세요.
Windows 10 클라이언트	위의 도메인에 가입한 빌드 10586 이상은 Windows 10 도메인 가입 및 비즈니스용 Windows Hello 시나리오에만 필요합니다.
Microsoft Entra ID P1 또는 P2 라이선스가 할당된 Microsoft Entra 사용자 계정	디바이스 등록에 대 한

Active Directory 스키마 업그레이드

등록된 디바이스에서 온-프레미스 조건부 액세스를 사용하려면 먼저 AD 스키마를 업그레이드해야 합니다. 다음 조건을 충족해야 합니다.

• 스키마는 버전 85 이상이어야 합니다.
• AD FS가 합류된 포레스트에만 필요합니다.

참고

Windows Server 2016에서 스키마 버전(수준 85 이상)으로 업그레이드하기 전에 Microsoft Entra Connect 동기화를 설치한 경우 Microsoft Entra Connect 동기화 설치를 다시 실행하고 온-프레미스 AD 스키마를 새로 고쳐 msDS-KeyCredentialLink에 대한 동기화 규칙이 구성되었는지 확인해야 합니다.

스키마 수준 확인

스키마 수준을 확인하려면 다음을 수행합니다.

1. ADSIEdit.exe 또는 LDP.exe 사용하여 스키마 명명 컨텍스트에 연결합니다.
2. ADSIEdit에서 "CN=Schema,CN=Configuration,DC=<도메인>,DC=<com> 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 도메인과 com 부분을 귀하의 포리스트 정보로 대체하세요.
3. 특성 편집기에서 objectVersion 특성을 찾습니다. 그러면 버전을 확인할 수 있습니다.

다음 PowerShell cmdlet을 사용할 수도 있습니다(개체 이름을 스키마 명명 컨텍스트 정보로 바꿉니다.)

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

업그레이드에 대한 자세한 내용은 Windows Server 2016으로 도메인 컨트롤러 업그레이드를 참조하세요.

Microsoft Entra 디바이스 등록 활성화

이 시나리오를 구성하려면 Microsoft Entra ID에서 디바이스 등록 기능을 구성해야 합니다.

이렇게 하려면 조직에서 Microsoft Entra 가입 설정의 단계를 수행합니다.

AD FS 설정

1. 새 AD FS 2016 팜을 만듭니다.
2. 또는 AD FS 2012 R2에서 AD FS 2016으로 팜 마이그레이션
3. 사용자 지정 경로를 사용하여 Microsoft Entra Connect Sync 를 배포하여 AD FS를 Microsoft Entra ID에 연결합니다.

디바이스 쓰기 되돌림 및 디바이스 인증 구성

참고

Express 설정을 사용하여 Microsoft Entra Connect 동기화를 실행한 경우 올바른 AD 개체가 생성되었습니다. 그러나 대부분의 AD FS 시나리오에서 Microsoft Entra Connect Sync는 사용자 지정 설정으로 실행되어 AD FS를 구성하므로 아래 단계가 필요합니다.

AD FS 디바이스 인증에 대 한 AD 개체 만들기

AD FS 팜이 디바이스 인증에 대해 아직 구성되지 않은 경우(서비스 -> 디바이스 등록의 AD FS 관리 콘솔에 표시될 수 있음) 다음 단계를 사용하여 올바른 AD DS 개체 및 구성을 만듭니다.

참고

아래 명령에는 Active Directory 관리 도구가 필요하므로 페더레이션 서버가 도메인 컨트롤러가 아닌 경우 먼저 아래 1단계를 사용하여 도구를 설치합니다. 그렇지 않으면 1단계를 건너뛸 수 있습니다.

1. 역할 및 기능 추가 마법사를 실행하고 기능 원격 서버 관리 도구 ->역할 관리 도구 ->AD DS 및 AD LDS 도구 선택 ->Windows PowerShell용 Active Directory 모듈과 AD DS 도구를 모두 선택합니다.

2. AD FS 기본 서버에서 EA(Enterprise Admin) 권한이 있는 AD DS 사용자로 로그인했는지 확인하고, 관리자 권한으로 PowerShell 프롬프트를 엽니다. 그런 다음 다음 PowerShell 명령을 실행 합니다.

Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>" 3. 팝업 창에서 Yes를 누릅니다.

참고

AD FS 서비스가 GMSA 계정을 사용하도록 구성된 경우 계정 이름을 "domain\accountname$" 형식으로 입력합니다.

위의 PSH는 다음 개체들을 만듭니다:

• AD 도메인 파티션 아래 RegisteredDevices 컨테이너
• 구성 --> 서비스 --> 디바이스 등록 서비스 컨테이너 및 개체 --> 디바이스 등록 구성
• 디바이스 등록 서비스 DKM 컨테이너 및 개체 구성 --> 서비스 --> 디바이스 등록 구성

4. 이 작업이 완료되면 성공적인 완료 메시지가 표시됩니다.

Ad에서 서비스 연결 지점 (SCP) 만들기

여기에 설명된 대로 Windows 10 도메인 가입(Microsoft Entra ID에 대한 자동 등록 포함)을 사용하려는 경우 다음 명령을 실행하여 AD DS에 서비스 연결 지점을 만듭니다

1. Windows PowerShell을 열고 다음 명령을 실행 합니다.

PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

참고

필요한 경우 Microsoft Entra Connect 동기화 서버에서 AdSyncPrep.psm1 파일을 복사합니다. 이 파일은 Program Files\Microsoft Entra Connect\AdPrep에 있습니다.

2. Microsoft Entra 조건부 액세스 관리자 자격 증명을 제공합니다.

PS C:>$aadAdminCred = Get-Credential

3. 다음 PowerShell 명령을 실행 합니다.

PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

여기서 [AD 커넥터 계정 이름]은 온-프레미스 AD DS 디렉터리를 추가할 때 Microsoft Entra Connect Sync에서 구성한 계정의 이름입니다.

위의 명령을 사용하면 Windows 10 클라이언트가 AD DS에서 serviceConnectionpoint 개체를 만들어 가입할 올바른 Microsoft Entra 도메인을 찾을 수 있습니다.

디바이스 쓰기 되돌림에 대한 AD 준비하기

AD DS 개체 및 컨테이너가 Microsoft Entra ID에서 디바이스를 쓰기 저장할 수 있는 올바른 상태인지 확인하려면 다음을 수행합니다.

1. Windows PowerShell을 열고 다음 명령을 실행 합니다.

PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

여기서 [AD 커넥터 계정 이름]은 온-프레미스 AD DS 디렉터리를 domain\accountname 형식으로 추가할 때 Microsoft Entra Connect Sync에서 구성한 계정의 이름입니다.

위의 명령은 디바이스가 아직 없는 경우 AD DS에 대한 디바이스 쓰기 저장을 위해 다음 개체를 만들고 지정된 AD 커넥터 계정 이름에 대한 액세스를 허용합니다.

• AD 도메인 파티션에 RegisteredDevices 컨테이너
• 구성 --> 서비스 --> 디바이스 등록 서비스 컨테이너 및 개체 --> 디바이스 등록 구성

Microsoft Entra Connect 동기화에서 장치 기록 반환 사용 설정

이전에 수행하지 않은 경우 마법사를 두 번째로 실행하고 "동기화 옵션 사용자 지정"을 선택한 다음 디바이스 쓰기 저장 확인란을 선택하고 위의 cmdlet을 실행한 포리스트를 선택하여 Microsoft Entra Connect 동기화에서 디바이스 쓰기 저장을 사용하도록 설정합니다.

AD FS에서 디바이스 인증을 구성 합니다.

다음 명령을 관리자 권한으로 실행할 수 있는 PowerShell 명령 창을 사용하여 AD FS 정책을 구성하십시오.

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

구성 확인

참조의 경우 아래는 디바이스 쓰기 저장 및 인증이 작동하는 데 필요한 AD DS 디바이스, 컨테이너 및 권한의 포괄적인 목록입니다

• 형식이 ms-DS-DeviceContainer인 개체가 CN=RegisteredDevices,DC=<domain>에 있습니다.

  • AD FS 서비스 계정에 대한 읽기 액세스
  • Microsoft Entra Connect Sync AD 커넥터 계정에 대한 읽기/쓰기 권한
    
    

• 컨테이너 CN=장치 등록 구성, CN=서비스, CN=구성, DC=<도메인>

• 상기 컨테이너 아래에 있는 컨테이너 디바이스 등록 서비스 DKM

• CN=<guid>, CN=Device Registration의 형식인 serviceConnectionpoint 개체

• Configuration(구성), CN=Services(서비스), CN=Configuration(구성), DC=domain<도메인>

• 지정된 AD 커넥터 계정 이름에 대한 읽기/쓰기 접근 권한을 새 객체에 부여하기(가)

• msDS-DeviceRegistrationServiceContainer 유형의 개체가 위치한 CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>에서

• 위 컨테이너에 있는 개체의 유형 msDS-DeviceRegistrationService

작동하는 모습을 보기

새 클레임 및 정책을 평가 하려면 먼저 디바이스를 등록 합니다. 예를 들어, Microsoft Entra는 시스템 -> 정보에서 설정 앱을 사용하여 Windows 10 컴퓨터에 연결하거나, 여기에 나와 있는 추가 단계를 따라 Windows 10 도메인에 가입하고 자동 디바이스 등록을 설정할 수 있습니다. Windows 10 모바일 디바이스 조인에 대한 자세한 내용은 여기 문서를 참조 하세요.

가장 쉬운 평가 대 한 클레임의 목록을 표시 하는 테스트 애플리케이션을 사용 하 여 AD fs에 로그인 합니다. isManaged, isCompliant및 trusttype포함한 새 클레임을 볼 수 있습니다. 비즈니스용 Windows Hello를 사용하도록 설정하면 prt 클레임도 표시됩니다.

추가 시나리오를 구성 합니다.

Windows 10 도메인에 가입된 컴퓨터의 자동 등록

Windows 10 도메인에 가입된 컴퓨터에 대해 자동 디바이스 등록을 사용하도록 설정하려면 여기서 1단계와 2단계를 수행 합니다.

1. AD DS의 서비스 연결 지점이 있고 적절한 권한이 있는지 확인합니다(위에서 이 개체를 만들었지만 다시 확인하는 데는 해를 끼치지 않습니다).
2. AD FS가 올바르게 구성 되었는지 확인
3. AD FS 시스템에 올바른 엔드포인트가 사용하도록 설정되어 있고 클레임 규칙이 제대로 구성되어 있는지 확인하십시오.
4. 도메인에 가입 된 컴퓨터의 자동 디바이스 등록에 필요한 그룹 정책 설정 구성

비즈니스용 Windows Hello

비즈니스용 Windows Hello에서 Windows 10을 사용하도록 설정하는 방법에 대한 자세한 내용은 조직에서 비즈니스용 Windows Hello 사용을 참조하세요.

자동 MDM 등록

등록된 디바이스의 자동 MDM 등록을 사용하도록 설정하려면 다음 단계를 수행합니다 .

문제 해결

1. "DRS 서비스 개체가 모든 필수 특성 없이 발견되었습니다."와 같이 잘못된 상태에 이미 존재하는 개체에 대해 불평하는 Initialize-ADDeviceRegistration 오류가 발생하면 이전에 Microsoft Entra Connect Sync PowerShell 명령을 실행했고 AD DS에서 부분 구성이 있을 수 있습니다. CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>에서 개체를 수동으로 삭제하고 다시 시도하세요.
2. Windows 10 도메인 가입 클라이언트의 경우
3. 디바이스 인증이 작동하는지 확인하려면, 도메인에 가입된 클라이언트에 테스트 사용자 계정으로 로그인하세요. 프로비저닝을 빠르게 시작하려면, 데스크톱을 적어도 한 번 잠그고 잠금 해제하십시오.
4. AD DS 개체에서 STK 키 자격 증명 링크를 확인하는 지침(동기화를 두 번 실행해야 합니까?)
5. 디바이스가 이미 등록된 Windows 컴퓨터를 등록하려고 할 때 오류가 발생하지만 디바이스를 등록할 수 없거나 이미 등록을 취소한 경우 레지스트리에 디바이스 등록 구성 조각이 있을 수 있습니다. 이를 조사하고 제거하려면 다음 단계를 사용합니다.
6. Windows 컴퓨터에서 Regedit를 열고 HKLM\Software\Microsoft\Enrollments로 이동합니다.
7. 이 키 아래에는 GUID 양식에 하위 키가 있습니다. 값이 최대 17개이고 "EnrollmentType"이 "6"[MDM 조인됨] 또는 "13"(Microsoft Entra 조인됨)인 하위 키로 이동합니다
8. EnrollmentType을 0으로 수정
9. 디바이스 등록 또는 등록을 다시 시도

관련 문서

• Microsoft Entra ID에 연결된 Office 365 및 기타 앱에 대한 액세스 보안
• Office 365 서비스에 대한 조건부 액세스 디바이스 정책
• Microsoft Entra Device Registration을 사용하여 온-프레미스 조건부 액세스 설정
• Windows 10 환경용 Microsoft Entra ID에 도메인 가입 디바이스 연결