Windows Autopilot 사용자 기반 모드

Windows Autopilot 사용자 기반 모드를 사용하면 새 Windows 디바이스를 공장 상태에서 즉시 사용할 수 있는 상태로 자동으로 변환하도록 구성할 수 있습니다. 이 프로세스에서는 IT 담당자가 디바이스를 터치할 필요가 없습니다.

프로세스는 간단합니다. 다음 지침에 따라 디바이스를 최종 사용자에게 직접 배송하거나 배포할 수 있습니다.

  1. 장치의 포장을 풀고, 플러그를 꽂은 다음, 전원을 켜세요.
  2. 여러 언어를 사용하는 경우 언어, 로캘 및 키보드를 선택합니다.
  3. 인터넷에 연결된 무선 또는 유선 네트워크에 연결합니다. 무선을 사용하는 경우 먼저 Wi-Fi 네트워크에 연결합니다.
  4. 조직 계정의 전자메일 주소와 비밀번호를 지정합니다.

나머지 프로세스는 자동화됩니다. 디바이스는 다음 단계를 수행합니다.

  1. 조직에 참가합니다.
  2. Microsoft Intune 또는 다른 MDM 서비스에 등록합니다.
  3. 조직에서 정의한 대로 구성됩니다.

OOBE(기본 제공 환경) 중에 다른 프롬프트를 표시하지 않을 수 있습니다. 사용 가능한 옵션에 대한 자세한 내용은 Autopilot 프로필 구성을 참조하세요.

중요

ADFS(Active Directory Federation Services)를 사용하는 경우 최종 사용자가 해당 디바이스에 할당된 계정과 다른 계정으로 로그인할 수 있는 알려진 문제가 있습니다.

Windows Autopilot 사용자 기반 모드는 Microsoft Entra 조인 및 Microsoft Entra 하이브리드 조인 디바이스를 지원합니다. 이러한 두 조인 옵션에 대한 자세한 내용은 다음 문서를 참조하세요.

사용자 기반 프로세스의 단계는 다음과 같습니다.

  1. 디바이스가 네트워크에 연결되면 디바이스는 Windows Autopilot 프로필을 다운로드합니다. 프로필은 장치에 사용되는 설정을 정의합니다. 예를 들어, OOBE 동안 표시되지 않는 프롬프트를 정의합니다.

  2. Windows에서 중요한 OOBE 업데이트를 확인합니다. 사용 가능한 업데이트가 있으면 업데이트가 자동으로 설치됩니다. 필요한 경우 디바이스가 다시 시작됩니다.

  3. 사용자에게 Microsoft Entra 자격 증명을 묻는 메시지가 표시됩니다. 이 사용자 지정 사용자 환경에는 Microsoft Entra 테넌트 이름, 로고 및 로그인 텍스트가 표시됩니다.

  4. 디바이스는 Windows Autopilot 프로필 설정에 따라 Microsoft Entra ID 또는 Active Directory에 조인합니다.

  5. 장치가 Intune 또는 구성된 다른 MDM 서비스에 등록됩니다. 조직의 요구 사항에 따라 이 등록은 다음 중 하나로 발생합니다.

    • Microsoft Entra 조인 프로세스 중에 MDM 자동 등록을 사용하세요.

    • Active Directory 조인 프로세스 전에 필요합니다.

  6. 구성된 경우 등록 상태 페이지(ESP)가 표시됩니다.

  7. 장치 구성 작업이 완료되면 이전에 제공한 자격 증명을 사용하여 사용자가 Windows에 로그인합니다. 디바이스 ESP 프로세스 중에 디바이스가 다시 시작되는 경우 사용자는 자격 증명을 다시 입력해야 합니다. 다시 시작한 후에는 이러한 세부 정보가 유지되지 않습니다.

  8. 로그인하면 사용자 대상 구성 작업에 대한 등록 상태 페이지가 표시됩니다.

이 프로세스에서 문제가 발견되면 Windows Autopilot 문제 해결을 참조하세요.

사용 가능한 조인 옵션에 대한 자세한 내용은 다음 섹션을 참조하세요.

Microsoft Entra 조인에 대한 사용자 기반 모드

Windows Autopilot을 사용하여 사용자 기반 배포를 완료하려면 다음 준비 단계를 수행합니다.

  1. 사용자 기반 모드 배포를 수행하는 사용자가 디바이스를 Microsoft Entra ID 조인할 수 있는지 확인합니다. 자세한 내용은 Microsoft Entra 설명서에서 디바이스 설정 구성을 참조하세요.

  2. 원하는 설정을 사용하여 사용자 기반 모드에 대한 Autopilot 프로필을 만듭니다.

    • Intune에서 이 모드는 프로필을 만들 때 명시적으로 선택됩니다.

    • 비즈니스용 Microsoft Store 및 파트너 센터에서 사용자 기반 모드가 기본값입니다.

  3. Intune을 사용하는 경우 Microsoft Entra ID 디바이스 그룹을 만들고 Autopilot 프로필을 해당 그룹에 할당합니다.

사용자 기반 배포를 사용하여 배포되는 각 디바이스에 대해 다음과 같은 추가 단계가 필요합니다.

  • Windows Autopilot에 디바이스를 추가합니다. 다음 두 가지 방법으로 이 단계를 수행할 수 있습니다.

  • Autopilot 프로필을 디바이스에 할당합니다.

    • Intune 및 Microsoft Entra 동적 디바이스 그룹을 사용하는 경우 이 할당을 자동으로 수행할 수 있습니다.

    • Intune 및 Microsoft Entra 정적 디바이스 그룹을 사용하는 경우 디바이스 그룹에 디바이스를 수동으로 추가합니다.

    • 비즈니스용 Microsoft Store 또는 파트너 센터와 같은 다른 방법을 사용하는 경우 Autopilot 프로필을 디바이스에 수동으로 할당합니다.

디바이스의 의도된 최종 상태가 공동 관리인 경우 Autopilot 프로세스 중에 발생하는 공동 관리를 사용하도록 Intune에서 디바이스 등록을 구성할 수 있습니다. 이 동작은 Configuration Manager와 Intune 간에 오케스트레이션된 방식으로 워크로드 권한을 지시합니다. 자세한 내용은 Autopilot에 등록하는 방법을 참조하세요.

Microsoft Entra 하이브리드 조인에 대한 사용자 기반 모드

중요

Microsoft는 Microsoft Entra 조인을 사용하여 새 디바이스를 클라우드 네이티브로 배포하는 것이 좋습니다. Autopilot을 포함하여 Microsoft Entra 하이브리드 조인 디바이스로 새 디바이스를 배포하는 것은 권장되지 않습니다. 자세한 내용은 Microsoft Entra 조인된 하이브리드와 클라우드 네이티브 엔드포인트에 조인된 Microsoft Entra 하이브리드: organization 적합한 옵션을 참조하세요.

Windows Autopilot을 사용하려면 디바이스를 Microsoft Entra 조인해야 합니다. 온-프레미스 Active Directory 환경이 있는 경우 온-프레미스 도메인에 장치를 가입할 수 있습니다. 디바이스를 조인하려면 Autopilot 디바이스를 Microsoft Entra ID 하이브리드 조인되도록 구성합니다.

Microsoft는 클라이언트 디바이스를 배포, 관리 및 보호하기 위해 Microsoft Intune 및 Microsoft Configuration Manager 사용하는 고객과 대화할 때 종종 디바이스 공동 관리 및 하이브리드 조인 디바이스 Microsoft Entra 관련 질문을 받습니다. 많은 고객이 이러한 두 topics 혼동합니다. 공동 관리는 관리 옵션이지만 Microsoft Entra ID ID 옵션입니다. 자세한 내용은 하이브리드 Microsoft Entra 및 공동 관리 시나리오 이해를 참조하세요. 이 블로그 게시물은 Microsoft Entra 하이브리드 조인 및 공동 관리, 함께 작동하는 방식을 명확히 하는 것을 목표로 하지만 동일하지는 않습니다.

Microsoft Entra 하이브리드 조인을 위해 Windows Autopilot 사용자 기반 모드에서 새 컴퓨터를 프로비전하는 동안에는 Configuration Manager 클라이언트를 배포할 수 없습니다. 이 제한은 Microsoft Entra 조인 프로세스 중에 디바이스의 ID 변경으로 인해 발생합니다. Autopilot 프로세스 후 Configuration Manager 클라이언트를 배포합니다. 클라이언트 설치에 대한 대체 옵션은 Configuration Manager 클라이언트 설치 방법을 참조하세요.

하이브리드 Microsoft Entra ID 사용자 기반 모드에 대한 요구 사항

  • 사용자 기반 모드에 대한 Windows Autopilot 프로필을 만듭니다.

    Autopilot 프로필의 Microsoft Entra ID 조인에서 Microsoft Entra 하이브리드 조인을 선택합니다.

  • Intune을 사용하는 경우 Microsoft Entra ID 디바이스 그룹이 필요합니다. 그룹에 Windows Autopilot 프로필을 할당합니다.

  • Intune을 사용하는 경우 도메인 가입 프로필을 만들고 할당합니다. 도메인 가입 구성 프로필에는 온-프레미스 Active Directory 도메인 정보가 포함됩니다.

  • 디바이스가 인터넷에 액세스해야 합니다. 자세한 내용은 네트워킹 요구 사항을 참조하세요.

  • Active Directory용 Intune 커넥터를 설치합니다.

    참고

    Intune 커넥터는 디바이스를 온-프레미스 도메인에 조인합니다. 사용자는 디바이스를 온-프레미스 도메인에 조인할 수 있는 권한이 필요하지 않습니다. 이 동작은 사용자를 대신하여 이 작업에 대한 커넥터를 구성한다고 가정합니다. 더 자세한 정보는 조직 구성 단위에서 컴퓨터 계정 제한 증가를 참조하세요.

  • 프록시를 사용하는 경우 WPAD 프록시 설정 옵션을 사용하도록 설정하고 구성합니다.

사용자 기반 Microsoft Entra 하이브리드 조인에 대한 이러한 핵심 요구 사항 외에도 온-프레미스 디바이스에 다음과 같은 추가 요구 사항이 적용됩니다.

  • 디바이스에는 현재 지원되는 버전의 Windows가 있습니다.

  • 디바이스가 내부 네트워크에 연결되어 있고 Active Directory 도메인 컨트롤러에 액세스할 수 있습니다.

    • 도메인 및 도메인 컨트롤러에 대한 DNS 레코드를 resolve 합니다.

    • 사용자를 인증하려면 도메인 컨트롤러와 통신해야 합니다.

VPN을 지원하는 Microsoft Entra 하이브리드 조인을 위한 사용자 기반 모드

Active Directory에 조인된 디바이스는 많은 활동을 위해 Active Directory 도메인 컨트롤러에 연결해야 합니다. 이러한 작업에는 로그인할 때 사용자의 자격 증명 유효성 검사 및 그룹 정책 설정 적용이 포함됩니다. Microsoft Entra 하이브리드 조인 디바이스에 대한 Autopilot 사용자 기반 프로세스는 해당 도메인 컨트롤러를 ping하여 디바이스가 도메인 컨트롤러에 연결할 수 있음을 확인합니다.

이 시나리오에 대한 VPN 지원이 추가되면 연결 검사 건너뛰도록 Microsoft Entra 하이브리드 조인 프로세스를 구성할 수 있습니다. 이 변경으로 도메인 컨트롤러와 통신할 필요가 없습니다. 대신, organization 네트워크에 대한 연결을 허용하기 위해 Intune은 사용자가 Windows에 로그인하기 전에 필요한 VPN 구성을 제공합니다.

하이브리드 Microsoft Entra ID 및 VPN을 사용하는 사용자 기반 모드에 대한 요구 사항

Microsoft Entra 하이브리드 조인을 사용하는 사용자 기반 모드에 대한 핵심 요구 사항 외에도 VPN을 지원하는 원격 시나리오에는 다음과 같은 추가 요구 사항이 적용됩니다.

  • 현재 지원되는 Windows 버전입니다.

  • Autopilot에 대한 Microsoft Entra 하이브리드 조인 프로필에서 도메인 연결 검사 건너뛰기 옵션을 사용하도록 설정합니다.

  • 다음 옵션 중 하나를 사용하는 VPN 구성:

    • Intune을 사용하여 배포할 수 있으며 사용자가 Windows 로그인 화면에서 VPN 연결을 수동으로 설정할 수 있습니다.

    • 필요에 따라 VPN 연결을 자동으로 설정합니다.

필요한 특정 VPN 구성은 사용 중인 VPN 소프트웨어 및 인증에 따라 달라집니다. 타사 VPN 솔루션의 경우 이 구성에는 일반적으로 Intune 관리 확장을 통해 Win32 앱을 배포하는 작업이 포함됩니다. 이 앱에는 VPN 클라이언트 소프트웨어 및 특정 연결 정보가 포함됩니다. 예를 들어 VPN 엔드포인트 호스트 이름입니다. 해당 공급자와 관련된 구성 세부 정보는 VPN 공급자의 설명서를 참조하세요.

참고

VPN 요구 사항은 Autopilot에만 국한되지 않습니다. 예를 들어 원격 암호 재설정을 사용하도록 VPN 구성을 구현하는 경우 Windows Autopilot에서 동일한 구성을 사용할 수 있습니다. 이 구성을 사용하면 사용자가 organization 네트워크에 없는 경우 새 암호로 Windows에 로그인할 수 있습니다. 사용자가 로그인하고 해당 자격 증명이 캐시되면 Windows에서 캐시된 자격 증명을 사용하므로 후속 로그인 시도는 연결이 필요하지 않습니다.

VPN 소프트웨어에 인증서 인증이 필요한 경우 Intune을 사용하여 필요한 디바이스 인증서도 배포합니다. 이 배포는 디바이스에 대한 인증서 프로필을 대상으로 하는 Intune 인증서 등록 기능을 사용하여 수행할 수 있습니다.

일부 구성은 사용자가 Windows에 로그인할 때까지 적용되지 않으므로 지원되지 않습니다.

  • 사용자 인증서
  • Windows 스토어의 비 Microsoft UWP VPN 플러그 인

확인

VPN을 사용하여 Microsoft Entra 하이브리드 조인을 시도하기 전에 Microsoft Entra 하이브리드 조인 프로세스에 대한 사용자 기반 모드가 내부 네트워크에서 작동하는지 확인하는 것이 중요합니다. 이 테스트는 VPN 구성을 추가하기 전에 핵심 프로세스가 작동하는지 확인하여 문제 해결을 간소화합니다.

다음으로 Intune을 사용하여 VPN 구성 및 해당 요구 사항을 배포할 수 있는지 확인합니다. 이미 Microsoft Entra 하이브리드 조인된 기존 디바이스에서 이러한 구성 요소를 테스트합니다. 예를 들어 일부 VPN 클라이언트는 설치 프로세스의 일부로 컴퓨터별 VPN 연결을 만듭니다. 다음 단계를 사용하여 구성의 유효성을 검사합니다.

  1. 컴퓨터당 하나 이상의 VPN 연결이 생성되었는지 확인합니다.

    Get-VpnConnection -AllUserConnection

  2. VPN 연결을 수동으로 시작합니다.

    RASDIAL.EXE "ConnectionName"

  3. Windows에서 로그아웃합니다. Windows 로그인 페이지에서 "VPN 연결" 아이콘을 볼 수 있는지 확인합니다.

  4. 내부 네트워크에서 디바이스를 이동하고 Windows 로그인 페이지의 아이콘을 사용하여 연결을 설정해 봅니다. 캐시된 자격 증명이 없는 계정에 로그인합니다.

자동으로 연결되는 VPN 구성의 경우 유효성 검사 단계가 다를 수 있습니다.

참고

이 시나리오에 상시 VPN을 사용할 수 있습니다. 자세한 내용은 Always-On VPN 배포를 참조하세요.

다음 단계