관리자를 위한 설정 및 데이터 로밍 FAQ

Windows 8.1에서는 설정 동기화에 항상 소비자 Microsoft 계정이 사용되었습니다. 엔터프라이즈 사용자는 설정 동기화에 대한 액세스 권한을 얻기 위해 Microsoft 계정을 Active Directory 도메인 계정에 연결하는 것이 가능했습니다. Windows 10 이상에서는 이 연결된 Microsoft 계정 기능이 기본/보조 계정 프레임워크로 대체되고 있습니다.

기본 계정이란 Windows에 로그인하는 데 사용되는 계정으로, 이는 Microsoft 계정, Microsoft Entra 계정, 온-프레미스 Active Directory 계정 또는 로컬 계정일 수 있습니다. 기본 계정 외에도 Windows 10 이상 사용자는 디바이스에 하나 이상의 보조 클라우드 계정을 추가할 수 있습니다. 보조 계정은 일반적으로 Microsoft 계정, Microsoft Entra 계정 또는 Gmail이나 Facebook과 같은 기타 계정입니다. 이러한 보조 계정은 Single Sign-On 및 Windows 스토어와 같은 다른 서비스에 대한 액세스를 제공하지만 설정 동기화를 구동할 수는 없습니다.

데이터는 디바이스의 서로 다른 사용자 계정 간에 절대로 혼합되지 않습니다. 설정 동기화에는 두 가지 규칙이 있습니다.

• Windows 설정은 항상 기본 계정으로 로밍됩니다.
• 앱 데이터는 앱을 획득하는 데 사용되는 계정으로 태그가 지정됩니다. 기본 계정 동기화로 태그가 지정된 앱만 앱 소유권 태그 지정은 Windows 스토어 또는 MDM(모바일 디바이스 관리)을 통해 앱을 테스트용으로 로드할 때 결정됩니다.

애플리케이션 소유자를 식별할 수 없는 경우 기본 계정으로 로밍됩니다. 디바이스가 Windows 8 또는 Windows 8.1에서 Windows 10 이상으로 업그레이드되는 경우 모든 앱은 Microsoft 계정에서 획득한 것으로 태그가 지정됩니다. 이는 대부분의 사용자가 Windows 저장소를 통해 앱을 구입하고 Windows 10 이전에는 Microsoft Entra 계정에 대한 Windows 저장소 지원이 없었기 때문입니다. 오프라인 라이선스를 통해 앱을 설치하는 경우 앱은 디바이스의 기본 계정을 사용하여 태그가 지정됩니다.

Windows 10 이상으로 업그레이드한 후에는 사용자가 기본 가입한 사용자인 경우 Microsoft 계정을 통해 사용자 설정을 계속 동기화하고기본 Active Directory는 Microsoft Entra ID에 연결하지 않습니다.

온-프레미스 Active Directory 기본 Microsoft Entra ID와 연결되면 디바이스는 연결된 Microsoft Entra 계정을 사용하여 설정을 동기화하려고 시도합니다. Microsoft Entra 관리자가 Enterprise State Roaming을 사용하도록 설정하지 않으면 연결된 Microsoft Entra 계정이 설정 동기화를 중지합니다. Windows 10 이상을 실행하고 Microsoft Entra ID로 로그인하는 경우 관리자가 Microsoft Entra ID를 통해 설정 동기화를 사용하도록 설정하는 즉시 Windows 설정 동기화를 시작합니다.

회사 디바이스에 개인 데이터를 저장한 경우 Windows OS 및 애플리케이션 데이터가 Microsoft Entra ID와 동기화되기 시작한다는 것을 알고 있어야 합니다. 이 경우 다음과 같은 의미가 있습니다.

• 개인 Microsoft 계정 설정은 회사 또는 학교 Microsoft Entra 계정의 설정에서 드리프트됩니다. 이는 Microsoft 계정과 Microsoft Entra 설정 동기화가 이제 별도의 계정을 사용하기 때문입니다.
• 이전에 연결된 Microsoft 계정을 통해 동기화된 Wi-Fi 암호, 웹 자격 증명 및 Internet Explorer 즐겨찾기와 같은 개인 데이터는 Microsoft Entra ID를 통해 동기화됩니다.

Windows 10의 2015년 11월 이후 릴리스에서 엔터프라이즈 상태 로밍은 한 번에 한 계정에만 지원됩니다. 회사 또는 학교 Microsoft Entra 계정을 사용하여 Windows에 로그인하는 경우 모든 데이터는 Microsoft Entra ID를 통해 동기화됩니다. 개인 Microsoft 계정을 사용하여 Windows에 로그인하면 모든 데이터가 Microsoft 계정을 통해 동기화됩니다. 유니버설 앱 데이터는 디바이스의 기본 로그인 계정만 사용하여 로밍되며, 앱의 라이선스가 기본 계정 소유인 경우에만 로밍됩니다. 보조 계정이 소유한 앱의 범용 앱 데이터는 동기화되지 않습니다.

서로 다른 Microsoft Entra 테넌트의 여러 Microsoft Entra 계정이 동일한 디바이스에 있는 경우 각 Microsoft Entra 테넌트에 대한 Azure Rights Management 서비스와 통신하려면 디바이스의 레지스트리를 업데이트해야 합니다.

1. 각 Microsoft Entra 테넌트의 GUID를 찾습니다. Microsoft Entra 관리 센터에 로그인하고 ID>개요>속성>테넌트 ID로 이동합니다.
2. GUID를 확인한 후에는 레지스트리 키 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<테넌트 ID GUID>를 추가해야 합니다. 테넌트 ID GUID 키에서 AllowedRMSServerUrls라는 새 다중 문자열 값(REG-MULTI-SZ)을 만듭니다. 해당 데이터에 대해 디바이스에서 액세스하는 다른 Azure 테넌트의 라이선스 배포 지점 URL을 지정합니다.
3. AADRM 모듈에서 Get-AadrmConfiguration cmdlet을 실행하여 라이선싱 배포 지점 URL을 찾을 수 있습니다. LicensingIntranetDistributionPointUrl 및 LicensingExtranetDistributionPointUrl의 값이 다르면 두 값을 모두 지정합니다. 값이 같으면 값을 한 번 지정합니다.

로밍은 유니버설 Windows 앱에서만 작동합니다. 기존 Windows 데스크톱 애플리케이션에서 로밍을 활성화할 수 있는 두 가지 옵션이 있습니다.

• 데스크톱 브리지 를 사용하면 유니버설 Windows 플랫폼에 기존 Windows 데스크톱 앱을 쉽게 가져올 수 있습니다. 여기에서 Microsoft Entra 앱 데이터 로밍을 활용하려면 최소한의 코드 변경이 필요합니다. 데스크톱 브리지는 앱 ID를 사용하여 앱을 제공하며 이는 기존 데스크톱 앱에 앱 데이터 로밍을 사용하는 데 필요합니다.
• UE-V(사용자 경험 가상화) 를 사용하면 기존 Windows 데스크톱 앱에 대한 사용자 지정 설정 템플릿을 만들 수 있고 Win32 앱에 대해서만 로밍을 사용할 수 있습니다. 이 옵션은 앱 개발자가 앱의 코드를 변경할 필요가 없습니다. UE-V는 Microsoft 데스크톱 최적화 팩이 있는 고객을 위해 온-프레미스 Active Directory 로밍으로 제한됩니다.

관리자는 UE-V 그룹 정책을 통해 Windows OS 설정 및 유니버설 앱 데이터의 로밍을 변경하여 Windows 데스크톱 앱 데이터를 로밍하도록 UEV를 구성할 수 있습니다.

• Windows 설정 로밍 그룹 정책
• Windows 앱 그룹 정책을 동기화하지 않음
• 애플리케이션 섹션의 Internet Explorer 로밍

Enterprise State Roaming은 Microsoft 클라우드에 동기화된 모든 데이터를 저장합니다. UE-V는 온-프레미스 로밍 솔루션을 제공합니다.

2022년 11월 이전에는 모든 사용자 데이터가 Azure Rights Management를 사용하여 보호되었습니다.

2022년 11월부터 Microsoft는 더 이상 모든 데이터 암호화에 Azure Rights Management를 사용하지 않습니다. Microsoft는 고객 데이터를 보호하기 위해 최선을 다하고 있습니다. 암호와 같은 특정 중요한 데이터는 추가 보안 계층을 보장하기 위해 Microsoft Entra 테넌트에서 파생된 키를 사용하여 암호화된 클라이언트 쪽입니다. 모든 사용자 데이터(민감하지 않은 데이터 포함)는 클라우드에서 전송 중 및 미사용 시 암호화됩니다. 로밍된 중요 데이터 및 민감하지 않은 데이터 항목 목록은 Windows 로밍 설정 참조를 참조하세요.

Windows 10 이상에서는 관리자가 MDM 또는 그룹 정책 사용하여 관리되는 디바이스의 모든 설정 동기화 그룹에 대해 동기화를 사용하지 않도록 설정할 수 있습니다.

설정 앱에서 계정>설정 동기화로 이동합니다. 이 페이지에서 설정 로밍에 사용되는 계정을 확인할 수 있으며, 개별 설정 그룹의 로밍을 활성화 또는 비활성화할 수 있습니다.

Microsoft에서는 UE-V, 엔터프라이즈 상태 로밍을 포함하여 몇 가지 설정 로밍 솔루션을 제공하고 있습니다. 조직에서 데이터를 클라우드로 이동할 준비가 덜 되었거나 불편하게 생각하는 경우에는 기본 로밍 기술로 UE-V를 사용하시기를 권장합니다. 조직에서 기존 Windows 데스크톱 애플리케이션에 대한 로밍 지원이 필요하지만 클라우드로 이동하고 싶은 경우 Microsoft에서는 엔터프라이즈 상태 로밍과 UE-V를 모두 사용하시기를 권장합니다. UE-V와 Enterprise State Roaming이 비슷한 기술이지만 상호 배타적인 관계는 아니며 현재는 조직이 사용자에게 필요한 로밍 서비스를 제공할 수 있도록 서로를 보완해 주는 관계에 있습니다.

엔터프라이즈 상태 로밍 및 UE-V를 모두 사용하는 경우 엔터프라이즈 상태 로밍은 디바이스의 기본 로밍 에이전트입니다. UE-V는 Win32 애플리케이션을 보완하는 데 사용됩니다.

• Enterprise State Roaming은 디바이스의 기본 로밍 에이전트입니다. UE-V는 “Win32 갭”을 보완하기 위해 사용됩니다.
• UE-V 그룹 정책을 사용하는 경우 Windows 설정 및 최신 UWP 앱 데이터에 대한 UE-V 로밍을 사용하지 않도록 설정해야 합니다. 이러한 설정은 이미 Enterprise State Roaming에 포함되어 있습니다.

Enterprise State Roaming은 Windows 10 이상 클라이언트 SKU에서 지원되지만 서버 SKU에서는 지원되지 않습니다. 클라이언트 VM이 하이퍼바이저 컴퓨터에서 호스트되는 경우 사용자가 가상 머신에 원격으로 로그인하면 사용자의 데이터가 로밍됩니다. 여러 사용자가 동일한 OS를 공유하고 전체 데스크톱 환경을 위해 서버에 원격으로 로그인하는 경우 로밍이 작동하지 않을 수 있습니다. 후자의 세션 기반 시나리오는 공식적으로 지원되지 않습니다.

다음 단계

개요는 엔터프라이즈 상태 로밍 개요를 참조하세요.