Microsoft Entra 디바이스 관리 FAQ

Microsoft Entra 하이브리드에 조인된 Windows 10 이상 디바이스는 사용자 디바이스 아래에 표시되지 않습니다. 모든 디바이스 보기를 사용하세요. PowerShell Get-MgDevice cmdlet을 사용할 수도 있습니다.

다음 디바이스만 사용자 디바이스 아래에 나열됩니다.

• Microsoft Entra 하이브리드에 조인되지 않은 모든 개인 디바이스.
• 모든 비 Windows 10 이상 및 Windows Server 2016 이상 디바이스.
• 모든 비 Windows 디바이스

모든 디바이스로 이동합니다. 디바이스 ID를 사용하여 디바이스를 검색합니다. 조인 유형 열 아래의 값을 확인합니다. 경우에 따라 디바이스가 다시 설정되거나 다시 설치될 수 있습니다. 따라서 디바이스에서도 디바이스 등록 상태를 반드시 확인해야 합니다.

• Windows 10 이상 및 Windows Server 2016 이상 디바이스의 경우 dsregcmd.exe /status를 실행합니다.
• 하위 수준 OS 버전인 경우 %programFiles%\Microsoft Workplace Join\autoworkplace.exe 명령을 실행합니다.

문제 해결 정보는 다음 문서를 참조하세요.

• dsregcmd 명령을 사용하여 디바이스 문제 해결
• Microsoft Entra 하이브리드 조인 Windows 10 및 Windows Server 2016 디바이스 문제 해결
• Microsoft Entra 하이브리드 조인 하위 수준 디바이스 문제 해결

사용자와 디바이스가 동일한 테넌트에 속하는 경우 Windows 클라이언트는 Microsoft Entra ID에서 PRT를 가져옵니다. 디바이스가 등록되지 않았거나 사용자가 다른 테넌트에 대한 PRT를 받지 못합니다. 두 테넌트가 B2B를 통해 서로 신뢰하는 경우 항상 테넌트 간 B2B 액세스를 만들고 홈 테넌트에서 디바이스 클레임을 신뢰할 수 있습니다.

deviceID로 표시된 디바이스 조인 상태는 Microsoft Entra ID의 상태와 일치해야 하며 조건부 액세스에 대한 평가 조건을 만족해야 합니다. 자세한 내용은 조건부 액세스를 사용하는 클라우드 앱 액세스에 대한 관리 디바이스 필요를 참조하세요.

Microsoft Entra ID에 조인되거나 등록된 Windows 10/11 디바이스에서 사용자는 Single Sign-On을 사용하도록 설정하는 PRT(주 새로 고침 토큰)를 발급합니다. PRT의 유효성은 디바이스 자체의 유효성을 기반으로 합니다. 디바이스 자체에서 작업을 시작하지 않았음에도 불구하고 Microsoft Entra ID에서 디바이스가 삭제되었거나 사용하지 않도록 설정된 경우 사용자에게 이 메시지가 표시됩니다. 다음 시나리오 중 하나를 사용하여 Microsoft Entra에서 디바이스를 삭제하거나 사용하지 않도록 설정할 수 있습니다.

• 사용자가 내 앱 포털에서 디바이스를 사용하지 않도록 설정합니다.
• 관리자(또는 사용자)가 디바이스를 삭제하거나 사용하지 않도록 설정합니다.
• Microsoft Entra 하이브리드 조인 전용: 관리자가 디바이스 OU를 동기화 범위에서 제거하여 Microsoft Entra ID에서 디바이스를 삭제합니다.
• Microsoft Entra 하이브리드 조인 전용: 관리자가 온-프레미스에서 컴퓨터 계정을 사용하지 않도록 설정하면 디바이스가 Microsoft Entra ID에서 비활성화됩니다.
• Microsoft Entra Connect를 버전 1.4.xx.x로 업그레이드합니다. Microsoft Entra Connect 1.4.xx.x 및 디바이스 누락 이해

이 작업은 의도된 것입니다. 이 경우 디바이스는 클라우드의 리소스에 액세스할 수 없습니다. 관리자는 부실하거나, 분실하거나, 도난당한 디바이스에 대해 이 작업을 수행하여 무단 액세스를 방지할 수 있습니다. 이 작업이 의도치 않게 수행된 경우 다음 단계를 사용하여 디바이스를 다시 사용하도록 설정하거나 다시 등록해야 합니다.

• Microsoft Entra ID에서 디바이스를 사용하지 않도록 설정한 경우 충분한 권한이 있는 관리자는 Microsoft Entra 관리 센터에서 디바이스를 사용하도록 설정할 수 있습니다.

  참고 항목

  Microsoft Entra Connect를 사용하여 디바이스를 동기화하는 경우 Microsoft Entra 하이브리드 조인된 디바이스는 다음 동기화 주기 중에 자동으로 다시 사용하도록 설정됩니다. 따라서 Microsoft Entra 하이브리드 조인 디바이스를 사용하지 않도록 설정해야 하는 경우 온-프레미스 AD에서 사용하지 않도록 설정해야 합니다.

• Microsoft Entra ID에서 디바이스를 삭제하는 경우 디바이스를 다시 등록해야 합니다. 다시 등록하려면 디바이스에서 수동 작업을 수행해야 합니다. 디바이스 상태에 따라 다시 등록하는 지침은 다음 단계를 참조하세요.

  Microsoft Entra 하이브리드 조인 Windows 10/11 및 Windows Server 2016/2019 디바이스를 다시 등록하려면 다음 단계를 수행합니다.

  1. 관리자 권한으로 명령 프롬프트를 엽니다.
  2. dsregcmd.exe /debug /leave를 입력합니다.
  3. 로그아웃했다가 다시 로그인하여 디바이스를 Microsoft Entra ID에 다시 등록하는 예약된 작업을 트리거합니다.

  Microsoft Entra 하이브리드 조인된 하위 수준 Windows OS 버전의 경우 다음 단계를 수행합니다.

  1. 관리자 권한으로 명령 프롬프트를 엽니다.
  2. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"를 입력합니다.
  3. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"를 입력합니다.

  Microsoft Entra 조인된 디바이스 Windows 10/11 디바이스에 대해 다음 단계를 수행합니다.

  1. 관리자 권한으로 명령 프롬프트를 엽니다.
  2. dsregcmd /forcerecovery를 입력합니다(이 작업을 수행하려면 관리자여야 함).
  3. 열리는 대화 상자에서 "로그인"을 클릭하여 로그인 프로세스를 진행합니다.
  4. 로그아웃하고 디바이스에서 다시 로그인하여 복구를 완료합니다.

  Microsoft Entra에 등록된 Windows 10/11 디바이스에 대해 다음 단계를 수행합니다.

  1. 설정>계정>회사 또는 학교 액세스로 이동합니다.
  2. 계정을 선택하고 연결 끊기를 선택합니다.
  3. "+ 연결"을 클릭하고 로그인 프로세스를 진행하여 디바이스를 다시 등록합니다.

• Windows 10 이상 및 Windows Server 2016 이상의 경우 동일한 디바이스에 조인 취소 및 다시 조인을 반복적으로 시도하면 중복된 항목이 발생할 수 있습니다.
• 회사 또는 학교 계정 추가 를 사용하는 각 Windows 사용자는 디바이스 이름이 같은 새 디바이스 레코드를 만듭니다.
• 온-프레미스 Azure Directory 도메인에 조인된 하위 수준 Windows OS 버전의 경우 자동 등록에 의해 디바이스에 로그인하는 각 도메인 사용자의 디바이스와 이름이 같은 새 디바이스 레코드가 생성됩니다.
• 초기화되었다가 같은 이름으로 다시 설치되고 다시 조인된 Microsoft Entra 조인 머신은 디바이스 이름이 같은 다른 레코드로 표시됩니다.

Windows 10/11 디바이스 등록은 FIPS 규격 TPM 2.0에 대해서만 지원되며 TPM 1.2에 대해서는 지원되지 않습니다. 디바이스에 FIPS 규격 TPM 1.2가 있는 경우 Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인을 진행하기 전에 해당 디바이스를 사용하지 않도록 설정해야 합니다. TPM은 TPM 제조업체에 따라 다르므로 Microsoft에서 FIPS 모드를 사용하지 않도록 설정하는 도구를 제공하지 않습니다. 지원이 필요한 경우 하드웨어 OEM에 문의하세요.

Microsoft Entra 디바이스가 사용 안 함으로 표시된 시간부터 해지가 적용되기까지는 최대 1시간이 걸립니다.

Microsoft Entra ID는 Windows 10 1803 릴리스부터 여러 Microsoft Entra 계정에 대한 지원을 추가했습니다. 그러나 Windows 10/11은 디바이스의 Microsoft Entra 계정 수를 3개로 제한하여 토큰 요청의 크기를 제한하고 신뢰할 수 있는 SSO(Single Sign-On)를 사용하도록 설정합니다. 계정이 3개 추가되면 후속 계정에 대한 오류가 표시됩니다. 오류 화면의 추가 문제 정보는 이유를 나타내는 다음 메시지를 제공합니다. "계정 제한에 도달하여 계정 추가 작업이 차단되었습니다.".

MS-Organization-Access 인증서는 디바이스 등록 프로세스 중에 Microsoft Entra Device Registration Service에서 발급합니다. 이러한 인증서는 Windows에서 지원되는 모든 조인 유형(Microsoft Entra 조인, Microsoft Entra 하이브리드 조인 및 Microsoft Entra 등록 디바이스)에 발급됩니다. 발급되면 PRT(기본 새로 고침 토큰)를 요청하기 위해 디바이스에서 인증 프로세스의 일부로 사용됩니다. Microsoft Entra 조인 및 Microsoft Entra 하이브리드 조인 디바이스의 경우 이 인증서는 로컬 Computer\Personal\Certificates에 있는 반면, Microsoft Entra 등록 디바이스의 경우 인증서는 Current User\Personal\Certificates에 있습니다. 모든 MS-Organization-Access 인증서의 기본 수명은 10년입니다. 이러한 인증서는 디바이스가 Microsoft Entra ID에서 등록 취소되면 해당 인증서 저장소에서 삭제됩니다. 이 인증서를 실수로 삭제하면 사용자에 대한 인증 실패가 발생하며 이러한 경우 디바이스를 다시 등록해야 합니다.

순수 Microsoft Entra 조인 디바이스의 경우 오프라인 로컬 관리자 계정이 있어야 하며, 없으면 만들어야 합니다. Microsoft Entra 사용자 자격 증명으로 로그인할 수 없습니다. 그런 다음, 설정>계정>회사 또는 학교 액세스로 이동합니다. 계정을 선택하고 연결 끊기를 선택합니다. 프롬프트를 따르고, 메시지가 표시되면 로컬 관리자 자격 증명을 제공합니다. 디바이스를 다시 부팅하여 조인 취소 프로세스를 완료합니다.

예. Windows에는 이전에 로그인한 사용자가 네트워크 연결 없이도 신속하게 데스크톱에 액세스할 수 있게 해주는 캐시된 사용자 이름 및 암호 기능이 있습니다.

Microsoft Entra ID에서 디바이스가 삭제 또는 비활성화되어도 Windows 디바이스에서 그 사실을 알지 못합니다. 따라서 이전에 로그인한 사용자는 캐시된 사용자 이름 및 암호를 사용하여 데스크톱에 계속 액세스할 수 있습니다. 그러나 디바이스가 삭제 또는 비활성화되면 사용자는 디바이스 기반 조건부 액세스에 의해 보호되는 리소스에 액세스할 수 없습니다.

이전에 로그인하지 않은 사용자는 디바이스에 액세스할 수 없습니다. 이들에게 활성화된 캐시된 사용자 이름 및 암호가 없기 때문입니다.

예, 하지만 시간 제한이 있습니다. Microsoft Entra ID에서 사용자가 삭제 또는 비활성화되어도 Windows 디바이스에서 그 사실을 즉시 알지 못합니다. 따라서 이전에 로그인한 사용자는 캐시된 사용자 이름 및 암호를 사용하여 데스크톱에 액세스할 수 있습니다.

일반적으로 디바이스는 4시간 이내에 사용자 상태를 인식합니다. 그 후 Windows가 데스크톱에 대한 사용자 액세스를 차단합니다. Microsoft Entra ID에서 사용자가 삭제 또는 비활성화되면 해당 사용자의 모든 토큰이 취소됩니다. 따라서 리소스에 액세스할 수 없습니다.

이전에 로그인하지 않았으며 삭제 또는 비활성화된 사용자는 디바이스에 액세스할 수 없습니다. 이들에게 활성화된 캐시된 사용자 이름 및 암호가 없기 때문입니다.

아니요, 현재 게스트 사용자는 Microsoft Entra 조인 디바이스에 로그인 할 수 없습니다.

조직은 Microsoft Entra 조인 디바이스에 대해 사전 인증을 사용하여 Windows Server 하이브리드 클라우드 인쇄 배포 또는 유니버설 인쇄를 선택할 수 있습니다.

원격 Microsoft Entra 조인 PC에 연결을 참조하세요.

특정 디바이스 상태를 요구하도록 특정 조건부 액세스 규칙을 구성했나요? 디바이스가 조건을 충족하지 않으면 사용자가 차단되고 해당 메시지가 표시됩니다. 조건부 액세스 정책 규칙을 평가합니다. 이 메시지가 표시되지 않게 하려면 디바이스가 조건을 충족해야 합니다.

이 시나리오에 대한 일반적인 이유는 다음과 같습니다.

• 사용자 자격 증명이 더 이상 유효하지 않습니다.
• 컴퓨터가 Microsoft Entra ID와 통신할 수 없습니다. 네트워크 연결 문제가 있는지 확인합니다.
• 페더레이션 로그인을 수행하려면 사용하도록 설정되어 있고 액세스 가능한 WS-Trust 엔드포인트를 페더레이션 서버에서 지원해야 합니다.
• 통과 인증을 사용하도록 설정했습니다. 따라서 로그인할 때 임시 암호를 변경해야 합니다.

현재 Microsoft Entra 조인 디바이스는 사용자가 잠금 화면에서 암호를 변경하도록 강제하지 않습니다. 따라서 임시 또는 만료된 암호를 사용하는 사용자는 Windows에 로그인한 후 애플리케이션(Microsoft Entra 토큰 필요)에 액세스할 때만 암호를 변경해야 합니다.

이 오류는 적절한 라이선스가 할당되지 않은 Intune에서 Microsoft Entra 자동 등록을 설정할 때 발생합니다. Microsoft Entra 조인을 시도한 사용자에게 올바른 Intune 라이선스가 할당되어야 합니다. 자세한 내용은 Windows 디바이스에 대한 등록 설정을 참조하세요.

한 가지 가능한 원인은 사용자가 기본 제공 로컬 관리자 계정을 사용하여 디바이스에 로그인했기 때문입니다. Microsoft Entra 조인을 사용하여 설치를 완료하기 전에 다른 로컬 계정을 만드세요.

P2P 서버 애플리케이션은 테넌트에 있는 Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인 Windows 디바이스에 대한 RDP(원격 데스크톱 프로토콜) 연결을 사용하도록 설정하기 위해 Microsoft Entra ID에 의해 등록된 애플리케이션입니다. 이 애플리케이션은 Microsoft Entra의 인증 기관에서 발급한 테넌트 전체 인증서를 만들고 RDP 연결을 위해 RDP 디바이스 및 사용자 인증서를 발급하는 데 사용됩니다. 올바른 애플리케이션인지 확인하려면 Microsoft Entra 관리 센터>>애플리케이션 엔터프라이즈 애플리케이션에서 P2P Server 애플리케이션의 개체 ID를 찾을 수 있습니다. 적용된 기본 필터를 제거하면 모든 애플리케이션을 볼 수 있습니다. Microsoft Graph API를 사용하여 이 개체 ID를 비교하여 GET /servicePrincipals/{objectid}를 사용하여 세부 정보를 쿼리하고 servicePrincipalNames 속성이 urn:p2p_cert있는지 확인합니다.

MS-Organization-P2P-Access 인증서는 Microsoft Entra ID로 Microsoft Entra 조인 디바이스와 Microsoft Entra 하이브리드 조인 디바이스 모두에 발급됩니다. 이러한 인증서는 원격 데스크톱 시나리오에 대한 동일한 테넌트에 있는 디바이스 간 트러스트를 설정하는 데 사용됩니다. 한 인증서는 디바이스에 발급되고 다른 인증서는 사용자에게 발급됩니다. 디바이스 인증서는 Local Computer\Personal\Certificates에 있으며 하루 동안 유효합니다. 디바이스가 Microsoft Entra ID에서도 활성 상태이면 (새 인증서를 발급하여) 이 인증서가 갱신됩니다. 사용자 인증서는 영구적이지 않고 1시간 동안 유효하지만 사용자가 다른 Microsoft Entra 조인 디바이스에 대한 원격 데스크톱 세션을 시도할 때 요청 시 발급됩니다. 만료 시 갱신되지 않습니다. 두 인증서는 Local Computer\AAD Token Issuer\Certificates에 있는 MS-Organization-P2P-Access 인증서를 사용하여 발급됩니다. 이 인증서는 디바이스를 등록할 때 Microsoft Entra ID에서 발급합니다.

Microsoft Entra 조인 디바이스에서 이전 캐시된 로그온을 사용하지 않도록 설정하거나 만료할 수 없습니다.

Microsoft Entra 하이브리드 조인 디바이스의 경우 제어된 유효성 검사 문서를 사용하여 AD에서 자동 등록을 해제해야 합니다. 그러면 예약된 작업에서 디바이스를 다시 등록하지 않습니다. 다음으로, 관리자 권한으로 명령 프롬프트를 열고 dsregcmd.exe /debug /leave를 입력합니다. 또는 여러 디바이스에서 이 명령을 스크립트로 실행하여 대량으로 조인 취소합니다.

문제 해결 정보는 다음 문서를 참조하세요.

• Microsoft Entra 하이브리드 조인 Windows 10 및 Windows Server 2016 디바이스 문제 해결
• Microsoft Entra 하이브리드 조인 하위 수준 디바이스 문제 해결

사용자가 도메인에 조인된 디바이스의 앱에 계정을 추가할 때 Windows에 계정을 추가하려고 하나요?라는 메시지가 표시될 수 있습니다. 프롬프트에서 예를 입력하면 디바이스가 Microsoft Entra ID에 등록됩니다. 신뢰 유형은 Microsoft Entra 등록으로 표시됩니다. 조직에서 Microsoft Entra 하이브리드 조인을 사용하도록 설정하면 디바이스도 Microsoft Entra 하이브리드에 조인됩니다. 동일한 디바이스에 대한 두 가지 디바이스 상태가 표시됩니다.

대부분의 경우 Microsoft Entra 하이브리드 조인이 Microsoft Entra 등록된 상태보다 우선적으로 적용되므로 모든 인증 및 조건부 액세스 평가를 위해 디바이스가 Microsoft Entra 하이브리드에 조인된 것으로 간주됩니다. 그러나 경우에 따라 이 이중 상태는 디바이스를 비결정적으로 평가하여 액세스 문제를 일으킬 수 있습니다. Microsoft Entra 등록 상태를 자동으로 정리하는 Windows 10 버전 1803 이상으로 업그레이드하는 것이 좋습니다. Windows 10 컴퓨터에서 이 이중 상태를 피하거나 정리하는 방법을 알아보세요.

UPN 변경 내용은 Windows 10 2004 업데이트에서 지원되며 Windows 11에도 적용될 수 있습니다. 이 업데이트가 적용된 디바이스의 사용자에게는 UPN을 변경한 후 문제가 발생하지 않습니다.

이전 버전의 Windows 10의 UPN 변경 내용은 Microsoft Entra 하이브리드 조인 디바이스에서 완전히 지원되지 않습니다. 사용자는 디바이스에 로그인하여 온-프레미스 애플리케이션에 액세스할 수는 있지만 UPN을 변경하고 나면 Microsoft Entra ID 사용한 인증이 실패합니다. 그러면 사용자의 디바이스에서 SSO 및 조건부 액세스 문제가 발생합니다. 문제를 해결하려면 Microsoft Entra ID(관리자 권한으로 "dsregcmd /leave" 실행)에서 디바이스를 조인 해제하고 다시 가입(자동으로 발생)해야 합니다.

아니요. 사용자의 암호가 변경된 경우는 제외됩니다. Windows 10/11 Microsoft Entra 하이브리드 조인이 완료되고 사용자가 한 번 이상 로그인한 후에는 디바이스에서 클라우드 리소스에 액세스하기 위해 도메인 컨트롤러를 직접 확인할 필요는 없습니다. Windows 10/11은 암호가 변경된 경우 외에는 인터넷 연결이 가능한 곳이면 어디서든 Microsoft Entra 애플리케이션에 단일 로그인을 사용할 수 있습니다. 비즈니스용 Windows Hello에 로그인하는 사용자는 암호가 변경된 후에도 해당 도메인 컨트롤러에 대한 시야가 없는 경우라도 계속해서 Microsoft Entra 애플리케이션에 단일 로그인을 사용할 수 있습니다.

회사 네트워크 외부에서 암호가 변경된 경우(예: Microsoft Entra SSPR 사용) 새로운 암호를 사용한 사용자 로그인은 실패합니다. Microsoft Entra 하이브리드 조인 디바이스의 경우 온-프레미스 Active Directory가 기본 인증 기관입니다. 디바이스에 할 일기본 컨트롤러에 대한 시야가 없는 경우 새 암호의 유효성을 검사할 수 없습니다. 사용자는 새 암호로 디바이스에 로그인하기 전에 do기본 컨트롤러(VPN을 통해 또는 회사 네트워크에 있는)와의 연결을 설정해야 합니다. 그러지 않으면 Windows의 캐싱된 로그인 기능 때문에 이전 암호를 사용해서만 로그인할 수 있습니다. 그러나 이전 암호는 토큰 요청 중에 Microsoft Entra ID에 의해 무효화되므로 사용자가 앱 또는 브라우저에서 새 암호로 인증할 때까지 Single Sign-On을 방지하고 디바이스 기반 조건부 액세스 정책에 실패합니다. Microsoft Entra 조인 디바이스를 사용하는 경우에는 이 문제가 발생하지 않습니다.

• Windows 10/11 Microsoft Entra 등록 디바이스의 경우 설정>계정>회사 또는 학교 액세스로 이동합니다. 계정을 선택하고 연결 끊기를 선택합니다. 디바이스 등록은 Windows 10/11에서 사용자 프로필마다 가능합니다.
• iOS 및 Android의 경우 Microsoft Authenticator 애플리케이션 설정>디바이스 등록을 사용하고 디바이스 등록 취소를 선택할 수 있습니다.
• macOS의 경우 Microsoft Intune 회사 포털 애플리케이션을 사용하여 관리에서 디바이스 등록을 취소하고 등록을 제거할 수 있습니다.

Windows 10 버전 2004 이상의 경우 WPJ(Workplace Join) 제거 도구를 사용하여 이 프로세스를 자동화할 수 있습니다.

사용자가 회사 도메인 조인, Microsoft Entra 조인, Microsoft Entra 하이브리드 조인 Windows 10/11 디바이스에 다른 작업 계정을 추가하지 못하도록 차단하려면 다음 레지스트리를 사용하도록 설정합니다. 이 정책을 사용하여 도메인에 조인된 컴퓨터가 실수로 동일한 사용자 계정으로 Microsoft Entra를 등록하지 못하도록 차단할 수도 있습니다.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

관련 콘텐츠

• Microsoft 오류 조회 도구