하이브리드 Azure AD 조인 구성

Azure AD에 디바이스를 가져오면 클라우드와 온-프레미스 리소스에서 SSO(Single Sign-On)를 통해 사용자의 생산성을 극대화할 수 있습니다. 동시에 조건부 액세스를 사용하여 리소스에 대한 액세스를 보호할 수 있습니다.

필수 구성 요소

  • Azure AD Connect 버전 1.1.819.0 이상
    • Azure AD Connect 동기화 구성에서 기본 디바이스 특성을 제외하지 마세요. Azure AD에 동기화된 기본 디바이스 특성에 대한 자세한 내용은 Azure AD Connect에서 동기화된 특성을 참조하세요.
    • 하이브리드 Azure AD 조인하려는 디바이스의 컴퓨터 개체가 특정 OU(조직 구성 단위)에 속하는 경우 Azure AD Connect에서 동기화할 올바른 OU를 구성합니다. Azure AD Connect를 사용하여 컴퓨터 개체를 동기화하는 방법에 대한 자세한 내용은 조직 구성 단위 기반 필터링을 참조하세요.
  • Azure AD 테넌트에 대한 전역 관리자 자격 증명
  • 각 온-프레미스 Active Directory Domain Services 포리스트에 대한 엔터프라이즈 관리자 자격 증명
  • (페더레이션된 도메인의 경우) Active Directory Federation Services가 설치된 Windows Server 2012 R2 이상
  • 사용자가 Azure AD에 디바이스를 등록할 수 있습니다. 이 설정에 대한 자세한 내용은 디바이스 설정 구성 문서의 디바이스 설정 구성 제목에서 확인할 수 있습니다.

네트워크 연결 요구 사항

하이브리드 Azure AD 조인을 위해서는 디바이스가 조직의 네트워크 내에서 다음 Microsoft 리소스에 액세스할 수 있어야 합니다.

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com(Seamless SSO를 사용하거나 사용할 계획이 있는 경우)
  • 조직의 STS(보안 토큰 서비스)(페더레이션된 도메인용)

경고

조직에서 데이터 손실 방지 또는 Azure AD 테넌트 제한과 같은 시나리오에 대해 SSL 트래픽을 가로채는 프록시 서버를 사용하는 경우 이러한 URL에 대한 트래픽을 TLS 중단-검사에서 제외해야 합니다. 이러한 URL을 제외하지 않으면 클라이언트 인증서 인증에 방해가 되어 디바이스 등록 및 디바이스 기반 조건부 액세스에 문제가 발생할 수 있습니다.

조직에서 아웃바운드 프록시를 통해 인터넷에 액세스해야 하는 경우 WPAD(웹 프록시 자동 검색)를 사용하여 Windows 10 이상 컴퓨터에서 Azure AD로 디바이스를 등록할 수 있습니다. WPAD 구성 및 관리 문제를 해결하려면 자동 검색 문제 해결을 참조하세요.

WPAD를 사용하지 않는 경우 Windows 10 1709부터 GPO(그룹 정책 개체)가 있는 컴퓨터에서 WinHTTP 프록시 설정을 구성할 수 있습니다. 자세한 내용은 GPO를 통해 배포되는 WinHTTP 프록시 설정 을 참조하세요.

참고

WinHTTP 설정을 사용하여 컴퓨터에서 프록시 설정을 구성하는 경우 구성된 프록시에 연결할 수 없는 모든 컴퓨터는 인터넷에 연결할 수 없습니다.

조직에서 인증된 아웃바운드 프록시를 통해 인터넷에 액세스해야 하는 경우 Windows 10 이상 컴퓨터가 아웃바운드 프록시에 성공적으로 인증될 수 있는지 확인합니다. Windows 10 이상 컴퓨터는 머신 컨텍스트를 사용하여 디바이스 등록을 실행하므로 머신 컨텍스트를 사용하여 아웃바운드 프록시 인증을 구성합니다. 아웃바운드 프록시 공급자와 함께 구성 요구 사항을 준수하세요.

디바이스 등록 연결 테스트 스크립트를 사용하여 디바이스가 시스템 계정을 통해 필요한 Microsoft 리소스에 액세스할 수 있는지 확인합니다.

관리되는 도메인

대부분의 조직은 관리되는 도메인을 사용하여 하이브리드 Azure AD 조인을 배포합니다. 관리되는 도메인에서는 Seamless Single Sign-On과 함께 PHS(암호 해시 동기화) 또는 PTA(통과 인증)를 사용합니다. 관리되는 도메인 시나리오에서는 페더레이션 서버를 구성할 필요가 없습니다.

참고

Azure AD는 관리형 도메인에서 스마트 카드나 인증서를 지원하지 않습니다.

관리되는 도메인에서 Azure AD Connect를 사용하여 하이브리드 Azure AD 조인을 구성합니다.

  1. Azure AD Connect를 시작한 다음, 구성을 선택합니다.

  2. 추가 작업에서 디바이스 옵션 구성, 다음을 차례로 선택합니다.

  3. 개요에서 다음을 선택합니다.

  4. Azure AD에 연결에서 Azure AD 테넌트에 대한 글로벌 관리자의 자격 증명을 입력합니다.

  5. 디바이스 옵션에서 하이브리드 Azure AD 조인 구성, 다음을 차례로 선택합니다.

  6. 디바이스 운영 체제에서 Active Directory 환경의 디바이스에서 사용하는 운영 체제를 선택하고, 다음을 선택합니다.

  7. SCP 구성에서 Azure AD Connect를 통해 SCP를 구성하려는 각 포리스트에 대해 다음 단계를 완료하고, 다음을 선택합니다.

    1. 포리스트를 선택합니다.
    2. 인증 서비스를 선택합니다.
    3. 추가를 선택하여 엔터프라이즈 관리자 자격 증명을 입력합니다.

    Azure AD Connect SCP configuration managed domain를 입력합니다.

  8. 구성 준비 완료에서 구성을 선택합니다.

  9. 구성 완료에서 끝내기를 선택합니다.

페더레이션된 도메인

페더레이션 환경은 다음 요구 사항을 지원하는 ID 공급자가 있어야 합니다. AD FS(Active Directory Federation Services)를 사용하는 페더레이션된 환경을 사용하는 경우에는 아래 요구 사항이 이미 지원됩니다.

  • WIAORMULTIAUTHN 클레임: 이 클레임은 Windows 하위 수준 디바이스의 하이브리드 Azure AD 조인을 수행하는 데 필요합니다.
  • WS-Trust 프로토콜: 이 프로토콜은 Azure AD를 사용하여 현재 Windows 하이브리드 Azure AD 조인 디바이스를 인증하는 데 필요합니다. AD FS를 사용하는 경우 다음 WS-Trust 엔드포인트를 사용하도록 설정해야 합니다.
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

경고

adfs/services/trust/2005/windowstransportadfs/services/trust/13/windowstransport는 모두 인트라넷 연결 엔드포인트로만 사용하도록 설정해야 하며 웹 애플리케이션 프록시를 통해 엑스트라넷 연결 엔드포인트로 노출되어서는 안됩니다. WS-Trust Windows 엔드포인트를 비활성화는 방법에 대해 자세히 알아보려면 프록시에서 WS-Trust Windows 엔드포인트 사용 안 함을 참조하세요. 서비스엔드포인트에서 AD FS 관리 콘솔을 통해 어떤 엔드포인트가 사용하도록 설정되었는지 확인할 수 있습니다.

페더레이션된 환경에서 Azure AD Connect를 사용하여 하이브리드 Azure AD 조인을 구성합니다.

  1. Azure AD Connect를 시작한 다음, 구성을 선택합니다.

  2. 추가 작업 페이지에서 디바이스 옵션 구성을 선택하고 다음을 선택합니다.

  3. 개요 페이지에서 다음을 선택합니다.

  4. Azure AD에 연결 페이지에서 Azure AD 테넌트에 대한 글로벌 관리자 자격 증명을 입력하고 다음을 선택합니다.

  5. 디바이스 옵션 페이지에서 하이브리드 Azure AD 조인 구성을 선택한 후 다음을 선택합니다.

  6. SCP 페이지에서 다음 단계를 완료한 후 다음을 선택합니다.

    1. 포리스트를 선택합니다.
    2. 인증 서비스를 선택합니다. 조직에서 Windows 10 이상 클라이언트를 독점적으로 소유하고 있고 관리자가 컴퓨터/디바이스 동기화를 구성했거나 조직에서 Seamless SSO를 사용하지 않는 한, AD FS 서버를 선택해야 합니다.
    3. 추가를 선택하여 엔터프라이즈 관리자 자격 증명을 입력합니다.

    Azure AD Connect SCP configuration federated domain를 입력합니다.

  7. 디바이스 운영 체제 페이지에서 Active Directory 환경의 디바이스에서 사용되는 운영 체제를 선택한 후 다음을 선택합니다.

  8. 페더레이션 구성 페이지에서 AD FS 관리자의 자격 증명을 입력하고 다음을 선택합니다.

  9. 구성 준비 페이지에서 구성을 선택합니다.

  10. 구성 완료 페이지에서 종료를 선택합니다.

페더레이션 주의 사항

Windows 10 1803 이상에서 AD FS를 사용하여 페더레이션된 환경에 대한 즉각적인 하이브리드 Azure AD 조인이 실패하는 경우 Azure AD Connect를 사용하여 Azure AD에서 컴퓨터 개체를 동기화한 다음, 하이브리드 Azure AD 조인에 대한 디바이스 등록을 완료합니다.

기타 시나리오

조직은 전체 출시 전에 해당 환경의 하위 집합에서 하이브리드 Azure AD 조인을 테스트할 수 있습니다. 대상 배포를 완료하는 단계는 하이브리드 Azure AD 조인 대상 배포 문서에서 찾을 수 있습니다. 조직은 이 파일럿 그룹에 다양한 역할 및 프로필의 사용자 샘플을 포함해야 합니다. 대상 롤아웃은 전체 조직에서 사용하도록 설정하기 전에 계획에서 해결하지 못한 문제를 식별하는 데 도움이 됩니다.

일부 조직에서는 Azure AD Connect를 사용하여 AD FS를 구성하지 못할 수 있습니다. 수동으로 클레임을 구성하는 단계는 수동으로 하이브리드 Azure Active Directory 조인 구성 문서에서 찾을 수 있습니다.

정부 클라우드

Azure Government 조직의 경우 하이브리드 Azure AD 조인을 위해서는 디바이스가 조직의 네트워크 내에서 다음 Microsoft 리소스에 액세스할 수 있어야 합니다.

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us(Seamless SSO를 사용하거나 사용할 계획이 있는 경우)

하이브리드 Azure AD 조인 문제 해결

도메인 가입 Windows 디바이스에 대한 하이브리드 Azure AD 조인을 완료할 때 문제가 발생하면 다음을 참조하세요.

다음 단계