하이브리드 Azure AD 조인 대상 배포

전체 조직에서 사용하도록 설정하기 전에 대상 배포를 사용하여 하이브리드 Azure AD 조인 디바이스에 대한 계획 및 필수 구성 요소의 유효성을 검사할 수 있습니다. 이 문서에서는 하이브리드 Azure AD 조인의 대상 배포를 수행하는 방법을 설명합니다.

Windows 현재 디바이스에서 하이브리드 Azure AD 조인의 대상 배포

Windows 10 실행하는 디바이스의 경우 하이브리드 조인을 수행하도록 지원되는 최소 버전은 Windows 10(버전 1607)입니다. 최신 버전의 Windows 10 또는 11로 업그레이드하는 것이 가장 좋습니다. 이전 운영 체제를 지원해야 하는 경우 하위 수준 디바이스 지원 섹션을 참조하세요.

Windows 현재 디바이스에서 하이브리드 Azure AD 조인의 대상 배포를 수행하려면 다음을 수행해야 합니다.

  1. AD(Active Directory)에 SCP(서비스 연결점) 항목이 있는 경우 지웁니다.
  2. GPO(그룹 정책 개체)를 사용하여 도메인 조인 컴퓨터에서 SCP에 대한 클라이언트 쪽 레지스트리 설정을 구성합니다.
  3. AD FS(Active Directory Federation Services)를 사용하는 경우 GPO를 사용하여 AD FS 서버에서 SCP에 대한 클라이언트 쪽 레지스트리 설정도 구성해야 합니다.
  4. Azure AD Connect에서 동기화 옵션을 사용자 지정하여 디바이스 동기화를 사용하도록 설정해야 할 수도 있습니다.

AD에서 SCP 지우기

ADSI 편집(Active Directory 서비스 인터페이스 편집기)을 사용하여 AD의 SCP 개체를 수정합니다.

  1. 관리 워크스테이션 또는 도메인 컨트롤러에서 ADSI 편집 데스크톱 애플리케이션을 엔터프라이즈 관리자로 시작합니다.
  2. 도메인의 구성 명명 컨텍스트에 연결합니다.
  3. CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration으로 이동합니다.
  4. 리프 개체 CN=62a0ff2e-97b9-4513-943f-0d221bd30080을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
    1. 특성 편집기 창에서 키워드를 선택하고 편집을 선택합니다.
    2. azureADIdazureADName 값(한 번에 하나씩)을 선택하고 제거를 선택합니다.
  5. ADSI 편집을 닫습니다.

SCP에 대한 클라이언트 쪽 레지스트리 설정 구성

다음 예제를 사용하여 GPO(그룹 정책 개체)를 만들어 디바이스의 레지스트리에 SCP 항목을 구성하는 레지스트리 설정을 배포합니다.

  1. 그룹 정책 관리 콘솔을 열고 도메인에 새 그룹 정책 개체를 만듭니다.
    1. 새로 만든 GPO에 이름(예: ClientSideSCP)을 제공합니다.
  2. GPO를 편집하고 컴퓨터 구성>기본 설정>Windows 설정>레지스트리 경로를 찾습니다.
  3. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새로 만들기>레지스트리 항목을 선택합니다.
    1. 일반 탭에서 다음을 구성합니다.
      1. 작업: 업데이트
      2. 하이브: HKEY_LOCAL_MACHINE
      3. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 값 이름: TenantId
      5. 값 형식: REG_SZ
      6. 값 데이터: Azure AD 인스턴스의 GUID 또는 테넌트 ID(이 값은 Azure Portal>Azure Active Directory>속성>테넌트 ID에서 확인할 수 있음)
    2. 확인을 선택합니다.
  4. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새로 만들기>레지스트리 항목을 선택합니다.
    1. 일반 탭에서 다음을 구성합니다.
      1. 작업: 업데이트
      2. 하이브: HKEY_LOCAL_MACHINE
      3. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. 값 이름: TenantName
      5. 값 형식: REG_SZ
      6. 값 데이터: AD FS와 같은 페더레이션된 환경을 사용하는 경우 확인된 도메인 이름. 확인된 도메인 이름 또는 onmicrosoft.com 도메인 이름(예: 관리형 환경을 사용하는 경우 contoso.onmicrosoft.com)
    2. 확인을 선택합니다.
  5. 새로 만든 GPO 편집기를 닫습니다.
  6. 새로 만든 GPO를 사용자 제어 롤아웃 모집단에 속한 도메인 조인 컴퓨터가 포함된 올바른 OU에 연결합니다.

AD FS 설정 구성

AD FS를 사용하는 경우 먼저 AD FS 서버에 GPO를 연결하여 앞서 설명한 지침에 따라 클라이언트 쪽 SCP를 구성해야 합니다. SCP 개체는 디바이스 개체에 대한 인증 원본을 정의합니다. 온-프레미스 또는 Azure AD일 수 있습니다. AD FS에 대해 클라이언트 쪽 SCP가 구성된 경우 디바이스 개체의 원본은 Azure AD로 설정됩니다.

참고

AD FS 서버에서 클라이언트 쪽 SCP를 구성하지 못한 경우 디바이스 ID의 원본은 온-프레미스로 간주됩니다. 그러면 ADFS는 ADFS 디바이스 등록의 특성 “MaximumInactiveDays”에 정의된 규정된 기간 이후에 온-프레미스 디렉터리에서 디바이스 개체 삭제를 시작합니다. ADFS 디바이스 등록 개체는 Get-AdfsDeviceRegistration cmdlet을 사용하여 찾을 수 있습니다.

하위 수준 디바이스 지원

Windows 하위 수준 디바이스를 등록하려면 조직에서는 Microsoft Download Center에 제공되는 비 Windows 10 컴퓨터용 Microsoft Workplace Join을 설치해야 합니다.

Microsoft Endpoint Configuration Manager와 같은 소프트웨어 배포 시스템을 사용하여 패키지를 배포할 수 있습니다. 패키지는 quiet 매개 변수를 사용하여 표준 자동 설치 옵션을 지원합니다. 구성 관리자의 현재 분기는 완료된 등록을 추적하는 기능과 같은 이전 버전보다 나은 이점이 추가로 제공됩니다.

설치 관리자는 사용자 컨텍스트에서 실행되는 예약된 작업을 시스템에 만듭니다. 사용자가 Windows에 로그인할 때 이 작업이 트리거됩니다. 이 작업은 Azure AD에서 인증을 받은 후 사용자 자격 증명으로 Azure AD에 디바이스를 자동으로 가입합니다.

디바이스 등록을 제어하려면 선택된 Windows 하위 수준 디바이스 그룹에 Windows Installer 패키지를 배포해야 합니다.

참고

SCP가 AD에서 구성되지 않은 경우 GPO(그룹 정책 개체)를 사용하여 도메인 조인 컴퓨터에서 SCP에 대한 클라이언트 쪽 레지스트리 설정 구성에 설명된 것과 동일한 방법을 따라야 합니다.

디바이스가 보류 상태인 이유

온-프레미스 디바이스에 대한 Azure AD Connect Sync에서 하이브리드 Azure AD 조인 작업을 구성하는 경우 태스크는 디바이스 개체를 Azure AD와 동기화하고 디바이스가 디바이스 등록을 완료하기 전에 디바이스의 등록된 상태를 일시적으로 "보류 중"으로 설정합니다. 디바이스를 등록하려면 먼저 Azure AD 디렉터리에 추가해야 하기 때문입니다. 디바이스 등록 프로세스에 대한 자세한 내용은 작동 방법: 디바이스 등록을 참조하세요.

사후 유효성 검사

모든 것이 예상대로 작동하는지 확인한 후 Azure AD Connect를 사용하여 SCP를 구성하여 Windows 현재 및 하위 수준 디바이스를 Azure AD에 자동으로 등록할 수 있습니다.

다음 단계