Azure AD Connect: 디바이스 쓰기 저장 사용

참고

Azure AD Premium에 대한 구독에는 디바이스 쓰기 저장이 필요합니다.

다음 설명서에서는 Azure AD Connect에서 디바이스 쓰기 저장 기능을 사용하는 방법에 대한 정보를 제공합니다. 쓰기 저장 디바이스를 다음과 같은 시나리오에서 사용합니다.

애플리케이션에 대한 액세스 권한이 신뢰할 수 있는 디바이스에 부여된 추가 보안 및 보증을 제공합니다. 조건부 액세스에 대한 자세한 내용은 조건부 액세스로 위험 관리Azure Active Directory Device Registration을 사용하여 온-프레미스 조건부 액세스 설정을 참조하세요.

중요

  • 디바이스는 사용자와 동일한 포리스트에 있어야 합니다. 디바이스가 단일 포리스트에 쓰기 저장해야 하기 때문에 이 기능은 현재 여러 사용자 포리스트에서 배포를 지원하지 않습니다.
  • 온-프레미스 Active Directory 포리스트에 하나의 디바이스 등록 구성 개체를 추가할 수 있습니다. 이 기능은 온-프레미스 Active Directory가 여러 Azure AD 디렉터리에 동기화되는 토폴로지와 호환되지 않습니다.
  • 1부: Azure AD Connect 설치

    사용자 지정 또는 Express 설정을 사용하여 Azure AD Connect를 설치합니다. Microsoft는 디바이스 쓰기 저장을 사용하도록 설정하기 전에 모든 사용자 및 그룹을 성공적으로 동기화하고 시작할 것을 권장합니다.

    2부: Azure AD Connect에서 디바이스 쓰기 저장 사용

    1. 설치 마법사를 다시 실행합니다. [추가 작업] 페이지에서 디바이스 옵션 구성을 선택하고 다음을 클릭합니다.

      Configure device options를 입력합니다.

      참고

      새로운 디바이스 구성 옵션은 버전 1.1.819.0 이상에서만 사용할 수 있습니다.

    2. 디바이스 옵션 페이지에서 디바이스 쓰기 저장 구성을 선택합니다. 디바이스 쓰기 저장을 사용하지 않도록 설정 옵션은 디바이스 쓰기 저장을 사용하기 전에는 사용할 수 없습니다. 다음을 클릭하여 마법사의 다음 페이지로 이동합니다. Chose device operation를 입력합니다.

    3. 쓰기 저장 페이지에서 기본 디바이스 쓰기 저장 포리스트로 제공된 도메인이 표시됩니다. Custom Install device writeback target forest를 입력합니다.

    4. 디바이스 컨테이너 페이지에서는 active directory를 준비하는 다음과 같은 두 가지 옵션을 제공합니다.

      a. 엔터프라이즈 관리자 자격 증명 제공: 디바이스를 다시 써야 하는 포리스트에 대한 엔터프라이즈 관리자 자격 증명을 제공하면 Azure AD Connect는 디바이스 쓰기 저장을 구성하는 동안 자동으로 포리스트를 준비합니다.

      b. PowerShell 스크립트 다운로드: Azure AD Connect는 디바이스 쓰기 저장에 대한 active directory를 준비할 수 있는 PowerShell 스크립트를 자동으로 생성합니다. Azure AD Connect에서 엔터프라이즈 관리자 자격 증명을 제공할 수 없는 경우 PowerShell 스크립트를 다운로드하면 됩니다. 장치를 다시 써야 하는 포리스트의 엔터프라이즈 관리자에게 다운로드한 CreateDeviceContainer.ps1 PowerShell 스크립트를 제공합니다. Prepare active directory forest를 입력합니다.

      active directory 포리스트를 준비하기 위해 다음 작업이 수행됩니다.

      • 존재하지 않는 경우 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn]에서 새 컨테이너 및 개체를 생성하고 구성합니다.
      • 존재하지 않는 경우 CN=RegisteredDevices,[domain-dn]에서 새 컨테이너 및 개체를 생성하고 구성합니다. 이 컨테이너에서 디바이스 개체를 생성합니다.
      • Active Directory에서 디바이스를 관리하려면 Azure AD 커넥터 계정에 필요한 사용 권한을 설정합니다.
      • Azure AD Connect가 여러 포리스트에 설치되었더라도 하나의 포리스트에서 실행해야 합니다.

    디바이스의 Active Directory에 동기화 여부 확인

    디바이스 쓰기 저장은 이제 제대로 작동해야 합니다. AD에 디바이스 개체를 다시 쓰기 저장하는 데 최대 3시간이 걸릴 수 있습니다. 디바이스가 제대로 동기화되었는지 확인하려면 동기화 규칙을 완료한 후에 다음을 수행합니다.

    1. Active Directory 관리 센터를 시작합니다.

    2. 페더레이션된 도메인 내에서 RegisteredDevices를 확장합니다.

      Active Directory Admin Center Registered Devices를 입력합니다.

    3. 현재 등록된 디바이스가 나열됩니다.

      Active Directory Admin Center Registered Devices List를 입력합니다.

    조건부 액세스 사용

    이 시나리오를 사용하기 위한 자세한 지침은 Azure Active Directory 디바이스 등록을 사용하여 온-프레미스 조건부 액세스 설정내에서 사용할 수 있습니다.

    문제 해결

    쓰기 저장 확인란이 계속 비활성화되어 있음

    위 단계를 수행했는데도 디바이스 쓰기 저장 확인란이 활성화되지 않는 경우 다음 단계에 따르면 상자가 활성화되기 전에 설치 마법사가 확인하는 사항을 알 수 있습니다.

    먼저 첫 번째로

    • 디바이스 개체 및 관련 특성이 존재하려면 디바이스가 있는 포리스트의 포리스트 스키마가 Windows 2012 R2 수준으로 업그레이드되어야 합니다.
    • 설치 마법사가 이미 실행 중인 경우 변경 내용이 검색되지 않습니다. 이 경우 설치 마법사를 완료하고 다시 실행하세요.
    • 초기화 스크립트에서 제공하는 계정이 Active Directory Connector에서 사용하는 올바른 사용자인지 확인합니다. 이를 확인하려면 다음 단계를 수행하세요.
      • 시작 메뉴에서 동기화 서비스를 엽니다.
      • 커넥터 탭을 엽니다.
      • 형식이 Active Directory Domain Services인 커넥터를 찾아 선택합니다.
      • 작업 아래에서 속성을 선택합니다.
      • Active Directory 포리스트에 연결로 이동합니다. 이 화면에 지정된 도메인 및 사용자 이름이 스크립트에 제공된 계정과 일치하는지 확인합니다. Connector account in Sync Service Manager를 입력합니다.

    Active Directory의 구성 확인:

    • 디바이스 등록 서비스가 구성 명명 컨텍스트의 (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) 아래 위치에 있는지 확인합니다.

    Troubleshoot, DeviceRegistrationService in configuration namespace를 입력합니다.

    • 구성 네임스페이스를 검색하여 구성 개체가 하나만 있는지 확인합니다. 구성 개체가 둘 이상인 경우 중복되는 항목을 삭제합니다.

    Troubleshoot, search for the duplicate objects를 입력합니다.

    • Device Registration Service 개체에서 msDS-DeviceLocation 특성이 존재하며 값이 있는지 확인합니다. 이 위치를 조회하고 objectType msDS-DeviceContainer와 함께 있는지 확인합니다.

    Troubleshoot, msDS-DeviceLocation를 입력합니다.

    Troubleshoot, RegisteredDevices object class를 입력합니다.

    • Active Directory Connector에서 사용하는 계정에 이전 단계에서 찾은 등록된 디바이스 컨테이너에 대해 필요한 권한이 있는지 확인합니다. 다음은 이 컨테이너에 대해 예상되는 권한입니다.

    Troubleshoot, verify permissions on container를 입력합니다.

    • Active Directory 계정에 CN=Device Registration Configuration,CN=Services,CN=Configuration 개체에 대한 권한이 있는지 확인합니다.

    Troubleshoot, verify permissions on Device Registration Configuration를 입력합니다.

    추가 정보

    다음 단계

    Azure Active Directory와 온-프레미스 ID 통합에 대해 자세히 알아봅니다.