Azure Virtual Desktop의 Microsoft Entra 조인 세션 호스트

  • 아티클

이 문서에서는 Azure Virtual Desktop에서 Microsoft Entra 조인 가상 머신을 배포하고 액세스하는 프로세스를 설명합니다. Microsoft Entra 조인 VM은 VM에서 온-프레미스 또는 가상화된 Active Directory DC(도메인 컨트롤러)로의 가시선 또는 Microsoft Entra Domain Services로 배포에 대한 요구 사항을 제거합니다. 일부 경우에는 DC에 대한 요구 사항을 완전히 제거하여 환경의 배포와 관리를 간소화할 수 있습니다. 관리가 용이하도록 이러한 VM이 자동으로 Intune에 등록될 수도 있습니다.

알려진 제한 사항

다음과 같은 알려진 제한 사항은 온-프레미스 또는 Active Directory 도메인 조인 리소스에 대한 액세스에 영향을 줄 수 있으며, Microsoft Entra 조인 VM이 사용자 환경에 적합한지 여부를 결정할 때 고려해야 합니다.

  • Azure Virtual Desktop(클래식)은 Microsoft Entra 조인 VM을 지원하지 않습니다.
  • Microsoft Entra 조인 VM은 현재 Microsoft Entra B2B(Business-to-Business) 및 Microsoft Entra B2C(Business-to-Consumer)와 같은 외부 ID를 지원하지 않습니다.
  • Microsoft Entra 조인 VM은 FSLogix용 Microsoft Entra Kerberos 사용자 프로필을 사용하여 하이브리드 사용자에 대한 Azure Files 공유 또는 Azure NetApp Files 공유에만 액세스할 수 있습니다.
  • Windows용 원격 데스크톱 앱은 Microsoft Entra 조인 VM을 지원하지 않습니다.

Microsoft Entra 조인 VM 배포

새 호스트 풀을 만들거나기존 호스트 풀을 확장할 때 Azure Portal에서 직접 Microsoft Entra 조인 VM을 배포할 수 있습니다. Microsoft Entra 조인 VM을 배포하려면 Virtual Machines 탭을 연 후 VM을 Active Directory 또는 Microsoft Entra ID에 조인할지 여부를 선택합니다. Microsoft Entra ID를 선택하면 VM을 Intune에 자동으로 등록하는 옵션이 제공되어 세션 호스트를 쉽게 관리할 수 있습니다. Microsoft Entra ID 옵션은 VM을 현재 구독과 동일한 Microsoft Entra 테넌트에만 조인합니다.

참고 항목

  • 호스트 풀에는 동일한 도메인 가입 유형의 VM만 포함되어야 합니다. 예를 들어 Microsoft Entra 조인 VM은 다른 Microsoft Entra 조인 VM에만 있어야 하며 그 반대의 경우도 마찬가지입니다.
  • 호스트 풀의 VM은 Windows 11 또는 Windows 10 단일 세션 또는 다중 세션, 버전 2004 이상 또는 Windows Server 2022 또는 Windows Server 2019여야 합니다.

호스트 풀에 사용자 액세스 할당

호스트 풀을 만든 후에는 사용자에게 리소스에 대한 액세스 권한을 할당해야 합니다. 리소스에 대한 액세스 권한을 부여하려면 앱 그룹에 각 사용자를 추가합니다. 앱 그룹 관리의 지침을 수행하여 앱과 데스크톱에 대한 사용자 액세스 권한을 할당합니다. 가능하면 개별 사용자 대신 사용자 그룹을 사용하는 것이 좋습니다.

Microsoft Entra 조인 VM의 경우 Active Directory 또는 Microsoft Entra Domain Services 기반 배포에 대한 요구 사항 외에 두 가지 추가 작업을 수행해야 합니다.

  • VM에 로그인할 수 있도록 사용자에게 가상 머신 사용자 로그인 역할을 할당합니다.
  • 로컬 관리자 권한이 필요한 관리자에게 Virtual Machine 관리자 로그인 역할을 할당합니다.

사용자에게 Microsoft Entra 조인 VM에 대한 액세스 권한을 부여하려면 VM에 대한 역할 할당을 구성해야 합니다. VM, VM이 포함된 리소스 그룹 또는 구독 중 하나에 Virtual Machine 사용자 로그인이나 Virtual Machine 관리자 로그인 역할을 할당할 수 있습니다. 호스트 풀의 모든 VM에 적용되게 하려면 리소스 그룹 수준에서 앱 그룹에 사용한 사용자 그룹과 동일한 사용자 그룹에 Virtual Machine 사용자 로그인 역할을 할당하는 것이 좋습니다.

Microsoft Entra 조인 VM에 액세스

이 섹션에서는 다양한 Azure Virtual Desktop 클라이언트에서 Microsoft Entra 조인 VM에 액세스하는 방법을 설명합니다.

SSO(Single sign-on)

모든 플랫폼에서 최상의 환경을 얻으려면 Microsoft Entra 조인 VM에 액세스할 때 Microsoft Entra 인증을 사용하여 Single Sign-On 환경을 사용하도록 설정해야 합니다. 원활한 연결 환경을 제공하려면 Single Sign-On 구성 단계를 따릅니다.

레거시 인증 프로토콜을 사용하여 연결

Single Sign-On을 사용하지 않으려면 다음 구성을 통해 Microsoft Entra 조인 VM에 대한 액세스를 사용하도록 설정할 수 있습니다.

Windows 데스크톱 클라이언트를 사용하여 연결

기본 구성에서는 Windows 데스크톱 클라이언트를 사용하여 Windows 11 또는 Windows 10에서 연결을 지원합니다. 자격 증명, 스마트 카드, 비즈니스용 Windows Hello 인증서 신뢰 또는 비즈니스용 Windows Hello 키 신뢰(인증서 포함)를 사용하여 세션 호스트에 로그인할 수 있습니다. 그러나 세션 호스트에 액세스하려면 로컬 PC가 다음 조건 중 하나를 충족해야 합니다.

  • 로컬 PC는 세션 호스트와 동일한 Microsoft Entra 테넌트에 조인된 Microsoft Entra입니다.
  • 로컬 PC는 세션 호스트와 동일한 Microsoft Entra 테넌트에 조인된 Microsoft Entra 하이브리드입니다.
  • 로컬 PC가 Windows 11 또는 Windows 10 버전 2004 이상에서 실행되고 있으며 세션 호스트와 동일한 Microsoft Entra 테넌트에 등록된 Microsoft Entra입니다.

로컬 PC가 이러한 조건 중 하나를 충족하지 않는 경우 호스트 풀에 targetisaadjoined:i:1사용자 지정 RDP 속성으로 추가합니다. 이러한 연결은 세션 호스트에 로그인할 때 사용자 이름과 암호 자격 증명 입력으로 제한됩니다.

다른 클라이언트를 사용하여 연결

웹, Android, macOS 및 iOS 클라이언트를 사용하여 Microsoft Entra 조인 VM에 액세스하려면 targetisaadjoined:i:1사용자 지정 RDP 속성으로 호스트 풀에 추가합니다. 이러한 연결은 세션 호스트에 로그인할 때 사용자 이름과 암호 자격 증명 입력으로 제한됩니다.

Microsoft Entra 조인 세션 VM에 대한 Microsoft Entra 다단계 인증 적용

Microsoft Entra 조인 VM에서 Microsoft Entra 다단계 인증을 사용할 수 있습니다. 조건부 액세스를 사용하여 Azure Virtual Desktop에 Microsoft Entra 다단계 인증을 적용하는 단계에 따라 Microsoft Entra 조인 세션 호스트 VM에 대한 추가 단계를 확인합니다.

Microsoft Entra 다단계 인증을 사용하고 비즈니스용 Windows Hello와 같은 강력한 인증 방법에 대한 로그인을 제한하지 않으려면 조건부 액세스 정책에서 Azure Windows VM 로그인 앱을 제외해야 합니다.

사용자 프로필

하이브리드 사용자 계정을 사용하는 동안 Azure Files 또는 Azure NetApp Files에 저장할 때 Microsoft Entra 조인 VM에서 FSLogix 프로필 컨테이너를 사용할 수 있습니다. 자세한 내용은 Azure Files 및 Microsoft Entra ID를 사용하여 프로필 컨테이너 만들기를 참조하세요.

온-프레미스 리소스 액세스

Microsoft Entra 조인 VM을 배포하거나 액세스하기 위해 Active Directory가 필요하지 않지만 해당 VM에서 온-프레미스 리소스에 액세스하려면 Active Directory와 가시선이 필요합니다. 온-프레미스 리소스에 액세스하는 방법에 대한 자세한 내용은 Microsoft Entra 조인 디바이스에서 온-프레미스 리소스에 대한 SSO가 작동하는 방식을 참조하세요.

다음 단계

이제 일부 Microsoft Entra 조인 VM을 배포했으므로 지원되는 Azure Virtual Desktop 클라이언트에 연결하기 전에 Single Sign-On을 사용하도록 설정하여 사용자 세션의 일부로 테스트하는 것이 좋습니다. 자세히 알아보려면 다음 문서를 확인하세요.