Windows 10 또는 Windows 11 Enterprise 다중 세션 원격 데스크톱

Microsoft Intune을 통한 Azure Virtual Desktop 다중 세션이 이제 일반 공급됩니다.

이제 Microsoft Intune을 사용하여 공유 Windows 10 또는 Windows 11 클라이언트 장치를 관리할 수 있는 것처럼 Microsoft Endpoint Manager 관리 센터에서 Windows 10 또는 Windows 11 Enterprise 다중 세션 원격 데스크톱을 관리할 수 있습니다. 이러한 가상 머신(VM)을 관리할 때는 장치 기반 구성을 사용해야 합니다. 이러한 구성에는 사용자가 필요 없는 등록이 필요합니다.

Windows 10 또는 Windows 11 Enterprise 다중 세션은 Azure의 Azure Virtual Desktop 전용 새로운 원격 데스크톱 세션 호스트입니다. 다음과 같은 이점을 제공합니다.

  • 여러 동시 사용자 세션을 허용합니다.
  • 사용자에게 친숙한 Windows 10 또는 Windows 11 환경을 제공합니다.
  • 기존 사용자별 Microsoft 365 라이선스의 사용을 지원합니다.

미국의 Azure GCC(정부 커뮤니티 클라우드), GCC High 및 국방부에서 만든 Windows 10Windows 11 엔터프라이즈 다중 세션 VM을 관리할 수 있습니다.

개요

Microsoft Intune은 장치 구성을 사용하여 Windows 10 또는 Windows 11 Enterprise 다중 세션 관리만 지원합니다. 즉, OS 범위에 정의된 정책과 시스템 컨텍스트에 설치하도록 구성된 앱을 Azure Virtual Desktop 다중 세션 VM에 적용할 수 있습니다. 또한 모든 다중 세션 구성은 디바이스 또는 디바이스 그룹을 대상으로 해야 합니다. 현재 사용자 범위 정책은 지원되지 않습니다.

필수 구성 요소

이 기능은 다음과 같은 Windows 10 또는 Windows 11 Enterprise 다중 세션 VM을 지원합니다.

  • Windows 10 다중 세션 버전 1903 이상을 실행하거나 Windows 11 다중 세션을 실행합니다.
  • Azure Resource Manager를 통해 배포된 풀링된 호스트 풀에서 원격 데스크톱으로 설정합니다.
  • 1.0.2944.1400 이상의 Azure Virtual Desktop 에이전트 버전을 실행합니다.
  • 다음 방법 중 하나를 사용하여 Microsoft Intune에서 하이브리드 Azure AD 조인되고 등록됩니다.
  • Azure Portal에서 Intune에 VM 등록을 사용하여 Microsoft Intune에서 Azure AD 조인되고 등록됩니다.

참고

세션 호스트를 Azure Active Directory Domain Services에 조인하는 경우 Intune을 사용하여 관리할 수 없습니다.

중요

Windows 10, 버전 2004, 20H2 또는 21H1 빌드를 사용하는 경우 2021년 7월 Windows 업데이트 이상을 설치해야 합니다. 그렇지 않으면 원격 동기화와 같은 Microsoft Endpoint Manager 관리 센터의 원격 작업이 제대로 작동하지 않습니다. 이로 인해 디바이스에 할당된 보류 중인 정책을 적용하는 데 최대 8시간이 걸릴 수 있습니다.

Azure Virtual Desktop 라이선스 요구 사항에 대한 자세한 내용은 Azure Virtual Desktop이란?을 참조하세요.

Windows 10 또는 Windows 11 Enterprise 다중 세션 VM은 별도의 OS 버전으로 취급되며 일부 Windows 10 또는 Windows 11 Enterprise 구성은 이 버전에서 지원되지 않습니다. Microsoft Intune 사용은 동일한 VM의 Azure Virtual Desktop 관리에 의존하거나 영향을 주지 않습니다.

디바이스 구성 프로필 만들기

Windows 10 또는 Windows 11 Enterprise 다중 세션 VM에 대한 구성 정책을 구성하려면 일반적으로 Microsoft Endpoint Manager 관리 센터의 설정 카탈로그를 사용합니다.

기존 장치 구성 프로필 템플릿은 다음 템플릿을 제외하고 Windows 10 또는 Windows 11 Enterprise 다중 세션 VM에서 지원되지 않습니다.

Microsoft Intune은 지원되지 않는 템플릿을 다중 세션 장치에 제공하지 않으며 이러한 정책은 보고서에 해당 사항 없음 으로 표시됩니다.

정책을 구성하려면

  1. Microsoft Endpoint Manager 관리 센터에 로그인하고 디바이스 > Windows > 구성 프로필 > 프로필 만들기 를 선택합니다.
  2. 플랫폼 에 대해 Windows 10 이상 을 선택합니다.
  3. 프로필 유형 으로 설정 카탈로그(미리 보기) 를 선택하거나 템플릿을 사용하여 설정을 배포하는 경우 템플릿 을 선택한 다음 지원되는 템플릿의 이름을 선택합니다.
  4. 만들기 를 선택합니다.
  5. 기본 페이지에서 이름 을 입력하고 필요에 따라 설명 > 다음 을 제공합니다.
  6. 구성 설정 페이지에서 설정 추가 를 선택합니다.
  7. 설정 선택기 에서 필터 추가 를 선택하고 다음 옵션을 선택합니다.
    • : OS 버전
    • 연산자: ==
    • : Enterprise 다중 세션
    • 적용 을 선택합니다. 이제 필터링된 목록에 Windows 10 또는 Windows 11 Enterprise 다중 세션을 지원하는 모든 구성 프로필 범주가 표시됩니다. 정책에 대한 범위는 괄호(디바이스 또는 사용자)로 표시되어 있습니다. 현재는 다중 세션에서 디바이스 설정만 지원됩니다.
  8. 필터링된 목록에서 원하는 범주를 선택합니다.
    • 선택한 각 범주에 대해 새 구성 프로필에 적용할 설정을 선택합니다.
    • 각 설정에서 이 구성 프로필에 대해 원하는 값을 선택합니다.
  9. 설정 추가가 완료되면 다음 을 선택합니다.
  10. 할당 페이지에서 이 프로필을 할당할 장치가 포함된 Azure AD 그룹 > 다음 을 선택합니다.
  11. 범위 태그 페이지에서 필요에 따라 이 프로필에 적용하려는 범위 태그를 추가하고 다음 을 선택합니다. 범위 태그에 대한 자세한 내용은 분산형 IT에 역할 기반 액세스 제어 및 범위 태그 사용을 참조하세요.
  12. 검토 + 만들기 페이지에서 만들기 를 선택하여 프로필을 만듭니다.

관리 템플릿

Windows 10 또는 Windows 11 관리 템플릿은 설정 카탈로그를 통해 Windows 10 또는 Windows 11 Enterprise 다중 세션에 대해 지원되지만 다음과 같은 몇 가지 제한 사항이 있습니다.

  • ADMX 지원 정책이 지원됩니다. 일부 정책은 설정 카탈로그에서 아직 사용할 수 없습니다.
  • Office 관리 템플릿 파일 및 Microsoft Edge 관리 템플릿 파일에서 사용할 수 있는 Office 및 Microsoft Edge 설정을 포함하여 ADMX에서 수집되는 정책이 지원됩니다. ADMX에서 수집되는 정책 범주의 전체 목록은 Win32 및 데스크톱 브리지 앱 정책 구성을 참조하세요. 일부 ADMX에서 수집되는 설정은 Windows 10 또는 Windows 11 Enterprise 다중 세션에 적용되지 않습니다.

준수 및 조건부 액세스

Microsoft Endpoint Manager 관리 센터에서 준수 정책 및 조건부 액세스 정책을 구성하여 Windows 10 또는 Windows 11 Enterprise 다중 세션 VM을 보호할 수 있습니다. 다음 준수 정책은 Windows 10 또는 Windows 11 Enterprise 다중 세션 VM에서 지원됩니다.

  • 최소 OS 버전
  • 최대 OS 버전
  • 유효한 운영 체제 빌드
  • 단순 암호
  • 암호 유형
  • 최소 암호 길이
  • 암호 복잡도
  • 암호 만료(일)
  • 재사용을 방지하기 위한 이전 암호 수
  • Microsoft Defender 맬웨어 방지 프로그램
  • 최신 Microsoft Defender 맬웨어 방지 보안 인텔리전스
  • 방화벽
  • 바이러스 검사
  • 스파이웨어 방지
  • 실시간 보호
  • Microsoft Defender 맬웨어 방지 최소 버전
  • Defender ATP 위험 점수

다른 모든 정책은 해당 없음 으로 보고됩니다.

중요

새 준수 정책을 만들고 다중 세션 VM을 포함하는 디바이스 그룹을 대상으로 지정해야 합니다. 사용자 대상 규정 준수 구성은 지원되지 않습니다.

조건부 액세스 정책은 Windows 10 또는 Windows 11 Enterprise 다중 세션에 대한 사용자 및 장치 기반 구성을 모두 지원합니다.

참고

Exchange 온-프레미스에 대한 조건부 액세스는 Windows 10 또는 Windows 11 Enterprise 다중 세션 VM에서 지원되지 않습니다.

참고

보안 부팅 및 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)을 활용하는 기능에 대한 구성 및 준수 정책은 현재 Azure Virtual Desktop VM에서 지원되지 않습니다.

엔드포인트 보안

플랫폼 Windows 10, Windows 11, Windows Server를 선택해 다중 세션 VM에 대한 엔드포인트 보안에서 프로필을 구성할 수 있습니다.

자세한 내용은 Microsoft Intune에서 엔드포인트 보안 정책으로 디바이스 보안 관리를 참조하세요.

애플리케이션 배포

모든 Windows 10 또는 Windows 11 앱을 Windows 10 또는 Windows 11 Enterprise 다중 세션에 배포할 수 있지만 다음과 같은 제한 사항이 있습니다.

  • 모든 앱은 시스템/디바이스 컨텍스트에 설치하도록 구성하고 디바이스를 대상으로 지정해야 합니다. 웹 앱은 항상 기본적으로 사용자 컨텍스트에 적용되므로 다중 세션 VM에는 적용되지 않습니다.
  • 모든 앱은 필수 또는 제거 앱 할당 의도로 구성해야 합니다. 사용 가능한 앱 배포 의도는 다중 세션 VM에서 지원되지 않습니다.
  • 시스템 컨텍스트에서 설치하도록 구성된 Win32 앱이 사용자 컨텍스트에서 설치하도록 구성된 앱에 대해 종속성 또는 대체 관계가 있는 경우 앱이 설치되지 않습니다. Windows 10 또는 Windows 11 Enterprise 다중 세션 VM에 적용하려면 시스템 컨텍스트 앱의 별도 인스턴스를 만들거나 모든 앱 종속성이 시스템 컨텍스트에서 설치하도록 구성되어 있는지 확인합니다.
  • Azure Virtual Desktop RemoteApp 및 MSIX 앱 연결은 현재 Microsoft Intune에서 지원되지 않습니다.

스크립트 배포

시스템 컨텍스트에서 실행하도록 구성된 스크립트는 Windows 10 또는 Windows 11 Enterprise 다중 세션에서 지원됩니다. 로그온한 자격 증명을 사용하여 이 스크립트 실행아니요 로 설정하여 스크립트를 스크립트 설정에서 구성할 수 있습니다.

비즈니스용 Windows 업데이트

설정 카탈로그를 사용하여 Windows 10 또는 Windows 11 Enterprise 다중 세션 VM의 품질(보안) 업데이트에 대한 Windows 업데이트 설정을 관리할 수 있습니다. 카탈로그에서 지원되는 설정을 찾으려면 엔터프라이즈 다중 세션 에 대한 설정 필터를 구성한 다음 비즈니스용 Windows 업데이트 카테고리를 확장합니다.

Windows CSP 설명서를 여는 링크와 함께 카탈로그에서 다음 설정을 사용할 수 있습니다.

원격 작업

다음 Windows 10 또는 Windows 11 데스크톱 디바이스 원격 작업은 지원되지 않으며 UI에서 회색으로 표시되고 Windows 10 또는 Windows 11 Enterprise 다중 세션 VM에 대한 그래프에서 비활성화됩니다.

  • Autopilot 재설정
  • BitLocker 키 순환
  • 새로 시작
  • 원격 잠금
  • 암호 다시 설정
  • 초기화

사용 중지

Azure에서 VM을 삭제하면 Microsoft Endpoint Manager 관리 센터에 분리된 장치 레코드가 남습니다. 이러한 레코드는 테넌트에 대해 구성된 정리 규칙에 따라 자동으로 정리됩니다.

보안 기준

현재 Windows 10 또는 Windows 11 Enterprise 다중 세션에는 보안 기준을 사용할 수 없습니다. 사용할 수 있는 보안 기준을 검토하고 설정 카탈로그에서 권장 정책 및 값을 구성하는 것이 좋습니다.

Windows 10 또는 Windows 11 Enterprise 다중 세션 VM에서 지원되지 않는 추가 구성

OOBE(Out of Box Experience) 등록은 Window 10 또는 Windows 11 Enterprise 다중 세션에서 지원되지 않습니다. 이 제한은 다음을 의미합니다.

  • Windows Autopilot 및 상업적 OOBE가 지원되지 않습니다.
  • 등록 상태 페이지가 지원되지 않습니다.

Microsoft Intune 관리하는 Windows 10 또는 Windows 11 Enterprise 다중 세션은 현재 중국 소버린 클라우드에서 지원되지 않습니다.

문제 해결

다음 섹션에서는 일반적인 문제에 대한 문제 해결 지침을 제공합니다.

등록 문제

문제 자세한 정보
하이브리드 Azure AD 조인 가상 머신 등록 실패
  • 자동 등록은 사용자 자격 증명을 사용하도록 구성됩니다. Windows 10 또는 Windows 11 Enterprise 다중 세션 가상 머신은 디바이스 자격 증명을 사용하여 등록해야 합니다.
  • 사용 중인 Azure Virtual Desktop 에이전트는 버전 2944.1400 이상이어야 합니다.
  • 지원되지 않는 MDM 공급자가 두 개 이상 있습니다.
  • Windows 10 또는 Windows 11 Enterprise 다중 세션 VM은 호스트 풀 외부에서 구성됩니다. Microsoft Intuned은 호스트 풀의 일부로 프로비전된 VM만 지원합니다.
  • Azure Virtual Desktop 호스트 풀은 Azure Resource Manager 템플릿을 통해 생성되지 않았습니다.
Azure AD 조인 가상 머신 등록 실패
  • 사용 중인 Azure Virtual Desktop 에이전트가 업데이트되지 않았습니다. 에이전트는 버전 2944.1400 이상이어야 합니다.
  • Azure Virtual Desktop 호스트 풀이 Azure Resource Manager 템플릿을 통해 생성되지 않았습니다.

구성 문제

문제 자세한 정보
설정 카탈로그 정책 실패 장치 자격 증명을 사용하여 VM이 등록되었는지 확인합니다. 사용자 자격 증명을 사용한 등록은 현재 Windows 10 또는 Windows 11 Enterprise 다중 세션에 대해 지원되지 않습니다.
구성 정책이 적용되지 않음 템플릿(인증서 제외)은 Windows 10 또는 Windows 11 Enterprise 다중 세션에서 지원되지 않습니다. 모든 정책은 설정 카탈로그를 통해 생성해야 합니다.
구성 정책은 해당 없음으로 보고합니다. 일부 정책은 Azure Virtual Desktop VM에 적용할 수 없습니다.
Windows 10 또는 Windows 11 Enterprise 다중 세션 에디션에 필터를 적용할 때 Microsoft Edge/Microsoft Office ADMX 정책이 표시되지 않음 이러한 설정의 적용 여부는 Windows 버전 또는 에디션이 아니라 해당 앱이 장치에 설치되었는지 여부에 따라 다릅니다. 정책에 이러한 설정을 추가하려면 설정 선택기에서 적용된 모든 필터를 제거해야 할 수도 있습니다.
시스템 컨텍스트에 설치하도록 구성된 앱이 적용되지 않음 앱이 사용자 컨텍스트에 설치하도록 구성된 앱에 대한 종속성 또는 대체 관계가 없는지 확인합니다. 사용자 컨텍스트 앱은 현재 Windows 10 또는 Windows 11 Enterprise 다중 세션에서 지원되지 않습니다.
Windows 10 이상 정책에 대한 업데이트 링이 적용되지 않았습니다. 비즈니스용 Windows 업데이트 정책은 현재 지원되지 않습니다.

다음 단계

Azure Virtual Desktop에 대해 자세히 알아봅니다.