엔드포인트용 Microsoft Defender 보안 관리와 관련된 온보딩 문제 해결

  • 아티클
  • 읽는 데 10분 걸림

적용 대상:

엔드포인트용 Microsoft Defender 대한 보안 관리는 Microsoft Endpoint Manager 관리되지 않는 디바이스(Microsoft Intune 또는 Microsoft 엔드포인트 Configuration Manager)에 대한 보안 구성을 수신하는 기능입니다. Endpoint Manager 직접 엔드포인트용 Microsoft Defender. 엔드포인트용 Microsoft Defender 보안 관리에 대한 자세한 내용은 Microsoft Endpoint Manager 사용하여 디바이스에서 엔드포인트용 Microsoft Defender 관리를 참조하세요.

엔드포인트용 Microsoft Defender 온보딩 지침에 대한 보안 관리는 엔드포인트용 Microsoft Defender 보안 구성 관리를 참조하세요.

이 엔드 투 엔드 온보딩은 마찰 없이 설계되었으며 사용자 입력이 필요하지 않습니다. 그러나 온보딩 중에 문제가 발생하는 경우 엔드포인트용 Microsoft Defender 플랫폼 내에서 오류를 보고 해결할 수 있습니다.

참고

새 디바이스의 온보딩 흐름에 문제가 있는 경우 엔드포인트용 Microsoft Defender 필수 구성 요소를 검토하고 온보딩 지침을 따르는지 확인합니다.

클라이언트 분석기에 대한 자세한 내용은 엔드포인트용 Microsoft Defender Client Analyzer를 사용하여 센서 상태 문제 해결을 참조하세요.

Azure Active Directory에 도메인 가입 컴퓨터 등록

Azure Active Directory에 디바이스를 성공적으로 등록하려면 다음을 확인해야 합니다.

  • 컴퓨터는 도메인 컨트롤러를 사용하여 인증할 수 있습니다.
  • 컴퓨터는 조직의 네트워크 내에서 다음 Microsoft 리소스에 액세스할 수 있습니다.
  • Azure AD 연결은 컴퓨터 개체를 동기화하도록 구성됩니다. 기본적으로 컴퓨터 OU는 Azure AD 연결 동기화 범위에 있습니다. 컴퓨터 개체가 특정 OU(조직 구성 단위)에 속하는 경우 Azure AD Connect에서 동기화하도록 OU를 구성합니다. Azure AD Connect를 사용하여 컴퓨터 개체를 동기화하는 방법에 대한 자세한 내용은 조직 구성 단위 기반 필터링을 참조하세요.

중요

Azure AD 연결은 Windows Server 2012 R2 컴퓨터 개체를 동기화하지 않습니다. 엔드포인트용 Microsoft Defender 대한 보안 관리용 Azure AD 등록해야 하는 경우 동기화 범위에 해당 컴퓨터 개체를 포함하도록 동기화 규칙을 Azure AD 사용자 지정해야 합니다. Azure Active Directory Connect에서 컴퓨터 조인 규칙을 적용하기 위한 지침을 참조하세요.

참고

디바이스의 운영 체제와 관계없이 온보딩 흐름을 성공적으로 완료하기 위해 디바이스의 초기 상태에 따라 디바이스의 Azure Active Directory 상태가 변경됩니다.


디바이스 상태 시작 새 디바이스 상태
이미 AADJ 또는 HAADJ 그대로 유지
AADJ 또는 하이브리드 HAADJ(Azure Active Directory 조인) + 도메인에 가입되지 않음 디바이스가 HAADJ'd
AADJ 또는 HAADJ + 도메인에 가입되지 않음 디바이스가 AADJ'd

여기서 AADJ는 Azure Active Directory 조인을 나타내고 HAADJ는 하이브리드 Azure Active Directory 조인을 나타냅니다.

엔드포인트용 Microsoft Defender 포털의 오류 문제 해결

이제 보안 관리자는 엔드포인트용 Microsoft Defender 포털을 통해 엔드포인트용 Microsoft Defender 온보딩에 대한 보안 관리 문제를 해결할 수 있습니다.

구성 관리 에서 MDE 보안 관리 위젯을 통해 온보딩 된 위젯이 추가되어 엔드포인트용 Microsoft Defender 관리 디바이스의 등록 상태 분석을 표시합니다.

엔드포인트용 Microsoft Defender 관리하는 모든 디바이스 목록을 보려면 MDE에서 관리하는 모든 디바이스 보기를 선택합니다.

목록에서 디바이스의 등록 상태가 "성공"이 아닌 경우 디바이스를 선택하여 오류의 근본 원인 및 해당 설명서를 가리키는 사이드 패널에서 문제 해결 세부 정보를 확인합니다.

디바이스 인벤토리 페이지에 적용되는 필터 조건

참고

보안 관리 기능을 사용하려고 할 때 타사 MDM의 정확한 검색에 영향을 주는 문제를 알고 있으며 수정 작업을 진행 중입니다.

Windows에서 엔드포인트용 Microsoft Defender 클라이언트 분석기 실행

엔드포인트용 Microsoft Defender 온보딩 흐름에 대한 보안 관리를 완료하지 못하는 엔드포인트에서 클라이언트 분석기를 실행하는 것이 좋습니다. 클라이언트 분석기에 대한 자세한 내용은 엔드포인트용 Microsoft Defender Client Analyzer를 사용하여 센서 상태 문제 해결을 참조하세요.

클라이언트 분석기 출력 파일(MDE 클라이언트 분석기 Results.htm)은 주요 문제 해결 정보를 제공할 수 있습니다.

  • 디바이스 OS가 일반 디바이스 세부 정보 섹션에서 엔드포인트용 Microsoft Defender 온보딩 흐름에 대한 보안 관리 범위에 있는지 확인합니다.

  • 디바이스 구성 관리 세부 정보 에서 디바이스가 Azure Active Directory에 성공적으로 등록되었는지 확인합니다.

    클라이언트 분석기 결과

보고서의 자세한 결과 섹션에서 클라이언트 분석기는 실행 가능한 지침도 제공합니다.

보고서의 세부 결과 섹션에 "오류"가 포함되어 있지 않은지 확인하고 모든 "경고" 메시지를 검토해야 합니다.

예를 들어 보안 관리 온보딩 흐름의 일부로 엔드포인트용 Microsoft Defender 테넌트의 Azure Active Directory 테넌트 ID가 보고서의 디바이스 구성 관리 세부 정보 섹션에 표시되는 SCP 테넌트 ID와 일치해야 합니다. 이와 관련된 경우 보고서 출력에서 이 확인을 수행하는 것이 좋습니다.

자세한 결과를 표시하는 페이지

일반 문제 해결

AAD 또는 MEM에서 온보딩된 디바이스를 식별할 수 없고 등록 중에 오류가 수신되지 않은 경우 레지스트리 키를 Computer\\HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SenseCM\\EnrollmentStatus 확인하면 추가 문제 해결 정보를 제공할 수 있습니다.

등록 상태를 표시하는 페이지

다음 표에는 오류를 해결하기 위해 시도/확인할 내용에 대한 오류 및 지침이 나와 있습니다. 오류 목록은 완료되지 않았으며 과거에 고객이 발생한 일반적인/일반적인 오류를 기반으로 합니다.

오류 코드 등록 상태 관리자 작업
5-7, 9, 11-12, 26-33 일반 오류 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 보안 구성 관리 흐름에 오류가 발생했습니다. 이는 디바이스가 엔드포인트용 Microsoft Defender 관리 채널의 필수 구성 요소를 충족하지 않기 때문일 수 있습니다. 디바이스에서 클라이언트 분석기를 실행하면 문제의 근본 원인을 식별하는 데 도움이 될 수 있습니다. 도움이 되지 않으면 지원에 문의하세요.
8, 44 Microsoft Endpoint Manager 구성 문제 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 microsoft Endpoint Manager 엔드포인트용 Microsoft Defender 보안 구성을 허용하도록 관리 센터를 통해 구성되지 않았습니다. Microsoft Endpoint Manager 테넌트가 구성되고 기능이 켜져 있는지 확인합니다.
13-14,20,24,25 연결 문제 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 연결 문제로 인해 보안 구성 관리 흐름에 오류가 발생했습니다. Azure Active Directory 및 Microsoft Endpoint Manager 엔드포인트가 방화벽에서 열려 있는지 확인합니다.
10,42 일반 하이브리드 조인 실패 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 보안 구성 관리 흐름에 오류가 있었고 OS가 하이브리드 조인을 수행하지 못했습니다. OS 수준 하이브리드 조인 실패 문제를 해결하려면 하이브리드 Azure Active Directory 조인 디바이스 문제 해결을 사용합니다.
15 테넌트 불일치 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 엔드포인트용 Microsoft Defender 테넌트 ID가 Azure Active Directory 테넌트 ID와 일치하지 않으므로 보안 구성 관리 흐름에 오류가 발생했습니다. 엔드포인트용 Defender 테넌트에서 Azure Active Directory 테넌트 ID가 도메인의 SCP 항목에 있는 테넌트 ID와 일치하는지 확인합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 보안 관리와 관련된 온보딩 문제를 해결합니다.
16,17 하이브리드 오류 - 서비스 연결 지점 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 SCP(서비스 연결 지점) 레코드가 올바르게 구성되지 않아 디바이스를 Azure AD 조인할 수 없습니다. 이는 엔터프라이즈 DRS에 가입하도록 SCP가 구성되었기 때문일 수 있습니다. 모범 사례에 따라 SCP 레코드가 AAD 및 SCP를 가리키는지 확인합니다. 자세한 내용은 서비스 연결 지점 구성을 참조하세요.
18 인증서 오류 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 디바이스 인증서 오류로 인해 보안 구성 관리 흐름에 오류가 발생했습니다. 디바이스 인증서는 다른 테넌트에 속합니다. 신뢰할 수 있는 인증서 프로필을 만들 때 모범 사례를 따르는지 확인합니다.
36 , 37 AAD Connect 잘못된 구성 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 AAD Connect의 잘못된 구성으로 인해 보안 구성 관리 흐름에 오류가 발생했습니다. 디바이스가 AAD에 등록되지 못하게 하는 항목을 식별하려면 디바이스 등록 문제 해결사 도구를 실행하는 것이 좋습니다. Windows Server 2012 R2의 경우 전용 문제 해결 지침을 실행합니다.
38,41 DNS 오류 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 DNS 오류로 인해 보안 구성 관리 흐름에 오류가 발생했습니다. 디바이스에서 인터넷 연결 및/또는 DNS 설정을 확인합니다. 잘못된 DNS 설정이 워크스테이션 쪽에 있을 수 있습니다. Active Directory를 사용하려면 도메인 DNS를 사용하여 라우터 주소가 아닌 제대로 작동해야 합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 보안 관리와 관련된 온보딩 문제 해결을 참조하세요.
40 클록 동기화 문제 디바이스가 엔드포인트용 Microsoft Defender 성공적으로 온보딩되었습니다. 그러나 보안 구성 관리 흐름에 오류가 발생했습니다. 시계가 올바르게 설정되었고 오류가 발생한 디바이스에서 동기화되었는지 확인합니다.
43 MDE 및 ConfigMgr 디바이스는 Configuration Manager 및 엔드포인트용 Microsoft Defender 사용하여 관리됩니다. 두 채널을 통해 정책을 제어하면 충돌 및 원치 않는 결과가 발생할 수 있습니다. 이를 방지하려면 엔드포인트 보안 정책을 단일 컨트롤 플레인으로 격리해야 합니다.

Azure Active Directory 런타임 문제 해결

AADRT(Azure Active Directory 런타임) 문제를 해결하는 주요 메커니즘은 디버그 추적을 수집하는 것입니다. Windows의 Azure Active Directory 런타임은 ID bd67e65c-9cc2-51d8-7399-0bb9899e75c1이 있는 ETW 공급자 를 사용합니다. ETW 추적은 실패를 재현하여 캡처해야 합니다(예: 조인 실패가 발생하는 경우 조인을 수행하기 위해 AADRT API에 대한 호출을 포함하는 기간 동안 추적을 사용하도록 설정해야 함).

AADRT 로그의 일반적인 오류 및 읽는 방법은 아래를 참조하세요.

이벤트 속성 페이지

메시지의 정보에서 발생한 오류, 오류를 반환한 Win32 API(해당하는 경우), 사용된 URL(해당하는 경우) 및 AAD 런타임 API 오류가 발생한 것을 대부분의 경우 이해할 수 있습니다.

AAD Connect에서 컴퓨터 조인 규칙을 적용하기 위한 지침

Windows Server 2012 R2 도메인 가입 컴퓨터에서 엔드포인트용 Microsoft Defender 대한 보안 관리의 경우 Azure AD Connect 동기화 규칙 "AD-Computer 조인에서 들어오기"에 대한 업데이트가 필요합니다. 이 작업은 원래 "AD에서 들어오기 - 컴퓨터 조인" 규칙을 사용하지 않도록 설정하는 규칙을 복제하고 수정하여 수행할 수 있습니다. Azure AD 기본적으로 연결은 기본 제공 규칙을 변경하기 위한 이 환경을 제공합니다.

참고

이러한 변경 내용은 AAD Connect가 실행 중인 서버에 적용해야 합니다. AAD Connect의 여러 인스턴스가 배포된 경우 이러한 변경 내용을 모든 인스턴스에 적용해야 합니다.

  1. 시작 메뉴에서 동기화 규칙 편집기 애플리케이션을 엽니다. 규칙 목록에서 AD에서 In - 컴퓨터 조인 이라는 규칙을 찾습니다. 이 규칙의 '우선 순위' 열에 있는 값을 기록해 둡습니다.

    동기화 규칙 편집기

  2. AD에서의 In – 컴퓨터 조인 규칙이 강조 표시된 상태에서 편집 을 선택합니다. 예약된 규칙 편집 확인 대화 상자에서 예를 선택합니다.

    예약된 규칙 편집 확인 페이지

  3. 인바운드 동기화 규칙 편집 창이 표시됩니다. 이 규칙을 사용하여 Windows Server 2012R2가 동기화되도록 규칙 설명을 업데이트합니다. 우선 순위 값을 제외한 다른 모든 옵션은 변경되지 않은 상태로 둡니다. 규칙 목록에 표시된 대로 원래 규칙의 값보다 높은 우선 순위 값을 입력합니다.

    값을 입력하는 인바운드 동기화 규칙 편집 페이지

  4. 다음 을 세 번 선택합니다. 그러면 규칙의 '변환' 섹션으로 이동합니다. 규칙의 '범위 지정 필터' 및 '조인 규칙' 섹션을 변경하지 마세요. 이제 '변환' 섹션이 표시됩니다.

    인바운드 동기화 규칙

  5. 변환 목록의 맨 아래로 스크롤합니다. cloudFiltered 특성에 대한 변환을 찾습니다. 원본 열의 텍스트 상자에서 모든 텍스트(Control-A)를 선택하고 삭제합니다. 이제 텍스트 상자가 비어 있어야 합니다.

  6. 새 규칙의 콘텐츠를 텍스트 상자에 붙여넣습니다.

    IIF(
  IsNullOrEmpty([userCertificate])
  ||
  (
    (InStr(UCase([operatingSystem]),"WINDOWS") > 0)
    &&
    (Left([operatingSystemVersion],2) = "6.")
    &&
    (Left([operatingSystemVersion],3) <> "6.3")
  )
  ||
  (
    (Left([operatingSystemVersion],3) = "6.3")
    &&
    (InStr(UCase([operatingSystem]),"WINDOWS") > 0)
    &&
    With(
      $validCerts,
      Where(
        $c,
        [userCertificate],
        IsCert($c) && CertNotAfter($c) > Now() && RegexIsMatch(CertSubject($c), "CN=[{]*" & StringFromGuid([objectGUID]) & "[}]*", "IgnoreCase")),
      Count($validCerts) = 0)
  ),
  True,
  NULL
)

  7. 저장 을 선택하여 새 규칙을 저장합니다.

참고

이 규칙 변경이 수행되면 Active Directory의 전체 동기화가 필요합니다. 대규모 환경의 경우 온-프레미스 Active Directory 조용한 기간 동안 이 규칙 변경 및 전체 동기화를 예약하는 것이 좋습니다.