그룹 정책 사용하여 자동으로 Windows 디바이스 등록

그룹 정책 사용하여 AD(Active Directory) 도메인 가입 디바이스용 MDM(Mobile 장치 관리)에 대한 자동 등록을 트리거할 수 있습니다.

Intune 등록은 로컬 AD에서 만든 그룹 정책에 의해 트리거되며 사용자 상호 작용 없이 발생합니다. 이 원인 및 효과 메커니즘은 많은 수의 도메인에 가입된 회사 디바이스를 Microsoft Intune 자동으로 대량 등록할 수 있습니다. 등록 프로세스는 Microsoft Entra 계정으로 디바이스에 로그인하면 백그라운드에서 시작됩니다.

요구 사항:

자동 등록은 MDM 서비스의 존재와 PC에 대한 Microsoft Entra 등록에 의존합니다. 엔터프라이즈에서 Microsoft Entra ID AD를 등록하면 도메인에 가입된 Windows PC가 자동으로 Microsoft Entra 등록됩니다.

참고

Windows 10 버전 1709에서는 디바이스가 도메인에 가입되었는지 여부를 검사 등록 프로토콜이 업데이트되었습니다. 자세한 내용은 [MS-MDE2]: 모바일 디바이스 등록 프로토콜 버전 2를 참조하세요. 예제는 MS-MDE2 프로토콜 설명서의 섹션 4.3.1 RequestSecurityToken을 참조하세요.

자동 등록 그룹 정책 사용하도록 설정되면 MDM 등록을 시작하는 작업이 백그라운드에서 만들어집니다. 작업은 사용자의 Microsoft Entra 정보에서 기존 MDM 서비스 구성을 사용합니다. 다단계 인증이 필요한 경우 인증을 완료하라는 메시지가 사용자에게 표시됩니다. 등록이 구성되면 사용자는 설정 페이지에서 상태 검사 수 있습니다.

  • Windows 10 버전 1709부터 그룹 정책 및 MDM에서 동일한 정책이 구성된 경우 그룹 정책 정책이 MDM보다 우선합니다.
  • Windows 10 버전 1803부터 새 설정을 사용하면 MDM에 대한 우선 순위를 변경할 수 있습니다. 자세한 내용은 Windows 그룹 정책 Intune MDM Policy를 참조하세요.

이 정책이 작동하려면 MDM 서비스 공급자가 도메인 가입 디바이스에 대해 그룹 정책 시작된 MDM 등록을 허용하는지 확인해야 합니다.

디바이스 그룹에 대한 자동 등록 구성

그룹 정책을 사용하여 자동 등록을 구성하려면 다음 단계를 사용합니다.

  1. GPO(그룹 정책 개체)를 만들고 그룹 정책 컴퓨터 구성>관리 템플릿>Windows 구성 요소>MDM기본 Microsoft Entra 자격 증명을 사용하여 자동 MDM> 등록을 사용하도록 설정합니다.
  2. PC에 대한 보안 그룹을 만듭니다.
  3. GPO를 연결합니다.
  4. 보안 그룹을 사용하여 필터링합니다.

정책이 표시되지 않으면 Windows 버전에 대한 최신 ADMX를 가져옵니다. 이 문제를 해결하려면 다음 절차를 사용합니다. 최신 MDM.admx는 이전 버전과 호환됩니다.

  1. 원하는 버전에 대한 관리 템플릿을 다운로드합니다.

  2. 도메인 컨트롤러에 패키지를 설치합니다.

  3. 로 이동하여 C:\Program Files (x86)\Microsoft Group Policy설치된 버전에 따라 적절한 하위 디렉터리를 찾습니다.

  4. PolicyDefinitions 폴더를 에 \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions복사합니다.

    이 폴더가 없는 경우 도메인의 중앙 정책 저장소 에 파일을 복사합니다.

  5. 정책을 사용할 수 있을 때까지 SYSVOL DFSR 복제가 완료될 때까지 기다립니다.

단일 PC에 대한 자동 등록 그룹 정책 구성

이 절차는 새 자동 등록 정책의 작동 방식을 보여 주기 위한 설명용입니다. 엔터프라이즈의 프로덕션 환경에는 권장되지 않습니다.

  1. GPEdit.msc를 실행합니다. 시작을 선택한 다음 텍스트 상자에 를 입력합니다gpedit.

  2. 가장 일치하는 항목에서 그룹 정책 편집을 선택하여 시작합니다.

  3. 로컬 컴퓨터 정책에서 관리 템플릿>Windows 구성 요소MDM을 > 선택합니다.

  4. 기본 Microsoft Entra 자격 증명을 사용하여 자동 MDM 등록 사용을 두 번 클릭합니다. 사용을 선택하고 드롭다운에서 사용자 자격 증명을선택하고 사용할 자격 증명 유형을 선택한 다음 확인을 선택합니다.

    MDM 자동 등록 정책.

    참고

    Windows 10 버전 1903 이상에서는 디바이스를 등록하는 데 사용되는 자격 증명을 선택하는 디바이스 자격 증명 옵션을 포함하도록 MDM.admx 파일이 업데이트되었습니다. 이전 릴리스의 기본 동작은 사용자 자격 증명으로 되돌리기 것입니다.

    디바이스 자격 증명은 Intune 구독이 사용자 중심이기 때문에 공동 관리 또는 Azure Virtual Desktop 다중 세션 호스트 풀이 있는 시나리오에서 Microsoft Intune 등록에 대해서만 지원됩니다. 사용자 자격 증명은 Azure Virtual Desktop 개인 호스트 풀에 대해 지원됩니다.

클라이언트에서 그룹 정책 새로 고침이 발생하면 작업이 만들어지고 하루 동안 5분마다 실행되도록 예약됩니다. 이 작업은 Microsoft Entra ID MDM에 자동으로 등록하기 위해 등록 클라이언트에서 만든 일정이라고 합니다. 예약된 작업을 보려면 작업 스케줄러 앱을 시작합니다.

2단계 인증이 필요한 경우 프로세스를 완료하라는 메시지가 표시됩니다. 다음은 예제 스크린샷입니다.

2단계 인증 알림의 스크린샷

Microsoft Entra ID 조건부 액세스 정책을 사용하여 이 동작을 방지할 수 있습니다. 조건부 액세스란?을 참조하여 자세히 알아보세요.

등록 확인

MDM에 성공적으로 등록되었는지 확인하려면설정>시작>계정>회사 또는 학교 액세스로 이동한 다음 도메인 계정을 선택합니다. 정보를 선택하여 MDM 등록 정보를 확인합니다.

회사 학교 설정의 스크린샷.

참고

정보 단추 또는 등록 정보가 표시되지 않으면 등록에 실패했을 수 있습니다. 작업 스케줄러 앱에서 상태 확인하고 MDM 등록 진단을 참조하세요.

작업 스케줄러 앱

시작을 선택한 다음, 텍스트 상자에 를 입력합니다task scheduler. 가장 일치하는 항목에서 작업 스케줄러를 선택하여 시작합니다.

작업 스케줄러 라이브러리에서 Microsoft > Windows 를 연 다음 EnterpriseMgmt를 선택합니다.

자동 등록 예약된 작업입니다.

작업의 결과를 보려면 스크롤 막대를 이동하여 마지막 실행 결과를 확인합니다. 기록 탭에서 로그를 볼 수 있습니다.

0x80180026 메시지는 MDM 등록 사용 안 함 정책을 사용하도록 설정하여 발생할 수 있는 오류 메시지(MENROLL_E_DEVICE_MANAGEMENT_BLOCKED)입니다.

참고

GPEdit 콘솔은 디바이스의 organization 설정한 정책의 상태 반영하지 않습니다. 사용자가 정책을 설정하는 데만 사용됩니다.