다음을 통해 공유

Microsoft Entra 하이브리드 연결 타겟 배포

전체 조직에서 사용하기 전에 대상 배포를 통해 하이브리드 Microsoft Entra 조인 디바이스에 대한 계획 및 필수 구성 요소의 유효성을 검사할 수 있습니다. 이 문서에서는 Microsoft Entra 하이브리드 조인의 대상 배포를 수행하는 방법을 설명합니다.

주의

Active Directory에서 값을 수정할 때는 주의해야 합니다. 설정된 환경에서 변경하면 의도하지 않은 결과가 발생할 수 있습니다.

Windows 디바이스에서 Microsoft Entra 하이브리드 조인의 타겟팅된 배포

Windows 10을 실행하는 디바이스의 경우 지원되는 최소 버전은 하이브리드 조인을 수행하는 Windows 10(버전 1607)입니다. 가장 좋은 방법은 최신 버전의 Windows 10 또는 11로 업그레이드하는 것입니다.

Windows 디바이스에서 Microsoft Entra 하이브리드 조인의 대상 배포를 수행하려면 다음을 수행해야 합니다.

  1. 있는 경우 Windows Server Active Directory에서 SCP(서비스 연결 지점) 항목을 지웁니다.
  2. GPO(그룹 정책 개체)사용하여 도메인에 가입된 컴퓨터에서 SCP에 대한 클라이언트 쪽 레지스트리 설정을 구성합니다.
  3. AD FS(Active Directory Federation Services)를 사용하는 경우 GPO 사용하여 AD FS 서버에서 SCP에 대한 클라이언트 쪽 레지스트리 설정을구성해야 합니다.
  4. 디바이스 동기화를 사용하도록 설정하려면 Microsoft Entra Connect에서 동기화 옵션을 사용자 지정해야 할 수 있습니다.

SCP는 특정 상황에서 디바이스의 레지스트리에서 로컬로 구성될 수 있습니다. 디바이스가 레지스트리에서 값을 찾으면 해당 구성을 사용하고, 그렇지 않으면 디렉터리에서 SCP를 쿼리하고 하이브리드 조인을 시도합니다.

Microsoft Windows Server Active Directory에서 SCP 지우기

ADSI 편집기(Active Directory Services Interfaces Editor)를 사용하여 Microsoft Windows Server Active Directory에서 SCP 개체를 수정합니다.

  1. 엔터프라이즈 관리자 권한으로 관리용 워크스테이션 또는 도메인 컨트롤러에서 ADSI 편집 데스크톱 애플리케이션을 실행합니다.
  2. 도메인의 구성 명명 컨텍스트에 연결하세요.
  3. 다음으로 이동합니다 CN=Configuration, DC=contoso, DC=com>CN=Services>CN=Device Registration Configuration.
  4. 리프 개체 CN=62a0ff2e-97b9-4513-943f-0d221bd30080에서 오른쪽 클릭하고 속성을 선택합니다.
    1. 특성 편집기 창에서 키워드를 선택하고 편집할선택합니다.
    2. azureADId 값과 azureADName 값을 (한 번에 하나씩) 선택하고 제거를 선택합니다.
  5. ADSI 편집 닫기.

SCP에 대한 클라이언트 쪽 레지스트리 설정 구성

다음 예제를 사용하여 GPO(그룹 정책 개체)를 만들어 디바이스 레지스트리에서 SCP 항목을 구성하는 레지스트리 설정을 배포합니다.

  1. 그룹 정책 관리 콘솔을 열고 도메인에 새 그룹 정책 개체를 만듭니다.
    1. 새로 만든 GPO 이름(예: ClientSideSCP)을 제공합니다.
  2. GPO를 편집하고 다음 경로를 찾습니다. 컴퓨터 구성>기본 설정>Windows 설정>레지스트리.
  3. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새 >선택합니다.
    1. 일반 탭에서 다음을 구성합니다.
      1. 작업: 업데이트.
      2. 하이브: HKEY_LOCAL_MACHINE.
      3. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. 값 이름: "TenantId".
      5. 값 형식: REG_SZ.
      6. 값 데이터: 테넌트 ID 또는테넌트 ID인 Microsoft Entra 테넌트의 GUID(Globally Unique Identifier)는 >>> 에서 찾을 수 있습니다.
    2. 확인선택합니다.
  4. 레지스트리를 마우스 오른쪽 단추로 클릭하고 새 >선택합니다.
    1. 일반 탭에서 다음을 구성합니다.
      1. 작업: 업데이트.
      2. 하이브: HKEY_LOCAL_MACHINE.
      3. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. 값 이름: TenantName.
      5. 값 형식: REG_SZ.
      6. 값 데이터: AD FS와 같은 페더레이션 환경을 사용하는 경우 확인된 도메인 이름. 확인된 도메인 이름 또는 onmicrosoft.com 도메인 이름(예: 관리되는 환경을 사용하는 경우 contoso.onmicrosoft.com).
    2. 확인선택합니다.
  5. 새로 만든 GPO에 대한 편집기를 닫습니다.
  6. 새로 만든 GPO를 제어된 롤아웃 모집단에 속하는 도메인 가입 컴퓨터를 포함하는 올바른 OU(조직 구성 단위)에 연결합니다.

AD FS 설정 구성

Microsoft Entra ID가 AD FS와 페더레이션된 경우 먼저 GPO를 AD FS 서버에 연결하여 앞에서 언급한 지침을 사용하여 클라이언트 쪽 SCP를 구성해야 합니다. SCP 개체는 디바이스 개체에 대한 권한의 원본을 정의합니다. 온-프레미스 또는 Microsoft Entra ID일 수 있습니다. 클라이언트 쪽 SCP가 AD FS에 대해 구성된 경우 디바이스 개체의 원본이 Microsoft Entra ID로 설정됩니다.

메모

AD FS 서버에서 클라이언트 쪽 SCP를 구성하지 못한 경우 디바이스 ID의 원본은 온-프레미스로 간주됩니다. 그러면 AD FS 디바이스 등록 특성 "MaximumInactiveDays"에 정의된 규정된 기간이 지나면 AD FS가 온-프레미스 디렉터리에서 디바이스 개체를 삭제하기 시작합니다. AD FS 디바이스 등록 개체는 Get-AdfsDeviceRegistration cmdlet사용하여 찾을 수 있습니다.

디바이스가 보류 중인 상태인 이유

온-프레미스 디바이스에 대한 Microsoft Entra Connect 동기화에서 Microsoft Entra 하이브리드 조인 작업을 구성하면 태스크는 디바이스 개체를 Microsoft Entra ID로 동기화하고 디바이스가 디바이스 등록을 완료하기 전에 디바이스의 등록된 상태를 일시적으로 "보류 중"으로 설정합니다. 이 보류 중인 상태는 디바이스를 등록하기 전에 Microsoft Entra 디렉터리에 추가해야 하기 때문입니다. 디바이스 등록 프로세스에 대한 자세한 내용은 작동 방법: 디바이스 등록참조하세요.

사후 유효성 검사

모든 것이 예상대로 작동하는지 확인한 후 나머지 Windows 디바이스를 Microsoft Entra ID에 자동으로 등록할 수 있습니다. Microsoft Entra Connect를 사용하여 SCP를 구성함으로써 Microsoft Entra 하이브리드 조인을 자동화합니다.

관련 콘텐츠

  • Last updated on