이 문서에서는 Azure Virtual Desktop에서 Microsoft Entra 조인된 가상 머신을 배포하고 액세스하는 프로세스를 안내합니다. Microsoft Entra 조인된 VM은 VM에서 온-프레미스 또는 가상화된 DC(Active Directory 도메인 Controller)로 또는 Microsoft Entra Domain Services 배포할 필요가 없습니다. 경우에 따라 DC의 필요성을 완전히 제거하여 환경의 배포 및 관리를 간소화할 수 있습니다. 이러한 VM은 관리 용이성을 위해 Intune 자동으로 등록될 수도 있습니다.
알려진 제한
다음과 같은 알려진 제한 사항은 온-프레미스 또는 Active Directory 도메인 가입 리소스에 대한 액세스에 영향을 줄 수 있으며 Microsoft Entra 조인된 VM이 사용자 환경에 적합한지 여부를 결정할 때 고려해야 합니다.
- Microsoft Entra FSLogix 사용자 프로필에 Microsoft Entra Kerberos를 사용하는 하이브리드 사용자에 대한 Azure Files 공유에 대한 조인된 VM 액세스는 완전히 지원됩니다.
- Microsoft Entra Kerberos for FSLogix 사용자 프로필을 사용하여 클라우드 전용 및 외부 ID에 대한 Azure Files 공유에 대한 Microsoft Entra 조인된 VM 액세스는 미리 보기로 제공됩니다.
Microsoft Entra 조인된 VM 배포
새 호스트 풀을 만들거나 기존 호스트 풀을 확장할 때 Azure Portal 직접 Microsoft Entra 조인된 VM을 배포할 수 있습니다. Microsoft Entra 조인된 VM을 배포하려면 Virtual Machines 탭을 연 다음 VM을 Active Directory에 조인할지 아니면 Microsoft Entra ID 할지 선택합니다. Microsoft Entra ID 선택하면 Intune 사용하여 VM을 자동으로 등록할 수 있으므로 세션 호스트를 쉽게 관리할 수 있습니다. Microsoft Entra ID 옵션은 사용자가 있는 구독과 동일한 Microsoft Entra 테넌트에서만 VM을 조인합니다.
참고
- 호스트 풀에는 동일한 도메인 조인 유형의 VM만 포함되어야 합니다. 예를 들어 Microsoft Entra 조인된 VM은 다른 Microsoft Entra 조인된 VM에만 있어야 하며 그 반대의 경우도 마찬가지입니다.
- 세션 호스트 VM에 대한 OS 요구 사항은 로그인할 사용자에 따라 달라집니다.
- 하이브리드 또는 클라우드 전용 사용자만 로그인하는 경우 호스트 풀의 VM은 Windows 11 또는 단일 세션 또는 다중 세션, 버전 2004 이상 또는 2022년 또는 2019년 Windows Server Windows Server Windows 10 합니다.
- 외부 ID가 로그인되는 경우 호스트 풀의 VM에는 더 엄격한 OS 요구 사항이 있습니다. 지원되는 OS 버전에 대한 외부 ID 요구 사항을 참조하세요.
호스트 풀에 대한 사용자 액세스 할당
호스트 풀을 만든 후에는 사용자에게 리소스에 대한 액세스 권한을 할당해야 합니다. 리소스에 대한 액세스 권한을 부여하려면 애플리케이션 그룹에 각 사용자를 추가합니다. 애플리케이션 그룹 관리의 지침에 따라 앱 및 데스크톱에 대한 사용자 액세스 권한을 할당합니다. 가능한 경우 개별 사용자 대신 사용자 그룹을 사용하는 것이 좋습니다.
세션 호스트 구성이 없는 호스트 풀의 Microsoft Entra 조인된 VM의 경우 Active Directory 또는 Microsoft Entra Domain Services 기반 배포에 대한 요구 사항을 기반으로 다음 추가 작업을 수행해야 합니다. 세션 호스트 구성을 사용하는 호스트 풀의 경우 이 추가 역할 할당이 필요하지 않습니다.
- VM에 로그인할 수 있도록 사용자에게 Virtual Machine 사용자 로그인 역할을 할당합니다.
- 로컬 관리자 권한이 필요한 관리자에게 Virtual Machine 관리자 로그인 역할을 할당합니다.
Microsoft Entra 조인된 VM에 대한 액세스 권한을 사용자에게 부여하려면 VM에 대한 역할 할당을 구성해야 합니다. VM, VM을 포함하는 리소스 그룹 또는 구독에서 Virtual Machine 사용자 로그인 또는 Virtual Machine 관리자 로그인 역할을 할당할 수 있습니다. 가상 머신 사용자 로그인 역할을 리소스 그룹 수준에서 애플리케이션 그룹에 사용한 것과 동일한 사용자 그룹에 할당하여 호스트 풀의 모든 VM에 적용하는 것이 좋습니다.
Microsoft Entra 조인된 VM에 액세스
이 섹션에서는 서로 다른 Azure Virtual Desktop 클라이언트에서 Microsoft Entra 조인된 VM에 액세스하는 방법을 설명합니다.
Single Sign-On
모든 플랫폼에서 최상의 환경을 위해 Microsoft Entra 조인된 VM에 액세스할 때 Microsoft Entra 인증을 사용하여 Single Sign-On 환경을 사용하도록 설정해야 합니다. 원활한 연결 환경을 제공하기 위해 Single Sign-On 구성 의 단계를 따릅니다.
레거시 인증 프로토콜을 사용하여 연결
Single Sign-On을 사용하도록 설정하지 않으려는 경우 다음 구성을 사용하여 Microsoft Entra 조인된 VM에 대한 액세스를 사용하도록 설정할 수 있습니다.
Windows 데스크톱 클라이언트를 사용하여 연결
기본 구성은 Windows 데스크톱 클라이언트를 사용하여 Windows 11 또는 Windows 10 연결을 지원합니다. 자격 증명, 스마트 카드, 인증서 신뢰 비즈니스용 Windows Hello 또는 인증서를 사용하여 키 트러스트를 비즈니스용 Windows Hello 세션 호스트에 로그인할 수 있습니다. 그러나 세션 호스트에 액세스하려면 로컬 PC가 다음 조건 중 하나를 충족해야 합니다.
- 로컬 PC는 세션 호스트와 동일한 Microsoft Entra 테넌트에서 Microsoft Entra 조인됩니다.
- 로컬 PC는 Microsoft Entra 하이브리드가 세션 호스트와 동일한 Microsoft Entra 테넌트에 조인됩니다.
- 로컬 PC가 Windows 11 또는 Windows 10 버전 2004 이상을 실행하고 Microsoft Entra 세션 호스트와 동일한 Microsoft Entra 테넌트에서 등록됩니다.
로컬 PC가 이러한 조건 중 하나를 충족하지 않는 경우 targetisaadjoined:i:1을 호스트 풀에 사용자 지정 RDP 속성 으로 추가합니다. 이러한 연결은 세션 호스트에 로그인할 때 사용자 이름 및 암호 자격 증명을 입력하도록 제한됩니다.
다른 클라이언트를 사용하여 연결
웹, Android, macOS 및 iOS 클라이언트를 사용하여 Microsoft Entra 조인된 VM에 액세스하려면 targetisaadjoined:i:1을 호스트 풀에 사용자 지정 RDP 속성으로 추가해야 합니다. 이러한 연결은 세션 호스트에 로그인할 때 사용자 이름 및 암호 자격 증명을 입력하도록 제한됩니다.
Microsoft Entra 조인된 세션 VM에 Microsoft Entra 다단계 인증 적용
Microsoft Entra 조인된 VM에서 Microsoft Entra 다단계 인증을 사용할 수 있습니다. 조건부 액세스를 사용하여 Azure Virtual Desktop에 Microsoft Entra 다단계 인증을 적용하는 단계를 수행하고 Microsoft Entra 조인된 세션 호스트 VM에 대한 추가 단계를 확인합니다.
Microsoft Entra 다단계 인증을 사용하고 비즈니스용 Windows Hello 같은 강력한 인증 방법으로 로그인을 제한하지 않으려면 조건부 액세스 정책에서 Azure Windows VM Sign-In 앱을 제외해야 합니다.
사용자 프로필
하이브리드 사용자 계정을 사용하는 동안 Azure Files 저장할 때 Microsoft Entra 조인된 VM에서 FSLogix 프로필 컨테이너를 사용할 수 있습니다. 자세한 내용은 Azure Files 및 Microsoft Entra ID 사용하여 프로필 컨테이너 만들기를 참조하세요.
온-프레미스 리소스 액세스
Microsoft Entra 조인된 VM을 배포하거나 액세스하기 위해 Active Directory가 필요하지는 않지만 해당 VM에서 온-프레미스 리소스에 액세스하려면 Active Directory 및 해당 VM에 대한 가시선이 필요합니다.
다음 단계
일부 Microsoft Entra 조인된 VM을 배포했으므로 지원되는 Azure Virtual Desktop 클라이언트와 연결하기 전에 Single Sign-On을 사용하도록 설정하여 사용자 세션의 일부로 테스트하는 것이 좋습니다. 자세히 알아보려면 다음 문서를 검사.