Microsoft Entra 하이브리드 결합 구현 계획
온-프레미스 AD DS(Active Directory Domain Services) 환경이 있고 AD DS 도메인 가입 컴퓨터를 Microsoft Entra ID에 조인하려는 경우 Microsoft Entra 하이브리드 조인을 수행하여 이 작업을 수행할 수 있습니다.
팁
온-프레미스 리소스에 대한 SSO(Single Sign-On) 액세스는 Microsoft Entra에 가입된 디바이스에서도 사용할 수 있습니다. 자세한 내용은 Microsoft Entra에 조인된 디바이스의 온-프레미스 리소스에 대한 SSO 작동 방식을 참조하세요.
필수 구성 요소
이 글은 Microsoft Entra ID에서의 디바이스 ID 관리 소개 에 익숙하다고 가정합니다.
메모
Windows 10 이상 Microsoft Entra 하이브리드 조인에 필요한 최소 DC(도메인 컨트롤러) 버전은 Windows Server 2008 R2입니다.
Microsoft Entra 하이브리드 조인 디바이스에는 도메인 컨트롤러에 대한 주기적인 네트워크 시야가 필요합니다. 이 연결이 없으면 디바이스를 사용할 수 없게 됩니다.
도메인 컨트롤러에 대한 가시선 없이 중단되는 시나리오는 다음과 같습니다.
- 디바이스 암호 변경
- 사용자 암호 변경(캐시된 자격 증명)
- TPM(신뢰할 수 있는 플랫폼 모듈) 재설정
구현을 계획하세요
하이브리드 Microsoft Entra 구현을 계획하려면 다음을 숙지하세요.
- 지원되는 디바이스 검토
- 알아야 할 사항 검토
- Microsoft Entra 하이브리드 조인의 대상 배포 검토
- ID 인프라에 따라 시나리오 선택
- Microsoft Entra 하이브리드 조인에 대한 온-프레미스 Microsoft Windows Server Active Directory UPN(사용자 계정 이름) 지원 검토
지원되는 디바이스 검토
Microsoft Entra 하이브리드 조인은 광범위한 Windows 디바이스를 지원합니다.
- Windows 11
- Windows 10
- Windows Server 2016
- 참고: Azure National 클라우드 고객은 버전 1803이 필요합니다
- Windows Server 2019
가장 좋은 방법은 최신 버전의 Windows로 업그레이드하는 것이 좋습니다.
알아야 할 사항 검토
지원되지 않는 시나리오
- Microsoft Entra 하이브리드 조인은 DC(도메인 컨트롤러) 역할을 실행하는 Windows Server에서 지원되지 않습니다.
- Server Core OS는 모든 유형의 디바이스 등록을 지원하지 않습니다.
- USMT(사용자 상태 마이그레이션 도구)는 디바이스 등록에서 작동하지 않습니다.
OS 이미징 고려 사항
시스템 준비 도구(Sysprep)를 사용하고 설치를 위해 Windows 10 1809 이전의 이미지를 사용하는 경우, 해당 이미지가 이미 Microsoft Entra 하이브리드 조인으로 Microsoft Entra ID에 등록된 디바이스에서 온 것이 아닌지 확인합니다.
VM(Virtual Machine) 스냅샷을 사용하여 더 많은 VM을 만들 때에는 그 스냅샷이 Microsoft Entra ID와 Microsoft Entra 하이브리드 조인으로 이미 등록된 VM의 것이 아닌지 확인하십시오.
통합 쓰기 필터 및 재부팅 시 디스크에 대한 변경 내용을 지우는 유사한 기술을 사용하는 경우 디바이스가 Microsoft Entra 하이브리드 조인된 후에 적용해야 합니다. Microsoft Entra 하이브리드 조인이 완료되기 전에 이러한 기술을 사용하도록 설정하면 다시 부팅할 때마다 디바이스가 조인되지 않습니다.
Microsoft Entra가 등록된 상태인 기기 관리
Windows 10 이상 도메인에 가입된 디바이스가 테넌트에 Microsoft Entra 등록 경우, Microsoft Entra 하이브리드 조인과 Microsoft Entra 등록 디바이스의 이중 상태가 발생할 수 있습니다. 이 시나리오를 자동으로 해결하려면 Windows 10 1803(KB4489894 적용됨) 이상으로 업그레이드하는 것이 좋습니다. 1803 이전 릴리스에서는 Microsoft Entra 하이브리드 조인을 사용하도록 설정하기 전에 Microsoft Entra 등록 상태를 수동으로 제거해야 합니다. 1803 이상 릴리스에서는 이 이중 상태를 방지하기 위해 다음과 같은 변경 사항이 적용되었습니다.
- 디바이스가 Microsoft Entra 하이브리드 조인되고 동일한 사용자 로그가사용자의 기존 Microsoft Entra 등록 상태가 자동으로 제거됩니다. 예를 들어 사용자 A가 디바이스에 Microsoft Entra 등록 상태가 있는 경우 사용자 A가 디바이스에 로그인할 때만 사용자 A의 이중 상태가 정리됩니다. 동일한 디바이스에 여러 사용자가 있는 경우 해당 사용자가 로그인할 때 이중 상태가 개별적으로 정리됩니다. 관리자가 Microsoft Entra 등록 상태를 제거한 후 등록이 자동 등록을 통해 Microsoft Entra 등록의 일부로 발생한 경우 Windows 10은 Intune 또는 기타 MDM(모바일 디바이스 관리)에서 디바이스 등록을 취소합니다.
- 디바이스의 모든 로컬 계정에 Microsoft Entra 등록 상태는 이 변경의 영향을 받지 않습니다. 도메인 계정에만 적용됩니다. 로컬 계정의 Microsoft Entra 등록 상태는 사용자가 도메인 사용자가 아니므로 사용자 로그온 후에도 자동으로 제거되지 않습니다.
- HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001 다음 레지스트리 값을 추가하여 도메인에 가입된 디바이스가 Microsoft Entra로 등록되지 않도록 방지할 수 있습니다.
- Windows 10 1803에서 비즈니스용 Windows Hello가 구성된 경우 사용자는 이중 상태 정리 후 비즈니스용 Windows Hello를 다시 구성해야 합니다. 이 문제는 KB4512509 통해 해결됩니다.
메모
Windows 10 및 Windows 11에서 Microsoft Entra 등록 상태를 로컬로 자동으로 제거하더라도 Intune에서 관리하는 경우 Microsoft Entra ID의 디바이스 개체는 즉시 삭제되지 않습니다.
dsregcmd /status실행하여 Microsoft Entra 등록 상태 제거의 유효성을 검사할 수 있습니다.
단일 포레스트, 여러 Microsoft Entra 테넌트에 대한 Microsoft Entra 하이브리드 조인
디바이스를 각 테넌트에 Microsoft Entra 하이브리드 조인으로 등록하려면 조직은 MICROSOFT Windows Server Active Directory가 아닌 디바이스에서 SCP(서비스 연결 지점) 구성이 수행되었는지 확인해야 합니다. 이 작업을 수행하는 방법에 대한 추가 세부정보는 문서 : Microsoft Entra 하이브리드 조인 대상 배포에서 확인할 수 있습니다. 조직에서는 특정 Microsoft Entra 기능이 단일 포리스트, 여러 Microsoft Entra 테넌트 구성에서 작동하지 않는다는 점을 이해하는 것이 중요합니다.
- 디바이스 라이트백이 작동하지 않습니다. 이 구성은 AD FS 사용하여 페더레이션되는 온-프레미스 앱에 대한디바이스 기반 조건부 액세스에 영향을 줍니다. 이 구성은 하이브리드 인증서 신뢰 모델 을 사용하는 경우비즈니스용 Windows Hello 배포에 영향을 줍니다.
- 그룹 반영 작동하지 않습니다. 이 구성은 Exchange가 설치된 포리스트에 대한 Office 365 그룹의 쓰기 저장에 영향을 줍니다.
- Seamless SSO 작동하지 않습니다. 이 구성은 Windows 10 확장 없이 Firefox, Safari 또는 Chrome에서 iOS 또는 Linux와 같은 브라우저 플랫폼을 사용하는 조직의 SSO 시나리오에 영향을 줍니다.
- 사내 Microsoft Entra 암호 보호 작동하지 않습니다. 이 구성은 Microsoft Entra ID에 저장된 동일한 전역 및 사용자 지정 금지 암호 목록을 사용하여 온-프레미스 AD DS(Active Directory Domain Services) 도메인 컨트롤러에 대해 암호 변경 및 암호 재설정 이벤트를 수행하는 기능에 영향을 줍니다.
기타 고려 사항
환경에서 VDI(가상 데스크톱 인프라)를 사용하는 경우 디바이스 ID 및 데스크톱 가상화참조하세요.
Microsoft Entra 하이브리드 조인은 FIPS(Federal Information Processing Standard) 규격 TPM 2.0에서 지원되며 TPM 1.2에는 지원되지 않습니다. 디바이스에 FIPS 규격 TPM 1.2가 있는 경우 Microsoft Entra 하이브리드 조인을 진행하기 전에 사용하지 않도록 설정해야 합니다. Microsoft는 TPM 제조업체에 종속되므로 TPM에 대해 FIPS 모드를 사용하지 않도록 설정하는 도구를 제공하지 않습니다. 지원을 위해 하드웨어 OEM에 문의하세요.
Windows 10 1903 릴리스부터 TPM 버전 1.2는 Microsoft Entra 하이브리드 조인과 함께 사용되지 않으며 해당 TPM이 있는 디바이스는 TPM이 없는 것처럼 처리됩니다.
UPN 변경 내용은 Windows 10 2004 업데이트를 시작하는 경우에만 지원됩니다. Windows 10 2004 업데이트 이전 디바이스의 경우 사용자는 디바이스에서 SSO 및 조건부 액세스 문제가 있을 수 있습니다. 이 문제를 해결하려면 Microsoft Entra ID에서 디바이스를 연결 해제하고(상승된 권한으로 "dsregcmd /leave" 실행) 다시 가입(자동으로 발생)해야 합니다. 그러나 비즈니스용 Windows Hello로 로그인하는 사용자는 이 문제에 직면하지 않습니다.
Microsoft Entra 하이브리드 조인 검토하기
조직에서는 전체 조직에서 사용하도록 설정하기 전에 Microsoft Entra 하이브리드 조인을 대상으로 지정된 롤아웃을 수행할 수 있습니다. Microsoft Entra 하이브리드 조인 대상 배포에 대한 문서을 검토하여 그 수행 방법을 이해하십시오.
경고
조직은 파일럿 그룹에 다양한 역할 및 프로필의 사용자 샘플을 포함해야 합니다. 대상 롤아웃은 전체 조직에서 사용하도록 설정하기 전에 계획에서 해결할 수 없는 문제를 식별하는 데 도움이 됩니다.
ID 인프라에 따라 시나리오 선택
Microsoft Entra 하이브리드 조인은 UPN이 라우팅 가능한지 아니면 라우팅할 수 없는지에 따라 관리되는 환경과 페더레이션된 환경 모두에서 작동합니다. 지원되는 시나리오에 대한 표는 페이지 하단을 참조하세요.
관리되는 환경
관리되는 환경은 PHS(암호 해시 동기화) 또는 PTA(통과 인증)를 사용하여 Seamless single sign-on으로 배포할 수 있습니다.
이러한 시나리오에서는 인증을 위해 페더레이션 서버를 구성할 필요가 없습니다(AuthN).
메모
단계적 롤아웃 사용하는 클라우드 인증은 Windows 10 1903 업데이트부터만 지원됩니다.
페더레이션된 환경
페더레이션된 환경에는 다음 요구 사항을 지원하는 ID 공급자가 있어야 합니다. AD FS(Active Directory Federation Services)를 사용하는 페더레이션 환경이 있는 경우 아래 요구 사항이 이미 지원됩니다.
WS-Trust 프로토콜: 이 프로토콜은 Microsoft Entra ID를 사용하여 Microsoft Entra 하이브리드 조인 Windows 디바이스를 인증하는 데 필요합니다. AD FS를 사용하는 경우 다음 WS-Trust 엔드포인트를 사용하도록 설정해야 합니다.
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
경고
adfs/services/trust/2005/windowstransport 또는 adfs/services/trust/13/windowstransport 모두 인트라넷 연결 엔드포인트로만 사용하도록 설정해야 하며 웹 애플리케이션 프록시를 통해 엑스트라넷 연결 엔드포인트로 노출되어서는 안 됩니다. Windows 엔드포인트 WS-Trust를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 'WS-Trust Windows 엔드포인트 사용 안 함' 페이지의 프록시를 참조하세요. AD FS 관리 콘솔을 통해 서비스>엔드포인트활성화된 엔드포인트를 확인할 수 있습니다.
버전 1.1.819.0부터 Microsoft Entra Connect는 Microsoft Entra 하이브리드 조인을 구성하는 마법사를 제공합니다. 마법사를 사용하면 구성 프로세스를 크게 간소화할 수 있습니다. 필요한 버전의 Microsoft Entra Connect를 설치하는 것이 옵션이 아닌 경우 디바이스 등록수동으로 구성하는 방법을 참조하세요. contoso.com 확인된 사용자 지정 도메인으로 등록된 경우 동기화된 온-프레미스 AD DS UPN 접미사가 test.contoso.com 같은 하위 도메인에 있더라도 PRT를 가져올 수 있습니다.
Microsoft Windows Server Active Directory의 온-프레미스 사용자 UPN 지원을 Microsoft Entra 하이브리드 조인을 위해 검토
- 라우팅 가능한 사용자 UPN: 라우팅 가능한 UPN에는 도메인 등록 기관에 등록된 유효한 확인된 도메인이 있습니다. 예를 들어, contoso.com이 Microsoft Entra ID의 기본 도메인인 경우, contoso.org는 Contoso 소유의 온-프레미스 AD의 기본 도메인이며, Microsoft Entra ID 에서로 확인되었습니다.
- 라우팅할 수 없는 사용자 UPN: 라우팅할 수 없는 UPN은 확인된 도메인이 없으며 조직의 개인 네트워크 내에서만 적용할 수 있습니다. 예를 들어 contoso.com Microsoft Entra ID의 기본 도메인이고 contoso.local이 온-프레미스 AD의 기본 도메인이지만 인터넷에서 확인할 수 있는 도메인이 아니며 Contoso의 네트워크 내에서만 사용되는 경우입니다.
메모
이 섹션의 정보는 온-프레미스 사용자 UPN에만 적용됩니다. 온-프레미스 컴퓨터 도메인 접미사(예: computer1.contoso.local)에는 적용되지 않습니다.
다음 표에서는 Windows 10 Microsoft Entra 하이브리드 조인의 이러한 온-프레미스 Microsoft Windows Server Active Directory UPN 지원에 대한 세부 정보를 제공합니다.
| 온프레미스 Microsoft Windows Server Active Directory UPN 유형 | 도메인 유형 | Windows 10 버전 | 묘사 |
|---|---|---|---|
| 라우팅 가능 | 페더레이션 | 1703 릴리스부터 | 일반 공급 |
| 라우팅 불가 | 페더레이션 | 1803 릴리스부터 | 일반 공급 |
| 라우팅 가능 | 관리 | 1803 출시부터 | 일반적으로 사용 가능하지만, Windows 잠금 화면의 Microsoft Entra SSPR은 온-프레미스 UPN이 Microsoft Entra UPN과 다른 환경에서는 지원되지 않습니다. 온-프레미스 UPN을 Microsoft Entra ID의 onPremisesUserPrincipalName 특성과 동기화해야 합니다. |
| 라우팅 불가 | 관리 | 지원되지 않음 |