Windows Autopilot 디바이스 준비 사용자 기반 Microsoft Entra 조인: 디바이스 그룹 만들기

• 적용 대상:

  ✅ Windows 11

Windows Autopilot 디바이스 준비 사용자 기반 Microsoft Entra 조인 단계:

• 1단계: Windows 자동 Intune 등록 설정
• 2단계: 사용자가 디바이스에 조인할 수 있도록 허용 Microsoft Entra ID

• 3단계: 디바이스 그룹 만들기

• 4단계: 사용자 그룹 만들기
• 5단계: 디바이스 그룹에 애플리케이션 및 PowerShell 스크립트 할당
• 6단계: Windows Autopilot 디바이스 준비 정책 만들기
• 7단계: 디바이스에 Windows 회사 식별자 추가(선택 사항)

Windows Autopilot 디바이스 준비 사용자 기반 Microsoft Entra 조인 워크플로에 대한 개요는 Windows Autopilot 디바이스 준비 사용자 기반 Microsoft Entra 조인 개요를 참조하세요.

참고

이 단계에서 만든 디바이스 그룹은 Windows Autopilot 디바이스 준비와 관련이 있습니다. 다른 Autopilot 시나리오에서 사용되는 기존 디바이스 그룹을 다시 사용하는 대신 Windows Autopilot 디바이스 준비에 사용하기 위해 특별히 디바이스 그룹을 만드는 것이 좋습니다.

디바이스 그룹 만들기

디바이스 그룹은 Microsoft Entra 그룹으로 구성된 디바이스의 컬렉션입니다. 디바이스 그룹은 동적이거나 할당될 수 있습니다.

• 동적 그룹 - 디바이스는 규칙에 따라 그룹에 자동으로 추가됩니다.
• 할당된 그룹 - 디바이스가 그룹에 수동으로 추가되고 정적입니다.

Windows Autopilot 디바이스 준비는 Windows Autopilot 디바이스 준비 정책의 일부로 디바이스 그룹을 사용합니다. Windows Autopilot 디바이스 준비 정책에 지정된 디바이스 그룹은 Windows Autopilot 디바이스 준비 배포 중에 디바이스가 자동으로 추가되는 디바이스 그룹입니다. Windows Autopilot 디바이스 준비 정책에 지정된 디바이스 그룹은 할당된 보안 그룹이어야 합니다.

Windows Autopilot 디바이스 준비에 사용할 할당된 보안 디바이스 그룹을 만들려면 다음 단계를 수행합니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 홈 화면에서 왼쪽 창에서 그룹 선택합니다.

3. 그룹 | 모든 그룹 화면, 모든 그룹이 선택되어 있는지 확인한 다음, 새 그룹을 선택합니다.

4. 열리는 새 그룹 화면에서 다음을 수행합니다.

   1. 그룹 유형에서 보안을 선택합니다.

   2. 그룹 이름에 Windows Autopilot 디바이스 준비 디바이스 그룹과 같은 디바이스 그룹의 이름을 입력합니다.

   3. 그룹 설명에 디바이스 그룹에 대한 설명을 입력합니다.

   4. 그룹에 Microsoft Entra 역할을 할당할 수 있는 경우 아니요를 선택합니다.

   5. 멤버 자격 유형으로 할당됨을 선택합니다.

   6. 소유자의 경우 선택한 소유자 없음 링크를 선택합니다.

   7. 다음이 열리는 소유자 추가 화면에서 다음을 수행합니다.

      1. 개체 목록을 스크롤하고 AppId가 f1346770-5b25-470b-88bd-d5744ab7952c인 프로비전 클라이언트를 Intune 서비스 주체를 선택합니다. 또는 검색 창을 사용하여 프로비저닝 클라이언트를 검색하고 Intune 선택합니다.

         참고

         • 일부 테넌트에서 서비스 주체는 프로비저닝 클라이언트 대신 Intune Autopilot ConfidentialClient의 이름을 가질 수 Intune. 서비스 주체의 AppID가 f1346770-5b25-470b-88bd-d5744ab7952c인 경우 올바른 서비스 주체입니다.

         • appId가 f1346770-5b25-470b-88bd-d5744ab7952c인 Intune 프로비전 클라이언트 또는 Intune Autopilot ConfidentialClient 서비스 주체를 개체 목록에서 사용할 수 없는 경우 또는 검색할 때 Intune 프로비전 클라이언트 서비스 주체 추가를 참조하세요.

      2. Intune 프로비전 클라이언트가 소유자로 선택되면 선택을 선택합니다.

   8. 만들기를 선택하여 할당된 디바이스 그룹 만들기를 완료합니다.

   중요

   구성원 아래에서 선택된 구성원 없음 링크를 선택하여 이 단계에서 만든 디바이스 그룹에 디바이스를 수동으로 추가하지 마세요. Windows Autopilot 디바이스 준비 배포 중에 디바이스가 이 디바이스 그룹에 자동으로 추가됩니다.

Intune 프로비저닝 클라이언트 서비스 주체 추가

디바이스 그룹의 소유자를 선택할 때 AppId f1346770-5b25-470b-88bd-d5744ab7952c를 사용하는 Intune 프로비전 클라이언트 서비스 주체를 사용할 수 없는 경우 다음 단계에 따라 서비스 주체를 추가합니다.

1. Microsoft Intune 또는 Microsoft Entra ID 일반적으로 관리되는 디바이스에서 관리자 권한 Windows PowerShell 명령 프롬프트를 엽니다.

2. Windows PowerShell 명령 프롬프트 창에서 다음을 수행합니다.

   1. 다음 명령을 입력하여 Microsoft.Graph.Authentication 모듈을 설치합니다.

      Install-Module Microsoft.Graph.Authentication
      

      이렇게 하라는 메시지가 표시되면 다음을 수행합니다.

      • Y 또는 예를 입력하거나 예 단추를 선택하여 NuGet을 설치하는 데 동의합니다.
      • Y 또는 예를 입력하거나 예 단추를 선택하여 PSGallery 신뢰할 수 없는 리포지토리에서 설치하는 데 동의합니다.

      자세한 내용은 Microsoft.Graph.Authentication 및 Set-PSRepository -InstallationPolicy를 참조하세요.

   2. 다음 명령을 입력하여 Microsoft.Graph.Applications 모듈을 설치합니다.

      Install-Module Microsoft.Graph.Applications
      

      이렇게 하라는 메시지가 표시되면 Y 또는 예를 입력하거나 예 단추를 선택하여 PSGallery 신뢰할 수 없는 리포지토리에서 설치하는 데 동의합니다.

      자세한 내용은 Microsoft.Graph.Applications 및 Set-PSRepository -InstallationPolicy를 참조하세요.

   3. Microsoft.Graph.Authentication 및 Microsoft.Graph.Applications 모듈이 설치되면 다음 명령을 입력하여 Microsoft Entra ID 연결합니다.

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      자세한 내용은 Connect-MgGraph를 참조하세요.

   4. 아직 Microsoft Entra ID 인증되지 않은 경우 계정에 로그인 창이 나타납니다. 서비스 주체를 추가할 권한이 있는 Microsoft Entra ID 관리자의 자격 증명을 입력합니다.

   5. 요청된 사용 권한 창이 나타나면 organization 대신 동의 확인란을 선택한 다음 수락 단추를 선택합니다.

   6. Microsoft Entra ID 인증되고 적절한 권한이 부여되면 다음 명령을 입력하여 Intune 프로비전 클라이언트 서비스 주체를 추가합니다.

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      자세한 내용은 New-MgServicePrincipal -BodyParameter를 참조하세요.

      참고

      • Intune 프로비전 클라이언트 서비스 주체가 테넌트에서 이미 있는 경우 다음 오류 메시지가 표시됩니다.

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name 
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • 다음 조건 중 하나가 true이면 다음 오류 메시지가 표시됩니다.

        • 명령으로 Connect-MgGraph 로그인하는 데 사용되는 계정에는 테넌트에서 서비스 주체를 추가할 수 있는 권한이 없습니다.
        • 인수는 -Scopes "Application.ReadWrite.All" 명령에 추가 Connect-MgGraph 되지 않습니다.
        • 권한 요청 창이 허용되지 않습니다.
        • organization 대신 동의 확인란이 요청된 사용 권한 창에서 선택되지 않습니다.

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

다음 단계: 사용자 그룹 만들기

4단계: 사용자 그룹 만들기

관련 콘텐츠

Intune 그룹을 만드는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

• 디바이스 그룹을 만듭니다.
• 사용자 및 디바이스를 구성하는 그룹을 추가합니다.
• Microsoft Entra 그룹 및 그룹 멤버 자격을 관리합니다.
• Microsoft Entra ID 그룹에 대한 동적 멤버 자격 규칙입니다.