Microsoft Entra Connect: 디바이스 쓰기 저장 사용

메모

디바이스 쓰기 반환을 위해 Microsoft Entra ID P1 또는 P2 구독이 필요합니다.

다음 설명서에서는 Microsoft Entra Connect에서 디바이스 쓰기 저장 기능을 사용하도록 설정하는 방법에 대한 정보를 제공합니다. 디바이스 기록반환은 다음 시나리오에서 사용됩니다.

• 하이브리드 인증서 신뢰 배포를 사용하여 비즈니스용 Windows Hello 사용하도록 설정
• 디바이스에 따라 조건부 액세스를 사용하여 ADFS(2012 R2 이상)로 보호된 애플리케이션(신뢰 당사자 트러스트)에 액세스할 수 있도록 설정합니다.

이렇게 하면 애플리케이션에 대한 액세스 권한이 신뢰할 수 있는 디바이스에만 부여된다는 추가 보안 및 보증이 제공됩니다. 조건부 액세스에 대한 자세한 내용은 조건부 액세스를 사용한 위험 관리 그리고 Microsoft Entra Device Registration을 사용하여 온-프레미스 조건부 액세스 설정및을 참조하세요.

중요하다

디바이스는 사용자와 동일한 포리스트에 있어야 합니다. 디바이스를 단일 포리스트에 다시 기록해야 하므로 이 기능은 현재 여러 사용자 포리스트가 있는 배포를 지원하지 않습니다.

온-프레미스 Active Directory 포리스트에 디바이스 등록 구성 개체를 하나만 추가할 수 있습니다. 이 기능은 온-프레미스 Active Directory가 여러 Microsoft Entra 디렉터리에 동기화되는 토폴로지와 호환되지 않습니다.

1부: Microsoft Entra Connect 설치

사용자 지정 또는 Express 설정을 사용하여 Microsoft Entra Connect를 설치합니다. 디바이스 쓰기 저장을 사용하도록 설정하기 전에 모든 사용자 및 그룹을 성공적으로 동기화하는 것이 좋습니다.

2부: Microsoft Entra Connect에서 장치 쓰기 반영 사용

1. 설치 마법사를 다시 실행합니다. 추가 작업 페이지에서 디바이스 옵션 구성을 선택하고 다음을 선택합니다.

   

   메모

   새 디바이스 구성 옵션은 버전 1.1.819.0 이상에서만 사용할 수 있습니다.

2. 디바이스 옵션 페이지에서 디바이스 쓰기 반영 구성을 선택합니다. 디바이스 쓰기 저장이 활성화되기 전까지는 디바이스 쓰기 저장 사용 안 함 옵션을 사용할 수 없습니다. 다음 선택하여 마법사의 다음 페이지로 이동합니다. 선택

3. 쓰기 저장 페이지에 제공된 도메인이 기본 디바이스 쓰기 저장 포리스트로 표시됩니다.

4. 디바이스 컨테이너 페이지에서는 사용 가능한 두 가지 옵션 중 하나를 사용하여 Active Directory를 준비하는 옵션을 제공합니다.

   a. 엔터프라이즈 관리자 자격 증명제공: 디바이스를 반환해야 하는 포리스트에 엔터프라이즈 관리자 자격 증명이 제공되면 Microsoft Entra Connect는 디바이스 쓰기 반환을 구성하는 동안 자동으로 포리스트를 준비합니다.

   b. PowerShell 스크립트다운로드: Microsoft Entra Connect는 디바이스 정보 되돌려쓰기를 위해 액티브 디렉터리를 준비할 수 있는 PowerShell 스크립트를 자동으로 생성합니다. Microsoft Entra Connect에서 엔터프라이즈 관리자 자격 증명을 제공할 수 없는 경우 PowerShell 스크립트를 다운로드하는 것이 좋습니다. 다운로드한 PowerShell 스크립트 CreateDeviceContainer.ps1를 디바이스가 다시 기록되는 포리스트의 엔터프라이즈 관리자에게 제공하십시오. 준비

   Active Directory 포리스트를 준비하기 위해 다음 작업이 수행됩니다.

   • 아직 없는 경우 CN=디바이스 등록 구성, CN=Services,CN=Configuration,[forest-dn]에서 새 컨테이너 및 개체를 만들고 구성합니다.
   • 아직 없는 경우 CN=RegisteredDevices,[domain-dn]에서 새 컨테이너 및 개체를 만들고 구성합니다. 디바이스 개체는 이 컨테이너에 만들어집니다.
   • Active Directory에서 디바이스를 관리하기 위해 Microsoft Entra Connector 계정에 필요한 권한을 설정합니다.
   • Microsoft Entra Connect가 여러 포리스트에 설치되어 있는 경우에도 하나의 포리스트에서만 실행하면 됩니다.

디바이스가 Active Directory에 동기화되었는지 확인

이제 디바이스 쓰기 저장이 제대로 작동해야 합니다. 디바이스 개체를 AD에 다시 쓰는 데 최대 3시간이 걸릴 수 있습니다. 디바이스가 제대로 동기화되고 있는지 확인하려면 동기화 규칙이 완료된 후 다음 단계를 수행합니다.

1. Active Directory 관리 센터를 시작합니다.

2. 페더레이션 중인 도메인 내에서 RegisteredDevices를 확장합니다.

   

3. 현재 등록된 디바이스가 나열됩니다.

   

조건부 액세스 사용

이 시나리오를 사용하도록 설정하는 자세한 지침은 Microsoft Entra Device Registration을 사용하여 온-프레미스 조건부 액세스를 설정하는 방법에 내에서 확인할 수 있습니다.

문제 해결

쓰기 저장 확인란이 여전히 비활성화되어 있습니다.

이전 단계를 수행해도 디바이스 쓰기 저장 확인란을 사용할 수 없는 경우 다음 단계에서는 상자를 사용하도록 설정하기 전에 설치 마법사가 확인하는 내용을 안내합니다.

첫 번째 사항:

• 디바이스가 있는 포리스트에는 디바이스 개체 및 관련 특성이 존재하도록 포리스트 스키마가 Windows 2012 R2 수준으로 업그레이드되어야 합니다.
• 설치 마법사가 이미 실행 중인 경우 변경 내용이 검색되지 않습니다. 이 경우 설치 마법사를 완료하고 다시 실행합니다.
• 초기화 스크립트에서 제공하는 계정이 실제로 Active Directory 커넥터에서 사용하는 올바른 사용자인지 확인합니다. 이를 확인하려면 다음 단계를 수행합니다.
  • 시작 메뉴에서 동기화 서비스엽니다.
  • 커넥터 탭을 엽니다.
  • Active Directory Domain Services 형식의 커넥터를 찾아 선택합니다.
  • 작업에서 속성을(를) 선택합니다.
  • Active Directory 포리스트에 연결로 이동합니다. 이 화면에 지정된 도메인 및 사용자 이름이 스크립트에 제공된 계정과 일치하는지 확인합니다. Sync Service Manager에서

Active Directory에서 구성 확인:

• 구성 명명 컨텍스트에서 디바이스 등록 서비스가 다음 위치(CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration)에 있는지 확인합니다.

• 구성 네임스페이스를 검색하여 하나의 구성 개체만 있는지 확인합니다. 둘 이상이 있는 경우 중복 항목을 삭제합니다.

• Device Registration Service 개체에서 msDS-DeviceLocation 특성이 있고 값이 있는지 확인합니다. 이 위치를 조회하여 objectType msDS-DeviceContainer가 포함되어 있는지 확인합니다.

• Active Directory Connector에서 사용하는 계정에 이전 단계에서 찾은 등록된 디바이스 컨테이너에 대한 필수 권한이 있는지 확인합니다. 이 컨테이너에 대한 예상 권한은 다음과 같습니다.

에 대한 권한 확인

• Active Directory 계정에 CN=디바이스 등록 구성, CN=Services, CN=Configuration 개체에 대한 권한이 있는지 확인합니다.

에 대한 권한을 확인하세요.

추가 정보

• 조건부 액세스 사용하여 위험 관리
• Microsoft Entra 디바이스 등록을 사용하여 내부 조건부 액세스 설정

다음 단계

온-프레미스 ID를 Microsoft Entra ID에 통합하는 것에 대해 자세히 알아보세요.