Microsoft Entra Connect: 디바이스 쓰기 저장 사용
참고 항목
디바이스 쓰기 저장을 위해서는 Microsoft Entra ID P1 또는 P2에 대한 구독이 필요합니다.
다음 설명서는 Microsoft Entra Connect에서 디바이스 쓰기 저장 기능을 사용하도록 설정하는 방법에 대한 정보를 제공합니다. 쓰기 저장 디바이스를 다음과 같은 시나리오에서 사용합니다.
- 하이브리드 인증서 신뢰 배포를 사용하여 Windows Hello for Business 사용
- 장치에 따라 ADFS(2012 R2 이상) 보호된 응용 프로그램에 조건부 액세스를 사용하도록 설정합니다(신뢰 당사자 트러스트).
애플리케이션에 대한 액세스 권한이 신뢰할 수 있는 디바이스에 부여된 추가 보안 및 보증을 제공합니다. 조건부 액세스에 대한 자세한 내용은 조건부 액세스로 위험 관리 및 Microsoft Entra 디바이스 등록을 사용하여 온-프레미스 조건부 액세스 설정을 참조하세요.
Important
1부: Microsoft Entra Connect 설치
사용자 지정 또는 Express 설정을 사용하여 Microsoft Entra Connect를 설치합니다. Microsoft는 디바이스 쓰기 저장을 사용하도록 설정하기 전에 모든 사용자 및 그룹을 성공적으로 동기화하고 시작할 것을 권장합니다.
2부: Microsoft Entra Connect에서 디바이스 쓰기 저장 사용
설치 마법사를 다시 실행합니다. [추가 작업] 페이지에서 디바이스 옵션 구성을 선택하고 다음을 클릭합니다.
참고 항목
새로운 디바이스 구성 옵션은 버전 1.1.819.0 이상에서만 사용할 수 있습니다.
디바이스 옵션 페이지에서 디바이스 쓰기 저장 구성을 선택합니다. 디바이스 쓰기 저장을 사용하지 않도록 설정 옵션은 디바이스 쓰기 저장을 사용하기 전에는 사용할 수 없습니다. 다음을 클릭하여 마법사의 다음 페이지로 이동합니다.
쓰기 저장 페이지에서 기본 디바이스 쓰기 저장 포리스트로 제공된 도메인이 표시됩니다.
디바이스 컨테이너 페이지에서는 active directory를 준비하는 다음과 같은 두 가지 옵션을 제공합니다.
a. 엔터프라이즈 관리자 자격 증명 제공: 디바이스를 다시 써야 하는 포리스트에 대한 엔터프라이즈 관리자 자격 증명을 제공하면 Microsoft Entra Connect는 디바이스 쓰기 저장을 구성하는 동안 자동으로 포리스트를 준비합니다.
b. PowerShell 스크립트 다운로드: Microsoft Entra Connect는 디바이스 쓰기 저장을 위해 활성 디렉터리를 준비할 수 있는 PowerShell 스크립트를 자동 생성합니다. Microsoft Entra Connect에서 엔터프라이즈 관리자 자격 증명을 제공할 수 없는 경우 PowerShell 스크립트를 다운로드하는 것이 좋습니다. 장치를 다시 써야 하는 포리스트의 엔터프라이즈 관리자에게 다운로드한 CreateDeviceContainer.ps1 PowerShell 스크립트를 제공합니다.
active directory 포리스트를 준비하기 위해 다음 작업이 수행됩니다.
- 존재하지 않는 경우 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn]에서 새 컨테이너 및 개체를 생성하고 구성합니다.
- 존재하지 않는 경우 CN=RegisteredDevices,[domain-dn]에서 새 컨테이너 및 개체를 생성하고 구성합니다. 이 컨테이너에서 디바이스 개체를 생성합니다.
- Active Directory에서 디바이스를 관리하기 위해 Microsoft Entra Connector 계정에 필요한 권한을 설정합니다.
- Microsoft Entra Connect가 여러 포리스트에 설치되어 있는 경우에도 하나의 포리스트에서만 실행하면 됩니다.
디바이스의 Active Directory에 동기화 여부 확인
디바이스 쓰기 저장은 이제 제대로 작동해야 합니다. AD에 디바이스 개체를 다시 쓰기 저장하는 데 최대 3시간이 걸릴 수 있습니다. 디바이스가 제대로 동기화되었는지 확인하려면 동기화 규칙을 완료한 후에 다음을 수행합니다.
Active Directory 관리 센터를 시작합니다.
페더레이션된 도메인 내에서 RegisteredDevices를 확장합니다.
현재 등록된 디바이스가 나열됩니다.
조건부 액세스 사용
이 시나리오를 사용하도록 설정하기 위한 자세한 지침은 Microsoft Entra 디바이스 등록을 사용하여 온-프레미스 조건부 액세스 설정에서 확인할 수 있습니다.
문제 해결
쓰기 저장 확인란이 계속 비활성화되어 있음
위 단계를 수행했는데도 디바이스 쓰기 저장 확인란이 활성화되지 않는 경우 다음 단계에 따르면 상자가 활성화되기 전에 설치 마법사가 확인하는 사항을 알 수 있습니다.
먼저 첫 번째로
- 디바이스 개체 및 관련 특성이 존재하려면 디바이스가 있는 포리스트의 포리스트 스키마가 Windows 2012 R2 수준으로 업그레이드되어야 합니다.
- 설치 마법사가 이미 실행 중인 경우 변경 내용이 검색되지 않습니다. 이 경우 설치 마법사를 완료하고 다시 실행하세요.
- 초기화 스크립트에서 제공하는 계정이 Active Directory Connector에서 사용하는 올바른 사용자인지 확인합니다. 이를 확인하려면 다음 단계를 수행하세요.
- 시작 메뉴에서 동기화 서비스를 엽니다.
- 커넥터 탭을 엽니다.
- 형식이 Active Directory Domain Services인 커넥터를 찾아 선택합니다.
- 작업 아래에서 속성을 선택합니다.
- Active Directory 포리스트에 연결로 이동합니다. 이 화면에 지정된 도메인 및 사용자 이름이 스크립트에 제공된 계정과 일치하는지 확인합니다.
Active Directory의 구성 확인:
- 디바이스 등록 서비스가 구성 명명 컨텍스트의 (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) 아래 위치에 있는지 확인합니다.
- 구성 네임스페이스를 검색하여 구성 개체가 하나만 있는지 확인합니다. 구성 개체가 둘 이상인 경우 중복되는 항목을 삭제합니다.
- Device Registration Service 개체에서 msDS-DeviceLocation 특성이 존재하며 값이 있는지 확인합니다. 이 위치를 조회하고 objectType msDS-DeviceContainer와 함께 있는지 확인합니다.
- Active Directory Connector에서 사용하는 계정에 이전 단계에서 찾은 등록된 디바이스 컨테이너에 대해 필요한 권한이 있는지 확인합니다. 다음은 이 컨테이너에 대해 예상되는 권한입니다.
- Active Directory 계정에 CN=Device Registration Configuration,CN=Services,CN=Configuration 개체에 대한 권한이 있는지 확인합니다.
추가 정보
다음 단계
Microsoft Entra ID와 온-프레미스 ID 통합에 대해 자세히 알아봅니다.