클라우드 네이티브 엔드포인트의 알려진 문제 및 제한 사항

팁

클라우드 네이티브 엔드포인트에 대해 읽을 때 다음 용어가 표시됩니다.

• 엔드포인트: 엔드포인트는 휴대폰, 태블릿, 노트북 또는 데스크톱 컴퓨터와 같은 디바이스를 말합니다. "엔드포인트" 및 "디바이스"는 동일한 의미로 사용될 수 있습니다.
• 관리형 엔드포인트: MDM 솔루션 또는 그룹 정책 개체를 사용하여 조직에서 정책을 수신하는 엔드포인트입니다. 이 디바이스는 일반적으로 조직 소유이지만 BYOD 또는 개인 소유 디바이스일 수도 있습니다.
• 클라우드 네이티브 엔드포인트: Microsoft Entra에 조인된 엔드포인트입니다. 온-프레미스 AD에 조인되지 않습니다.
• 워크로드: 어떤 프로그램, 서비스 또는 프로세스든 의미할 수 있습니다.

온-프레미스 장치 관리를 사용하거나 클라우드 네이티브 엔드포인트로 이동하는 경우 알아야 할 몇 가지 시나리오가 있습니다. 이 문서에서는 변경된 동작, 제한 사항 및 해결 방법 중 일부를 나열하고 설명합니다.

클라우드 네이티브 엔드포인트는 Microsoft Entra에 조인된 디바이스입니다. 대부분의 경우 유용성 또는 관리를 위해 온-프레미스 리소스에 직접 연결할 필요가 없습니다. 자세한 내용은 클라우드 네이티브 엔드포인트란을 참조하세요..

이 기능은 다음에 적용됩니다.

• Windows 클라우드 네이티브 엔드포인트

이 도움말에서는 컴퓨터 계정과 컴퓨터 계정을 같은 의미로 사용합니다.

컴퓨터 인증 사용 안 함

Windows 10/11 장치와 같은 Windows 엔드포인트가 AD(온-프레미스 Active Directory) 도메인에 조인하면 컴퓨터 계정이 자동으로 만들어집니다. 컴퓨터/컴퓨터 계정을 사용하여 인증할 수 있습니다.

컴퓨터 인증은 다음과 같은 경우에 발생합니다.

• 파일 공유, 프린터, 애플리케이션 및 웹 사이트와 같은 온-프레미스 리소스는 사용자 계정 대신 온-프레미스 AD 컴퓨터 계정을 사용하여 액세스됩니다.
• 관리자 또는 애플리케이션 개발자는 사용자 또는 사용자 그룹 대신 컴퓨터 계정을 사용하여 온-프레미스 리소스 액세스를 구성합니다.

클라우드 네이티브 엔드포인트는 Microsoft Entra에 조인되며 온-프레미스 AD에 존재하지 않습니다. 클라우드 네이티브 엔드포인트는 온-프레미스 AD 컴퓨터 인증을 지원하지 않습니다. 온-프레미스 AD 컴퓨터 계정만 사용하여 온-프레미스 파일 공유, 애플리케이션 또는 서비스에 대한 액세스를 구성하면 클라우드 네이티브 엔드포인트에서 실패합니다.

사용자 기반 인증으로 전환

• 새 프로젝트를 만들 때는 컴퓨터 인증을 사용하지 마세요. 컴퓨터 인증을 사용하는 것은 일반적이지 않으며 권장되는 방법은 아닙니다. 그러나 그것은 당신이 알고 알아야 할 무언가입니다. 대신 사용자 기반 인증을 사용하세요.
• 환경을 검토하고 현재 컴퓨터 인증을 사용하는 응용 프로그램 및 서비스를 식별합니다. 그런 다음 사용자 기반 인증 또는 서비스 계정 기반 인증에 대한 액세스를 변경합니다.

중요

Microsoft Entra Connect 디바이스 쓰기 저장 기능은 Microsoft Entra에 등록된 디바이스를 추적합니다. 이러한 장치는 온-프레미스 AD에 등록된 장치로 표시됩니다.

Microsoft Entra Connect 디바이스 쓰기 저장은 온-프레미스 AD 도메인에서 동일한 온-프레미스 AD 컴퓨터 계정을 만들지 않습니다. 이러한 쓰기 저장 장치는 온-프레미스 컴퓨터 인증을 지원하지 않습니다.

디바이스 쓰기 저장에서 지원되는 시나리오에 대한 자세한 내용은 Microsoft Entra Connect: 디바이스 쓰기 저장 사용으로 이동합니다.

컴퓨터 계정을 사용하는 일반 서비스

다음 목록에는 컴퓨터 계정을 사용하여 인증할 수 있는 일반적인 기능 및 서비스가 포함되어 있습니다. 조직에서 컴퓨터 인증과 함께 이러한 기능을 사용하는 경우 권장 사항도 포함됩니다.

• 컴퓨터 계정에서 네트워크 저장소 액세스가 실패합니다. 클라우드 네이티브 엔드포인트는 컴퓨터 계정을 사용하여 보호되는 파일 공유에 액세스할 수 없습니다. ACL(액세스 제어 목록) 권한이 컴퓨터 계정에만 할당되거나 컴퓨터 계정만 포함된 그룹에 할당된 경우 파일 공유 또는 NAS(네트워크 연결 스토리지) 공유를 사용한 드라이브 매핑이 실패합니다.

  권장 사항:

  • 서버 및 워크스테이션 파일 공유: 사용자 계정 기반 보안을 사용하도록 권한을 업데이트합니다. 이렇게 하면 Microsoft Entra SSO(Single Sign-On) 를 사용하여 Windows 통합 인증을 사용하는 리소스에 액세스합니다.

    파일 공유 콘텐츠를 SharePoint Online 또는 OneDrive로 이동합니다. 자세한 내용은 SharePoint 및 OneDrive로 파일 공유 마이그레이션을 참조하세요.

  • 네트워크 파일 시스템(NFS) 루트 액세스: 사용자가 루트가 아닌 특정 폴더에 액세스하도록 안내합니다. 가능한 경우 NFS에서 SharePoint Online 또는 OneDrive로 콘텐츠를 이동합니다.

• Microsoft Entra의 Win32 앱이 Windows 엔드포인트에 가입했습니다.

  • 앱에서 컴퓨터 계정 인증을 사용하는 경우에는 작동하지 않습니다.
  • 앱이 컴퓨터 계정만 포함하는 그룹으로 보호되는 리소스에 액세스하는 경우 작동하지 않습니다.

  권장 사항:

  • Win32 앱에서 컴퓨터 인증을 사용하는 경우 Microsoft Entra 인증을 사용하도록 앱을 업데이트합니다. 자세한 내용은 애플리케이션 인증을 Microsoft Entra로 마이그레이션으로 이동하세요.
  • 애플리케이션 및 키오스크 장치의 인증 및 ID를 확인합니다. 사용자 계정 기반 보안을 사용하도록 인증 및 ID를 업데이트합니다.

  자세한 내용은 인증 및 Win32 앱으로 이동하세요.

• 컴퓨터 계정 또는 컴퓨터 계정 그룹으로만 ACL 권한을 사용하여 사이트 액세스를 제한하는 IIS 웹 서버 배포는 실패합니다. 컴퓨터 계정 또는 컴퓨터 계정 그룹에만 액세스를 제한하는 인증 전략도 실패합니다.

  권장 사항:

  • 웹 사이트에서 협상 인증을 사용하도록 설정합니다.
  • Microsoft Entra 인증을 사용하도록 웹 서버 앱을 업데이트합니다. 자세한 내용은 애플리케이션 인증을 Microsoft Entra로 마이그레이션으로 이동하세요.

  추가 리소스

  • IIS 인증 <windowsAuthentication>
  • IIS 보안 권한 부여 <authorization>

• 표준 인쇄 관리 및 검색은 컴퓨터 인증에 따라 달라집니다. Microsoft Entra 조인 Windows 엔드포인트에서 사용자는 표준 인쇄를 사용하여 인쇄할 수 없습니다.

  권장 사항: 유니버설 인쇄를 사용하세요. 자세한 내용은 유니버설 인쇄란?을 참조하세요.

• 클라우드 네이티브 엔드포인트의 컴퓨터 컨텍스트에서 실행되는 Windows 예약 작업은 원격 서버 및 워크스테이션의 리소스에 액세스할 수 없습니다. 클라우드 네이티브 엔드포인트는 온-프레미스 AD에 계정이 없으므로 인증할 수 없습니다.

  권장 사항: 로그인한 사용자 또는 다른 형태의 계정 기반 인증을 사용하도록 예약된 작업을 구성합니다.

• Active Directory 로그인 스크립트는 온프레미스 AD 사용자 속성에 할당되거나 GPO(그룹 정책 개체)를 사용하여 배포됩니다. 이러한 스크립트는 클라우드 네이티브 엔드포인트에 사용할 수 없습니다.

  권장 사항: 스크립트를 검토합니다. 해당하는 최신 항목이 있는 경우 대신 사용합니다. 예를 들어 스크립트가 사용자의 홈 드라이브를 설정하는 경우 대신 사용자의 홈 드라이브를 OneDrive로 이동할 수 있습니다. 스크립트에서 공유 폴더 콘텐츠를 저장하는 경우 공유 폴더 콘텐츠를 SharePoint Online으로 마이그레이션합니다.

  해당하는 최신 스크립트가 없는 경우 Microsoft Intune을 사용하여 Windows PowerShell 스크립트를 배포할 수 있습니다.

  자세한 내용을 보려면 다음으로 이동하세요.

  • Microsoft Intune에서 Windows 10/11 디바이스에 PowerShell 스크립트 추가
  • Microsoft 365의 OneDrive 소개

그룹 정책 개체가 적용되지 않을 수 있음

이전 정책 중 일부를 사용할 수 없거나 클라우드 네이티브 엔드포인트에 적용되지 않을 수 있습니다.

해결 방법:

• Intune에서 그룹 정책 분석을 사용하여 기존 GPO(그룹 정책 개체)를 평가할 수 있습니다. 분석은 사용 가능한 정책과 사용할 수 없는 정책을 보여 줍니다.

• 엔드포인트 관리에서 정책은 사용자 및 그룹에 배포됩니다. LSDOU 순서로 적용되지 않습니다. 이 동작은 마음이 바뀌기 때문에 사용자와 그룹이 순서대로 작동하는지 확인하세요.

  Microsoft Intune의 정책 할당에 대한 자세한 정보 및 지침은 Microsoft Intune에서 사용자 및 장치 프로필 할당을 참조하세요.

• 정책을 인벤토리에 추가하고 수행할 작업을 결정합니다. 보안에 초점을 맞춘 정책, OS에 초점을 맞춘 정책 등과 같은 범주 또는 그룹화가 있을 수 있습니다.

  범주 또는 그룹화의 설정을 포함하는 Intune 정책을 만들 수 있습니다. 설정 카탈로그는 유용한 리소스입니다.

• 새 정책을 만들 준비를 합니다. Microsoft Intune과 같은 최신 엔드포인트 관리의 기본 제공 기능에는 정책을 만들고 배포하는 더 나은 옵션이 있을 수 있습니다.

  클라우드 네이티브 엔드포인트로 이동하기 위한 대략적인 계획 가이드는 유용한 리소스입니다.

• 모든 정책을 마이그레이션하지 마세요. 이전 정책은 클라우드 네이티브 엔드포인트에 맞지 않을 수 있습니다.

  항상 수행한 작업을 수행하는 대신 실제로 달성하려는 작업에 집중합니다.

동기화된 사용자 계정이 첫 번째 로그인을 완료할 수 없습니다.

동기화된 사용자 계정은 Microsoft Entra Connect를 사용하여 Microsoft Entra에 동기화되는 온-프레미스 AD 도메인 사용자입니다.

현재 다음 로그온 시 사용자가 암호를 변경해야 함이 구성된 암호를 사용하는 동기화된 사용자 계정은 클라우드 기반 엔드포인트에 대한 최초 로그인을 완료할 수 없습니다.

해결 방법:

암호 해시 동기화 및 Microsoft Entra Connect를 사용하면 로그온 특성에서 강제 암호 변경 이 동기화됩니다.

자세한 내용은 Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화 구현을 참조하세요.

클라우드 네이티브 엔드포인트 지침 따르기

1. 개요: 클라우드 네이티브 엔드포인트란?
2. 가이드: 클라우드 네이티브 Windows 엔드포인트 시작하기
3. 개념: Microsoft Entra 조인 및 하이브리드 Microsoft Entra 조인
4. 개념: 클라우드 네이티브 엔드포인트 및 온-프레미스 리소스
5. 개괄적인 계획 가이드
6. 🡺 알려진 문제 및 중요 정보(현재 위치)