공동 관리 문제 해결: 기존 Configuration Manager 관리 디바이스를 Intune에 자동 등록

이 문서는 기존 Configuration Manager 관리 디바이스를 Intune에 자동 등록하여 공동 관리를 설정할 때 발생할 수 있는 문제를 이해하고 해결하는 데 도움이 됩니다.

이 시나리오에서는 Configuration Manager를 사용하여 Windows 10 디바이스를 계속 관리하거나 필요에 따라 워크로드를 Microsoft Intune으로 선택적으로 이동할 수 있습니다. 워크로드를 구성하는 방법에 대한 자세한 내용은 지원 팁: 공동 관리 환경에서 워크로드 구성을 참조하세요.

시작하기 전에

문제 해결을 시작하기 전에 문제에 대한 몇 가지 기본 정보를 수집하고 필요한 모든 구성 단계를 수행해야 합니다. 문제를 더 잘 이해하고 해결 방법을 찾는 시간을 줄이는 데 도움이 됩니다. 이렇게 하려면 문제 해결 전 질문의 다음 검사 목록을 따르세요.

• 공동 관리를 구성하는 데 필요한 권한과 역할이 있나요?
• 어떤 Microsoft Entra 하이브리드 ID 옵션을 선택했나요?
• 현재 MDM 기관은 무엇인가요?
• Microsoft Entra Connect를 설치하고 구성했나요?
• 구성에 사용한 UPN에 Microsoft Entra ID P1 또는 P2 라이선스를 할당했나요?
• 사용자에게 Intune 라이선스를 할당했나요?
• 관리되는 도메인 또는 페더레이션된 도메인에 대해 Microsoft Entra 하이브리드 조인을 구성했나요?
• Microsoft Entra 하이브리드 조인에 대한 Configuration Manager 클라이언트 에이전트 설정을 구성했나요?
• Intune 테넌트에서 자동 등록을 구성했나요?
• Configuration Manager에서 공동 관리를 사용하도록 설정했나요?

대부분의 문제는 이러한 단계 중 하나 이상이 완료되지 않았기 때문에 발생합니다. 단계를 건너뛰거나 성공적으로 완료되지 않은 경우 각 단계의 세부 정보를 확인하거나 기존 Configuration Manager 클라이언트에 대한 공동 관리 사용 자습서 를 참조하세요.

Windows 10 디바이스에서 다음 로그 파일을 사용하여 클라이언트의 공동 관리 문제를 해결합니다.

%WinDir%\CCM\logs\CoManagementHandler.log

하이브리드 Microsoft Entra 구성 문제 해결

Microsoft Entra 하이브리드 ID 또는 Microsoft Entra Connect에 영향을 주는 문제가 발생하는 경우 다음 문제 해결 가이드를 참조하세요.

• Microsoft Entra Connect 설치 문제 해결
• Microsoft Entra Connect 동기화 중 오류 문제 해결
• Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화 문제 해결
• Microsoft Entra 원활한 Single Sign-on 문제 해결
• Microsoft Entra 통과 인증 문제 해결
• Active Directory Federation Services의 Single Sign-On 문제 해결

관리되는 도메인 또는 페더레이션된 도메인에 대한 Microsoft Entra 하이브리드 조인에 영향을 주는 문제가 발생하는 경우 다음 문제 해결 가이드를 참조하세요.

• Microsoft Entra 하이브리드 조인 디바이스 문제 해결
• dsregcmd 명령을 사용하여 장치 문제 해결

일반적인 문제

클라이언트가 Configuration Manager 관리 지점에서 Microsoft Entra ID 및 Intune을 사용하여 등록 프로세스를 시작하는 정책을 받지 못했습니다.

이 문제는 Intune이 아닌 Configuration Manager의 문제로 인해 발생합니다. 클라이언트 로그 파일을 사용하여 이러한 문제를 해결할 수 있습니다.

Configuration Manager 클라이언트가 설치됩니다. 그러나 디바이스가 Microsoft Entra ID에 등록되지 않고 오류가 표시되지 않습니다.

이 문제는 일반적으로 Configuration Manager 클라이언트 에이전트 설정이 클라이언트를 등록하도록 지시하도록 구성되지 않았기 때문에 발생합니다.

이 문제를 해결하려면 클라이언트가 Microsoft Entra ID에 등록하도록 클라이언트 설정 구성의 단계를 수행하는지 확인합니다.

Configuration Manager 클라이언트가 설치되고 디바이스가 Microsoft Entra ID에 성공적으로 등록됩니다. 그러나 디바이스는 Intune에 자동으로 등록되지 않으며 오류가 표시되지 않습니다.

이 문제는 일반적으로 Microsoft Entra ID>Mobility(MDM 및 MAM)>Microsoft Intune의 Intune 테넌트에서 자동 등록이 잘못 구성된 경우에 발생합니다.

이 문제를 해결하려면 Intune에 디바이스 자동 등록 구성의 단계를 수행합니다.

Configuration Manager 콘솔의 관리 > 클라우드 서비스에서 공동 관리 노드를 찾을 수 없습니다.

이 문제는 Configuration Manager 버전이 버전 1906보다 이전인 경우에 발생합니다.

이 문제를 해결하려면 Configuration Manager를 버전 1906 이상으로 업데이트합니다.

Microsoft Entra 하이브리드 조인 디바이스가 등록에 실패하고 오류 0x8018002a 생성

이 문제가 발생하면 다음과 같은 증상도 확인할 수 있습니다.

• 다음 오류 메시지는 이벤트 뷰어 애플리케이션 및 서비스 로그>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>관리자 로그에 기록됩니다.

  자동 MDM 등록: 실패(알 수 없는 Win32 오류 코드: 0x8018002a)

• 다음 오류 메시지는 이벤트 뷰어 애플리케이션 및 서비스 로그>Microsoft>Windows>Microsoft Entra ID>운영 로그에 기록됩니다.

  오류: 0xCAA2000C 요청에는 사용자 상호 작용이 필요합니다.
  코드: interaction_required
  설명: AADSTS50076: 관리자가 구성을 변경했거나 새 위치로 이동했기 때문에 다단계 인증을 사용하여 액세스해야 합니다.

이 문제는 MFA(다단계 인증) 가 적용될 때 발생합니다. 그러면 Configuration Manager 클라이언트 에이전트가 로그인한 사용자 자격 증명을 사용하여 디바이스를 등록할 수 없습니다.

참고 항목

MFA 를 사용하도록 설정하고 적용하는 것 사이에는 차이가 있습니다. 차이점에 대한 자세한 내용은 Microsoft Entra 다단계 인증 사용자 상태를 참조 하세요. 이 시나리오는 MFA를 사용하도록 설정하지만 MFA를 적용하지 않는 경우 작동합니다.

이 문제를 해결하려면 다음 방법 중 하나를 사용합니다.

• MFA를 사용 으로 설정하지만 적용되지 않음 으로 설정합니다. 자세한 내용은 다단계 인증 설정을 참조하세요.
• 신뢰할 수 있는 IP에 등록하는 동안 MFA를 일시적으로 사용하지 않도록 설정합니다.

자동 등록 후 디바이스가 동기화되지 않습니다.

Configuration Manager 버전 1906부터 Windows 10 버전 1803 이상을 실행하는 공동 관리 디바이스가 Microsoft Entra 디바이스 토큰에 따라 Microsoft Intune 서비스에 자동으로 등록됩니다. 그러나 디바이스가 동기화되지 않으며 설정>계정>액세스 회사 또는 학교에서 다음 오류 메시지가 표시됩니다.

자격 증명을 확인할 수 없어 동기화가 완전히 성공하지 못했습니다. 동기화를 선택하여 로그인하고 다시 시도합니다.

이 문제가 발생하면 다음 오류 메시지가 이벤트 뷰어 애플리케이션 및 서비스 로그>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>관리자 로그에 기록됩니다.

MDM 세션: 동기화 세션 사용자 토큰에 대한 Microsoft Entra 토큰을 가져오지 못했습니다. (알 수 없는 Win32 오류 코드: 0xcaa2000c) 디바이스 토큰: (잘못된 함수).

다음 오류 메시지는 이벤트 뷰어 애플리케이션 및 서비스 로그>Microsoft>Windows>Microsoft Entra ID>운영 로그에 기록됩니다.

오류: 0xCAA2000C 요청에는 사용자 상호 작용이 필요합니다.
코드: interaction_required
설명: AADSTS50076: 관리자가 구성을 변경했거나 새 위치로 이동했기 때문에 다단계 인증을 사용하여 액세스해야 합니다.

이 문제는 MFA가 사용 또는 적용되거나 MFA가 필요한 Microsoft Entra 조건부 액세스 정책이 모든 클라우드 앱에 적용될 때 발생합니다. 포털에서 디바이스와의 사용자 연결을 차단합니다.

이 문제를 해결하려면 다음 방법 중 하나를 사용합니다.

• MFA를 사용하거나 적용하는 경우:
  • MFA를 사용 안 함으로 설정합니다. 자세한 내용은 사용자별 레거시 MFA 해제를 참조하세요.
  • 신뢰할 수 있는 IP를 사용하여 MFA를 바이패스합니다.
• Microsoft Entra 조건부 액세스 정책을 사용하는 경우 사용자 자격 증명을 사용하여 디바이스 동기화를 허용하도록 MFA가 필요한 정책에서 Microsoft Intune 앱을 제외합니다.

Microsoft Entra 하이브리드 조인 Windows 10 디바이스가 오류 0x800706D9 또는 0x80180023 Intune에 등록하지 못했습니다.

이 문제가 발생하면 일반적으로 이벤트 뷰어 애플리케이션 및 서비스 로그>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>관리자 로그에 다음 오류 메시지가 표시됩니다.

MDM 등록: OMA-DM 클라이언트 구성에 실패했습니다. RAWResult: (0x800706D9) 결과: (알 수 없는 Win32 오류 코드: 0x80180023).
MDM 등록: 프로비저닝에 실패했습니다. 결과: (알 수 없는 Win32 오류 코드: 0x80180023).
MDM 등록: 실패(알 수 없는 Win32 오류 코드: 0x80180023)
자동 MDM 등록: 디바이스 자격 증명(0x80180023), 실패(%2)
MDM 등록 취소: 등록 취소 경고를 서버에 보내는 동안 오류가 발생했습니다. 결과: (잘못된 함수).
MDM 등록 취소: dmwappushservice 시작 유형을 demand-start로 변경하지 못했습니다. 결과: (지정된 서비스가 설치된 서비스로 존재하지 않습니다.)

이 문제는 디바이스에서 dmwappushservice 서비스가 누락된 경우에 발생합니다. 확인하려면 실행 services.msc 하여 이 서비스를 찾습니다.

이 문제를 해결하려면 다음 단계를 수행합니다.

1. 영향을 받는 디바이스와 동일한 버전의 Windows 10을 실행하는 작업 디바이스 에서 다음 레지스트리 키를 내 보냅니다.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. 영향을 받는 디바이스에 로컬 관리자로 로그온하고, .reg 파일을 영향을 받는 디바이스에 복사한 다음, 로컬 레지스트리와 병합합니다.

3. 영향을 받는 디바이스를 다시 시작합니다.

4. 이전 Microsoft Entra 등록을 삭제한 다음 그룹 정책을 업데이트합니다.

5. 영향을 받는 디바이스를 다시 시작합니다. 디바이스는 Microsoft Entra ID에 등록하고 Intune에 자동으로 등록할 수 있어야 합니다.

Microsoft Entra 하이브리드 조인이 관리되는 도메인에서 오류 0x801c03f2 실패

디바이스의 명령 프롬프트에서 실행하는 dsregcmd /status 경우 도메인에 가입되어 있지만 Microsoft Entra 하이브리드 조인은 아니라는 것을 알 수 있습니다. 다음 오류 메시지는 이벤트 뷰어 애플리케이션 및 서비스 로그>Microsoft>Windows>사용자 디바이스 등록>관리자 로그에 기록됩니다.

서버 응답: {"ErrorType":"DirectoryError","Message":"ID DeviceID>가 있는 <디바이스 개체에서 공개 키 사용자 인증서를 찾을 수 없습니다."

이 문제는 다음 상황 중 하나에서 발생합니다.

• Microsoft Entra ID에 디바이스 개체가 없습니다.
• 특성에 Usercertificate 온-프레미스 Active Directory 또는 Microsoft Entra ID에 디바이스 인증서가 없습니다.

Windows 10 디바이스 등록이 관리되는 도메인에서 작동하려면 먼저 디바이스 개체를 동기화해야 합니다. 등록 프로세스는 다음과 같이 작동합니다.

• Windows 10 디바이스는 온-프레미스 도메인에 가입된 후 처음으로 시작됩니다.
• 디바이스 등록이 트리거되고 인증서 요청이 생성됩니다.
• 요청이 만들어지면 인증서의 공개 키가 디바이스 개체에 대한 온-프레미스 AD에 게시됩니다. 그러면 디바이스 개체의 Usercertificate 특성이 업데이트됩니다. 동시에 서명된 디바이스 등록 요청이 Microsoft Entra ID로 전송됩니다.
• Microsoft Entra ID가 디바이스 개체를 인증하거나 서명된 요청을 확인할 수 없으므로 등록이 실패합니다.
• 다음에 동기화 주기가 실행될 때 특성이 채워진 디바이스 개체를 Usercertificate 찾고 디바이스 개체를 Microsoft Entra ID와 동기화합니다.
• 다음에 등록 서비스가 트리거될 때(매시간 실행됨) 디바이스는 프라이빗 키로 서명된 새 요청을 보냅니다.
• Azure는 동기화 주기 동안 온-프레미스 도메인에서 받은 공용 인증서를 사용하여 요청에 대한 서명을 확인합니다. Microsoft Entra ID가 요청에 대한 서명을 확인할 수 있으면 디바이스 등록이 성공합니다.

이 문제를 해결하려면 다음 단계를 따르세요.

1. 온-프레미스 AD에서 특성이 Usercertificate 채워지고 올바른 인증서가 있는지 확인합니다.

2. 백 엔드 디바이스 개체를 확인하고 특성이 Usercertificate 존재하고 채워져 있는지 확인합니다.

3. 인증서가 없거나 온-프레미스 AD에서 인증서를 삭제한 경우(차례로 Microsoft Entra ID에서 인증서를 삭제) 디바이스 등록이 실패합니다. 이 문제를 해결하려면 클라이언트 디바이스에서 다음을 수행합니다.

   1. 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

      dsregcmd /leave
      

   2. 로컬 컴퓨터 인증서 저장소를 열려면 실행 certlm.msc 합니다.

   3. MS-Organization-Access에서 발급한 컴퓨터 인증서가 삭제되었는지 확인합니다.

   4. 클라이언트 디바이스를 다시 시작하여 새 디바이스 등록을 트리거합니다.

   5. 디바이스를 다시 시작한 후 새 인증서 공개 키가 온-프레미스 AD의 디바이스 개체에서 업데이트되었는지 확인합니다. 여러 도메인 컨트롤러가 있는 경우 특성이 모든 도메인 컨트롤러에 복제되었는지 확인합니다.

   6. Microsoft Entra Connect 서버에서 델타 동기화를 트리거합니다.

   7. 동기화가 완료되면 클라이언트를 다시 시작하거나, 명령을 실행 dsregcmd /debug 하거나, 작업 공간 조인에서 예약된 작업 자동 디바이스 조인을 실행하여 디바이스 등록을 트리거할 수 있습니다.

오류 0x80280036 자동 디바이스 등록 실패

이 문제가 발생하면 이벤트 뷰어 애플리케이션 및 서비스 로그>Microsoft>Windows>사용자 디바이스 등록>관리자 로그에 다음 오류 메시지가 기록됩니다.

DeviceRegistrationApi::BeginJoin이 오류 코드로 실패했습니다. 0x80280036

설명:
종료 코드로 조인 요청 초기화에 실패했습니다. TPM은 FIPS 모드에서만 사용할 수 있는 명령을 실행하려고 합니다.

이 문제는 클라이언트 디바이스의 TPM 칩에 FIPS 모드가 설정된 경우에 발생합니다. FIPS 모드는 Azure 디바이스 등록에 지원되거나 권장되지 않습니다. 자세한 내용은 "FIPS 모드"를 더 이상 권장하지 않는 이유를 참조 하세요.

오류 0x80090016 Microsoft Entra 하이브리드 조인이 실패함

Windows 10 디바이스의 하이브리드 Microsoft Entra 등록에 실패하면 다음과 같은 오류 메시지가 표시됩니다.

오류가 발생했습니다. 올바른 로그인 정보를 사용하고 있으며 조직에서 이 기능을 사용하고 있는지 확인합니다. 이 작업을 다시 시도하거나 시스템 관리자에게 오류 코드 0x80090016 문의할 수 있습니다.

0x80090016 오류 메시지는 키 집합이 없다는 것입니다. 즉, TPM 키에 액세스할 수 없어 디바이스 등록에서 디바이스 키를 저장할 수 없습니다.

이 문제는 Windows가 TPM의 소유자가 아닌 경우에 발생합니다. Windows 10부터 운영 체제는 TPM의 소유권을 자동으로 초기화하고 소유합니다. 그러나 이 프로세스가 실패하면 Windows는 소유자가 되지 않으며 문제가 발생합니다.

이 문제를 해결하려면 TPM을 지우고 클라이언트 디바이스를 다시 시작합니다. TPM을 지우려면 다음 단계를 수행합니다.

1. Windows 보안 앱을 엽니다.

2. 디바이스 보안을 선택합니다.

3. 보안 프로세서 세부 정보를 선택합니다.

4. 보안 프로세서 문제 해결을 선택합니다.

5. TPM 지우기를 클릭합니다.

   Important

   TPM을 지우기 전에 다음 사항에 유의하세요.

   • TPM을 지우면 데이터가 손실될 수 있습니다. 가상 스마트 카드, 로그온 PIN 또는 BitLocker 키와 같이 TPM과 연결된 모든 만든 키와 해당 키로 보호되는 데이터가 손실됩니다.
   • 디바이스에서 BitLocker를 사용하는 경우 TPM을 지우기 전에 BitLocker를 사용하지 않도록 설정해야 합니다.
   • TPM으로 보호되거나 암호화된 데이터에 대한 백업 및 복구 방법이 있는지 확인합니다.

6. 메시지가 표시되면 디바이스를 다시 시작합니다.

   참고 항목

   다시 시작하는 동안 UEFI에서 단추를 눌러 TPM을 지울지 묻는 메시지가 표시될 수 있습니다. 다시 시작이 완료되면 Windows 10에서 사용할 TPM이 자동으로 준비됩니다.

디바이스가 다시 시작되면 Microsoft Entra 하이브리드 조인이 성공해야 합니다. 확인하려면 명령 프롬프트에서 명령을 실행 dsregcmd /status 합니다. 다음 결과는 성공적인 조인을 나타냅니다.

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

자세한 내용은 TPM 문제 해결을 참조 하세요.

자세한 정보

공동 관리 문제 해결에 대한 자세한 내용은 다음 문서를 참조하세요.

• 공동 관리 문제 해결: 최신 프로비저닝을 사용하여 부트스트랩
• 공동 관리 워크로드 문제 해결

Intune 및 Configuration Manager 공동 관리에 대한 자세한 내용은 다음 문서를 참조하세요.

• Windows 10 공동 관리 개요
• 시작: 공동 관리 경로
• 공동 관리를 위한 빠른 시작
• 자습서: 기존 Configuration Manager 클라이언트에 대한 공동 관리 사용