Windows 365 Government에 대한 테넌트 설정
Windows 365 사용하는 가장 빠른 방법은 AADJ, 갤러리 이미지 및 Microsoft Hosted Network 옵션을 사용하는 것입니다. 이 페이지의 지침은 다음 중 하나 또는 둘 다를 사용해야 하는 경우에만 수행됩니다.
- 사용자 지정 이미지. Windows 365 Microsoft 365 앱이 사전 설치된 이미지를 포함하여 최적화된 갤러리 이미지를 제공합니다. 갤러리 이미지를 배포한 후에는 일반적인 설정 및 애플리케이션 배포를 추가로 사용자 지정하는 데 Intune 사용할 수 있습니다. 기존 사용자 지정 이미지를 사용해야 하는 경우 자세한 내용은 사용자 지정 이미지 추가를 참조하세요.
-
ANC(Azure Network Connections). ANC를 사용하면 관리하는 가상 네트워크에 연결된 클라우드 PC를 프로비전할 수 있습니다. 예를 들면 다음과 같습니다.
- Azure Virtual Network(VNet).
- Azure VPN Gateway 또는 ExpressRoute를 통한 전용 연결입니다.
- 클라우드 PC 리소스를 포함한 기타 Azure 리소스.
- 자세한 내용은 Azure 네트워크 연결 만들기를 참조하세요.
정부 GCC(Community Cloud) 고객의 경우에만 다음 지침을 통해 Azure에서 실행되는 Intune Azure Government 지역에서 실행되는 클라우드 PC를 관리할 수 있습니다.
참고
- Windows 365 Government를 사용하려면 Azure Government 구독이 필요하지 않습니다. 이러한 지침은 특히 GCC용이며 사용자 지정 이미지 및/또는 Azure 네트워크 Connections 필요한 경우에만 가능합니다. 이 페이지의 지침은 GCC High에 적용되지 않습니다.
- Azure Government 구독이 없거나 Azure와의 통합이 필요한 정부 고객의 경우 Windows 365 Enterprise 사용하는 것이 좋습니다. 이것이 규정 준수 요구 사항을 충족하는지 확인합니다. Windows 365 Enterprise FedRAMP 규격입니다. Windows 365 서비스 설명을 참조하세요.
시작하기 전에
테넌트 매핑 및 사용자 지정 이미지에 대한 권한 부여 및/또는 자체 네트워크에 연결하려면 다음이 필요합니다.
- Azure Government 구독입니다.
- 다음이 있는 사용자의 자격 증명:
- Azure 테넌트에서 전역 관리자 역할(onmicrosoft.com 종료).
- 다음이 있는 사용자의 자격 증명:
- Azure Government 구독의 소유자 역할, AND
- Azure Government 테넌트에서 전역 관리자 역할(onmicrosoft.us 종료).
- 라이선스 요구 사항을 충족합니다.
- (해당하는 경우) Azure 네트워크 연결을 설정하는 권한을 적용하는 다음 정보입니다. 가상 네트워크 및 서브넷이 이미 있어야 합니다.
- 구독 ID입니다.
- 리소스 그룹.
- Virtual Network.
- 서브넷.
참고
GCC 사용자의 클라우드 PC는 Azure Government 클라우드에서 호스트되고 보호되지만 관리자 및 최종 사용자의 엔드포인트는 상업용 Azure 도메인에 있습니다. 사용자는 Microsoft Entra ID 동기화된 자격 증명을 사용하여 클라우드 PC에 로그인합니다.
Microsoft Entra 옵션
Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인을 사용하려면 다음 준비를 고려하세요.
Microsoft Entra 조인된 클라우드 PC: Microsoft Entra 조인 인프라 및 자체 네트워크를 사용하려면 Azure Government 클라우드에 테넌트 및 Azure 구독이 필요합니다. Azure .com 도메인의 테넌트는 Azure Government(.us) 도메인의 테넌트에 매핑되어야 합니다.
하이브리드 Microsoft Entra 조인된 클라우드 PC: Microsoft Entra 하이브리드 조인 인프라를 사용하려면 Azure Virtual Network를 만들기 전에 상업용(.com) 테넌트와 정부(.us) 테넌트 를 구성해야 합니다.
Windows 365 GCC 설치 도구 준비
Windows 365 GCC 설치 도구가 테넌트 매핑을 완료하려면 Windows 365 Microsoft Entra 애플리케이션에 서비스 주체를 통해 Azure Government AD 테넌트 액세스 권한이 부여되어야 합니다. 서비스 주체 개체는 앱이 테넌트에서 수행할 수 있는 작업, 앱에 액세스할 수 있는 사용자 및 앱이 액세스할 수 있는 리소스를 정의합니다. Windows 365 GCC 설치 도구를 처음 실행하기 전에 다음을 수행해야 합니다.
- 아직 완료되지 않은 경우 서비스 주체를 만들 컴퓨터에 Azure CLI를 설치합니다. 자세한 내용은 Azure CLI를 설치하는 방법을 참조하세요.
- Azure CLI로 로그인에 정의된 Azure CLI 단계를 사용하여 Azure Government AD 테넌트에서 로그인합니다. Windows 앱에 대한 서비스 주체를 만들려면 전역 관리자 권한이 필요합니다.
- Azure에서 서비스 주체를 사용하는 방법에 대한 자세한 내용은 Azure CLI를 사용하여 Azure 서비스 주체 작업을 참조하세요. 다음 PowerShell 명령을
az ad sp create --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
실행하여 테넌트에게 Windows 365 Microsoft Entra 앱 권한을 부여합니다. - 명령이 성공적으로 완료되면 다음 PowerShell 명령을
az ad sp show --id 0af06dc6-e4b5-4f28-818e-e78e62d137a5
실행하여 서비스 주체에 대한 세부 정보를 볼 수 있습니다. Azure Portal 엔터프라이즈 애플리케이션 블레이드의 모든 애플리케이션 보기에 나열된 Windows 앱이 표시됩니다.
Windows App Service 주체는 Windows 365 사용자 지정 이미지 및 ANC(Azure 네트워크 연결) 지원을 구성하는 데 필요한 Azure 리소스에만 액세스할 수 있습니다. 서비스 주체를 만든 후에는 사용자 지정 이미지, ANC 개체 및 이를 사용하는 해당 클라우드 PC의 프로비전이 해제된 경우에만 서비스 주체를 삭제할 수 있습니다. 그렇지 않으면 클라우드 PC 프로비저닝 작업이 실패하고 기존 클라우드 PC에 액세스할 수 없게 될 수 있습니다.
Windows 365 GCC 설치 도구 시작
다음 단계에 따라 Windows 365 GCC 설정 도구를 사용하여 테넌트 매핑을 구성합니다.
- GCCSetupTool.exe 시작합니다. 이 도구는 에서 https://aka.ms/gccsetuptool사용할 수 있습니다.
- 시작 페이지에서 다음을 선택합니다.
- Azure 계정으로 로그인합니다. 이 계정에는 전역 관리자 권한이 있어야 합니다.
- 상업용 계정 >Next를 계속 진행할지 확인합니다.
- Azure Government 계정 > 으로 로그인한 다음 자격> 증명을 입력합니다.
- 다음 정부 계정>으로 계속 진행하려는지 확인합니다.
-
사용하도록 설정할 기능 선택 화면에서사용자 지정 이미지가 선택되어 있는지 확인합니다. 이 옵션은 아래 기능 중 하나 이상이 필요하지 않은 한 Windows 365 GCC 설치 도구를 실행할 이유가 없으므로 기본적으로 선택됩니다.
참고
ANC에는 사용자 지정 이미지에 대한 권한이 포함됩니다.
- Azure 네트워크 연결을 선택한 다음 구성하려는 구독, 가상 네트워크 및 서브넷을 선택합니다. 다음을 선택합니다.
- 설정 검토 페이지에서 선택한 항목을 검토하고 부여를 선택합니다.
- 설치가 완료되면 도구를 닫을 수 있습니다.
문제 해결
Windows 365 GCC 설치 도구를 실행하는 데 문제가 있는 경우:
- GCCSetupTool.exe 실행되는 동일한 폴더에서 Log 폴더로 이동하여 파일을 검토합니다
GCCAdminTool.log
. - 문제가 계속되면 지원에 문의 하고 GCCADminTool.log 파일을 제공합니다.
GCC 설치 도구의 후속 사용
Windows 365 GCC 설치 도구는 초기 설정 후에 다시 실행할 수 있습니다. 다음과 같은 경우 GCC 설치 도구를 다시 사용할 수 있습니다.
- 이전에 ANC를 설정하지 않았거나
- ANC 사용을 다른 네트워크로 확장하려고 합니다.
스크립트 대체
ANC를 설정하기 위해 GCC 설치 도구를 사용하는 대신 다음 스크립트를 사용하여 더 많은 ANC에 대한 권한을 설정할 수도 있습니다.
참고
스크립트를 진행하여 ANC를 설정하려면 먼저 테넌트 매핑에 성공해야 합니다.
connect-azaccount -usedeviceauthentication
curl https://raw.githubusercontent.com/microsoft/Windows365-PSScripts/main/Windows%20365%20GCC/Grant%20Service%20Principal%20Roles%20in%20Tenant/Grant%20W365%20SP%20Roles%20In%20Tenant.ps1 -o GrantW365SProles.ps1 & ./GrantW365SProles.ps1
- Cloud Shell 설정하지 않은 경우(Azure Storage 계정이 필요함) 스크립트를 실행하는 두 가지 옵션이 있습니다.
- 스크립트에서 복사 를 선택하고 컴퓨터에서 PowerShell 스크립트를 로컬로 실행합니다.
- Open Cloudshell>을 선택하여 스크립트를 Azure Government 구독의 Cloud Shell 세션 > 에 스크립트를 실행합니다.
- 스크립트를 실행한 후 프롬프트에서 옵션 2를 선택합니다. 이 옵션은 ANC에 대한 권한을 설정합니다.
- Azure Government 구독 목록에서 권한을 부여할 구독을 선택합니다.
- 리소스 그룹 목록에서 사용할 리소스 그룹을 선택합니다.
- vNET을 선택합니다.
- 스크립트는 권한을 부여하고 구성된 내용을 나열합니다.