온프레미스 활성 디렉토리(AD) 기능을 사용하고 동시에 조건부 액세스, 단일 로그온(SSO) 등 Azure AD 기능을 사용하고 싶으면이 문서가 도움이 될 것입니다. 이 문서에서는 Microsoft가 하이브리드 Azure AD 가입(Hybrid Azure AD Join)이라고 부르는 모드를 설정하는 방법을 배우게 됩니다.
하이브리드 Azure AD 가입이란 무엇인가?
간단히 말하면, 하이브리드 Azure AD 가입은 기존 온프레미스 AD 도구를 통해 기기를 관리할 수 있으면서도 Azure AD에 등록할 수 있는 모드입니다. 자세한 내용은 Microsoft 문서인 “하이브리드 Azure AD 가입된 기기”를 참조하십시오.
전제 조건
하이브리드 Azure AD 가입된 기기를 구성하기 전에 해야 할 많은 요구 사항과 전제 조건이 있습니다. 이 문서에서 설명하는 단계를 시작하기 전에 다음을 충족시키거나 보유하고 있는지 확인하십시오:
- 기기는 지원되는 최신 Windows 기기여야 합니다(Windows 10 1809 이상 또는 Windows Server 2016 이상)
- 온프레미스 AD 가입된 Windows 10 기기
- Windows 기기에서 인터넷 연결(enterpriseregistration.windows.net:443, login.microsoftonline.com:443 및 device.login.microsoftonline.com:443)
- 온프렘 AD는 Azure AD와 동기화되어야 합니다. 모든 예시의 도메인은 adamtheautomator.com으로 불립니다. 여러 Azure AD 테넌트를 동기화하려면 SCP 대신 GPO를 사용해야 합니다.
- Azure AD의 글로벌 관리자 계정을 알아야 합니다. 이 문서의 예시에서는 계정 이름으로 adam을 사용할 것입니다.
- 온프렘 AD의 엔터프라이즈 관리자 계정을 알아야 합니다. 이 문서의 예시에서는 계정 이름으로 [email protected]을 사용할 것입니다.
- 멤버 서버에 Azure AD Connect 1.1.819.0이 설치되어 있으며 Azure AD와 동기화되었습니다.
이 문서의 모든 예시는 동일한 이름을 가진 adamtheautomator.com 도메인의 온프렘 AD를 사용하고 동기화된 Azure AD를 사용합니다.
사전 요구 사항의 전체 목록은 Plan hybrid Azure Active Directory join implementation Microsoft doc을 참조하십시오.
Azure AD Connect 구성
하이브리드 Azure AD 가입 장치를 설정하는 첫 번째 단계는 Azure AD Connect를 구성하는 것입니다. 여기에서 Azure AD 동기화 프로세스를 하이브리드 모드로 설정합니다.
설정을 시작하려면 먼저 Azure AD Connect를 열고 구성을 클릭하십시오.
다음 화면에서 장치 옵션 구성을 클릭한 후 다음을 클릭하십시오.
Azure AD 테넌트의 전역 관리자 자격 증명을 제공하고 다음을 클릭하십시오.
하이브리드 Azure AD 가입 구성을 클릭한 다음 다음을 클릭하십시오.
장치 운영 체제 페이지에서는 어떤 유형의 장치를 등록할 것인지 선택합니다. 이 문서에서는 현재 장치 (Windows 10)만 등록할 것입니다. Windows 10 이상 도메인 가입 장치를 선택하고 다음을 클릭하십시오.
Windows 하위 버전 장치 (Windows 8.1+ 및 Windows Server 2008 R2+)를 구성하는 방법에 대한 정보는 관리된 도메인을 위한 하이브리드 Azure Active Directory 가입 구성 Microsoft 문서을 참조하십시오.
이제 Azure에서 서비스 연결 지점(SCP)을 생성하여 기기가 Azure AD 테넌트 정보를 읽을 수 있도록 할 것입니다. Forest에서 포레스트 이름을 확인하고, Azure Active Directory를 인증 서비스로 선택한 다음 추가를 클릭하여 온프레미스 기업 관리자 계정의 자격 증명을 제공합니다. 완료되면 다음을 클릭합니다.
다음 화면에서 구성을 클릭하여 프로세스를 시작합니다. 모든 작업은 몇 초 정도 소요됩니다.
작업이 완료되면 추가 단계를 구성하라는 메시지가 표시됩니다. 완료되면 종료를 클릭합니다.
Azure AD 가입 상태 확인
Azure AD Connect를 구성한 후에는 수고의 결실이 실제로 있는지 확인해야 합니다! 다행히도 Windows 10 기기는 최종적으로 하이브리드 AD 가입이 자동으로 이루어집니다. 그러나 처음에는 이를 확인해야 합니다.
클라이언트 측 확인
Windows 10 장치 등록을 확인하려면 그 중 하나를 다시 시작하십시오. 다시 시작한 후 원격으로 연결하거나 콘솔에서 연결하여 명령 프롬프트에 액세스합니다. 명령 프롬프트에서 dsregcmd /status를 입력합니다. 장치 상태 아래에서 AzureADJoined: YES를 볼 수 있다면 문제 없습니다.
장치가 아직 Azure AD에 가입되지 않은 경우 컴퓨터 개체가 Azure AD로 동기화되지 않았을 수 있습니다. dsregcmd /join을 실행하고 상태를 다시 확인해 볼 수 있습니다.
Azure AD에 가입된 장치를 아직 보지 못하신다면, 이 문제 해결 가이드를 확인해보시기 바랍니다. 또한 장치에서 많은 공통 테스트를 수행하기 위해 이 PowerShell 스크립트를 다운로드할 수도 있습니다.
Azure 측 확인
Windows 10 클라이언트가 가입되었다는 것을 확인한 후에는 Azure 측도 확인해야 합니다. 이를 위해 Azure AD 테넌트에서 장치 블레이드로 이동하세요. 여기에서 가입 유형이 Hybrid Azure AD Joined이고 REGISTERED에는 Windows 10 장치에 대한 최신 타임스탬프가 있어야 합니다.
‘Registered’ 및 ‘Hybrid Azure AD joined’로 표시된 장치가 있는 경우 AAD 조건부 액세스(CA) 규칙이 ‘Registered’ 항목과 올바르게 작동하지 않을 수 있습니다. 이 문제를 해결하기 위해 모든 장치를 Windows 10 1903로 업그레이드해야 할 수도 있습니다. 또한 스크립트를 사용하여 모든 ‘Registered’ 항목을 제거해야 할 수도 있습니다.
테스트용 Windows 10 머신이 등록되고 hybrid Azure AD에 가입된 것을 확인한 후에는 AD에 있는 다른 모든 현재 장치도 자동으로 등록되기 시작해야 합니다.
가입된 클라이언트에 사용자가 로그인한 경우, 주요 새로 고침 토큰을 받기 위해 로그오프하고 다시 로그인해야 합니다.
요약
구성이 완료되면 혼합 Azure AD 가입 모델에 가입된 장치들은 자동으로 등록됩니다. 이 문서의 모든 단계를 수행한 후에는 대부분의 어려운 작업이 완료됩니다. 이 시점에서 Azure AD가 제공하는 다양한 서비스를 사용하여 도메인 가입된 장치들을 관리할 수 있습니다.