Microsoft Entra 디바이스 배포 계획
이 문서는 Microsoft Entra ID와 디바이스를 통합하는 방법을 평가하고, 구현 계획을 선택하고, 지원되는 디바이스 관리 도구에 대한 주요 링크를 제공하는 데 도움이 됩니다.
사용자의 디바이스 범위가 지속적으로 확장되고 있습니다. 조직은 데스크톱, 랩톱, 휴대폰, 태블릿 및 기타 디바이스를 제공할 수 있습니다. 사용자가 고유한 디바이스 배열을 가져오고 다양한 위치에서 정보에 액세스할 수 있습니다. 이 환경에서 관리자는 모든 디바이스에서 조직 리소스를 안전하게 유지하는 작업을 수행합니다.
Microsoft Entra ID를 사용하면 조직에서 디바이스 ID 관리를 통해 이러한 목표를 달성할 수 있습니다. 이제 Microsoft Entra ID로 디바이스를 가져와서 Microsoft Entra 관리 센터중앙 위치에서 제어할 수 있습니다. 이 프로세스는 통합된 환경을 제공하고 보안을 강화하며 새 디바이스를 구성하는 데 필요한 시간을 줄입니다.
Microsoft Entra ID에 디바이스를 통합하는 방법에는 여러 가지가 있습니다. 이러한 방법은 운영 체제 및 요구 사항에 따라 개별적으로 또는 함께 작동할 수 있습니다.
- Microsoft Entra ID에서 디바이스를 등록할 수 있습니다.
- 디바이스를 Microsoft Entra ID(클라우드 전용)에 조인합니다.
- Microsoft Entra 하이브리드 조인 디바이스를 온프레미스 Active Directory 도메인과 Microsoft Entra ID에 연결하세요.
배우다
시작하기 전에 디바이스 ID 관리 개요잘 알고 있는지 확인합니다.
혜택
디바이스에 Microsoft Entra ID를 제공할 경우의 주요 이점은 다음과 같습니다.
생산성 향상 - 사용자는 온-프레미스 및 클라우드 리소스에 SSO(원활한 로그온)를
수행하여 어디에 있든 생산성을 높일 수 있습니다. 보안 강화 – 디바이스 또는 사용자의 ID에 따라 리소스에
조건부 액세스 정책을 적용합니다. 디바이스를 Microsoft Entra ID에 조인하는 것은 암호 없는 전략으로 보안을 강화하기 위한 필수 구성 요소입니다. 사용자 환경 개선 - 개인 디바이스와 회사 디바이스 모두에서 조직의 클라우드 기반 리소스에 쉽게 액세스할 수 있도록 사용자에게 제공합니다. 관리자는 모든 Windows 디바이스에서 통합된 환경을 위해 Enterprise State Roaming 사용하도록 설정할 수 있습니다.
배포 및 관리 간소화 – Windows Autopilot, 대량 프로비전또는 셀프 서비스: OOBE(Out of Box Experience)사용하여 Microsoft Entra ID로 디바이스를 가져오는 프로세스를 간소화합니다. Microsoft Intune과 같은 MDM(모바일 디바이스 관리) 도구를 사용하여 디바이스를 관리하고, Microsoft Entra 관리 센터에서 ID를 관리합니다.
배포 프로젝트 계획
사용자 환경에서 이 배포에 대한 전략을 결정하는 동안 조직의 요구 사항을 고려합니다.
올바른 이해 관계자를 참여시키기
기술 프로젝트가 실패하면 일반적으로 영향, 결과 및 책임에 대한 기대가 일치하지 않기 때문에 수행됩니다. 이러한 문제를 방지하려면 올바른 이해 관계자, 및 프로젝트의 이해 관계자 역할을 잘 이해하고 있는지 확인합니다.
이 계획의 경우 목록에 다음 관련자를 추가합니다.
| 역할 | 설명 |
|---|---|
| 디바이스 관리자 | 계획이 조직의 디바이스 요구 사항을 충족하는지 확인할 수 있는 디바이스 팀의 담당자입니다. |
| 네트워크 관리자 | 네트워크 요구 사항을 충족할 수 있는 네트워크 팀의 담당자입니다. |
| 디바이스 관리 팀 | 디바이스의 인벤토리를 관리하는 팀입니다. |
| OS별 관리 팀 | 특정 OS 버전을 지원하고 관리하는 팀. 예를 들어 Mac 또는 iOS 중심 팀이 있을 수 있습니다. |
커뮤니케이션 계획
통신은 모든 새 서비스의 성공에 매우 중요합니다. 사용자 환경이 어떻게 변경되는지, 언제 변경되는지, 문제가 발생할 경우 지원을 받는 방법을 사용자와 사전에 통신합니다.
파일럿을 계획하세요.
통합 방법의 초기 구성은 테스트 환경 또는 소규모 테스트 디바이스 그룹을 사용하는 것이 좋습니다. 파일럿에 대한 모범 사례를 참조하세요.
Microsoft Entra 하이브리드 조인을 전체 조직에 사용 설정하기 전에,
경고
조직은 파일럿 그룹에 다양한 역할 및 프로필의 사용자 샘플을 포함해야 합니다. 대상 롤아웃은 전체 조직에서 사용하도록 설정하기 전에 계획에서 다루지 않았을 수 있는 문제를 식별하는 데 도움이 됩니다.
통합 방법 선택
조직에서는 단일 Microsoft Entra 테넌트에서 여러 디바이스 통합 방법을 사용할 수 있습니다. 목표는 Microsoft Entra ID에서 디바이스를 안전하게 관리하는 데 적합한 방법을 하나 이상 선택하는 것입니다. 소유권, 디바이스 유형, 기본 대상 그룹 및 조직의 인프라를 포함하여 이 결정을 이끄는 많은 매개 변수가 있습니다.
다음 정보는 사용할 통합 방법을 결정하는 데 도움이 될 수 있습니다.
디바이스 통합을 위한 의사 결정 트리
이 트리를 사용하여 조직 소유 디바이스에 대한 옵션을 결정합니다.
메모
개인 또는 BYOD(Bring-Your-Own Device) 시나리오는 이 다이어그램에 표시되지 않습니다. Microsoft Entra 등록이 항상 진행됩니다.
비교 행렬
iOS 및 Android 디바이스는 Microsoft Entra만 등록됩니다. 다음 표에서는 Windows 클라이언트 디바이스에 대한 개략적인 고려 사항을 제공합니다. 개요로 사용한 다음, 다양한 통합 방법을 자세히 살펴보세요.
| 고려 | Microsoft Entra 등록됨 | Microsoft Entra 합류됨 | Microsoft Entra 하이브리드 조인됨 |
|---|---|---|---|
| 클라이언트 운영 체제 | |||
| Windows 11 또는 Windows 10 디바이스 |
|
이러한 값에 대한 확인 표시 |
이러한 값에 대한 확인 표시: . |
| Linux Desktop - Ubuntu 20.04/22.04/24.04, RHEL 8/9 | 이러한 값에 대해 확인 표시하십시오. |
||
| 로그인 옵션 | |||
| 최종 사용자 로컬 자격 증명 |
|
||
| 암호 |
|
|
|
| 디바이스 PIN | 이러한 값들을 위한 확인 표시 . |
||
| Windows Hello | 이러한 값에 대해 |
||
| 비즈니스용 Windows Hello | 이러한 값에 대해 |
이러한 값에 대한 확인 표시 . |
|
| FIDO 2.0 보안 키 |
|
|
|
| Microsoft Authenticator 앱(암호 없는) | 이러한 값에 |
이러한 값들에 대해 . |
이러한 값에 대한 확인 표시를 |
| 주요 기능 | |||
| 싱글 사인온을 통한 클라우드 리소스 접근 | 이러한 값에 대한 확인 표시를 |
|
이러한 값에 대한 확인 표시 |
| 온-프레미스 리소스에 대한 SSO | 이러한 값에 대해 체크 표시하세요. |
이러한 값에 대한 확인 표시 |
|
| 조건부 액세스 (디바이스가 준수하는 것으로 표시되어야 합니다.) (MDM에서 관리해야 합니다.) |
|
|
|
| 조건부 액세스 (Microsoft Entra 하이브리드 조인 디바이스 필요) |
이러한 값에 대한 확인 표시를 |
||
| Windows 로그인 화면에서 셀프 서비스 암호 재설정 | 이러한 값에 대한 확인 표시를 하세요. |
이러한 값에 확인 표시를 합니다. |
|
| Windows Hello PIN 재설정 | 이러한 값에 대해 확인 표시를 합니다. |
이 값들에 대해 |
Microsoft Entra 등록
등록된 디바이스는 종종 Microsoft Intune으로 관리됩니다. 디바이스는 운영 체제에 따라 여러 가지 방법으로 Intune에 등록됩니다.
Microsoft Entra 등록 디바이스는 BYOD(Bring Your Own Devices) 및 회사 소유 디바이스가 클라우드 리소스에 SSO를 통해 액세스하는 것을 지원합니다. 리소스에 대한 액세스는 디바이스 및 사용자에게 적용되는 microsoft Entra 조건부 액세스 정책 기반으로 합니다.
디바이스 등록
등록된 장치는 종종 Microsoft Intune으로 관리됩니다. 디바이스는 운영 체제에 따라 여러 가지 방법으로 Intune에 등록됩니다.
사용자는 BYOD 및 회사 소유 모바일 디바이스를 등록하기 위해 회사 포털 앱을 설치합니다.
디바이스를 등록하는 것이 조직에 가장 적합한 옵션인 경우 다음 리소스를 참조하세요.
- 다음은 Microsoft Entra 등록 디바이스에 대한 개요입니다.
- 조직의 네트워크에 개인 디바이스 를 등록하는 방법에 대한 최종 사용자 설명서입니다.
Microsoft Entra 연결
Microsoft Entra 조인을 사용하면 Windows를 사용하여 클라우드 우선 모델로 전환할 수 있습니다. 디바이스 관리를 현대화하고 디바이스 관련 IT 비용을 절감하려는 경우 훌륭한 기반을 제공합니다. Microsoft Entra 조인은 Windows 10 이상 디바이스에서만 작동합니다. 새 디바이스에 대한 첫 번째 선택으로 간주합니다.
microsoft Entra 조인 디바이스가 조직의 네트워크에 있을 때 온-프레미스 리소스에 SSO를 수행할 수
이 옵션이 조직에 가장 적합한 경우 다음 리소스를 참조하세요.
- Microsoft Entra 연결된 디바이스의 개요입니다.
- Microsoft Entra 조인 구현 계획 을 숙지하십시오.
Microsoft Entra에 연결된 장치 프로비저닝
Microsoft Entra 조인에 디바이스를 프로비전하려면 다음과 같은 방법을 사용할 수 있습니다.
- 셀프 서비스: Windows 10 첫 실행 환경
장치에 Windows 10 Professional 또는 Windows 10 Enterprise가 설치되어 있는 경우 환경은 기본적으로 회사 소유 디바이스에 대한 설정 프로세스로 설정됩니다.
- OOBE(Windows Out of Box Experience) 또는 Windows 설정
- Windows Autopilot
- 대량 등록
이러한 방법을 신중하게
Microsoft Entra 조인이 다른 지역에 있는 디바이스에 가장 적합한 솔루션이라고 판단할 수 있습니다. 다음 표에서는 디바이스의 상태를 변경하는 방법을 보여줍니다.
| 현재 디바이스 상태 | 원하는 디바이스 상태 | 사용 방법 |
|---|---|---|
| 온-프레미스 도메인 가입됨 | Microsoft Entra 합류 | Microsoft Entra ID에 가입하기 전에 온-프레미스 도메인에서 디바이스를 조인 해제합니다. |
| Microsoft Entra 하이브리드 조인됨 | Microsoft Entra에 합류함 | Microsoft Entra ID에 가입하기 전에 온-프레미스 도메인 및 Microsoft Entra ID에서 디바이스를 연결 해제합니다. |
| Microsoft Entra 등록됨 | Microsoft Entra에 가입함 | Microsoft Entra ID에 가입하기 전에 디바이스 등록을 취소합니다. |
Microsoft Entra 하이브리드 조인
온-프레미스 Active Directory 환경이 있고 기존 도메인에 가입된 컴퓨터를 Microsoft Entra ID에 조인하려는 경우 Microsoft Entra 하이브리드 조인을 사용하여 이 작업을 수행할 수 있습니다.
대부분의 조직에는 이미 도메인에 가입된 디바이스가 있으며 그룹 정책 또는 SCCM(System Center Configuration Manager)을 통해 관리합니다. 이 경우 기존 투자를 사용하는 동안 혜택을 얻기 시작하도록 Microsoft Entra 하이브리드 조인을 구성하는 것이 좋습니다.
Microsoft Entra 하이브리드 조인이 조직에 가장 적합한 옵션인 경우 다음 리소스를 참조하세요.
- Microsoft Entra 하이브리드 조인 디바이스개요입니다.
- Microsoft Entra 하이브리드 조인 구현 계획을 숙지하십시오.
디바이스에 Microsoft Entra 하이브리드 조인 프로비전
ID 인프라를 검토하세요. Microsoft Entra Connect는 다음에 대해 Microsoft Entra 하이브리드 조인을 구성하는 마법사를 제공합니다.
필요한 버전의 Microsoft Entra Connect를 설치하는 것이 옵션이 아닌 경우 Microsoft Entra 하이브리드 조인수동으로 구성하는 방법을
메모
온-프레미스 도메인에 가입된 Windows 10 이상의 디바이스는 기본적으로 Microsoft Entra ID에 자동으로 가입하여 Microsoft Entra 하이브리드 가입이 되려고 시도합니다. 올바른 환경을 설정한 경우에만 성공합니다.
Microsoft Entra 하이브리드 조인이 다른 상태의 디바이스에 가장 적합한 솔루션이라고 판단할 수 있습니다. 다음 표에서는 디바이스의 상태를 변경하는 방법을 보여줍니다.
| 현재 디바이스 상태 | 원하는 디바이스 상태 | 방법 |
|---|---|---|
| 온-프레미스 도메인 가입됨 | Microsoft Entra 하이브리드 조인됨 | Microsoft Entra Connect 또는 AD FS를 사용하여 Azure에 조인합니다. |
| 온-프레미스 작업 그룹에 조인되었거나 새로 생성됨 | Microsoft Entra 하이브리드 조인됨 | 지원되는 것은 Windows Autopilot입니다. 그렇지 않으면 장치는 Microsoft Entra 하이브리드 조인 전에 온-프레미스 도메인에 가입되어 있어야 합니다. |
| Microsoft Entra 합류함 | Microsoft Entra 하이브리드 조인됨 | Microsoft Entra ID에서 연결을 해제하여 온-프레미스 작업 그룹 또는 새로운 상태로 이동합니다. |
| Microsoft Entra 등록됨 | Microsoft Entra 하이브리드 조인됨 | Windows 버전에 따라 다릅니다. 이러한 고려 사항을 참조하세요. |
디바이스 관리
디바이스를 Microsoft Entra ID에 등록하거나 가입한 후에는 Microsoft Entra 관리 센터 사용하여 디바이스 ID를 관리합니다. Microsoft Entra 디바이스 페이지에서 다음을 수행할 수 있습니다.
- 장치 설정을 구성하십시오.
- Windows 디바이스를 관리하려면 로컬 관리자여야 합니다. Microsoft Entra ID는Microsoft Entra에 가입된 디바이스의 멤버십을 업데이트하며, 디바이스 관리자 역할이 있는 사용자를 모든 가입된 디바이스에 자동으로 관리자로 추가합니다.
부실 디바이스를관리하는
지원되는 디바이스 관리 도구
관리자는 다른 디바이스 관리 도구를 사용하여 등록된 디바이스와 조인된 디바이스를 보호하고 추가로 제어할 수 있습니다. 이러한 도구는 스토리지를 암호화하도록 요구, 암호 복잡성, 소프트웨어 설치 및 소프트웨어 업데이트와 같은 구성을 적용하는 방법을 제공합니다.
통합 디바이스에 대해 지원되는 플랫폼 및 지원되지 않는 플랫폼을 검토합니다.
| 디바이스 관리 도구 | Microsoft Entra 등록됨 | Microsoft Entra 참여했다 | Microsoft Entra 하이브리드 조인됨 |
|---|---|---|---|
| MDM(모바일 디바이스 관리) 예: Microsoft Intune |
이러한 값에 대한 확인 표시 . |
이러한 값에 확인 표시를 합니다. |
|
|
Microsoft Intune 및 Microsoft Configuration Manager와 공동 관리 (Windows 10 이상) |
|
이러한 값에 |
|
|
그룹 정책 (Windows에만 해당) |
|
등록된 iOS 또는 Android 디바이스에 대한 디바이스 관리 유무에 관계없이 Microsoft Intune MAM(모바일 애플리케이션 관리)
관리자는 조직에서 Windows 운영 체제를 호스팅하는 VDI(가상 데스크톱 인프라) 플랫폼을