Microsoft Entra 디바이스 배포 계획
이 문서를 통해 디바이스를 Microsoft Entra ID와 통합하는 방법을 평가하고, 구현 계획을 선택하고, 지원되는 디바이스 관리 도구에 대한 주요 링크를 제공할 수 있습니다.
사용자 디바이스의 환경이 지속적으로 확장되고 있습니다. 조직은 데스크톱, 노트북, 휴대폰, 태블릿 및 기타 디바이스를 제공할 수 있습니다. 사용자는 고유한 디바이스 배열을 가져오고 다양한 위치에서 정보에 액세스할 수 있습니다. 이 환경에서 관리자로써의 직무는 모든 디바이스에서 조직 리소스를 안전하게 지키는 것입니다.
Microsoft Entra ID를 사용하면 조직에서 디바이스 ID 관리를 통해 이러한 목표를 충족할 수 있습니다. 이제 Microsoft Entra ID에서 디바이스를 가져오고 Microsoft Entra 관리 센터의 중앙 위치에서 제어할 수 있습니다. 이 과정을 통해 통합된 환경, 강화된 보안을 경험할 수 있으며, 새 디바이스를 구성하는 데 필요한 시간을 줄일 수 있습니다.
디바이스를 Microsoft Entra ID에 통합하는 방법에는 여러 가지가 있으며, 운영 체제 및 요구 사항에 따라 별도로 또는 함께 작동할 수 있습니다.
- Microsoft Entra ID로 디바이스를 등록할 수 있습니다.
- Microsoft Entra ID(클라우드 전용)에 디바이스를 조인합니다.
- Microsoft Entra 하이브리드 조인 디바이스를 온-프레미스 Active Directory 도메인 및 Microsoft Entra ID에 조인합니다.
Learn
시작하기 전에 디바이스 ID 관리 개요에 대해 잘 알고 있는지 확인하세요.
이점
디바이스에 Microsoft Entra ID를 제공할 때의 주요 이점은 다음과 같습니다.
생산성 향상 - 사용자는 온-프레미스 및 클라우드 리소스에 대한 원활한 SSO(Single sign-on)를 수행하여 어디에서든 생산성을 높일 수 있습니다.
보안 강화 – 디바이스 또는 사용자의 ID에 따라 리소스에 조건부 액세스 정책을 적용할 수 있습니다. Microsoft Entra ID에 디바이스를 조인하는 것은 암호 없는 전략으로 보안을 강화하기 위한 필수 구성 요소입니다.
사용자 환경 개선 – 사용자에게 개인 및 회사 디바이스 모두에서 조직의 클라우드 기반 리소스에 대한 손쉬운 액세스를 제공할 수 있습니다. 관리자는 모든 Windows 디바이스에서 통합된 환경에 대한 Enterprise State Roaming을 사용하도록 설정할 수 있습니다.
배포 및 관리 간소화 – Windows Autopilot, 대량 프로비전 또는 셀프 서비스: OOBE(첫 실행 경험)를 통해 Microsoft Entra ID로 디바이스를 가져오는 프로세스가 간소화됩니다. Microsoft Intune과 같은 MDM(모바일 디바이스 관리) 도구 및 Microsoft Entra 관리센터에서 해당 ID를 사용하여 이러한 디바이스를 관리합니다.
배포 프로젝트 계획
사용자 환경에서 이 배포에 대한 전략을 결정하는 동안 조직의 요구 사항을 고려합니다.
올바른 관련자 참여
일반적으로 기술 프로젝트가 실패하는 이유는 영향, 결과 및 책임에 대한 기대 수준이 일치하지 않기 때문입니다. 이러한 위험을 방지하려면 올바른 관련자를 참여시키고 프로젝트의 관련자 역할을 잘 이해해야 합니다.
이 계획의 경우 목록에 다음 관련자를 추가합니다.
| 역할 | 설명 |
|---|---|
| 디바이스 관리자 | 계획이 조직의 디바이스 요구 사항을 충족하는지 확인할 수 있는 디바이스 팀의 담당자입니다. |
| 네트워크 관리자 | 네트워크 요구 사항을 충족하는지 확인할 수 있는 네트워크 팀의 담당자입니다. |
| 디바이스 관리 팀 | 디바이스 인벤토리를 관리하는 팀입니다. |
| OS 특정 관리자 팀 | 특정 OS 버전을 지원하고 관리하는 팀입니다. 예를 들어 Mac 또는 iOS 중심 팀이 있을 수 있습니다. |
통신 계획
통신은 새 서비스의 성공에 대단히 중요합니다. 사용자의 경험이 어떻게 변화하고 언제 변할 것인지, 문제가 발생할 경우 지원을 받는 방법에 대해 사용자와 사전에 소통합니다.
파일럿 계획
통합 방법의 초기 구성은 테스트 환경에 있거나 테스트 디바이스의 소그룹을 사용하는 것이 좋습니다. 파일럿에 대한 모범 사례를 참조하세요.
전체 조직을 대상으로 사용 설정하기 전에 Microsoft Entra 하이브리드 조인을 타겟팅 배포하고자 할 수도 있습니다.
Warning
조직은 파일럿 그룹에 다양한 역할 및 프로필의 사용자 샘플을 포함해야 합니다. 대상 롤아웃은 전체 조직에서 사용하도록 설정하기 전에 계획에서 해결하지 못한 문제를 식별하는 데 도움이 됩니다.
통합 방법 선택
조직에서는 단일 Microsoft Entra 테넌트에서 여러 디바이스 통합 방법을 사용할 수 있습니다. 목표는 Microsoft Entra ID에서 디바이스를 안전하게 관리하는 데 적합한 방법을 선택하는 것입니다. 소유권, 디바이스 유형, 기본 대상 그룹 및 조직의 인프라를 비롯하여 이 결정을 주도하는 많은 매개 변수가 있습니다.
다음은 사용할 통합 방법을 결정하는 데 유용한 정보입니다.
디바이스 통합에 대한 의사 결정 트리
이 트리를 사용하여 조직이 소유한 디바이스에 대한 옵션을 결정할 수 있습니다.
참고 항목
개인 또는 BYOD(사용자 고유의 디바이스 가져오기) 시나리오는 이 다이어그램에 표시되지 않습니다. 항상 Microsoft Entra 등록이 발생합니다.
비교 행렬
iOS 및 Android 디바이스는 Microsoft Entra만 등록할 수 있습니다. 다음 표에서는 Windows 클라이언트 디바이스에 대한 높은 수준의 고려 사항을 보여 줍니다. 개요로 사용한 다음, 다양한 통합 방법을 자세히 살펴봅니다.
| 고려 사항 | Microsoft Entra 등록됨 | Microsoft Entra 조인 | Microsoft Entra 하이브리드 조인됨 |
|---|---|---|---|
| 클라이언트 운영 체제 | |||
| Windows 11 또는 Windows 10 디바이스 |  |
|
|
| Windows 하위 수준 디바이스(Windows 8.1 또는 Windows 7) | |
||
| Linux 데스크톱 - Ubuntu 20.04/22.04 | |
||
| 로그인 옵션 | |||
| 최종 사용자 로컬 자격 증명 | |
||
| 암호 | |
|
|
| 디바이스 PIN | |
||
| Windows Hello | |
||
| 비즈니스용 Windows Hello | |
|
|
| FIDO 2.0 보안 키 | |
|
|
| Microsoft Authenticator 앱(암호 없음) | |
|
|
| 주요 기능 | |||
| 클라우드 리소스에 대한 SSO | |
|
|
| 온-프레미스 리소스에 대한 SSO | |
|
|
| 조건부 액세스 (디바이스를 준수 상태로 표시해야 함) (MDM에서 관리해야 함) |
|
|
|
| 조건부 액세스 (Microsoft Entra 하이브리드 조인 디바이스 필요) |
|
||
| Windows 로그인 화면에서 셀프 서비스 암호 재설정 | |
|
|
| Windows Hello PIN 다시 설정 | |
|
Microsoft Entra 등록
등록된 디바이스는 종종 Microsoft Intune으로 관리됩니다. 디바이스는 운영 체제에 따라 여러 방법으로 Intune에 등록됩니다.
Microsoft Entra 등록 디바이스는 클라우드 리소스에 대한 SSO로 BYOD(Bring Your Own Device) 및 회사 소유 디바이스를 지원하는 것을 제공합니다. 리소스에 대한 액세스는 디바이스 및 사용자에게 적용되는 Microsoft Entra 조건부 액세스 정책을 기반으로 합니다.
디바이스 등록
등록된 디바이스는 종종 Microsoft Intune으로 관리됩니다. 디바이스는 운영 체제에 따라 여러 방법으로 Intune에 등록됩니다.
BYOD 및 회사 소유 모바일 디바이스는 회사 포털 앱을 설치하는 사용자가 등록합니다.
디바이스를 등록하는 것이 조직에게 가장 적합한 경우 다음 리소스를 참조하세요.
- Microsoft Entra 등록 디바이스에 대한 개요입니다.
- 이 최종 사용자 설명서는 조직의 네트워크에 개인 디바이스를 등록하는 방법에 대해 설명합니다.
Microsoft Entra 조인
Microsoft Entra 조인을 사용하면 Windows를 사용하여 클라우드 우선 모델로 전환할 수 있습니다. 디바이스 관리를 현대화하고 디바이스 관련 IT 비용을 줄이는 계획을 세우는 경우에 매우 편리합니다. Microsoft Entra 조인은 Windows 10 이상 디바이스에서만 작동합니다. 새 디바이스에 대한 첫 번째 선택 사항으로 간주합니다.
조직의 네트워크에 있는 경우 Microsoft Entra 조인 디바이스는 온-프레미스 리소스에 SSO를 사용할 수 있으며 파일, 인쇄 및 기타 애플리케이션과 같은 온-프레미스 서버에 인증할 수 있습니다.
이 옵션이 조직에 가장 적합한 경우 다음 리소스를 참조하세요.
- Microsoft Entra 조인 디바이스에 대한 개요입니다.
- Microsoft Entra 조인 구현 계획을 숙지합니다.
Microsoft Entra 조인 디바이스 프로비전
Microsoft Entra 조인에 디바이스를 프로비전하려면 다음 방법을 사용합니다.
- 셀프 서비스: Windows 10 첫 실행 환경
Windows 10 Professional 또는 Windows 10 Enterprise가 디바이스에 설치된 경우 환경은 기본적으로 회사 소유의 디바이스에 대한 설정 프로세스로 지정됩니다.
신중하게 이러한 접근 방식을 비교한 후 배포 절차를 선택합니다.
Microsoft Entra 조인이 다른 상태에 있는 디바이스에 가장 적합한 솔루션임을 확인했을 수 있습니다. 다음 표에서는 디바이스의 상태를 변경하는 방법을 보여줍니다.
| 현재 디바이스 상태 | 원하는 디바이스 상태 | 방법 |
|---|---|---|
| 온-프레미스 도메인 조인 | Microsoft Entra 조인됨 | Microsoft Entra ID에 조인하기 전에 온-프레미스 도메인에서 디바이스 조인을 해제합니다. |
| Microsoft Entra 하이브리드 조인됨 | Microsoft Entra 조인됨 | Microsoft Entra ID에 조인하기 전에 온-프레미스 도메인 및 Microsoft Entra ID에서 디바이스 조인을 해제합니다. |
| Microsoft Entra 등록됨 | Microsoft Entra 조인됨 | Microsoft Entra ID에 조인하기 전에 디바이스 등록을 취소합니다. |
Microsoft Entra 하이브리드 조인
온-프레미스 Active Directory 환경을 사용하고, Microsoft Entra ID에 기존 도메인 조인 컴퓨터를 조인하려는 경우 Microsoft Entra 하이브리드 조인으로 이 작업을 수행할 수 있습니다. Windows 현재 및 Windows 하위 수준 디바이스를 비롯한 광범위한 windows 디바이스를 지원합니다.
대부분의 조직에는 도메인 조인 디바이스가 이미 있고 그룹 정책 또는 SCCM(System Center Configuration Manager)을 통해 관리됩니다. 이 경우 기존 투자를 사용하면서 이점을 얻기 위해 Microsoft Entra 하이브리드 조인을 구성하는 것이 좋습니다.
Microsoft Entra 하이브리드 조인이 조직에게 가장 적합한 경우 다음 리소스를 참조하세요.
- Microsoft Entra 하이브리드 조인 디바이스에 대한 개요입니다.
- Microsoft Entra 하이브리드 조인 구현 계획을 숙지합니다.
디바이스에 Microsoft Entra 하이브리드 조인 프로비전
ID 인프라를 검토합니다. Microsoft Entra Connect는 다음에 대한 Microsoft Entra 하이브리드 조인을 구성하는 마법사를 제공합니다.
필수 버전의 Microsoft Entra Connect를 설치하는 것이 옵션이 아닌 경우 Microsoft Entra 하이브리드 조인을 수동으로 구성하는 방법을 참조하세요.
참고 항목
온-프레미스 도메인 조인 Windows 10 이상 디바이스는 기본적으로 Microsoft Entra 하이브리드 조인이 되기 위해 Microsoft Entra ID에 자동 조인을 시도합니다. 이는 올바른 환경을 설정한 경우에만 성공합니다.
Microsoft Entra 하이브리드 조인이 다른 상태에 있는 디바이스에 가장 적합한 솔루션임을 확인했을 수 있습니다. 다음 표에서는 디바이스의 상태를 변경하는 방법을 보여줍니다.
| 현재 디바이스 상태 | 원하는 디바이스 상태 | 방법 |
|---|---|---|
| 온-프레미스 도메인 조인 | Microsoft Entra 하이브리드 조인됨 | Microsoft Entra Connect 또는 AD FS를 사용하여 Azure에 조인합니다. |
| 온-프레미스 작업 그룹 조인 또는 신규 | Microsoft Entra 하이브리드 조인됨 | Windows Autopilot으로 지원됩니다. 그렇지 않으면 Microsoft Entra 하이브리드 조인 전에 디바이스가 온-프레미스 도메인에 조인되어 있어야 합니다. |
| Microsoft Entra 조인됨 | Microsoft Entra 하이브리드 조인됨 | 온-프레미스 작업 그룹 또는 새 상태에 배치하는 Microsoft Entra ID의 조인을 해제합니다. |
| Microsoft Entra 등록됨 | Microsoft Entra 하이브리드 조인됨 | Windows 버전에 따라 다릅니다. 다음 고려 사항을 확인하세요. |
디바이스 관리
디바이스를 Microsoft Entra ID에 등록하거나 조인한 후에는 Microsoft Entra 관리 센터를 중앙 위치로 사용하여 디바이스 ID를 관리합니다. Microsoft Entra 디바이스 페이지에서 다음을 수행할 수 있습니다.
- 디바이스 설정 구성.
- Windows 디바이스를 관리하려면 로컬 관리자여야 합니다. Microsoft Entra ID는 Microsoft Entra 조인 디바이스에 대해 이 멤버 자격을 업데이트하고, 디바이스 관리자 역할을 사용하여 사용자를 조인된 모든 디바이스에 관리자로 자동으로 추가합니다.
부실 디바이스를 관리하여 환경을 정리하고 현재 디바이스를 관리하는 리소스에 집중하도록 합니다.
지원되는 디바이스 관리 도구
관리자는 다른 디바이스 관리 도구를 사용하여 등록되고 조인된 디바이스를 보호하고 추가적으로 제어할 수 있습니다. 이러한 도구는 스토리지 암호화, 암호 복잡성, 소프트웨어 설치 및 소프트웨어 업데이트를 요구하는 것처럼 구성을 적용할 수 있는 방법을 제공합니다.
통합 디바이스에 대해 지원 및 비지원되는 플랫폼을 검토합니다.
| 디바이스 관리 도구 | Microsoft Entra 등록됨 | Microsoft Entra 조인 | Microsoft Entra 하이브리드 조인됨 |
|---|---|---|---|
| MDM(모바일 디바이스 관리) 예: Microsoft Intune |
|
|
|
| Microsoft Intune 및 Microsoft Endpoint Configuration Manager를 사용한 공동 관리 (Windows 10 이상) |
|
|
|
| 그룹 정책 (Windows만 해당) |
|
등록된 iOS 또는 Android 디바이스에 대한 디바이스 관리를 사용하거나 사용하지 않는 Microsoft Intune MAM(모바일 애플리케이션 관리)을 고려하는 것이 좋습니다.
또한 관리자는 조직에서 Windows 운영 체제를 호스팅하는 VDI(가상 데스크톱 인프라) 플랫폼을 배포하여 관리를 간소화하고 리소스의 통합 및 중앙 집중화를 통해 비용을 절감할 수 있습니다.