신입 엔지니어 업무일지 | [진행중] Entra/Intune 디바이스 등록 방식 (feat. 하이브리드 실패!)

하이 가이즈!

이번 시간에는 Entra ID와 Intune 등록 방식을 알아보겠어요~

 

Entra에는 사용자의 계정 뿐만 아니라 디바이스도 등록하여 관리할 수 있다

이때 Entra에 등록하는 방식은 총 3가지가 있다

---

■ Entra Registered

말 그대로 디바이스가 Entra 테넌트에 [등록] 되었다는 뜻

특정 기기에 대한 정보를 가지고 있다는 뜻이어서

정책을 내리거나 할 수는 없는 것 같다

 

방법: Window에서 M365 회사 계정을 로그인 해 주면 됨

---

■ Entra Joined

디바이스가 Entra 테넌트에 [조인] 되었다는 뜻

온프렘에서 기기를 도메인에 가입시키듯이

M365 테넌트에 가입시킨 것

정책을 내리고 관리할 수 있다!

 

방법: Window에서 M365 회사 계정을 로그인 해 주면 됨 - 옵션에서 Entra ID 조인

 

---

■ Entra Hybrid Joined

디바이스가 AD와 Entra에 둘 다 [조인] 되었다는 뜻

 온프렘에 조인된 디바이스를 AADC를 돌려서 Cloud에도 올린 것이다

온프렘 정책 / M365 정책을 모두 받아올 수 있다!

 

방법: AADC에서 디바이스가 들어가 있는 OU를 선택하고 동기화를 해 주면 됨

 

이렇게 해서 AADC를 돌려주고 Sync 명령어 때려주면 Entra에 디바이스가 올라온다!

계정 동기화랑 똑같은 방식이다

 

---

여기서 잠깐!

Entra에 가입했다고 Intune에 가입한 건 아니다

 

나는 이 개념이 굉장히 헷갈렸는데

Entra에 등록하면 어쨌든 Intune 사이트에서도 디바이스가 조회되기 때문이다

그래서 정책을 내릴 수 있다고 생각했는데... 아니었다

 

따라서 디바이스에 Intune 정책을 내려서 사용하려면

1) Entra에 조인시킨다

2) Intune에 등록한다

이 두가지 프로세스가 필요하다

 

그렇다면 Intune에 가입시키는 방법을 알아보자~!

 

■ Intune(MDM) 등록

 

테스트해본 바로는 2가지 방법이 있다

 

1. MDM 서버 URL 입력

Intune 관리 센터(intune.microsoft.com) > 장치 > 등록 > 자동 등록

 

MDM 검색 URL 복사

 

회사 또는 학교 계정 설정 > 계정 입력 > 오류창 뜨면서 URL 입력창 뜸 > URL 붙여넣기

 

 

2. MDM 등록 버튼 클릭

이런 옵션이 있었던 것 같은데 다시 캡쳐하려고 테스트를 했는데 안보인다!

HBNA-WIN10-1 디바이스를 이렇게 조인한 것 같은데

 

 

결과는

 

둘 다 Entra Hybrid 조인된 상태를 나타낸다....

왜 UI가 차이가 나는지 모르겠음 하지만 같은 타입인건 분명하다구~!

심지어 Entra 관리 센터에서 디바이스를 확인하면

 

짜잔

똑같은 디바이스가 2번 등록된 기이한 현상 발생

 

이번이 2번째 테스트인데 매번 이렇다

 

와이라노~!

대리님들께서 Intune 테스트할 때는 웬만하면 깨끗한 cloud 환경에서 쓰라는 조언을 해주셨다

하하

 

그래도 궁금하니까

이 글을 보시는 누군가가 해답을 알려주시기를

쟤 왜저래요?

 

 

꼭 하이브리드가 문제다

Autopilot으로 자동 등록을 하면 문제가 없으려나....

휴

 

+ 다시 해보니 어떤 방식을 하더라도 계정 로그인만 하면 두대가 생긴다!!!

이를 우쨰!!! 성공한 테스트 캡쳐해놓을걸!!!!!

 

---

3. GPO 정책을 내린다

찾아보니 이게 정석인 것 같다

 

[컴퓨터 구성] → [정책] → [관리 템플릿] → [Windows 구성 요소] → [MDM] → [기본 Azure AD 자격 증명을 사용하여....] 정책 설정 → 사용

 

위 정책 만들어주고 gpupdate /force

 

---

 

♥ EX초보님의 댓글을 참고하여 추가! ♥

 

Entra 조인이 된 PC에는 인증서가 추가된다

무슨 인증서인지는 모르겠고.. 암튼 Hybrid 조인을 하면 3개가 올라온다

 

테스트 결과

OS 버전 차이도 있나?

Win11은 AADC 돌리자마자 바로 되었고

Win10은 지난주부터 계속 보류였어서 인증서 삭제하고 다시 실행해줬더니 올라왔다

 

 

근데 이제 Win10은 인증서가 두개밖에 없는데 왜 조인이 된거야

hbna-win10-1

hbna-win11-2

Win10에는 MDM 인증서가 빠져있다

그러면 일단 조인은 되었는데 Intune 연결은 안 되는 걸까...?

 

조금만 더 기다려보자 Intune 등록될 때까지 !!!