M365. Azure AD Joined Plan (1). Windows device enrollment
시리즈
2022.07.11 - [Azure AD/MEM] - M365. Azure AD Joined Plan (1). Windows device enrollment
2022.07.11 - [Azure AD/MEM] - M365. Azure AD Joined Plan (2). Compliance Policy
2022.07.11 - [Azure AD/MEM] - M365. Azure AD Joined Plan (3). Conditional Access
2022.07.12 - [Azure AD/MEM] - M365. Azure AD Joined Plan (4). Configuration Profiles
2022.07.12 - [Azure AD/MEM] - M365. Azure AD Joined Plan (5). Update rings for Windows 10 and later
2022.07.13 - [Azure AD/MEM] - M365. Azure AD Joined Plan (6). BitLocker
2022.07.23 - [Azure AD/MEM] - M365. Azure AD Joined Plan (7). Defender EDR
Azure AD join을 구성한다면, Autopilot을 적용하는 것을 검토하는 것이 관리 측면에서 유리합니다.
Autopilot에 대해서는 기술 자료에서 다음과 같이 설명하고 있습니다.
IT 전문가의 관점에서 보면 최종 사용자가 해야 하는 작업은 네트워크에 연결하고 해당 자격 증명을 확인하는 것뿐입니다. 그 밖의 모든 항목은 자동화가 되어있습니다.
Windows Autopilot 개요 | Microsoft Learn
[단계1] 장치 등록
아래의 과정은 Azure AD Join하여 등록되는 장치 개념하고는 조금 다릅니다. Azure AD Join 자체는 누구나 할 수 있기 때문에 관리자가 등록한 하드웨어만 적용을 원할 경우 진행하는 과정입니다.
OOBE 화면에서 Shift + F10
아래의 명령어를 입력합니다.
PowerShell.exe -ExecutionPolicy Bypass
Install-Script -name Get-WindowsAutopilotInfo -Force
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Get-WindowsAutopilotInfo -Online
관리자 or Intune 관리자 계정을 입력합니다.
Accept
아래와 같이 전송 작업이 진행됩니다.
MEM admin Center -> Devices -> Windows -> Windows enrollment -> Devices
아래와 같이 등록되는 것을 확인할 수 있습니다.
Assign user 를 클릭하면
Owner 할당이 가능합니다.
Device name 및 Group tag 지정도 가능합니다. Group tag의 경우 Hybrid Azure AD와 Azure AD 장치를 구분할 때 유용할 것으로 판단됩니다.
[단계2] 등록 디바이스에 대한 동적 그룹 생성
등록한 대상 Device를 구분이 필요한 경우에는 아래와 같이 동적 그룹을 생성하여 정책을 적용할 수 있습니다.
Groups -> New Group
Dynamic Device 을 선택한 뒤, Add dynamic query
Edit
아래의 내용을 입력합니다.
(device.devicePhysicalIDs -any _ -contains "[ZTDId]")
-> Autopilot에 등록된 장치를 구분하는 규칙입니다.
구문을 확인 한 뒤, Save 를 클릭합니다.
Create
[단계3] Create and assign an Autopilot deployment profile
Windows enrollment -> Deployment profiles
Create profile -> Windows PC
프로필 이름 지정 -> Next
저는 Standard User Type으로 진행하였습니다.
이전에 생성한 동적 디바이스 그룹을 지정한 뒤, 생성합니다.
[단계4] (Optional) Turn on the enrollment status page
아래의 과정은 선택 사항입니다. 등록되는 과정을 화면에 표시해주는 설정입니다.
Enrollment Status Page
정책 선택
Properties -> Settings -> Edit
Yes 로 변경 -> Revew + Save
[단계5] Autopilot 진행
하드웨어 ID가 등록을 완료한 뒤, Shutdown 진행이 필요합니다. 그리고 다시 부팅을 진행하면, 다음과 같이 화면이 표시됩니다.
아래와 같이 조직 로그인 화면이 확인됩니다.
ADFS가 구성되어 있다면, 아래와 같이 나타날 것입니다.
아래와 같이 진행됩니다.
조직 로그인
Device Name이 자동 지정 확인
Azure AD join 확인