[WCD] Windows Configuration Designer를 통해 Entra Join(Azure AD Join) Provisioning Package 구성

Windows 디바이스를 Microsoft Entra Join 에 수동 조인하는 방법을 통해서 간편하게 조인할 수 있지만, 디바이스 수가 대량인 경우 수동으로 진행하기 어려운 상황이 발생할 수 있습니다.​

이 때 WCD(Windows Configuration Designer)를 통해서 Microsoft Entra Join 작업이 포함된 프로비저닝 패키지를 구성하여 대량의 디바이스에 배포 및 Entra에 조인 시킬 수 있습니다.

​

패키지 구성 전 아래 내용을 먼저 확인합니다.​

1. 사전 조건 및 일부 유의사항​

1-1. 프로비저닝 문제

프로비저닝 방식은 새로운 Windows 장치에서 사용하도록 고안되었습니다.

프로비저닝이 실패하면 장치를 초기화하거나 부팅 이미지에서 장치를 복구해야 할 수도 있습니다.

다음 예는 프로비저닝 실패의 몇 가지 이유입니다.​

• • Microsoft Entra에 조인을 시도하는 프로비저닝 패키지는 네트워크 연결 부족으로 인해 Entra 조인 프로세스가 실패하는 경우 장치에 연결할 수 없게 만들 수 있습니다.
  • 프로비저닝 패키지에서 실행되는 스크립트는 시스템 컨텍스트에서 실행됩니다.

​스크립트는 장치 파일 시스템 및 구성을 임의로 변경할 수 있습니다.

악의적이거나 잘못된 스크립트로 인해 장치의 이미지를 다시 설치하거나 삭제해야만 복구할 수 있는 상태가 될 수 있습니다.

 

1-2. Windows 자동 등록을 활성화해야 합니다.

​

1-3. MDM 사용자 범위에 WCD 구성 과정 중 대량 토큰 요청에 사용되는 계정 추가

대량 토큰을 요청하는 데 사용되는 계정은 Microsoft Entra ID에 지정된 MDM 사용자 범위 에 포함되어야 합니다.

MDM 사용자 범위에 연결된 그룹에서 이 계정이 제거되면 대량 등록이 작동하지 않습니다.

​

1-4. Microsoft.Azure.SyncFabric(AppID 00000014-0000-0000-c000-000000000000) 서비스 주체가 테넌트에 있는지 확인합니다.

서비스 주체가 없으면 WCD가 대량 등록 토큰을 검색할 수 없으므로 오류가 발생합니다.

 

1-5. WCD를 통해 조인될 클라이언트 장치의 버전은 Windows 11 또는 Windows 10 빌드 1709 이상 버전이어야 합니다.

 

1-6. 장치 조인에 대해 MFA를 활성화한 경우 Package_GUID 계정은 MFA에 등록할 수 없으므로 대량 토큰을 가져오지 못합니다.

​

​

2. Provisioning Package 구성 시작​

2-1. WCD 프로그램을 다운로드합니다.

※ 참고) 현재 WCD의 제한 사항

https://learn.microsoft.com/ko-kr/windows/configuration/provisioning-packages/provisioning-install-icd#current-windows-configuration-designer-limitations

​

2-2. 다운로드 후 WCD를 실행합니다.

​

2-3. 패키지 파일 생성을 위해 "Provision desktop devices"를 클릭합니다.

​

2-4. Project 이름 입력 및 패키지 파일이 다운로드 될 위치를 지정합니다.

​

2-5. Package 파일을 통해 디바이스를 조인 시키면서 설정할 PC 명명 규칙도 설정 가능합니다.

※ 참고) 이 설정은 Windows 10 버전 2004 이상 릴리스에서만 지원됨

​

2-6. 이번 구성에서는 네트워크 설정을 Skip 하였습니다.

​

2-7. Microsoft Entra(구 Azure AD) Join 패키지를 생성할 목적이므로, "Enroll in Azure AD" 클릭 후 대량 등록을 위한 Token의 만료 일자를 지정하고 "Get Bulk Token" 버튼 클릭하여 대량 등록 토큰 획득을 위한 계정으로 로그인합니다.

• WCD 구성(대량 등록 토큰 획득을 위한) 계정은 다음 역할 중 하나 이상이 필요합니다.
  • 전역 관리자
  • 클라우드 장치 관리자
  • Intune 관리자
  • 암호 관리자

 

 

※ 참고

위 과정에서 "동의함" 클릭 시 [모든 앱에 로그인 상태 유지] 팝업이 나타납니다.​

여기서 "조직에 내 디바이스를 관리하도록 허용" 옵션이 기본적으로 선택되어 있는데, 이는 WCD를 실행 중인 현재 장치를 Entra에 Registered 하려고 시도하는 것일 뿐 현재 생성 중인 프로비저닝 패키지와 아무 관련이 없기 때문에 가급적 대화 상자의 오른쪽 아래 모서리에 있는 “확인” 단추를 클릭하지 말고, 왼쪽 하단에 있는 "아니요, 이 앱에만 로그인하세요" 라는 텍스트를 클릭하여 대량 토큰 생성을 이어 나가면 됩니다.

​

※ Bulk Token을 얻기 위한 로그인 진행 시 아래와 같은 오류가 발생할 수 있습니다.

"Bulk token retrieval failed. The operation returned an empty response. Please try again."

이 오류는 사전 조건 중 4번에 해당되는 내용으로 인해 발생하는 오류이며, 이는 WCD에서 대량 등록 토큰을 검색하는 용도의 Microsoft.Azure.SyncFabric(AppID 00000014-0000-0000-c000-000000000000) 서비스 주체가 테넌트에 존재하지 않기 때문에 발생합니다.

​

Bulk Token 가져오기 실패 시 서비스 주체를 생성하여 해결합니다.​

#PowerShell 관리자 권한으로 실행

#Azure AD에 전역 관리자로 로그인

• Connect-AzureAD

#서비스 주체 생성

• New-AzureADServicePrincipal -AccountEnabled $true -AppId 00000014-0000-0000-c000-000000000000 -AppRoleAssignmentRequired $False -DisplayName Microsoft.Azure.SyncFabric -Tags {WindowsAzureActiveDirectoryIntegratedApp}

#서비스 주체가 정상적으로 생성되었는지 조회

• Get-AzureADServicePrincipal | Where-Object {$_.AppId -eq "00000014-0000-0000-c000-000000000000"}

​

​

2-8. 위 서비스 주체 추가 후 다시 Bulk Token 가져오기 했을 때 해결됨을 확인

 

 

2-9. Bulk Token 가져오기 작업이 정상적으로 이루어 지면 Entra 관리센터에서 "Package_GUID@contoso.com"와 같은 계정이 생성되는 것을 볼 수 있습니다. 이 계정은 디바이스 조인에 사용될 계정입니다.

 

2-10. 이 계정을 만든 관리자 계정(WCD 실행하여 Bulk Token을 가져온 계정)은 다음과 같이 보조 메일 영역에서 확인 가능합니다.

​

2-11. 위 내용 확인되었다면 이어서 진행합니다. 본 구성에서는 Add applications Skip 하였습니다.

​

2-12. 본 구성에서는 Add Certificates Skip 하였습니다.

​

2-13. 패키지 구성 요약 확인

​

※ 참고

초기 단계에서 설정한 PC 명명 규칙을 따르지 않고 기존 PC 이름 변경없이 Entra에 Join 시키려면 아래 내용으로 진행해야 합니다.

2-14. 왼쪽 하단의 "Switch to advanced editor" 을 클릭합니다.

​

2-15. YES 클릭합니다.

 

2-16. All Setting > DevDetail > DNSComputerName 이동 후 우측 패널에서 DevDetail > DNSComputerName 를 제거합니다.

​

삭제 완료 화면

​

2-17. 좌측 상단에서 Export > Provisioning package 클릭 후 설정 내용이 포함된 패키지를 내보냅니다.

​

2-18. Build 화면에서 "IT Admin" 로 설정합니다.

(해당 설정은 Provisioning Package의 우선 순위를 정하는 옵션으로 여러 패키지를 관리하지 않는다면 크게 의미는 없어 보입니다.)

 

2-19. 본 구성에서 패키지에 대한 암호화 및 인증서 설정은 Skip 하였습니다.

​

2-20. 프로비저닝 패키지를 저장할 위치를 지정합니다.

​

2-21. 프로비저닝 패키지 빌드 화면에서 구성에 대한 요약 화면이 표시됩니다.

 

2-22. Provisioning Package 구성을 완료합니다.

 

※ 내보내진 파일들 (.cat 파일과 .ppkg 파일만 내보내질 수 있습니다.)

여기서 실제 클라이언트 디바이스에서 실행할 패키지 파일은 .ppkg 파일입니다.

​

참고) 만약 명명 규칙을 사용하고 싶은 경우, 13번 단계에서 "Create" 클릭하여 패키지 구성을 완료하면 됩니다.

※ 명명 규칙 사용 시 조인 상태

​

​

Windows Configuration Designer를 통해 Entra Join(Azure AD Join) Provisioning Package 구성은 다음 내용 참고하였습니다.

https://techcommunity.microsoft.com/t5/intune-customer-success/bulk-join-a-windows-device-to-azure-ad-and-microsoft-endpoint/ba-p/2381400

Bulk join a Windows device to Azure AD and Microsoft Endpoint Manager using a provisioning package

 

 

​

이상입니다.