하이브리드 환경의 모바일 장치 및 컴퓨터에 대해 간소화된 관리

업데이트 날짜: 2014년 8월

적용 대상: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

이 가이드의 대상: 기존 Configuration Manager 인프라를 활용하여 온-프레미스 및 원격 위치의 모바일 장치와 PC를 관리함으로써 이러한 장치에서 회사 리소스에 액세스하려는 직원의 요구 사항을 지원하려는 회사

이 가이드의 활용 방법 이 가이드에서는 테스트를 거친 규범적 디자인을 제공하여 다음을 수행하는 방법을 설명합니다.

• 기존 온-프레미스 Configuration Manager 인프라를 업그레이드하고 클라우드로 확장하여 사용자가 선택한 장치에서 원격으로 작업할 수 있도록 합니다.

• PC 및 모바일 장치 관리를 단일 인프라로 통합합니다.

• 모든 장치에 대한 회사 규정 준수 정보를 유지 관리합니다.

• 회사 데이터를 보호합니다.

이 솔루션의 내용은 다음과 같습니다.

• 시나리오, 문제 설명 및 목표

  • 시나리오

  • 문제 설명

  • 조직의 목표

• 이 솔루션에 권장되는 디자인

  • System Center 2012 R2 Configuration Manager 설치 및 개체 마이그레이션

  • Windows Intune 구독

  • Microsoft Azure AD 및 디렉터리 동기화를 사용하여 ID 및 액세스 관리

  • 암호 동기화를 이용하여 사용자에게 간편한 보안 액세스 제공

  • 단계별 플랫폼 업그레이드 계획

• 구현 단계

다음 다이어그램은 이 솔루션 가이드에서 해결하는 문제를 보여 줍니다.

다이어그램 1: 문제에 대한 수준 높은 개요

시나리오, 문제 설명 및 목표

이 섹션에서는 예제 조직의 시나리오, 문제 및 목표를 설명합니다.

시나리오

이 솔루션에서는 Windows Phone 8, Windows RT, iOS 및 Android 개인 장치를 회사로 가져오는 직원 수가 5,000명이 넘는 회사를 예로 사용합니다. 현재 직원들은 이러한 장치에서 회사 리소스에 액세스할 수 있는 방법이 없습니다.

이 회사에서는 Microsoft System Center Configuration Manager 2007 SP2를 사용하여 온-프레미스에서 작업하고 VPN을 통해 회사 네트워크에 원격으로 연결하는 사용자용 PC를 관리합니다. 이 회사는 모바일 장치를 관리할 수 없습니다.

회사 환경의 인프라에는 다음이 포함됩니다.

• Windows Server 2008 R2

• Windows Server 2008 R2 Active Directory

• Configuration Manager 2007 SP2

• 도메인에 연결되며 Configuration Manager를 통해 관리되는 PC

다음 다이어그램에는 이 회사의 현재 환경이 나와 있습니다.

다이어그램 2: 현재 환경에 대한 수준 높은 개요

문제 설명

현재 장치 관리 인프라는 예제 회사의 늘어나는 요구 사항을 지원하지 못합니다.

• 현재 환경에서 PC는 관리하지만 모바일 장치는 관리할 수 없습니다.

• 이 회사에서는 일부 직원에게 회사 소유의 모바일 장치를 제공합니다. 다른 직원들은 직장에서 개인 장치를 사용하고 싶어합니다.

회사에서는 이러한 모든 장치를 관리하는 데 필요한 리소스에 대해서도 우려하고 있습니다 많은 PC와 장치, 응용 프로그램을 지원하는 데 비용이 많이 들고 장치를 관리하는 데 IT 담당 직원들을 연중무휴로 투입해야 할 수 있습니다.

회사는 위험을 관리하고 회사 소유든, 개인 소유든 모든 장치가 보안 지침을 준수하도록 해야 합니다.

• 장치 관리는 회사 자산과 정보에 보안상의 위험을 가져옵니다. IT 부서에서 관리하지 않거나 심지어 알지도 못하는 장치를 통해 직원들이 작업하면 중요한 회사 정보를 통제하기가 매우 어려워집니다.

• IT 부서에서는 해당 장치가 판매되거나, 분실되거나, 도난을 당해도 아무런 조치를 취할 수 없습니다.

조직의 목표

예제 회사에서는 다음과 같이 이용할 수 있는 허용하는 솔루션을 찾고 있습니다.

• 기존 Configuration Manager 인프라를 사용합니다. IT 부서는 현재 인프라에 많은 리소스를 투입한데다 처음부터 다시 시작하고 싶어하지 않습니다.

• 직원이 회사 장치뿐만 아니라 개인 장치를 사용하여 회사 응용 프로그램과 데이터에 액세스할 수 있도록 합니다. 여기에는 PC와 모바일 장치가 포함됩니다.

• 단일 관리자 콘솔에서 PC와 개인 장치를 관리합니다. 장치 관리에는 보안 및 규정 준수 설정 지정, 소프트웨어 및 하드웨어 인벤토리 수집 또는 소프트웨어 배포가 포함됩니다.

• 장치 유형에 따라, 장치가 개인용인지 회사 소유인지에 따라 응용 프로그램 또는 웹 링크를 배포합니다.

• 모바일 장치가 분실되거나, 도난을 당하거나, 사용 중지된 경우 장치에 저장된 회사 데이터를 삭제하여 회사를 보호합니다.

이 솔루션에 권장되는 디자인

비즈니스 문제를 해결하고 조직의 목표를 충족하려면 회사가 다음을 수행해야 합니다.

• 본사에 새 System Center 2012 R2 구성 관리자 독립 실행형 기본 사이트를 설치하고 원격 위치에 배포 지점을 설치합니다.

• 기존 Configuration Manager 2007 SP2 인프라의 개체 및 배포 지점을 System Center 2012 R2 구성 관리자로 마이그레이션합니다.

• Windows Intune을 구독하고 Configuration Manager의 Windows Intune 커넥터를 Windows Intune과 통합되도록 구성합니다.

• Windows Intune은 클라우드 서비스이므로 도메인 사용자 계정을 Microsoft Azure와 동기화합니다. 이렇게 하면 모바일 장치에서 회사 리소스에 액세스할 수 있는 사용자를 관리할 수 있습니다.

• 암호 동기화를 통해 사용자가 클라우드 서비스에서 자신의 온-프레미스 도메인 사용자 이름과 암호를 이용할 수 있도록 합니다.

다음 다이어그램에는 이 솔루션의 요소들이 서로 통신하는 방법이 나와 있습니다.

다이어그램 3: 솔루션에 대한 수준 높은 개요

System Center 2012 R2 Configuration Manager 설치 및 개체 마이그레이션

System Center 2012 R2 구성 관리자는 Windows Intune을 통합하여 온-프레미스의 PC를 관리하는 회사 기능을 클라우드로 확장할 수 있습니다. 또한 Windows intune에서 Configuration Manager를 사용하여 회사가 단일 콘솔에서 온-프레미스 PC와 모바일 장치를 모두 관리할 수 있습니다. 회사는 IT 오버헤드도 줄이고자 합니다.

이에 따라 회사는 본사에 System Center 2012 R2 구성 관리자 독립 실행형 기본 사이트를 설치하고 원격 위치에 배포 지점을 설치할 예정입니다.

그런 다음 해당 Configuration Manager 2007 SP2 환경의 개체를 System Center 2012 R2 구성 관리자로 마이그레이션할 계획입니다.

회사가 마이그레이션하기로 선택한 이유는 다음과 같습니다.

• 통합 솔루션: 회사는 단일 콘솔에서 PC와 모바일 장치를 모두 관리할 수 있는 통합 솔루션을 원합니다. Windows intune이 포함된 System Center 2012 R2 구성 관리자는 이 통합 솔루션을 제공합니다.

• 간소화된 계층: System Center 2012 R2 구성 관리자를 사용하면 다음 다이어그램에 나와 있듯 각각의 원격 위치에서 보조 사이트가 더 이상 필요하지 않은 것으로 확인되었습니다.

   

  다이어그램 3: 기존 계층, Configuration Manager 2007_

   

  다이어그램 4: 새 계층, System Center 2012 R2 구성 관리자_

  계층을 간소화해 주는 주요 동인:

  • 역할 기반 관리: System Center 2012 R2 구성 관리자에서 역할 기반 관리를 사용하면 회사가 다음 중 하나 또는 전부를 사용하여 System Center 2012 R2 구성 관리자 계층에 대한 관리 보안을 디자인하고 구현할 수 있습니다.

  • 보안 역할

  • 컬렉션

  • 보안 범위

  이러한 설정을 조합해서 관리자에 대한 관리 범위를 정의합니다. 관리 범위는 Configuration Manager 콘솔에서 관리자가 볼 수 있는 개체와 해당 개체에 대해 사용자가 갖는 권한을 제어합니다. 역할 기반 관리 계획을 참조하세요.

• 콘텐츠 관리: System Center 2012 R2 구성 관리자에서 회사는 배포 지점으로 콘텐츠를 전송하고 원격 위치의 배포 지점에서 콘텐츠를 사전 준비하는 데 사용되는 네트워크 대역폭을 구성할 수 있습니다. 배포 지점의 네트워크 대역폭 고려 사항을 참조하세요.

• 마이그레이션된 개체: 회사는 마이그레이션 도구를 사용하여 Configuration Manager 2007 SP2의 개체를 System Center 2012 R2 구성 관리자 계층으로 마이그레이션할 수 있습니다. 회사의 IT 부서는 컬렉션, 작업 순서, 구성 항목 등과 같은 Configuration Manager 개체를 만드는 데 상당한 시간을 투자했습니다. 마이그레이션을 사용하면 이 투자의 이점을 계속 누릴 수 있습니다.

• 최신 기능: 회사는 이 솔루션과 직접 관련되어 있지 않은 System Center 2012 R2 구성 관리자의 새로운 기능에도 관심이 있습니다. System Center 2012 R2 Configuration Manager의 새로운 기능을 참조하세요.

Windows Intune 구독

Windows Intune 서비스는 클라우드 기반의 모바일 장치 관리 기능을 제공합니다. 회사는 Windows Intune을 구독한 후 System Center 2012 R2 구성 관리자와 통합하여 Configuration Manager 콘솔에서 PC와 모바일 장치를 모두 관리할 예정입니다.

Windows Intune을 구독하면 PC와 모바일 장치를 모두 관리한다는 회사의 통합 솔루션 목표를 지원할 수 있습니다.

회사에서는 타사 모바일 장치 관리 솔루션을 고려했습니다. 그러나 이러한 솔루션 중 원하는 통합 환경을 제공하는 솔루션은 없습니다. 회사는 제품을 전환하고 싶지도, 교육/구현 비용을 들이고 싶지도 않습니다.

또 하나의 이점으로, 회사는 몇 달 후 Microsoft Office 365를 구독할 때 Windows Intune 구독의 사용자 계정을 그대로 사용할 수 있습니다.

Microsoft Azure AD 및 디렉터리 동기화를 사용하여 ID 및 액세스 관리

Windows Intune은 Microsoft Azure AD를 사용하여 사용자 계정을 저장합니다. Windows Intune 및 Office 365와 같은 Microsoft 클라우드 서비스는 Microsoft Azure AD에서 제공하는 ID 관리 기능을 사용합니다.

회사는 Microsoft Azure DirSync(디렉터리 동기화)를 사용하여 온-프레미스 Windows Server AD 사용자를 Microsoft Azure AD와 동기화할 계획입니다. 디렉터리 동기화는 온-프레미스 AD와 클라우드 기반 Microsoft Azure AD 간의 지속적인 관계를 유지하는 데 사용됩니다. 회사가 DirSync를 선택한 이유는 다음과 같습니다.

• 관리 비용 절감: DirSync가 없으면 회사는 Microsoft Azure AD에 해당 사용자 및 그룹 계정을 수동으로 추가해야 했겠지만 DirSync는 온-프레미스 Windows Server AD에서 Microsoft Azure AD로 사용자 계정을 동기화합니다. 디렉터리 동기화를 활성화한 후에 온-프레미스 환경에서 동기화된 개체를 편집할 수 있으며, 이러한 편집 내용이 Windows Intune 구독과 동기화되어 관리 비용이 절감됩니다.

• 생산성 향상: 회사는 사용자 및 그룹 계정을 동기화하는 프로세스를 자동화하여 직원이 클라우드 기반 서비스에 액세스할 수 있도록 하는 데 걸리는 시간을 크게 단축할 수 있습니다.

디렉터리 동기화에 대한 계획 및 디자인 고려 사항

디렉터리 동기화를 계획할 때 회사는 하드웨어 요구 사항, 관리자 권한, 성능 고려 사항 등을 고려했습니다. 이러한 요구 사항은 디렉터리 동기화 준비에 설명되어 있습니다.

암호 동기화를 이용하여 사용자에게 간편한 보안 액세스 제공

사용자 인증을 구성하거나 회사 직원들이 다른 사용자 이름 및 별도의 암호를 이용하여 클라우드 및 온-프레미스 서비스에 액세스해야 합니다. 회사에서는 추가적인 관리 오버헤드 없이 초기 암호 및 진행 중인 암호 변경 사항을 관리하고 더 나은 사용자 환경을 제공하기 위해서는 사용자 인증 방식을 사용해야 한다는 결론을 내렸습니다. 또한 사용자 인증에 암호 동기화를 사용하기로 결정했습니다.

회사는 직원이 동일한 자격 증명을 사용하여 클라우드 및 온-프레미스 리소스에 액세스할 수 있도록 하기 위해 다음 인증 방법을 고려했습니다.

• 암호 동기화는 사용자에게 Single Sign-On과 비슷하면서 더욱 간편하게 배포할 수 있는 환경을 제공하는 간단한 옵션입니다. 암호 동기화는 DirSync 내에서 선택할 수 있는 옵션으로, DirSync에서 암호 해시를 Microsoft Azure AD에 저장할 수 있도록 해 줍니다. 디렉터리 동기화 컴퓨터에서 암호 동기화를 사용하도록 설정하면 사용자는 온-프레미스 네트워크에 로그인할 때 사용하는 것과 같은 암호로 Office 365, Dynamics CRM 및 Windows Intune 등의 Microsoft 클라우드 서비스에 로그인할 수 있습니다. 회사 네트워크에서 사용자가 암호를 변경하면 이 변경된 암호가 클라우드와 동기화됩니다.

  그러나 암호 동기화는 AD FS를 사용할 경우 주어지는 SSO(Single Sign-on) 솔루션을 제공하지 않습니다. 사용자는 클라우드 서비스에 액세스할 때마다 자격 증명을 다시 입력해야 합니다. 다음을 참조하세요.

  • 암호 동기화를 사용한 디렉터리 동기화 시나리오

  • 암호 동기화 구현

• AD FS(Active Directory Federation Services) 는 Active Directory 인증 프로토콜 함께 작동하는 진정한 SSO(Single Sign-On) 환경을 제공합니다. 온-프레미스 Active Directory 및 AD FS는 Microsoft Azure AD ID 플랫폼과 상호 작용하여 하나 이상의 Microsoft 클라우드 서비스에 액세스할 수 있도록 해 줍니다. SSO를 구성하면 도메인과 Microsoft Azure AD 인증 시스템 간에 페더레이션된 트러스트가 만들어집니다. 사용자는 클라우드 서비스와 온-프레미스 서비스에서 모두 동일한 사용자 이름과 암호를 이용하여 인증할 수 있습니다. 사용자가 인증되면 클라우드 서비스에 액세스할 때 자격 증명을 다시 입력하라는 메시지가 나타나지 않습니다.

회사가 사용자 인증에 암호 동기화를 사용하기로 결정한 데에는 몇 가지 이유가 있습니다. 암호 동기화는 DirSync에서 구성하기가 아주 쉬워서 회사는 온-프레미스 사용자 계정을 동기화하는 데 이 방법을 사용할 예정입니다. 또한 향후 6개월 이내에 해당 도메인 컨트롤러를 Windows Server 2012 R2로 업그레이드할 계획입니다. AD FS는 Windows Server 2012 R2의 사이트 역할로, 새로운 기능이 많습니다. 회사에서는 도메인 컨트롤러를 업그레이드할 때 AD FS를 구현할 계획입니다. Windows Server 2012 R2에서 AD FS를 구현하는 방법에 대 한 자세한 내용은 다음을 참조하세요.

• 어느 위치에서든 모든 장치에서 회사 리소스에 안전하게 액세스

• Active Directory Federation Services 개요

회사는 사용자 인증에 암호 동기화를 사용하기로 결정했습니다. 하지만 사용 중인 환경에서는 SSO용 AD FS를 구현하기로 결정할 수도 있습니다. 다음을 참조하세요.

• AD FS 디자인 고려 사항: AD FS 2.0 디자인 가이드

• SSO용 AD FS 사용: 검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리

단계별 플랫폼 업그레이드 계획

회사는 이 솔루션의 일부로 자체 온-프레미스 AD를 업그레이드하지 않기로 결정했지만 향후 6개월 이내에 업그레이드할 계획입니다.

이 회사 IT 부서에서는 온-프레미스 AD를 솔루션의 일부로 업그레이드할 것을 제안했습니다. Windows Server 2012 R2의 AD에서 향상된 기능은 다음과 같습니다.

• 장치 등록. IT 관리자가 장치를 등록할 수 있습니다. 이렇게 하면 장치가 회사의 Active Directory와 연결됩니다. 이 연결을 원활한 2단계 인증으로 사용할 수 있습니다.

• SSO(Single Sign-on). 회사의 Active Directory와 연결된 장치에서 제공됩니다.

• 웹 응용 프로그램 프록시. 사용자가 어디서나 응용 프로그램 및 서비스에 연결할 수 있도록 해 줍니다.

• 다단계 액세스 제어 및 MFA(다단계 인증). 어딘가에서 작업하고 자신의 장치에서 보호된 데이터에 액세스하는 사용자의 위험을 관리합니다.

• 작업 폴더. 사용자에게 PC 및 장치에서 작업 파일을 저장하고 액세스할 수 있는 위치를 제공합니다.

Active Directory 서비스를 참조하세요.

회사의 관리 팀은 새로운 기능이 유용하다는 데에는 동의했지만 이 솔루션의 일부로 AD를 업그레이드할 리소스를 승인할 수 없었습니다. 관리 팀은 향후 6개월 이내에 온-프레미스 AD를 업그레이드하려고 합니다.

온-프레미스 AD를 업그레이드하고 AD FS를 구현할 준비가 되면 어느 위치에서든 모든 장치에서 회사 리소스에 안전하게 액세스를 참조하세요.

구현 단계

이 섹션에서는 회사가 솔루션을 구현하기 위해 수행한 단계를 설명합니다. 이러한 단계를 따르는 경우 각 단계의 배포가 올바른지 확인한 후에 다음 단계를 진행하도록 합니다.

1. Windows Intune을 구독합니다.

   Windows Intune 웹 사이트에서 Windows Intune 구독을 만듭니다.

   • Office 365와 같은 다른 클라우드 서비스에 대한 사용자 계정이 이미 있는 경우 로그인을 클릭하여 계정 자격 증명을 입력하면 됩니다. 이렇게 하면 조직의 Microsoft Azure AD 테넌트에 있는 모든 서비스에서 동일한 사용자 그룹을 공유할 수 있습니다.

   확인 단계: 등록 프로세스를 완료하면 사용자가 입력한 전자 메일 주소로 전자 메일이 전송됩니다. 전자 메일에 포함된 링크를 클릭하거나, https://account.manage.microsoft.com의 Windows Intune 계정 포털로 이동하여 로그인할 수 있는지 확인합니다.

2. 공용 도메인을 구성합니다.

   1. 공용 도메인을 가져옵니다. Windows Intune 서비스를 사용하려면 도메인 이름 등록 서비스를 통해 확인할 수 있는 공용 조직 도메인 이름도 필요합니다. Windows Intune 계정 포털(https://account.manage.microsoft.com)의 도메인 노드에서 공용 도메인을 추가하고 확인합니다.

   2. 공용 도메인이 온-프레미스 Active Directory에서 대체 UPN 접미사로 추가되었는지 확인합니다. 사용자는 클라우드 및 온-프레미스 Active Directory에서 동일한 공용 도메인 UPN(사용자 계정 이름)을 이용해야 모바일 장치를 등록할 수 있습니다. 디렉터리 동기화를 구성하기 전 사용자에게 공용 도메인 UPN이 있는지 확인해야 합니다. 이 단계를 건너뛸 경우 사용자의 클라우드 UPN에 "onmicrosoft.com"이 추가되어 온-프레미스 Active Directory 사용자 이름이 일치하지 않을 수 있습니다. UPN 접미사 추가를 참조하세요.

   3. manage.microsoft.com 에 enterpriseenrollment.<publicdomain> 을 가리키는 DNS의 CNAME 레코드를 추가합니다. 이 CNAME 레코드는 나중에 등록 프로세스의 일부로 사용됩니다. 영역에 별칭(CNAME) 리소스 레코드 추가를 참조하세요.

   확인 단계:

   • Windows Intune 계정 포털의 도메인 페이지를 확인하여 해당 공용 도메인이 나열되고 확인되는지 검토합니다.

   • 온-프레미스 Active Directory에서 사용자 계정의 속성을 찾아 UPN이 공용 도메인 이름과 함께 나열되는지 확인합니다.

3. DirSync와 암호 동기화를 이용하여 사용자에게 간편한 보안 액세스를 제공합니다.

   Windows Intune 계정 포털(https://account.manage.microsoft.com)에서 암호 동기화를 구성할 수 있습니다. 포털의 사용자 노드에서 Active Directory 동기화: 설정을 클릭한 다음 Active Directory 동기화 설정 및 관리에 설명된 단계를 따릅니다. 디렉터리 동기화 도구 구성 마법사를 실행할 때 암호 동기화 사용을 선택하여 암호 동기화를 사용하도록 설정합니다.

   다음을 참조하세요.

   • 디렉터리 동기화 로드맵

   • 암호 동기화 구현

   확인 단계: Windows Intune 계정 포털(https://account.manage.microsoft.com)에서 사용자 계정을 확인합니다.

4. System Center 2012 R2 구성 관리자 사이트 또는 계층을 설치합니다.

   회사는 System Center 2012 R2 구성 관리자 계층을 계획한 후 본사에 독립 실행형 기본 사이트를 설치하고 원격 위치에 배포 지점을 설치하기로 결정했습니다. 사용 중인 계층에 다른 구성이 필요하다고 결정할 수도 있습니다. 다음 단계에 따라 System Center 2012 R2 구성 관리자 사이트 또는 계층을 설치합니다.

   1. Configuration Manager 기본 사이트를 호스트하기 위한 소프트웨어/하드웨어 필수 구성 요소를 모두 충족하는 서버를 식별합니다. Configuration Manager의 하드웨어 구성 계획을 참조하세요.

   2. Configuration Manager 사이트 호스트를 위한 필수 소프트웨어와 지원되는 운영 체제를 검토합니다. 사이트 시스템 요구 사항을 참조하세요.

   3. System Center 2012 R2 구성 관리자를 지원하도록 Windows 환경을 구성합니다. Configuration Manager에 대한 Windows 환경 준비를 참조하세요.

   4. System Center 2012 R2 구성 관리자 사이트를 설치합니다. Configuration Manager의 사이트 설치 및 계층 만들기를 참조하세요. 이 솔루션의 경우 회사는 독립 실행형 기본 사이트를 설치한 후 중앙 관리 사이트 또는 보조 사이트를 설치하는 단계는 건너뜁니다. 이 항목을 진행할 때에는 사용 중인 환경에 적합한 사이트를 선택합니다.

   5. 원격 위치에서 배포 지점을 설치합니다. 이 예제 회사는 각 위치에서 보조 사이트를 사용하는 대신 각 원격 위치에서 배포 지점을 사용할 수 있다는 사실을 확인했습니다. 배포 지점을 설치 및 구성하는 방법에 대한 자세한 내용은 Configuration Manager에서 콘텐츠 관리 구성을 참조하세요.

   확인 단계

   기본 사이트 서버 컴퓨터에서 설치 마법사의 진행 과정을 모니터링합니다. Configuration Manager 설치 마법사는 각 사이트 설치 작업의 결과를 표시합니다. 모든 설치 작업이 완료되면 마법사를 닫을 수 있습니다. 그러나 사이트 설치가 완료된 후에도 설치 마법사는 사이트에서 진행 중인 구성 정보를 계속 표시하므로 마법사를 닫지 않으면 모니터링할 수 있습니다. 설치 마법사를 닫아도 진행 중인 구성에는 영향을 주지 않으며 백그라운드에서 계속 진행됩니다. ConfigMgrSetup.log를 검토하여 사이트가 설치되었는지 확인합니다.

5. 관리 기능을 구성합니다.

   사이트 또는 계층을 설치한 후 사용하려는 System Center 2012 R2 구성 관리자의 관리 기능을 지원하도록 사이트를 구성합니다. 8단계에서 Windows Intune 구독을 구성하거나 Windows Intune 커넥터 사이트 시스템 역할을 설치하기 전에 Active Directory 사용자 검색을 구성해야 합니다. 다음을 참조하세요.

   1. Configuration Manager에서 사이트 및 계층 구성

   2. 컴퓨터, 사용자 또는 그룹에 대한 Active Directory 검색 구성

6. System Center 2012 R2 구성 관리자로 마이그레이션합니다.

   Configuration Manager 2007 원본 계층에서 개체를 마이그레이션할 때에는 원본 인프라에서 식별한 사이트 데이터베이스의 데이터에 액세스한 다음 해당 데이터를 System Center 2012 R2 구성 관리자 계층으로 복사합니다. 마이그레이션해도 원본 계층의 데이터는 변경되지 않습니다. 데이터를 검색하고 대상 계층의 데이터베이스에 복사본을 저장합니다. System Center 2012 Configuration Manager에서 계층 마이그레이션을 참조하세요.

   Configuration Manager 2007 데이터를 System Center 2012 R2 구성 관리자로 마이그레이션하려면 다음을 수행합니다.

   1. Configuration Manager 2007 SP2 계층을 마이그레이션할 원본 계층으로 지정합니다. 기본적으로 해당 계층의 최상위 사이트가 원본 계층의 원본 사이트가 됩니다. 데이터를 초기 원본 사이트에서 수집한 후에는 마이그레이션할 추가 원본 사이트를 구성할 수 있습니다.

      Configuration Manager는 원본 계층을 지정하거나, 원본 계층의 각 추가 원본 사이트에 대한 자격 증명을 구성하거나, 원본 사이트에 대한 배포 지점을 공유한 직후에 사이트에서 데이터를 수집하기 시작합니다. 기본적으로 데이터 수집 프로세스는 4시간마다 반복되어 Configuration Manager에서 마이그레이션하려는 원본 계층의 데이터 변경 내용을 식별할 수 있습니다. 데이터 수집은 원본 계층에서 대상 계층 사이의 배포 지점을 공유하는 데에도 필요합니다. System Center 2012 Configuration Manager로 마이그레이션할 원본 계층 및 원본 사이트 구성을 참조하세요.

   2. 원본 계층과 대상 계층 간의 데이터를 마이그레이션하는 마이그레이션 작업을 만듭니다. 마이그레이션 작업을 사용하여 System Center 2012 R2 구성 관리자 환경으로 마이그레이션할 특정 데이터를 구성합니다. 마이그레이션 작업은 마이그레이션할 개체를 식별하고 계층의 최상위 사이트에서 실행됩니다. System Center 2012 Configuration Manager에 대한 마이그레이션 작업 만들기 및 편집을 참조하세요.

   3. 마이그레이션 작업을 모니터링합니다. System Center 2012 R2 구성 관리자 콘솔에서 마이그레이션 작업의 진행 상태를 모니터링합니다. 마이그레이션 작업 영역에서 마이그레이션 작업 모니터링을 참조하세요.

   4. 공유 배포 지점을 업그레이드합니다. Configuration Manager 2007 원본 사이트에서 공유되는 지원 배포 지점을 업그레이드하여 대상 계층의 배포 지점으로 사용할 수 있습니다. System Center 2012 Configuration Manager에서 공유 배포 지점 업그레이드 또는 재할당을 참조하세요.

   5. Configuration Manager 2007 클라이언트를 System Center 2012 R2 구성 관리자로 마이그레이션합니다. 계층 간의 클라이언트에 대한 데이터를 마이그레이션하고 나서 마이그레이션을 완료하기 전에 클라이언트를 대상 계층으로 마이그레이션할 계획을 세웁니다. 계층 간에 클라이언트를 마이그레이션하려면 대상 계층에서 Configuration Manager 클라이언트 소프트웨어를 설치합니다. Configuration Manager 클라이언트가 제거되고, System Center 2012 R2 구성 관리자 클라이언트가 기본 사이트에 설치 및 할당됩니다. System Center 2012 Configuration Manager의 클라이언트 마이그레이션 전략 계획을 참조하세요.

   6. 마이그레이션 프로세스를 완료합니다. Configuration Manager 2007 계층에 대상 계층으로 마이그레이션할 데이터가 더 이상 남아 있지 않으면 마이그레이션 프로세스를 완료할 수 있습니다. 이렇게 하려면

      1. 대상 계층에 필요한 모든 리소스를 원본 계층에서 마이그레이션했는지 확인합니다. 여기에는 데이터와 클라이언트가 포함될 수 있습니다.

      2. Configuration Manager 2007 계층의 각 원본 사이트에서 데이터 수집을 중지합니다. 이렇게 하려면 맨 아래 계층 원본 사이트에서 데이터 수집 중지 작업을 실행한 후 각 부모 사이트에서 이 프로세스를 반복합니다. 원본 계층의 최상위 사이트에서 마지막으로 데이터 수집을 중지해야 합니다. 부모 사이트에서 이 작업을 수행하기 전에 각 자식 사이트에서 데이터 수집을 중지해야 합니다. 데이터 수집을 중지하면 더 이상 원본 계층과 대상 계층 간에 배포 지점을 공유할 수 없습니다.

      3. 마이그레이션 데이터를 정리합니다. 이렇게 하려면 마이그레이션 데이터 정리 작업을 사용합니다. 이 선택적 작업은 대상 계층의 데이터베이스에서 현재 원본 계층에 대한 데이터를 제거합니다. 마이그레이션 데이터를 정리할 때까지 실행되었거나 실행 예약된 각 마이그레이션 작업은 Configuration Manager 콘솔에서 계속 액세스할 수 있습니다. 마이그레이션 데이터를 정리할 때 마이그레이션에 대한 대부분의 데이터가 대상 계층의 데이터베이스에서 제거됩니다. System Center 2012 Configuration Manager에서 마이그레이션 완료를 참조하세요.

      확인 단계: 마이그레이션은 몇 가지 고유한 작업 또는 단계로 구성되며, 마이그레이션 프로세스 완료 기한을 결정할 때까지 일정 기간 계속됩니다. 따라서 한 가지 확인 단계나 프로세스를 통해 마이그레이션이 완료되었는지 확인할 수는 없습니다. 대신 각 단계의 작업이 실행되거나 완료될 때 System Center 2012 R2 구성 관리자 콘솔에 표시되는 결과를 확인할 수 있습니다.

   7. Configuration Manager 2007 계층을 서비스 해제합니다. 원본 계층에서 마이그레이션을 완료했고 해당 계층에 관리하는 리소스가 더 이상 남아 있지 않으면 원본 계층에서 사이트의 서비스를 해제하고 사용 중인 환경에서 관련 인프라를 제거할 수 있습니다. 사이트 및 계층의 서비스를 해제하기 위한 Configuration Manager 작업을 참조하세요.

7. 모바일 장치용 인증서나 키를 가져옵니다.

   회사에서 모바일 장치를 등록하려면 인증서 또는 테스트용 로드 키가 있어야 합니다. 사용 중인 환경에 있는 모바일 장치 유형에 따라 필요한 인증서 또는 테스트용 로드 키가 결정됩니다. 인증서 또는 키를 받아서 플랫폼별 전제 조건 충족을 참조하세요.

8. Windows Intune 구독을 구성하고 최상위 사이트에 Windows Intune 커넥터 사이트 시스템 역할을 설치합니다.

   회사가 Configuration Manager를 사용하여 모바일 장치를 관리하려면 먼저 Windows Intune 구독을 구성하고 해당 최상위 사이트 서버에 Windows Intune 커넥터 사이트 시스템 역할을 설치해야 합니다. 여기에서 독립 실행형 기본 사이트를 구성합니다. 계층이 좀 더 복잡한 경우 중앙 관리 사이트를 구성합니다.

   1. Windows Intune 구독을 구성합니다. Windows Intune 구독 구성을 참조하세요.

   2. Windows Intune 커넥터를 설치합니다. Windows 커넥터 사이트 시스템 역할을 참조하세요.

   확인 단계:

   • 기본 사이트 서버 컴퓨터에서 sitecomp.log를 검토하여 Windows Intune 커넥터 사이트 시스템 역할이 설치되었는지 확인합니다.

   • Windows Intune 커넥터를 설치한 컴퓨터에서 cloudusersync.log를 검토하여 도메인의 사용자가 Windows Intune에 동기화되었는지 확인합니다.

   • 기본 사이트 서버 컴퓨터에서 CertMgr.log를 검토하여 Windows Intune 커넥터를 설치한 컴퓨터가 커넥터 인증서를 공유하는지 확인합니다. 이 인증서는 Windows Intune 커넥터 사이트 시스템 역할의 설치 작업을 완료하면 공유됩니다.

   • Windows Intune 커넥터를 설치한 컴퓨터에서 dmpuploader.log를 검토하여 커넥터 사이트 시스템 역할이 정책/구성 변경 내용을 Windows Intune 서비스에 업로드할 수 있는지 확인합니다.

   • Windows Intune 커넥터를 설치한 컴퓨터에서 dmpdownloader.log를 검토하여 Windows Intune 커넥터가 Windows Intune에서 메시지를 다운로드할 수 있는지 확인합니다. 이 로그는 다운로드 프로세스가 시작될 때 ping만 표시할 수 있으며 다운로드와 관련된 항목이 로깅되기까지 다소 시간이 걸릴 수 있습니다.

9. 모바일 장치를 등록합니다.

   등록하면 사용자, 모바일 장치 및 Windows Intune 서비스 간에 관계가 설정됩니다. 사용자가 각자의 모바일 장치를 등록합니다. Android 장치는 등록되지 않지만 Exchange Server 커넥터를 사용하여 관리할 수 있습니다. 모바일 장치 등록을 참조하세요.

10. System Center 2012 R2 구성 관리자 콘솔을 설치합니다.

    기본적으로 기본 사이트를 설치할 때 Configuration Manager 콘솔도 기본 사이트 서버 컴퓨터에 설치됩니다. 사이트가 설치되면 사이트를 관리할 컴퓨터에 추가 System Center 2012 R2 구성 관리자 콘솔을 설치할 수 있습니다. Configuration Manager 콘솔 설치를 참조하세요.

11. PC 및 모바일 장치를 관리합니다.

    설치하고 나서 사이트에 대한 기본 구성 작업을 수행한 후에는 PC 및 모바일 장치의 관리 기능을 구성할 수 있습니다. 구성할 수 있는 일반적인 기능은 다음과 같습니다.

    기능	세부 정보
    하드웨어 인벤토리	하드웨어 인벤토리를 사용하여 조직에 있는 클라이언트 장치의 하드웨어 구성에 대한 정보를 수집할 수 있습니다.
    소프트웨어 인벤토리	소프트웨어 인벤토리를 사용하여 조직의 클라이언트 장치에 포함된 파일에 대한 정보를 수집할 수 있습니다. 또한 소프트웨어 인벤토리는 클라이언트 장치에서 파일을 수집한 후 사이트 서버에 저장할 수 있습니다.
    Asset Intelligence	Asset Intelligence를 사용하여 기업 전체에서 재고를 정리하고 소프트웨어 라이선스 사용 현황을 관리하며 보다 광범위한 하드웨어/소프트웨어 관련 정보를 수집할 수 있습니다.
    규정 준수 설정	규정 준수 설정을 사용하여 조직의 서버, 랩톱, 데스크톱 컴퓨터 및 모바일 장치 구성과 규정 준수 여부를 관리할 수 있습니다.
    회사 리소스 액세스	회사 리소스 액세스에서 다음을 구성하여 조직의 사용자가 원격 위치에서 데이터 및 응용 프로그램에 액세스할 수 있도록 합니다. 인증서 프로필 VPN 프로필 Wi-Fi 프로필
    원격 연결 프로필	원격 연결 프로필을 이용하여 사용자가 도메인에 연결되어 있지 않거나 개인용 컴퓨터가 인터넷을 통해 연결된 경우 원격으로 회사 컴퓨터에 연결할 수 있도록 합니다.
    응용 프로그램 관리	응용 프로그램 관리를 사용하여 Configuration Manager 관리자 및 클라이언트 장치 사용자 모두의 응용 프로그램을 기업에서 관리할 수 있습니다.
    소프트웨어 업데이트	소프트웨어 업데이트를 사용하여 규정 준수를 모니터링하고 기업의 컴퓨터에 소프트웨어 업데이트를 배포할 수 있습니다.
    모바일 장치 관리	이 단계의 연습에서 인터넷으로 Windows Intune 서비스를 사용하여 Windows Phone 8, Windows RT, iOS 및 Android 장치를 관리할 수 있습니다.
    모바일 장치에서 회사 콘텐츠 초기화	Windows Phone 8, iOS 및 Android 장치에서 전체 초기화를 수행하여 장치를 출하 시 설정으로 복원할 수 있습니다. 또는 회사 콘텐츠만 제거하는 선택적 초기화를 수행할 수 있습니다.

참고 항목