자습서: 온-프레미스 환경에 대한 Microsoft Entra 셀프 서비스 암호 재설정 쓰기 저장 사용
Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 사용하면 사용자는 웹 브라우저를 사용하여 암호를 업데이트하거나 계정을 잠금 해제할 수 있습니다. Microsoft Entra ID에서 SSPR을 사용하도록 설정하고 구성하는 방법에 대한 이 동영상을 권장합니다. Microsoft Entra ID가 온-프레미스 AD DS(Active Directory Domain Services) 환경에 연결된 하이브리드 환경에서 이 시나리오로 인해 두 디렉터리 간에 암호가 다를 수 있습니다.
비밀번호 쓰기 저장을 사용하면 Microsoft Entra의 암호 변경 내용을 온-프레미스 AD DS 환경에 다시 동기화할 수 있습니다. Microsoft Entra Connect는 이러한 암호 변경 내용을 Microsoft Entra ID에서 기존 온-프레미스 디렉터리로 다시 보내는 보안 메커니즘을 제공합니다.
Important
이 자습서에서는 셀프 서비스 암호 재설정을 온-프레미스 환경으로 다시 사용하도록 설정하는 방법을 관리자에게 보여줍니다. 셀프 서비스 암호 재설정에 이미 등록된 최종 사용자가 계정으로 다시 이동해야 하는 경우 https://aka.ms/sspr로 이동합니다.
IT 팀이 자신의 암호를 재설정 하는 기능을 사용하도록 설정하지 않은 경우, 추가 지원이 필요 하면 기술 지원팀에 문의하세요.
이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.
- 비밀번호 쓰기 저장에 필요한 권한 구성
- Microsoft Entra Connect에서 비밀번호 쓰기 저장 옵션 사용
- Microsoft Entra SSPR에서 비밀번호 쓰기 저장 사용
필수 조건
이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.
- 최소한 Microsoft Entra ID P1 또는 평가판 라이선스가 사용하도록 설정된 작동 중인 Microsoft Entra 테넌트.
- 필요한 경우, 체험 계정을 만드세요.
- 자세한 내용은 Microsoft Entra SSPR에 대한 라이선스 요구 사항을 참조하세요.
- 하이브리드 ID 관리자가 있는 계정
- 셀프 서비스 암호 재설정을 위해 구성된 Microsoft Entra ID입니다.
- 현재 버전의 Microsoft Entra Connect로 구성된 기존 온-프레미스 AD DS 환경.
Microsoft Entra Connect에 대한 계정 권한 구성
Microsoft Entra Connect를 사용하면 온-프레미스 AD DS 환경과 Microsoft Entra ID 간에 사용자, 그룹 및 자격 증명을 동기화할 수 있습니다. 일반적으로 온-프레미스 AD DS 도메인에 가입된 Windows Server 2016 이상 컴퓨터에 Microsoft Entra Connect를 설치합니다.
SSPR 쓰기 저장을 올바르게 사용하려면 Microsoft Entra Connect에 지정된 계정에 적절한 권한과 옵션이 설정되어 있어야 합니다. 현재 어떤 계정을 사용하고 있는지 확실하지 않은 경우 Microsoft Entra Connect를 열고 현재 구성 보기 옵션을 선택합니다. 권한을 추가해야 하는 계정은 동기화된 디렉터리 아래에 나열됩니다. 계정에 설정해야 하는 권한과 옵션은 다음과 같습니다.
- 암호 다시 설정
- 암호 변경
- 쓰기 권한 켜짐
lockoutTime
- 쓰기 권한 켜짐
pwdLastSet
- 아직 설정하지 않은 경우 해당 포리스트에 있는 각 도메인의 루트 개체에 "암호 만료"에 대한 확장 권한이 있습니다.
이러한 권한을 할당하지 않으면 쓰기 저장이 올바르게 구성된 것처럼 표시되지만 사용자가 클라우드에서 온-프레미스 암호를 관리할 때 오류가 발생합니다. Active Directory에서 "암호 만료 안 됨" 권한을 설정하는 경우 이 개체 및 모든 하위 개체, 이 개체만또는 모든 하위 개체에 적용해야 하며, 그렇지 않으면 "암호 만료 안 됨" 권한이 표시되지 않습니다.
팁
일부 사용자 계정의 암호가 온-프레미스 디렉터리에 다시 기록되지 않는 경우 온-프레미스 AD DS 환경의 계정에 대해 상속이 비활성화되어 있지 않은지 확인합니다. 기능이 제대로 작동하려면 암호에 대한 쓰기 권한을 하위 개체에 적용해야 합니다.
비밀번호 쓰기 저장이 발생하도록 적절한 사용 권한을 설정하려면 다음 단계를 완료하세요.
- 온-프레미스 AD DS 환경에서 적절한 도메인 관리자 권한이 있는 계정으로 Active Directory 사용자 및 컴퓨터를 엽니다.
- 보기 메뉴에서 고급 기능이 켜져 있는지 확인합니다.
- 왼쪽 패널에서 마우스 오른쪽 단추로 도메인의 루트를 나타내는 개체를 선택하고, 속성>보안>고급을 차례로 선택합니다.
- 사용 권한 탭에서 추가를 선택합니다.
- 보안 주체에 대해 권한을 적용할 계정(Microsoft Entra Connect에서 사용하는 계정)을 선택합니다.
- 적용 대상 드롭다운 목록에서 하위 사용자 개체를 선택합니다.
- 권한 아래에서 다음 옵션의 상자를 선택합니다.
- 암호 다시 설정
- 속성 아래에서 다음 옵션의 확인란을 선택합니다. 목록을 스크롤하여 이미 기본적으로 설정되어 있을 수 있는 옵션을 찾습니다.
- 준비가 되면 적용/확인을 선택하여 변경 내용을 적용합니다.
- 사용 권한 탭에서 추가를 선택합니다.
- 보안 주체에 대해 권한을 적용할 계정(Microsoft Entra Connect에서 사용하는 계정)을 선택합니다.
- 적용 대상 드롭다운 목록에서 이 개체 및 모든 하위 개체를 선택합니다.
- 권한 아래에서 다음 옵션의 상자를 선택합니다.
- 암호 만료 안 됨
- 준비가 되면 적용/확인을 선택하여 변경 내용을 적용하고, 열려 있는 대화 상자를 모두 종료합니다.
권한을 업데이트하는 경우 이러한 권한으로 디렉터리의 모든 개체를 복제하는 데 한 시간 이상 걸릴 수 있습니다.
온-프레미스 AD DS 환경의 암호 정책에 따라 암호 재설정이 올바르게 처리되지 않을 수 있습니다. 비밀번호 쓰기 저장이 가장 효율적으로 작동하려면 최소 암호 사용 기간에 대한 그룹 정책을 0으로 설정해야 합니다. 이 설정은 gpmc.msc
내의 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책에서 찾을 수 있습니다.
그룹 정책을 업데이트하는 경우 업데이트된 정책이 복제될 때까지 기다리거나 gpupdate /force
명령을 사용합니다.
참고 항목
사용자가 하루에 두 번 이상 암호를 변경하거나 다시 설정하도록 허용해야 하는 경우 최소 암호 사용 기간을 0으로 설정해야 합니다. 비밀번호 쓰기 저장은 온-프레미스 암호 정책이 성공적으로 평가된 후에 작동합니다.
Microsoft Entra Connect에서 비밀번호 쓰기 저장 사용
Microsoft Entra Connect의 구성 옵션 중 하나는 비밀번호 쓰기 저장입니다. 이 옵션이 사용하도록 설정되면 암호 변경 이벤트로 인해 Microsoft Entra Connect가 업데이트된 자격 증명을 온-프레미스 AD DS 환경에 다시 동기화합니다.
SSPR 쓰기 저장을 사용하도록 설정하려면 먼저 Microsoft Entra Connect에서 쓰기 저장 옵션을 사용하도록 설정합니다. Microsoft Entra Connect 서버에서 다음 단계를 완료합니다.
- Microsoft Entra Connect 서버에 로그인하고 Microsoft Entra Connect 구성 마법사를 시작합니다.
- 시작 페이지에서 구성을 선택합니다.
- 추가 작업 페이지에서 동기화 옵션 사용자 지정을 선택하고 다음을 선택합니다.
- Microsoft Entra ID에 연결 페이지에서 Azure 테넌트에 대한 하이브리드 관리자 자격 증명을 입력하고 다음을 선택합니다.
- 디렉터리 연결 및 도메인/OU 필터링 페이지에서 다음을 선택합니다.
- 선택적 기능 페이지에서 비밀번호 쓰기 저장 옆의 확인란을 선택한 후 다음을 선택합니다.
- 디렉터리 확장 페이지에서 다음을 선택합니다.
- 구성 준비 완료 페이지에서 구성을 선택하고 프로세스가 완료될 때까지 기다립니다.
- 구성이 완료된 것이 확인되면 마침을 선택합니다.
참고 항목
이 기능 플래그는 사용되지 않으므로 OnPremDirectorySynchronization 서비스 기능에서 PasswordWritebackEnabled
을(를) 업데이트하는 기능은 지원되지 않습니다.
SSPR에 대한 비밀번호 쓰기 저장 사용
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
Microsoft Entra Connect에서 비밀번호 쓰기 저장을 사용하도록 설정한 상태에서 이제 쓰기 저장을 위해 Microsoft Entra SSPR을 구성합니다. Microsoft Entra Connect 동기화 에이전트 및 Microsoft Entra Connect 프로비전 에이전트(클라우드 동기화)를 통해 쓰기 저장하도록 SSPR을 구성할 수 있습니다. SSPR에서 비밀번호 쓰기 저장을 사용하도록 설정되면 암호를 변경하거나 다시 설정하는 사용자는 업데이트된 암호를 온-프레미스 AD DS 환경으로도 다시 동기화해야 합니다.
SSPR에서 비밀번호 쓰기 저장을 사용하도록 설정하려면 다음 단계를 완료합니다.
- 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>암호 재설정으로 이동한 다음 온-프레미스 통합을 선택합니다.
- 온-프레미스 디렉터리에 암호 쓰기 저장 옵션을 선택합니다.
- (선택 사항) Microsoft Entra Connect 프로비전 에이전트가 검색되면 Microsoft Entra Connect 클라우드 동기화로 암호 쓰기 저장 옵션을 추가로 확인할 수 있습니다.
- 사용자가 암호를 초기화하지 않고 계정 잠금을 해제할 수 있도록 허용 옵션을 예로 확인합니다.
- 준비되면 저장을 선택합니다.
리소스 정리
이 자습서의 일부로 구성한 SSPR 쓰기 저장 기능을 더 이상 사용하지 않으려면 다음 단계를 완료합니다.
- 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>암호 재설정으로 이동한 다음 온-프레미스 통합을 선택합니다.
- 온-프레미스 디렉터리에 암호 쓰기 저장 옵션을 선택 취소합니다.
- Microsoft Entra Connect 클라우드 동기화로 암호 쓰기 저장 옵션을 선택 취소합니다.
- 사용자가 암호를 초기화하지 않고 계정을 잠금 해제하도록 허용 옵션을 선택 취소합니다.
- 준비되면 저장을 선택합니다.
SSPR 쓰기 저장에 Microsoft Entra Connect 클라우드 동기화를 더 이상 사용하지 않고 쓰기 저장에 Microsoft Entra Connect 동기화 에이전트를 계속 사용하려면 다음 단계를 완료합니다.
- 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>암호 재설정으로 이동한 다음 온-프레미스 통합을 선택합니다.
- Microsoft Entra Connect 클라우드 동기화로 암호 쓰기 저장 옵션을 선택 취소합니다.
- 준비되면 저장을 선택합니다.
더 이상 암호 기능을 사용하지 않으려면 Microsoft Entra Connect 서버에서 다음 단계를 완료합니다.
- Microsoft Entra Connect 서버에 로그인하고 Microsoft Entra Connect 구성 마법사를 시작합니다.
- 시작 페이지에서 구성을 선택합니다.
- 추가 작업 페이지에서 동기화 옵션 사용자 지정을 선택하고 다음을 선택합니다.
- Microsoft Entra ID에 연결 페이지에서 하이브리드 관리자 자격 증명을 입력하고 다음을 선택합니다.
- 디렉터리 연결 및 도메인/OU 필터링 페이지에서 다음을 선택합니다.
- 선택적 기능 페이지에서 비밀번호 쓰기 저장 옆의 확인란을 선택 취소하고, 다음을 선택합니다.
- 구성 준비 완료 페이지에서 구성을 선택하고 프로세스가 완료될 때까지 기다립니다.
- 구성이 완료된 것이 확인되면 마침을 선택합니다.
Important
비밀번호 쓰기 저장을 처음으로 사용하도록 설정하면 암호 변경이 발생하지 않은 경우에도 암호 변경 이벤트 656 및 657이 트리거될 수 있습니다. 암호 해시 동기화 주기가 실행된 후 모든 암호 해시가 다시 동기화되기 때문입니다.
다음 단계
이 자습서에서는 온-프레미스 AD DS 환경에 대한 Microsoft Entra SSPR 쓰기 저장을 사용하도록 설정했습니다. 구체적으로 다음 작업 방법을 알아보았습니다.
- 비밀번호 쓰기 저장에 필요한 권한 구성
- Microsoft Entra Connect에서 비밀번호 쓰기 저장 옵션 사용
- Microsoft Entra SSPR에서 비밀번호 쓰기 저장 사용