자습서 - Microsoft Entra 클라우드 동기화를 사용하여 Active Directory에 그룹 프로비전

이 자습서에서는 그룹을 온-프레미스 Active Directory에 동기화하기 위해 클라우드 동기화를 만들고 구성하는 과정을 안내합니다.

Microsoft Entra ID를 Active Directory에 프로비전 - 필수 조건

Active Directory에 프로비전 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

일반 요구 사항

• 최소한 하이브리드 ID 관리자 역할이 있는 Microsoft Entra 계정.
• Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
  • AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
• 빌드 버전 1.1.1370.0 이상을 사용하여 에이전트를 프로비전합니다.

참고 항목

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.

이러한 권한은 기본값 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet으로 AdminSDHolder 개체에 적용되지 않음

• 프로비저닝 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 도메인 컨트롤러와 통신할 수 있어야 합니다.
  • 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요
• Microsoft Entra Connect 동기화 빌드 버전 2.2.8.0 이상
  • Microsoft Entra Connect 동기화를 사용하여 동기화된 온-프레미스 사용자 멤버십을 지원하는 데 필요
  • AD:user:objectGUID를 AAD:user:onPremisesObjectIdentifier와 동기화하는 데 필요

지원되는 그룹 및 크기 조정 제한

다음과 같이 지원됩니다.

• 클라우드에서 만든 보안 그룹만 지원됩니다.
• 이러한 그룹은 할당되거나 동적 멤버 자격 그룹을 가질 수 있습니다.
• 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
• 동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 도메인 또는 교차 도메인에서일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
• 이러한 그룹은 범용 AD 그룹 범위로 쓰기 저장됩니다. 온-프레미스 환경은 범용 그룹 범위를 지원해야 합니다.
• 멤버가 50,000명보다 많은 그룹은 지원되지 않습니다.
• 개체가 150,000개보다 많은 테넌트는 지원되지 않습니다. 즉, 150,000개 개체를 초과하는 사용자와 그룹의 조합이 있는 테넌트에 경우 이 테넌트는 지원되지 않습니다.
• 각 직계 자식 중첩 그룹은 참조 그룹의 한 멤버로 계산됩니다.
• 그룹이 Active Directory에서 수동으로 업데이트되는 경우 Microsoft Entra ID와 Active Directory 간의 그룹 조정은 지원되지 않습니다.

추가 정보

다음은 Active Directory에 그룹을 프로비저닝하는 방법에 대한 추가 정보입니다.

• 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스에서 동기화된 사용자 및/또는 클라우드에서 만든 추가 보안 그룹만 포함할 수 있습니다.
• 이러한 사용자는 onPremisesObjectIdentifier 특성을 자신의 계정에 설정해야 합니다.
• onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
• 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra 클라우드 동기화(1.1.1370.0) 또는 Microsoft Entra Connect 동기화(2.2.8.0)를 사용하여 동기화할 수 있음
• Microsoft Entra 클라우드 동기화 대신 Microsoft Entra Connect 동기화(2.2.8.0)를 사용하여 사용자를 동기화하고 AD에 대한 프로비전을 사용하려면 2.2.8.0 이상이어야 합니다.
• Microsoft Entra ID에서 Active Directory로의 프로비전에는 일반 Microsoft Entra ID 테넌트만 지원됩니다. B2C와 같은 테넌트는 지원되지 않습니다.
• 그룹 프로비전 작업은 20분마다 실행되도록 예약되어 있습니다.

가정

이 튜토리얼은 다음 사항들을 가정합니다.

• Active Directory 온-프레미스 환경이 있습니다.
• 사용자를 Microsoft Entra ID에 동기화하기 위한 클라우드 동기화 설정이 있습니다.
• 동기화된 두 명의 사용자가 있습니다. Britta Simon 및 Lola Jacobson. 이러한 사용자는 온-프레미스 및 Microsoft Entra ID에 존재합니다.
• Active Directory에는 그룹, 영업 및 마케팅의 세 가지 조직 구성 단위가 만들어졌습니다. 여기에는 다음과 같은 고유 이름이 있습니다.
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groups,DC=contoso,DC=com

Microsoft Entra ID에 두 개의 그룹을 만듭니다.

먼저 Microsoft Entra ID에 두 개의 그룹을 만듭니다. 한 그룹은 영업이고 다른 그룹은 마케팅입니다.

두 개의 그룹을 만들려면 다음 단계를 따릅니다.

1. 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>그룹>모든 그룹으로 이동합니다.
3. 상단에서 새 그룹을 클릭합니다.
4. 그룹 유형이 보안으로 설정되어 있는지 확인합니다.
5. 그룹 이름에 Sales 입력
6. 멤버 자격 형식의 경우 할당된 상태로 보관합니다.
7. 만들기를 클릭합니다.
8. 마케팅을 그룹 이름으로 사용하여 이 과정을 반복합니다.

새로 만들어진 그룹에 사용자 추가

1. 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>그룹>모든 그룹으로 이동합니다.
3. 상단의 검색 상자에 Sales를 입력합니다.
4. 새 Sales 그룹을 클릭합니다.
5. 왼쪽에서 멤버 클릭
6. 상단에서 멤버 추가를 클릭합니다.
7. 상단의 검색 상자에 Britta Simon을 입력합니다.
8. Britta Simon 옆에 체크 표시를 하고 선택 클릭
9. 그룹에 성공적으로 추가됩니다.
10. 맨 왼쪽에서 모든 그룹을 클릭하고 Sales 그룹을 사용하여 이 과정을 반복하고 해당 그룹에 Lola Jacobson을 추가합니다.

프로비전 구성

프로비전을 구성하려면 다음 단계를 따릅니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

3. 새 구성을 선택합니다.

4. Microsoft Entra ID에서 AD Sync로를 선택합니다.

5. 구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 만들기를 클릭합니다.

6. 시작 화면이 열립니다. 여기에서 클라우드 동기화를 계속 구성할 수 있습니다.

7. 왼쪽에서 범위 지정 필터를 클릭합니다.

8. 그룹 범위에서 모든 보안 그룹으로 설정

9. 대상 컨테이너에서 특성 매핑 편집을 클릭합니다.

10. 매핑 형식을 식으로 변경

11. 식 상자에 다음을 입력합니다. Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. 기본값을 OU=Groups,DC=contoso,DC=com으로 변경합니다.

13. 적용을 클릭합니다. 그러면 그룹 displayName 특성에 따라 대상 컨테이너가 변경됩니다.

14. 페이지 맨 아래에 있는 저장

15. 왼쪽에서 개요 클릭

16. 상단에서 검토 및 사용하 클릭

17. 오른쪽에서 구성 사용 클릭

테스트 구성

참고 항목

주문형 프로비전을 사용할 때 멤버는 자동으로 프로비전되지 않습니다. 테스트할 멤버를 선택해야 하며 멤버 제한은 5명입니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

3. 구성 아래에서 구성을 선택합니다.

4. 왼쪽에서 주문형 프로비전을 선택합니다.

5. 선택한 그룹 상자에 Sales 입력

6. 선택한 사용자 섹션에서 테스트할 사용자를 선택합니다.

7. 프로비전을 클릭합니다.

8. 프로비전된 그룹이 표시됩니다.

Active Directory에서 확인

이제 그룹이 Active Directory에 프로비전되었는지 확인할 수 있습니다.

다음을 수행하십시오:

1. 온-프레미스 환경에 로그인합니다.
2. Active Directory 사용자 및 컴퓨터 시작
3. 새 그룹이 프로비전되었는지 확인합니다.

다음 단계

• Microsoft Entra 클라우드 동기화를 사용한 그룹 쓰기 저장
• Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리
• Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션