Microsoft Entra Connect: 기존 테넌트가 있는 경우
Microsoft Entra Connect를 사용하는 방법에 대한 항목 중 대부분은 새 Microsoft Entra 테넌트로 시작하고 여기에는 사용자 또는 다른 개체가 없다고 가정하고 있습니다. 그러나 이미 Microsoft Entra 테넌트로 시작하여 사용자와 다른 개체를 제공한 후에 Connect를 사용하려는 경우 이 문서가 도움이 됩니다.
기본 사항
Microsoft Entra ID의 개체는 클라우드 또는 온-프레미스에서 관리됩니다. 단일 개체의 경우 온-프레미스의 일부 특성과 Microsoft Entra ID의 다른 일부 특성은 관리할 수 없습니다. 각 개체에는 해당 개체를 관리하는 위치를 나타내는 플래그가 있습니다.
일부 사용자는 온-프레미스에서 관리하고 다른 사용자는 클라우드에서 관리할 수 있습니다. 이 구성의 일반적인 시나리오는 회계 직원과 판매 직원이 혼합된 조직입니다. 회계 직원은 온-프레미스 AD 계정을 가지고 있지만 영업 직원은 없지만 둘 다 Microsoft Entra ID에 계정을 가지고 있습니다. 온-프레미스의 일부 사용자와 Microsoft Entra ID의 일부 사용자를 관리합니다.
온-프레미스에도 존재하는 Microsoft Entra ID에서 사용자 관리를 시작하고 나중에 Microsoft Entra Connect를 사용하려는 경우 고려해야 할 몇 가지 추가 고려 사항이 있습니다.
Microsoft Entra ID의 기존 사용자와 동기화
Microsoft Entra Connect와 동기화를 시작하면 Microsoft Entra 서비스 API는 새로 들어오는 모든 개체를 확인하고 일치하는 기존 개체를 찾으려고 시도합니다. 이 프로세스에는 userPrincipalName, proxyAddresses 및 sourceAnchor/immutableID의 세 가지 특성이 사용됩니다. userPrincipalName 또는 proxyAddresses에 대한 일치를 "소프트 일치"라고 합니다. sourceAnchor에 대한 일치는 "hard=match"라고 합니다. 기본 전자 메일 주소인 proxyAddresses 특성의 경우 SMTP:가 있는 값만 평가에 사용됩니다.
일치는 Connect에서 나오는 새 개체에 대해서만 평가됩니다. 이러한 특성 중 하나와 일치하도록 기존 개체를 변경하면 대신 오류가 표시됩니다.
Microsoft Entra ID가 특성 값이 Microsoft Entra Connect에서 새로 들어오는 개체와 동일한 개체를 찾으면 Microsoft Entra ID의 개체를 인수하고 이전 클라우드 관리 개체는 온-프레미스 관리 개체로 변환됩니다. 온-프레미스 AD의 값이 있는 Microsoft Entra ID의 모든 특성은 해당 온-프레미스 값으로 덮어씁니다.
Warning
Microsoft Entra ID의 모든 특성은 온-프레미스 값으로 덮어쓰게 되므로 온-프레미스 데이터가 양호한지 확인해야 합니다. 예를 들어, Microsoft 365에 관리되는 이메일 주소만 있고 온-프레미스 AD DS에서 업데이트된 상태를 유지하지 않는 경우 AD DS에 없는 Microsoft Entra ID/Microsoft 365의 모든 값이 손실됩니다.
Important
항상 기본 설정으로 사용되는 암호 동기화를 사용하는 경우 Microsoft Entra ID의 암호는 온-프레미스 AD의 암호로 덮어씁니다. 사용자가 다른 암호를 관리하는 데 사용되는 경우 Connect를 설치할 때 온-프레미스 암호를 사용해야 한다고 사용자에게 알려야 합니다.
이전 섹션과 경고는 계획에 고려되어야 합니다. 온-프레미스 AD DS에 반영되지 않은 Microsoft Entra ID를 많이 변경한 경우 데이터 손실을 방지하려면 개체를 Microsoft Entra Connect와 동기화하기 전에 Microsoft Entra ID의 업데이트된 값으로 AD DS를 채우는 방법을 계획해야 합니다.
개체를 소프트 일치로 일치시키는 경우 Microsoft Entra ID의 개체에 sourceAnchor가 추가되어 나중에 하드 일치를 사용할 수 있습니다.
Important
Microsoft Entra ID의 기존 관리 계정과 온-프레미스 계정을 동기화하지 않는 것이 좋습니다.
하드 일치 및 소프트 일치
기본적으로 "abcdefghijklmnopqrstuv=="의 SourceAnchor 값은 온-프레미스 Active Directory의 MsDs-ConsistencyGUID 특성(또는 구성에 따라 ObjectGUID)을 사용하여 Microsoft Entra Connect에서 계산됩니다. 이 특성 값은 Microsoft Entra ID의 해당 ImmutableId입니다. Microsoft Entra Connect(동기화 엔진)가 개체를 추가하거나 업데이트할 때 Microsoft Entra ID는 Microsoft Entra ID에 있는 기존 개체의 ImmutableId 특성에 해당하는 sourceAnchor 값을 사용하여 들어오는 개체와 일치시킵니다. 일치하는 항목이 있는 경우 Microsoft Entra Connect는 해당 개체를 인계받아 "하드 일치"라고 하는 수신 온-프레미스 Active Directory 개체의 속성으로 업데이트합니다. Microsoft Entra ID는 SouceAnchor 값과 일치하는 ImmutableId가 있는 개체를 찾을 수 없는 경우 들어오는 개체의 userPrincipalName 또는 기본 ProxyAddress를 사용하여 *"소프트 일치"라고 하는 항목에서 일치 항목을 찾으려고 합니다. 소프트 일치는 Microsoft Entra ID에 이미 존재하고 관리되는 엔터티를 온-프레미스에서 동일한 엔터티를 나타내는 추가되거나 업데이트되는 새 수신 개체와 일치시키려고 합니다. Microsoft Entra ID가 수신 개체에 대한 하드 일치 또는 소프트 일치를 찾을 수 없는 경우 Microsoft Entra ID 디렉터리에 새 개체를 프로비전합니다. Microsoft Entra ID에서 하드 일치 기능을 사용하지 않도록 설정하는 구성 옵션을 추가했습니다. 고객이 클라우드 전용 계정을 사용해야 하는 경우를 제외하고 하드 일치를 사용하지 않도록 설정하는 것이 좋습니다.
하드 일치를 사용하지 않도록 설정하려면 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet을 사용합니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
마찬가지로 Microsoft Entra ID에서 소프트 일치 옵션을 사용하지 않도록 설정하는 구성 옵션을 추가했습니다. 고객이 클라우드 전용 계정을 사용해야 하는 경우를 제외하고 소프트 일치를 사용하지 않도록 설정하는 것이 좋습니다.
소프트 일치를 사용하지 않도록 설정하려면 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet을 사용합니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
참고 항목
BlockCloudObjectTakeoverThroughHardMatchEnabled 및 BlockSoftMatchEnabled는 테넌트에 대해 사용하도록 설정된 경우 모든 개체에 대한 일치를 차단하는 데 사용됩니다. 고객은 테넌트에 일치하는 절차가 필요한 기간 동안에만 이러한 기능을 사용하지 않도록 설정하는 것이 좋습니다. 일치가 완료되어 더 이상 필요하지 않으면 이 플래그를 다시 True로 설정해야 합니다.
사용자 이외의 다른 개체
메일이 설정된 그룹 및 연락처의 경우 proxyAddresses에 따라 소프트 일치를 수행할 수 있습니다. 하드 일치는 사용자 전용의 sourceAnchor/immutableID(PowerShell 사용)만을 업데이트할 수 있으므로 적용되지 않습니다. 메일이 사용되지 않는 그룹의 경우 현재 소프트 일치 또는 하드 일치가 지원되지 않습니다.
관리자 역할 고려 사항
신뢰할 수 없는 온-프레미스 사용자로부터 보호하기 위해 Microsoft Entra ID는 온-프레미스 사용자를 관리자 역할이 있는 클라우드 사용자와 일치시키지 않습니다. 이 동작은 기본적으로 수행됩니다. 이 문제를 해결하려면 다음 단계를 수행합니다.
- 클라우드 전용 사용자 개체에서 디렉터리 역할을 제거합니다.
- 클라우드에서 격리된 개체를 영구 삭제합니다.
- 동기화를 트리거합니다.
- 선택적으로 일치가 완료되면 클라우드의 사용자 개체에 디렉터리 역할을 다시 추가합니다.
Microsoft Entra ID의 데이터에서 새로운 온-프레미스 Active Directory 만들기
일부 고객은 Microsoft Entra ID를 사용하는 클라우드 전용 솔루션으로 시작하고 온-프레미스 AD를 사용하지 않습니다. 나중에 온-프레미스 리소스를 사용하지만 Microsoft Entra 데이터를 기반으로 하는 온-프레미스 AD를 구축하려고 합니다. Microsoft Entra Connect는 이 시나리오에 도움을 줄 수 없습니다. 온-프레미스 사용자를 만들지 않으며 온-프레미스 암호를 Microsoft Entra ID와 동일하게 설정하는 기능이 없습니다.
온-프레미스 AD를 추가하려는 유일한 이유가 LOB(기간 업무 앱)를 지원하는 것이라면 Microsoft Entra 도메인 서비스를 대신 사용해야 합니다.
다음 단계
Microsoft Entra ID와 온-프레미스 ID 통합에 대해 자세히 알아봅니다.