다음을 통해 공유


Microsoft Entra Connect를 위한 필수 조건

이 문서에서는 Microsoft Entra Connect의 필수 조건과 하드웨어 요구 사항을 설명합니다.

Microsoft Entra Connect를 설치하기 전에

Microsoft Entra Connect를 설치하기 전에 필요한 몇 가지 사항이 있습니다.

Microsoft Entra ID

  • Microsoft Entra 테넌트가 필요합니다. Azure 평가판에서 사용할 수 있습니다. 다음 포털 중 하나를 사용하여 Microsoft Entra Connect를 관리할 수 있습니다.
  • Microsoft Entra ID에서 사용할 도메인을 추가하고 확인합니다. 예를 들어, 사용자가 contoso.com을 사용하려는 경우 해당 도메인을 확인하고 contoso.onmicrosoft.com 기본 도메인을 사용하지 않도록 합니다.
  • Microsoft Entra 테넌트는 기본적으로 50,000개의 개체를 허용합니다. 도메인을 확인할 때 제한은 30만 개의 개체로 늘어납니다. Microsoft Entra ID에 더 많은 개체가 필요한 경우 지원 사례를 열어 한도를 더 늘려보세요. 500,000개가 넘는 개체가 필요한 경우 Microsoft 365, Microsoft Entra ID P1 또는 P2, Enterprise Mobility + Security와 같은 라이선스가 필요합니다.

온-프레미스 데이터 준비

온-프레미스 Active Directory

  • Active Directory 스키마의 버전 및 포리스트 기능 수준은 Windows Server 2003 이상이어야 합니다. 도메인 컨트롤러는 스키마 버전 및 포리스트 수준 요구 사항이 충족되는 한 모든 버전을 실행할 수 있습니다. Windows Server 2016 이상을 실행하는 도메인 컨트롤러에 대한 지원이 필요한 경우 유료 지원 프로그램이 필요할 수 있습니다.
  • Microsoft Entra ID에서 사용하는 도메인 컨트롤러는 쓰기 가능해야 합니다. RODC(읽기 전용 도메인 컨트롤러) 사용은 지원되지 않으며 Microsoft Entra Connect는 쓰기 리디렉션을 따르지 않습니다.
  • NetBIOS 이름에 온-프레미스 포리스트를 사용하거나 "점"(이름에 마침표(".") 포함)을 사용하는 것은 지원되지 않습니다.
  • Active Directory 휴지통을 사용하는 것이 좋습니다.

PowerShell 실행 정책

Microsoft Entra Connect는 설치의 일부로 서명된 PowerShell 스크립트를 실행합니다. PowerShell 실행 정책이 스크립트 실행을 허용하는지 확인합니다.

설치하는 동안 권장되는 실행 정책은 "RemoteSigned"입니다.

PowerShell 실행 정책 설정에 대한 자세한 내용은 Set-ExecutionPolicy를 참조하세요.

Microsoft Entra Connect 서버

Microsoft Entra Connect 서버에는 중요한 ID 데이터가 포함되어 있습니다. 이 서버에 대한 관리 액세스는 적절히 보호해야 합니다. 권한 있는 액세스 보안의 지침을 따릅니다.

Microsoft Entra Connect 서버는 Active Directory 관리 계층 모델에 설명된 대로 계층 0 구성 요소로 처리되어야 합니다. 보안 권한 있는 액세스에 제공된 지침에 따라 Microsoft Entra Connect 서버를 컨트롤 플레인 자산으로 강화하는 것이 좋습니다.

Active Directory 환경 보안에 대한 자세한 내용은 Active Directory 보안 모범 사례를 참조하세요.

설치 필수 구성 요소

  • Microsoft Entra Connect는 도메인 조인 Windows Server 2016 이상에 설치되어야 합니다. 도메인에 조인된 Windows Server 2022를 사용하는 것이 좋습니다. Windows Server 2016에 Microsoft Entra Connect를 배포할 수 있지만 Windows Server 2016은 추가 지원을 받고 있으므로 이 구성에 대한 지원이 필요한 경우 유료 지원 프로그램이 필요할 수 있습니다.
  • 최소 필요한 .NET Framework 버전은 4.6.2이며 최신 버전의 .Net도 지원됩니다. .NET 버전 4.8 이상은 최고의 접근성 준수를 제공합니다.
  • Microsoft Entra Connect는 2019년 이전에는 Small Business Server 또는 Windows Server Essentials에 설치할 수 없습니다(Windows Server Essentials 2019는 지원됨). 서버는 Windows Server Standard 이상을 사용해야 합니다.
  • Microsoft Entra Connect 서버에는 전체 GUI가 설치되어 있어야 합니다. Windows Server Core에 Microsoft Entra Connect를 설치하는 것은 지원되지 않습니다.
  • Microsoft Entra Connect 마법사를 사용하여 AD FS(Active Directory Federation Services) 구성을 관리하는 경우 Microsoft Entra Connect 서버에는 PowerShell 대화 기록 그룹 정책이 사용하도록 설정되어 있지 않아야 합니다. Microsoft Entra Connect 마법사를 사용하여 동기화 구성을 관리하는 경우 PowerShell 대화 기록을 사용하도록 설정할 수 있습니다.
  • MSOL(MS Online PowerShell)이 테넌트 수준에서 차단되지 않았는지 확인합니다.
  • AD FS를 배포 중인 경우:
    • AD FS 또는 웹 애플리케이션 프록시가 설치된 서버는 Windows Server 2012 R2 이상이어야 합니다. 원격 설치를 위해 이러한 서버에서 Windows 원격 관리를 사용하도록 설정해야 합니다. Windows Server 2016 이상에 대한 지원이 필요한 경우 유료 지원 프로그램이 필요할 수 있습니다.
    • TLS/SSL 인증서를 구성해야 합니다. 자세한 내용은 AD FS의 SSL/TLS 프로토콜 및 암호 그룹 관리AD FS에서 SSL 인증서 관리를 참조하세요.
    • 이름 확인을 구성해야 합니다.
  • Microsoft Entra Connect와 Microsoft Entra ID 간의 트래픽 차단 및 분석은 지원되지 않습니다. 그렇게 할 경우 서비스가 중단될 수 있습니다.
  • 하이브리드 ID 관리자가 MFA를 사용하도록 설정한 경우 URL이 https://secure.aadcdn.microsoftonline-p.com반드시 신뢰할 수 있는 사이트 목록에 있어야 합니다. MFA 챌린지를 묻는 메시지가 표시되기 전에 이 사이트를 추가하지 않은 경우 신뢰할 수 있는 사이트 목록에 추가하라는 메시지가 표시됩니다. Internet Explorer를 사용하여 신뢰할 수 있는 사이트에 추가할 수 있습니다.
  • 동기화에 Microsoft Entra Connect Health를 사용하려는 경우 전역 관리자 계정을 사용하여 Microsoft Entra Connect Sync를 설치해야 합니다. 하이브리드 관리자 계정을 사용하는 경우 에이전트가 설치되지만 사용하지 않도록 설정됩니다. 자세한 내용은 Microsoft Entra Connect Health 에이전트 설치를 참조하세요.

Microsoft Entra Connect 서버 강화

IT 환경의 중요한 구성 요소에 대한 보안 공격 표면을 줄이기 위해 Microsoft Entra Connect 서버를 강화하는 것이 좋습니다. 이러한 권장 사항을 따르면 조직에 대한 일부 보안 위험을 완화하는 데 도움이 됩니다.

  • 보안 권한 있는 액세스Active Directory 관리 계층 모델에 제공된 지침에 따라 Microsoft Entra Connect 서버를 컨트롤 플레인(이전의 계층 0) 자산으로 강화하는 것이 좋습니다.
  • Microsoft Entra Connect 서버에 대한 관리 액세스를 도메인 관리자 또는 기타 엄격하게 제어되는 보안 그룹으로 제한합니다.
  • 권한 있는 액세스가 있는 모든 직원에 대한 전용 계정을 만듭니다. 관리자는 높은 권한이 있는 계정을 사용하여 웹을 탐색하거나, 메일을 확인하거나, 일상적인 생산성 작업을 수행하면 안 됩니다.
  • 권한 있는 액세스 보안에 제공된 지침을 따릅니다.
  • Microsoft Entra Connect 서버에서 NTLM 인증 사용을 거부합니다. 이 작업을 수행하는 방법은 Microsoft Entra Connect 서버에서 NTLM 제한도메인에서 NTLM 제한입니다.
  • 모든 머신에 고유한 로컬 관리자 암호가 있는지 확인합니다. 자세한 내용은 Windows LAPS(로컬 관리자 암호 솔루션)을 참조하세요. 이 기능을 사용하여 각 워크스테이션과 서버에서 고유한 임의의 암호를 구성함으로써 ACL로 보호되는 Active Directory에 저장할 수 있습니다. 권한 있는 적격 사용자만이 이러한 로컬 관리자 계정 암호를 읽거나 재설정을 요청할 수 있습니다. Windows LAPS 및 PAW(Privileged Access Workstation)를 사용하여 환경을 운영하는 방법에 대한 추가 지침은 클린 원본 원칙을 기반으로 하는 운영 표준에서 찾을 수 있습니다.
  • 조직의 정보 시스템에 대해 권한 있는 액세스가 있는 모든 직원에 대해 전용 권한 있는 액세스 워크스테이션을 구현합니다.
  • 이러한 추가 지침에 따라 Active Directory 환경의 공격 표면을 줄입니다.
  • 페더레이션 구성 변경 내용 모니터링에 따라 Idp와 Microsoft Entra ID 간에 설정된 신뢰 변경 내용을 모니터링하도록 경고를 설정합니다.
  • Microsoft Entra ID 또는 AD에 대한 액세스 권한이 있는 모든 사용자에 대해 MFA(다단계 인증)를 사용하도록 설정합니다. Microsoft Entra Connect 사용과 관련된 한 가지 보안 문제는 공격자가 Microsoft Entra Connect 서버를 제어할 수 있으면 Microsoft Entra ID에서 사용자를 조작할 수 있다는 것입니다. 공격자가 이러한 기능을 사용하여 Microsoft Entra 계정을 장악하는 것을 방지하기 위해 MFA는 공격자가 Microsoft Entra Connect를 사용하여 사용자의 암호를 다시 설정하는 등의 작업을 수행하더라도 두 번째 단계를 우회할 수 없도록 보호 기능을 제공합니다.
  • 테넌트에서 소프트 일치를 사용하지 않도록 설정합니다. 소프트 일치는 기존 클라우드 관리 개체에 대한 권한 원본을 Microsoft Entra Connect로 전송하는 데 도움이 되는 훌륭한 기능이지만 특정 보안 위험이 따릅니다. 필요하지 않다면 소프트 일치를 비활성화해야 합니다.
  • 하드 일치 인수를 사용하지 않도록 설정합니다. 하드 일치 인수를 통해 Microsoft Entra Connect는 클라우드 관리 개체를 제어하고 개체에 대한 권한 원본을 Active Directory로 변경할 수 있습니다. 개체의 권한 원본이 Microsoft Entra Connect에 의해 인계되면 Microsoft Entra 개체에 연결된 Active Directory 개체에 대한 변경 내용은 암호 해시 동기화가 사용하도록 설정된 경우 암호 해시를 포함하여 원본 Microsoft Entra 데이터를 덮어씁니다. 공격자는 이 기능을 사용하여 클라우드 관리 개체를 제어할 수 있습니다. 이 위험을 완화하려면 하드 일치 인수를 사용하지 않도록 설정합니다.

Microsoft Entra Connect에서 사용되는 SQL Server

  • Microsoft Entra Connect에는 ID 데이터를 저장하기 위한 SQL Server 데이터베이스가 필요합니다. 기본적으로 SQL Server 2019 Express LocalDB(SQL Server Express의 라이트 버전)가 설치됩니다. SQL Server Express는 약 100,000개의 개체를 관리할 수 있는 10GB의 용량을 제공합니다. 더 큰 볼륨의 디렉터리 개체 관리가 필요한 경우 설치 마법사가 SQL Server의 다른 설치를 가리키도록 합니다. SQL Server 설치 형식은 Microsoft Entra Connect 성능에 영향을 미칠 수 있습니다.
  • 다른 SQL Server 설치를 사용하는 경우 다음 요구 사항이 적용됩니다.
    • Microsoft Entra Connect는 Windows에서 실행되는 SQL Server 2022까지 모든 일반 지원 SQL Server 버전을 지원합니다. SQL Server 버전의 지원 상태를 확인하려면 SQL Server 수명 주기 문서를 참조하세요. SQL Server 2012는 더 이상 지원되지 않습니다. Azure SQL Database는 데이터베이스로 지원되지 않습니다. 여기에는 Azure SQL Database와 Azure SQL Managed Instance가 모두 포함됩니다.
    • 대/소문자를 구분하지 않는 SQL 데이터 정렬을 사용해야 합니다. 이렇게 데이터를 정렬하는 경우 이름에 _CI_를 사용하여 식별합니다. 이름에 _CS_를 사용하여 식별되는 대/소문자 구분 데이터 정렬을 사용하는 것은 지원되지 않습니다.
    • SQL 인스턴스당 동기화 엔진을 한 개만 사용할 수 있습니다. SQL 인스턴스를 MIM 동기화, DirSync 또는 Azure AD Sync와 공유하는 것은 지원되지 않습니다.
    • Microsoft Entra Connect와 함께 제공되는 ODBC Driver for SQL Server 버전 17 및 OLE DB Driver for SQL Server 버전 18을 유지 관리합니다. ODBC/OLE DB 드라이버의 주 버전 또는 부 버전 업그레이드는 지원되지 않습니다. Microsoft Entra Connect 제품 그룹 팀에는 새로운 ODBC/OLE DB 드라이버가 포함됩니다. 이러한 드라이버를 사용할 수 있게 되고 업데이트해야 하는 요구 사항이 있습니다.

계정

  • 통합하려는 Microsoft Entra 테넌트에 대한 Microsoft Entra 전역 관리자 계정 또는 하이브리드 ID 관리자 계정이 있어야 합니다. 이 계정은 학교 또는 조직 계정이어야 하며 Microsoft 계정이 될 수 없습니다.
  • Express 설정을 사용하거나 DirSync에서 업그레이드하는 경우 온-프레미스 Active Directory에 대한 엔터프라이즈 관리자 계정이 있어야 합니다.
  • 사용자 지정 설정 설치 경로를 사용하는 경우 더 많은 옵션이 있습니다. 자세한 내용은 사용자 지정 설치 설정을 참조하세요.

연결

  • Microsoft Entra Connect 서버에는 인트라넷과 인터넷 모두에 대한 DNS 확인이 필요합니다. DNS 서버는 온-프레미스 Active Directory와 Microsoft Entra 엔드포인트 모두에 대한 이름을 확인할 수 있어야 합니다.
  • Microsoft Entra Connect를 사용하려면 구성된 모든 도메인에 대한 네트워크 연결이 필요합니다.
  • Microsoft Entra Connect를 사용하려면 구성된 모든 포리스트의 루트 도메인에 대한 네트워크 연결이 필요합니다.
  • 인트라넷에 방화벽이 있고 Microsoft Entra Connect 서버와 도메인 컨트롤러 사이에 포트를 열어야 하는 경우 자세한 내용은 Microsoft Entra Connect 포트를 참조하세요.
  • 프록시 또는 방화벽에 액세스할 수 있는 URL을 제한하는 경우 Office 365 URL 및 IP 주소 범위 에서 설명한 URL이 열려야 합니다. 또한 방화벽 또는 프록시 서버에서 Microsoft Entra 관리 센터 URL을 안전 목록에 추가를 참조하세요.
  • Microsoft Entra Connect(버전 1.1.614.0 이상)는 기본적으로 동기화 엔진과 Microsoft Entra ID 간의 통신을 암호화하기 위해 TLS 1.2를 사용합니다. 기본 운영 체제에서 TLS 1.2를 사용할 수 없는 경우 Microsoft Entra Connect는 점진적으로 이전 프로토콜(TLS 1.1 및 TLS 1.0)로 대체합니다. Microsoft Entra Connect 버전 2.0 이상. TLS 1.0 및 1.1은 더 이상 지원되지 않으며 TLS 1.2를 사용할 수 없으면 설치되지 않습니다.
  • 버전 1.1.614.0 이전에는 Microsoft Entra Connect가 기본적으로 동기화 엔진과 Microsoft Entra ID 간의 통신을 암호화하기 위해 TLS 1.0을 사용합니다. TLS 1.2로 변경하려면 Microsoft Entra Connect용 TLS 1.2 사용 단계를 따릅니다.

Important

버전 2.3.20.0은 보안 업데이트입니다. 이번 업데이트를 통해 Microsoft Entra Connect에는 TLS 1.2가 필요합니다. 이 버전으로 업데이트하기 전에 TLS 1.2가 사용하도록 설정되어 있는지 확인합니다.

모든 버전의 Windows Server는 TLS 1.2를 지원합니다. 서버에서 TLS 1.2가 사용하도록 설정되어 있지 않은 경우 이 기능을 사용하도록 설정해야 Microsoft Entra Connect V2.0을 배포할 수 있습니다.

TLS 1.2가 활성화되어 있는지 확인하는 PowerShell 스크립트는 TLS룰 확인하는 PowerShell 스크립트를 참고하세요.

TLS 1.2에 대한 자세한 내용은 Microsoft 보안 공지 2960358을 참조하세요. TLS 1.2 사용하도록 설정에 대한 자세한 내용은 TLS 1.2 사용하도록 설정 방법을 참조하세요.

  • 인터넷 연결을 위해 아웃바운드 프록시를 사용하는 경우 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config 파일에 다음 설정을 추가해야 합니다. 설치 마법사와 Microsoft Entra Connect 동기화를 사용하여 인터넷과 Microsoft Entra ID에 연결할 수 있습니다. 이 텍스트는 파일의 맨 아래에 입력해야 합니다. 이 코드에서 <PROXYADDRESS>는 실제 프록시 IP 주소 또는 호스트 이름을 나타냅니다.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • 프록시 서버에 인증이 필요한 경우 서비스 계정이 도메인에 위치해야 합니다. 사용자 지정 설정 설치 경로를 사용하여 사용자 지정 서비스 계정을 지정합니다. 또한 Machine.config와 서로 다른 변경을 해야 합니다. machine.config에서 이 변경 내용을 적용하면 설치 마법사와 동기화 엔진이 프록시 서버의 인증 요청에 응답합니다. 구성 페이지를 제외하고 모든 설치 마법사 페이지에서 로그인한 사용자의 자격 증명이 사용됩니다. 설치 마법사의 끝에 나오는 구성 페이지에서 컨텍스트가 이전에 만든 서비스 계정으로 전환됩니다. machine.config 섹션은 다음과 같이 표시됩니다.

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • 기존 설정에서 프록시 구성이 수행되는 경우 Microsoft Entra Connect가 프록시 구성을 읽고 동작을 업데이트하려면 Microsoft Entra ID 동기화 서비스를 한 번 다시 시작해야 합니다.

  • Microsoft Entra Connect가 디렉터리 동기화의 일부로 Microsoft Entra ID에 웹 요청을 보내는 경우 Microsoft Entra ID가 응답하는 데 최대 5분이 걸릴 수 있습니다. 프록시 서버에서 연결 유휴 시간 제한 구성을 사용하는 것이 일반적입니다. 구성이 6분 이상으로 설정되었는지 확인합니다.

자세한 내용은 기본 프록시 요소에 대한 MSDN을 참조하세요. 연결에 문제가 있는 경우 연결 문제 해결을 참조하세요.

기타

선택 사항: 동기화를 확인할 테스트 사용자 계정 사용

구성 요소 필수 조건

PowerShell 및 .NET Framework

Microsoft Entra Connect는 Microsoft PowerShell 5.0 및 .NET Framework 4.5.1을 사용합니다. 서버에 이 버전 이상을 설치해야 합니다.

Microsoft Entra Connect에 TLS 1.2 사용

Important

버전 2.3.20.0은 보안 업데이트입니다. 이번 업데이트를 통해 Microsoft Entra Connect에는 TLS 1.2가 필요합니다. 이 버전으로 업데이트하기 전에 TLS 1.2가 사용하도록 설정되어 있는지 확인합니다.

모든 버전의 Windows Server는 TLS 1.2를 지원합니다. 서버에서 TLS 1.2가 사용하도록 설정되어 있지 않은 경우 이 기능을 사용하도록 설정해야 Microsoft Entra Connect V2.0을 배포할 수 있습니다.

TLS 1.2가 활성화되어 있는지 확인하는 PowerShell 스크립트는 TLS룰 확인하는 PowerShell 스크립트를 참고하세요.

TLS 1.2에 대한 자세한 내용은 Microsoft 보안 공지 2960358을 참조하세요. TLS 1.2 사용하도록 설정에 대한 자세한 내용은 TLS 1.2 사용하도록 설정 방법을 참조하세요.

버전 1.1.614.0 이전에는 Microsoft Entra Connect가 기본적으로 동기화 엔진 서버와 Microsoft Entra ID 간의 통신을 암호화하기 위해 TLS 1.0을 사용합니다. 서버에서 기본적으로 TLS 1.2를 사용하도록 .NET 애플리케이션을 구성할 수 있습니다. TLS 1.2에 대한 자세한 내용은 Microsoft 보안 공지 2960358을 참조하세요.

  1. 운영 체제에 대해 .NET 4.5.1 핫픽스를 설치했는지 확인합니다. 자세한 내용은 Microsoft 보안 공지 2960358을 참조하세요. 이 핫픽스 또는 이후 릴리스를 서버에 이미 설치했을 수 있습니다.

  2. 모든 운영 체제에 대해 이 레지스트리 키를 설정하고 서버를 다시 시작합니다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. 동기화 엔진 서버와 원격 SQL Server 간에 TLS 1.2를 사용하도록 설정하려는 경우 Microsoft SQL Server에 대한 TLS 1.2 지원을 위해 필요한 버전이 설치되어 있는지 확인합니다.

자세한 내용은 TLS 1.2를 사용하도록 설정하는 방법을 참조하세요.

동기화 서버에 대한 DCOM 필수 조건

동기화 서비스를 설치하는 동안 Microsoft Entra Connect는 다음 레지스트리 키가 있는지 확인합니다.

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

이 레지스트리 키 아래에서 Microsoft Entra Connect는 다음 값이 존재하고 손상되지 않았는지 확인합니다.

페더레이션 설치 및 구성을 위한 필수 조건

Windows 원격 관리

Microsoft Entra Connect를 사용하여 AD FS 또는 WAP(웹 애플리케이션 프록시)를 배포하는 경우 다음 요구 사항을 확인합니다.

  • 대상 서버가 도메인에 가입된 경우 Windows 원격 관리가 사용되는지 확인합니다.
    • 관리자 권한 PowerShell 명령 창에서 Enable-PSRemoting –force 명령을 사용합니다.
  • 대상 서버가 도메인에 가입된 WAP 머신이 아닌 경우 몇 가지 추가 요구 사항이 있습니다.
    • 대상 컴퓨터(WAP 컴퓨터):
      • WinRM(Windows Remote Management/WS-Management) 서비스가 서비스 스냅인을 통해 실행되는지 확인합니다.
      • 관리자 권한 PowerShell 명령 창에서 Enable-PSRemoting –force 명령을 사용합니다.
    • 마법사를 실행 중인 머신(대상 머신이 도메인에 가입되지 않았거나 신뢰할 수 없는 도메인인 경우):
      • 관리자 권한 PowerShell 명령 창에서 Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate 명령을 사용합니다.
      • 서버 관리자에서 다음을 수행합니다.
        • 머신 풀에 DMZ WAP 호스트를 추가합니다. 서버 관리자에서 관리>서버 추가를 선택하고 DNS 탭을 사용합니다.
        • 서버 관리자 모든 서버 탭에서 WAP 서버를 마우스 오른쪽 단추로 클릭하고 다음으로 관리를 선택합니다. WAP 머신에 대한 로컬(도메인 아님) 자격 증명을 입력합니다.
        • 서버 관리자 모든 서버 탭에서 원격 PowerShell 연결 유효성을 검사하려면, WAP 서버를 마우스 오른쪽 단추로 클릭하고 Windows PowerShell을 선택합니다. 원격 PowerShell 세션을 설정할 수 있도록 원격 PowerShell 세션을 열어야 합니다.

TLS/SSL 인증서 요구 사항

  • AD FS 팜의 모든 노드 및 모든 웹 애플리케이션 프록시 서버에서 동일한 TLS/SSL 인증서를 사용하는 것이 가장 좋습니다.
  • 인증서는 X509 인증서여야 합니다.
  • 테스트 랩 환경의 페더레이션 서버에서 자체 서명된 인증서를 사용할 수 있습니다. 프로덕션 환경에서는 공용 인증 기관에서 인증서를 가져오는 것이 좋습니다.
    • 공개적으로 신뢰할 수 없는 인증서를 사용하면 각 웹 애플리케이션 프록시 서버에 설치된 인증서가 모든 페더레이션 서버 및 로컬 서버에서 신뢰할 수 있는 지 확인합니다.
  • 인증서의 ID는 페더레이션 서비스 이름(예: sts.contoso.com)과 일치해야 합니다.
    • ID는 dNSName 유형의 SAN(주체 대체 이름)의 확장 유형이거나, SAN 항목이 없는 경우 공통 이름으로 지정된 주체 이름입니다.
    • 그 중 하나가 페더레이션 서비스 이름과 일치하는 경우 여러 SAN 항목이 인증서에 있을 수 있습니다.
    • 작업 공간 연결을 사용하려는 경우 추가 SAN은 값 enterpriseregistration. 다음에 조직의 UPN(사용자 계정 이름) 접미사가 필요합니다(예: enterpriseregistration.contoso.com).
  • CryptoAPI 차세대(CNG) 키 및 KSP(키 스토리지 공급자)를 기준으로 하는 인증서는 지원되지 않습니다. 따라서 KSP가 아닌 CSP(암호화 서비스 공급자)를 기준으로 하는 인증서를 사용해야 합니다.
  • 와일드카드 인증서가 지원됩니다.

페더레이션 서버에 대한 이름 확인

  • 인트라넷(내부 DNS 서버) 및 엑스트라넷(도메인 등록 기관을 통한 퍼블릭 DNS) 모두의 AD FS 이름(예: sts.contoso.com)에 대한 DNS 레코드를 설정합니다. 인트라넷 DNS 레코드의 경우, CNAME 레코드가 아닌 A 레코드를 사용해야 합니다. Windows 인증이 도메인에 가입된 머신에서 제대로 작동하려면 A 레코드를 사용해야 합니다.
  • 둘 이상의 AD FS 서버 또는 웹 애플리케이션 프록시 서버를 배포하는 경우 사용자 부하 분산 장치를 구성하고 AD FS 이름(예: sts.contoso.com)에 대한 DNS 레코드가 부하 분산 장치를 가리키는지 확인합니다.
  • 인트라넷에서 Internet Explorer를 사용하는 브라우저 애플리케이션에서 Windows 통합 인증이 작동하려면 Internet Explorer에서 AD FS 이름(예: sts.contoso.com)이 인트라넷 영역에 추가되었는지를 확인합니다. 이러한 필요한 항목을 그룹 정책을 통해 제어하고 모든 도메인에 가입된 컴퓨터에 배포할 수 있습니다.

Microsoft Entra Connect 지원 구성 요소

Microsoft Entra Connect는 Microsoft Entra Connect가 설치된 서버에 다음 구성 요소를 설치합니다. 이 목록은 기본 Express 설치에 해당합니다. 동기화 서비스 설치 페이지에서 다른 SQL Server를 사용하도록 선택하는 경우 SQL Express LocalDB는 로컬로 설치되지 않습니다.

  • Microsoft Entra Connect Health
  • Microsoft SQL Server 2022 명령줄 유틸리티
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 Native Client
  • Microsoft Visual C++ 14 재배포 패키지

Microsoft Entra Connect의 하드웨어 요구 사항

다음 표에는 Microsoft Entra Connect 동기화 컴퓨터의 최소 요구 사항이 나와 있습니다.

Active Directory의 개체 수 CPU 메모리 하드 드라이브 크기
10,000개 미만 1.6GHz 6GB 70GB
10,000–50,000개 1.6GHz 6GB 70GB
50,000–100,000개 1.6GHz 16GB 100GB
처음 사용자용 SQL Server가 필요한 100,000개 이상의 개체 성능상의 이유로 로컬로 설치하는 것이 좋습니다. 다음 값은 Microsoft Entra Connect 설치에만 유효합니다. SQL Server가 동일한 서버에 설치되는 경우 추가 메모리, 드라이브, CPU가 필요합니다.
100,000–300,000개 1.6GHz 32GB 300GB
300,000–600,000개 1.6GHz 32GB 450GB
600,000개 초과 1.6GHz 32GB 500GB

AD FS 또는 웹 애플리케이션 프록시 서버를 실행하는 컴퓨터에 대한 최소 요구 사항은 다음과 같습니다.

  • CPU: 듀얼 코어 1.6GHz 이상
  • 메모리: 2GB 이상
  • Azure VM: A2 구성 이상

다음 단계

Microsoft Entra ID와 온-프레미스 ID 통합에 대해 자세히 알아봅니다.