다음을 통해 공유

Microsoft Entra Connect를 위한 선택적 암호 해시 동기화 구성

  • 아티클

암호 해시 동기화는 하이브리드 ID를 설정하기 위해 사용되는 로그인 방법 중 하나입니다. Microsoft Entra Connect는 사용자 암호 해시의 해시를 온-프레미스 Active Directory 인스턴스에서 클라우드 기반 Microsoft Entra 인스턴스로 동기화합니다. 기본적으로 설정되면 동기화하는 모든 사용자에서 암호 해시 동기화가 발생합니다.

사용자의 하위 집합이 암호 해시를 Microsoft Entra ID와 동기화하지 않도록 제외하려면 이 문서의 단계별 단계를 사용하여 선택적 암호 해시 동기화를 구성할 수 있습니다.

Important

Microsoft는 공식적으로 문서화된 구성 또는 작업 외의 Microsoft Entra Connect 동기화에 대한 수정 또는 작업을 지원하지 않습니다. 이러한 구성 또는 작업 중 어느 것이든 Microsoft Entra Connect Sync의 일관되지 않거나 지원되지 않는 상태가 될 수 있습니다. 따라서 Microsoft는 이러한 배포에 대한 효율적인 기술 지원을 제공할 수 있는 기능을 보장할 수 없습니다.

구현 고려

구성 관리 부담을 줄이려면 먼저 암호 해시 동기화에서 제외하려는 사용자 개체 수를 고려해야 합니다. 다음의 서로 배타적인 시나리오가 귀하의 요구 사항에 부합하는지 확인하여 적합한 구성 옵션을 선택하세요.

  • 제외할 사용자 수가 포함할사용자 수보다 적은 경우 이 섹션의 단계를 따릅니다.
  • 제외할 사용자 수가 포함할사용자 수보다 많은 경우 이 섹션의 단계를 따릅니다.

Important

두 구성 옵션 중 하나를 선택하면 변경 내용을 적용하는 데 필요한 초기 동기화(전체 동기화)가 다음 동기화 주기 동안 자동으로 수행됩니다.

Important

선택적 암호 해시 동기화를 구성하면 비밀번호 쓰기 저장에 직접적인 영향이 있습니다. Microsoft Entra ID에서 시작된 암호 변경 또는 암호 재설정은 사용자가 암호 해시 동기화 범위에 있는 경우에만 온-프레미스 Active Directory에 쓰기 저장됩니다.

Important

선택적 암호 해시 동기화는 Microsoft Entra Connect 1.6.2.4 이상에서 지원됩니다. 버전보다 낮은 버전을 사용하는 경우 최신 버전으로 업그레이드합니다.

adminDescription 특성

두 시나리오는 모두 사용자의 adminDescription 특성을 특정 값으로 설정하는 방법을 사용합니다. 이렇게 하면 규칙이 적용되며, 선택적 PHS가 작동합니다.

시나리오 adminDescription 값
제외할 사용자가 포함할 사용자보다 적음 PHSFiltered
제외할 사용자가 포함할 사용자보다 많음 PHSIncluded

이 특성은 다음과 같은 방법으로 설정할 수 있습니다.

  • Active Directory 사용자 및 컴퓨터 UI 사용
  • Set-ADUser PowerShell cmdlet 사용 자세한 내용은 Set-ADUser을 참조하세요.

동기화 스케줄러를 사용하지 않도록 설정합니다.

두 시나리오를 시작하기 전에 동기화 규칙을 변경하는 동안 동기화 스케줄러를 사용하지 않도록 설정해야 합니다.

  1. Windows PowerShell을 시작하고 다음을 입력합니다.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. 다음 cmdlet을 실행하여 스케줄러를 사용하지 않도록 설정했는지 확인합니다.

    Get-ADSyncScheduler

스케줄러에 대한 자세한 내용은 Microsoft Entra Connect 동기화 스케줄러참조해 주세요.

제외할 사용자가 포함할 사용자보다 적음

다음 섹션에서는 제외할 사용자 수가 포함할 사용자 수보다 적은 경우 선택적 암호 해시 동기화를 사용하도록 설정하는 방법을 설명합니다.

Important

계속하기 전에 앞에서 설명한 대로 동기화 스케줄러를 사용하지 않도록 설정해야 합니다.

  • 암호 해시 동기화 사용 옵션을 선택 취소하고 AD에서 들어오기 – User AccountEnabled의 편집 가능한 복사본을 만든 후 범위 지정 필터를 정의합니다.
  • 암호 해시 동기화 사용 옵션을 선택하고 기본 AD에서 들어오기 – User AccountEnabled의 또 다른 편집 가능한 복사본을 만든 후 범위 지정 필터를 정의합니다.
  • 동기화 스케줄러를 다시 사용하도록 설정
  • Active Directory에서 암호 해시 동기화에 허용하려는 사용자의 범위 특성으로 정의된 특성 값을 설정합니다.

Important

선택적 암호 해시 동기화를 구성하기 위해 제공된 단계는 Active Directory에 특성 adminDescriptionPHSFiltered값으로 채워진 사용자 개체에만 영향을 줍니다. 이 특성이 채워지지 않거나 값이 phSFiltered 이외의 값인 경우 이러한 규칙은 사용자 개체에 적용되지 않습니다.

필요한 동기화 규칙을 구성합니다.

  1. 동기화 규칙 편집기를 시작하고 암호 동기화 필터를 으로 설정하고 규칙 유형을표준으로 설정합니다. 동기화 규칙 편집기 시작
  2. AD에서 선택적 암호 해시 동기화를 구성하려는 Active Directory 포리스트 커넥터에 대한 규칙 User AccountEnabled을 선택하고 편집을 선택합니다. 다음 대화 상자에서 를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다. 규칙 선택
  3. 첫 번째 규칙은 비밀번호 해시 동기화를 비활성화합니다. 새 사용자 지정 규칙에 다음 이름을 지정합니다: AD에서 가져오기 - 사용자 계정 활성화 - PHS 사용자 필터링. 우선 순위 값을 100보다 낮은 숫자(예: 90 또는 사용자 환경에서 사용할 수 있는 가장 낮은 값)로 변경합니다. 암호 동기화 사용사용 안 함 확인란이 선택 취소되어 있는지 확인합니다. 다음선택합니다. 인바운드 편집
  4. 범위 지정 필터에서, 절 추가를 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 EQUAL을 선택한 후 값으로 PHSFiltered를 입력합니다. 범위 지정 필터
  5. 추가 변경은 필요하지 않습니다. 조인 규칙변환은 기본 복사 설정 상태로 유지되어야 하므로, 저장을(를) 선택할 수 있습니다. 커넥터의 다음 동기화 주기에서 실행되도록 전체 동기화를 알리는 경고 대화 상자에서 확인을 선택합니다. 규칙 저장
  6. 다음으로, 암호 해시 동기화가 설정된 다른 사용자 지정 규칙을 만듭니다. AD – 사용자 AccountEnabled에 대한 기본 규칙 을 다시 선택하고 선택적 암호 동기화를 구성하려는 Active Directory 포리스트에서 편집을 선택합니다. 다음 대화 상자에서 를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다. 사용자 지정 규칙
  7. 새 사용자 지정 규칙에 AD에서 들어오기 - User AccountEnabled - PHS에 포함할 사용자라는 이름을 지정합니다. 우선순위 값을 이전에 만든 규칙보다 더 낮은 숫자로 변경합니다(이 예제에서는 89). 암호 동기화 사용 확인란을 선택하고 사용 안 함 확인란을 선택 취소해야 합니다. 다음선택합니다.
    새 규칙 편집
  8. 범위 지정 필터에서 절 추가을(를) 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 NOTEQUAL을 선택한 후 값으로 PHSFiltered를 입력합니다. 범위 규칙
  9. 추가 변경은 필요하지 않습니다. 조인 규칙변환의 기본 복사 설정은 그대로 남겨두어야 하며, 그래야 저장을(를) 선택할 수 있습니다. 커넥터의 다음 동기화 주기에서 전체 동기화가 실행될 것임을 알리는 경고 대화 상자에서 확인을 선택합니다. 조인 규칙
  10. 규칙 만들기를 확인합니다. 필터 암호 동기화 켜기 및 규칙 유형 표준을 제거합니다. 방금 만든 새 규칙이 모두 표시되어야 합니다. 규칙 확인

동기화 스케줄러를 다시 사용하도록 설정합니다.

필요한 동기화 규칙을 구성하는 단계를 완료한 후에는 다음 단계에 따라 동기화 스케줄러를 다시 사용하도록 설정합니다.

  1. Windows PowerShell에서 다음을 실행합니다.

    set-adsyncscheduler -synccycleenabled:$true

  2. 그리고 다음을 실행하여 성공적으로 설정되었는지 확인합니다.

    get-adsyncscheduler

스케줄러에 대한 자세한 내용은 Microsoft Entra Connect 동기화 스케줄러 을 참조하세요.

사용자 adminDescription 특성을 편집합니다.

모든 구성이 완료되면 Active Directory의 암호 해시 동기화에서 제외하려는 모든 사용자의 adminDescription 특성을 편집하고, 범위 지정 필터 PHSFiltered에 사용되는 문자열을 추가해야 합니다.

특성 편집

또한 다음 PowerShell 명령을 사용하여 사용자의 adminDescription 특성을 편집할 수도 있습니다.

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

제외할 사용자가 포함할 사용자보다 많음

다음 섹션에서는 제외할 사용자 수가 포함할 사용자 수보다 많은 경우 선택적 암호 해시 동기화를 사용하도록 설정하는 방법을 설명합니다.

Important

계속하기 전에 위에 설명된 대로 동기화 스케줄러를 사용하지 않도록 설정해야 합니다.

다음은 수행할 작업에 대한 요약입니다.

  • 암호 해시 동기화 사용 옵션을 선택 취소하고 AD에서 들어오기 – User AccountEnabled의 편집 가능한 복사본을 만든 후 범위 지정 필터를 정의합니다.
  • 암호 해시 동기화 사용 옵션을 선택하고 기본 AD에서 들어오기 – User AccountEnabled의 또 다른 편집 가능한 복사본을 만든 후 범위 지정 필터를 정의합니다.
  • 동기화 스케줄러를 다시 사용하도록 설정
  • Active Directory에서 암호 해시 동기화에 허용하려는 사용자의 범위 특성으로 정의된 특성 값을 설정합니다.

Important

선택적 암호 해시 동기화를 구성하기 위해 제공된 단계는 Active Directory에서 특성 adminDescriptionPHSIncluded값으로 채워진 사용자 객체에만 영향을 미칩니다. 이 특성이 채워지지 않거나 값이 phSIncluded 이외의 값인 경우 이러한 규칙은 사용자 개체에 적용되지 않습니다.

필요한 동기화 규칙을 구성합니다.

  1. 동기화 규칙 편집기를 시작하고 필터 암호 동기화 규칙 유형 표준을 설정합니다. 규칙 유형
  2. AD에서 규칙 In을 선택하고, 선택적 암호 동기화를 구성하려는 Active Directory 포리스트에 대한 User AccountEnabled을 선택한 다음편집 을 선택합니다. 다음 대화 상자에서 를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다. AD에서 들어오기
  3. 첫 번째 규칙은 암호 해시 동기화를 사용하지 않도록 설정합니다. 새 사용자 지정 규칙에 다음 이름을 제공합니다. AD에서 로그인 - User AccountEnabled - PHS사용자 필터링. 우선 순위 값을 100보다 낮은 숫자(예: 90 또는 사용자 환경에서 사용할 수 있는 가장 낮은 값)로 변경합니다. 암호 동기화 사용사용 안 함 확인란이 선택 취소되어 있는지 확인합니다. 을 선택한 후 다음을 선택합니다. 우선 순위 설정
  4. 범위 지정 필터에서, 절 추가을 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 NOTEQUAL을 선택한 후 값으로 PHSIncluded를 입력합니다. 절 추가
  5. 추가 변경은 필요하지 않습니다. 조인 규칙변환의 기본 복사 설정을 그대로 두어야 하므로 지금 저장을 선택할 수 있습니다. 커넥터의 다음 동기화 주기에서 실행되도록 전체 동기화를 알리는 경고 대화 상자에서 확인 선택합니다. 변환
  6. 다음으로, 암호 해시 동기화가 설정된 다른 사용자 지정 규칙을 만듭니다. Active Directory에서 기본 규칙을 다시 선택하고, 선택적 암호 동기화를 구성하고자 하는 Active Directory 포리스트에 대해 사용자 계정 활성화을 선택한 후,편집을 클릭합니다. 다음 대화 상자에서 를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다. 사용자 AccountEnabled
  7. 새 사용자 지정 규칙에 AD에서 들어오기 - User AccountEnabled - PHS에 포함할 사용자라는 이름을 지정합니다. 우선 순위 값을 이전에 만든 규칙보다 낮은 숫자로 변경합니다(이 예제에서는 89). 암호 동기화 사용 확인란을 선택하고 사용 안 함 확인란을 선택 취소해야 합니다. 을 선택한 후다음을 선택합니다. 암호 동기화 사용
  8. 범위 지정 필터에서 절 추가를 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 EQUAL을 선택한 후 값으로 PHSIncluded를 입력합니다. PHSIncluded
  9. 추가 변경은 필요하지 않습니다. 조인 규칙변환 을 기본 복사 설정으로 남겨두십시오. 그러면 지금 저장 을 선택할 수 있습니다. 경고 대화 상자에서 커넥터의 다음 동기화 주기에 전체 동기화를 실행하도록 알릴 때 OK를 선택합니다. 지금 저장
  10. 규칙 만들기를 확인합니다. 필터 암호 동기화 켜기 및 규칙 유형 표준을 제거합니다. 방금 만든 새 규칙이 모두 표시되어야 합니다. 동기화 켜기

동기화 스케줄러를 다시 사용하도록 설정합니다.

필요한 동기화 규칙을 구성하는 단계를 완료한 후에는 다음 단계에 따라 동기화 스케줄러를 다시 사용하도록 설정합니다.

  1. Windows PowerShell에서 다음을 실행합니다.

    set-adsyncscheduler-synccycleenabled$true

  2. 그리고 다음을 실행하여 성공적으로 설정되었는지 확인합니다.

    get-adsyncscheduler

스케줄러에 대한 자세한 내용은 Microsoft Entra Connect 동기화 스케줄러 을 참조하세요.

사용자 adminDescription 특성을 편집합니다.

모든 구성이 완료되면 Active Directory의 암호 해시 동기화에서 포함하려는 모든 사용자의 adminDescription 특성을 편집하고, 범위 지정 필터 PHSIncluded에 사용되는 문자열을 추가해야 합니다.

특성 편집

또한 다음 PowerShell 명령을 사용하여 사용자의 adminDescription 특성을 편집할 수도 있습니다.

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

다음 단계