Microsoft Entra Connect를 위한 선택적 암호 해시 동기화 구성

암호 해시 동기화는 하이브리드 ID를 설정하기 위해 사용되는 로그인 방법 중 하나입니다. Microsoft Entra Connect는 사용자 암호 해시의 해시를 온-프레미스 Active Directory 인스턴스에서 클라우드 기반 Microsoft Entra 인스턴스로 동기화합니다. 기본적으로 설정되면 동기화하는 모든 사용자에서 암호 해시 동기화가 발생합니다.

사용자의 하위 집합이 암호 해시를 Microsoft Entra ID와 동기화하지 않도록 제외하려면 이 문서의 단계별 단계를 사용하여 선택적 암호 해시 동기화를 구성할 수 있습니다.

중요한

Microsoft는 공식적으로 문서화된 구성 또는 작업 외의 Microsoft Entra Connect 동기화에 대한 수정 또는 작업을 지원하지 않습니다. 이러한 구성 또는 작업 중 어느 것이든 Microsoft Entra Connect Sync의 일관되지 않거나 지원되지 않는 상태가 될 수 있습니다. 따라서 Microsoft는 이러한 배포에 대한 효율적인 기술 지원을 제공할 수 있는 기능을 보장할 수 없습니다.

당신의 구현을 고려하십시오

구성 관리 부담을 줄이려면 먼저 암호 해시 동기화에서 제외하려는 사용자 개체 수를 고려해야 합니다. 다음의 서로 배타적인 시나리오가 귀하의 요구 사항에 부합하는지 확인하여 적합한 구성 옵션을 선택하세요.

• 제외할 사용자 수가 포함할사용자 수보다 적은 경우 이 섹션의 단계를 따릅니다.
• 제외할 사용자 수가 포함할사용자 수보다 많은 경우 이 섹션의 단계를 따릅니다.

중요한

두 구성 옵션 중 하나를 선택하면 변경 내용을 적용하는 데 필요한 초기 동기화(전체 동기화)가 다음 동기화 주기 동안 자동으로 수행됩니다.

중요한

선택적 암호 해시 동기화를 구성하면 비밀번호 쓰기 저장에 직접적인 영향이 있습니다. Microsoft Entra ID에서 시작된 암호 변경 또는 암호 재설정은 사용자가 암호 해시 동기화 범위에 있는 경우에만 온-프레미스 Active Directory에 쓰기 저장됩니다.

중요

선택적 암호 해시 동기화는 Microsoft Entra Connect 1.6.2.4 이상에서 지원됩니다. 버전보다 낮은 버전을 사용하는 경우 최신 버전으로 업그레이드합니다.

adminDescription 속성

두 시나리오는 모두 사용자의 adminDescription 특성을 특정 값으로 설정하는 방법을 사용합니다. 이렇게 하면 규칙이 적용되며, 선택적 PHS가 작동합니다.

시나리오	adminDescription 값
제외할 사용자가 포함할 사용자보다 적음	PHSFiltered
제외할 사용자가 포함할 사용자보다 많음	PHS포함됨

이 특성은 다음과 같은 방법으로 설정할 수 있습니다.

• Active Directory에서 사용자 및 컴퓨터 UI 활용
• Set-ADUser PowerShell cmdlet 사용 자세한 내용은 Set-ADUser을 참조하세요.

동기화 스케줄러를 사용하지 않도록 설정합니다.

두 시나리오를 시작하기 전에 동기화 규칙을 변경하는 동안 동기화 스케줄러를 사용하지 않도록 설정해야 합니다.

1. Windows PowerShell을 시작하고 다음을 입력합니다.

   Set-ADSyncScheduler -SyncCycleEnabled $false

2. 다음 cmdlet을 실행하여 스케줄러를 사용하지 않도록 설정했는지 확인합니다.

   Get-ADSyncScheduler

스케줄러에 대한 자세한 내용은 Microsoft Entra Connect 동기화 스케줄러참조해 주세요.

제외할 사용자가 포함할 사용자보다 적음

다음 섹션에서는 제외할 사용자 수가 포함할 사용자 수보다 적은 경우 선택적 암호 해시 동기화를 사용하도록 설정하는 방법을 설명합니다.

중요한

계속하기 전에 앞에서 설명한 대로 동기화 스케줄러를 사용하지 않도록 설정해야 합니다.

• AD에서 들어오기 – User AccountEnabled의 편집 가능한 복사본을 생성하고 암호 해시 동기화를 사용하지 않는 옵션을 해제한 후, 범위 지정 필터를 정의합니다.
• 기본 AD에서 들어오기 – User AccountEnabled의 또 다른 편집 가능한 복사본을 만들고, 암호 해시 동기화 사용 옵션을 선택한 후 범위 지정 필터를 정의합니다.
• 동기화 스케줄러를 다시 사용하도록 설정
• Active Directory에서 암호 해시 동기화에 허용하려는 사용자의 범위 특성으로 정의된 특성 값을 설정합니다.

중요

선택적 암호 해시 동기화를 구성하기 위해 제공된 단계는 Active Directory에 특성 adminDescription이 PHSFiltered값으로 채워진 사용자 개체에만 영향을 줍니다. 이 특성이 채워지지 않거나 값이 phSFiltered 이외의 값인 경우 이러한 규칙은 사용자 개체에 적용되지 않습니다.

필요한 동기화 규칙을 구성합니다.

1. 동기화 규칙 편집기를 시작하고 암호 동기화 필터를 켬으로 설정하고 규칙 유형을표준으로 설정합니다.
2. AD에서 선택적 암호 해시 동기화를 구성하려는 Active Directory 포리스트 커넥터에 대한 규칙 User AccountEnabled을 선택하고 편집을 선택합니다. 다음 대화 상자에서 예를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다.
3. 첫 번째 규칙은 비밀번호 해시 동기화를 비활성화합니다. 새 사용자 지정 규칙에 다음 이름을 지정합니다: AD에서 가져오기 - 사용자 계정 활성화 - PHS 사용자 필터링. 우선 순위 값을 100보다 낮은 숫자(예: 90 또는 사용자 환경에서 사용할 수 있는 가장 낮은 값)로 변경합니다. 암호 동기화 사용 및 사용 안 함 확인란이 선택 취소되어 있는지 확인합니다. 다음선택합니다.
4. 범위 지정 필터에서, 절 추가를 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 EQUAL을 선택한 후 값으로 PHSFiltered를 입력합니다.
5. 추가 변경은 필요하지 않습니다. 조인 규칙과 변환은 기본 복사 설정 상태로 유지되어야 하므로, 저장을(를) 선택할 수 있습니다. 커넥터의 다음 동기화 주기에서 실행되도록 전체 동기화를 알리는 경고 대화 상자에서 확인을 선택합니다.
6. 다음으로, 암호 해시 동기화가 설정된 다른 사용자 지정 규칙을 만듭니다. Active Directory 포리스트에서 선택적 암호 동기화를 구성하려는 경우 기본 규칙 In from AD – 사용자 계정 활성화됨을 다시 선택하고 편집을 선택합니다. 다음 대화 상자에서 예를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다.
7. 새 사용자 지정 규칙에 AD에서 입력 - 사용자 계정 활성화 - PHS에 포함된 사용자라는 이름을 지정합니다. 우선순위 값을 이전에 만든 규칙보다 더 낮은 숫자로 변경합니다(이 예제에서는 89). 암호 동기화 사용 확인란을 선택하고 사용 안 함 확인란을 선택 취소해야 합니다. 다음선택합니다.
   
8. 범위 지정 필터에서, 절 추가를 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 NOTEQUAL을 선택한 후 값으로 PHSFiltered를 입력합니다.
9. 추가 변경은 필요하지 않습니다. 조인 규칙과 변환은 기본 복사 설정 상태로 유지되어야 하므로, 저장을(를) 선택할 수 있습니다. 커넥터의 다음 동기화 주기에서 실행되도록 전체 동기화를 알리는 경고 대화 상자에서 확인을 선택합니다.
10. 규칙 만들기를 확인합니다. 필터 암호 동기화켜기 및 규칙 유형표준을 제거합니다. 방금 만든 새 규칙이 모두 표시되어야 합니다.

동기화 스케줄러를 다시 사용하도록 설정합니다.

필요한 동기화 규칙을 구성하는 단계를 완료한 후에는 다음 단계에 따라 동기화 스케줄러를 다시 사용하도록 설정합니다.

1. Windows PowerShell에서 다음을 실행합니다.

   set-adsyncscheduler -synccycleenabled:$true

2. 그리고 다음을 실행하여 성공적으로 설정되었는지 확인합니다.

   get-adsyncscheduler

스케줄러에 대한 자세한 내용은 Microsoft Entra Connect 동기화 스케줄러참조해 주세요.

사용자 adminDescription 특성을 편집합니다.

모든 구성이 완료되면 Active Directory의 암호 해시 동기화에서 제외하려는 모든 사용자의 adminDescription 특성을 편집하고, 범위 지정 필터 PHSFiltered에 사용되는 문자열을 추가해야 합니다.

또한 다음 PowerShell 명령을 사용하여 사용자의 adminDescription 특성을 편집할 수도 있습니다.

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

제외할 사용자가 포함할 사용자보다 많음

다음 섹션에서는 제외할 사용자 수가 포함할 사용자 수보다 많은 경우 선택적 암호 해시 동기화를 사용하도록 설정하는 방법을 설명합니다.

중요한

계속하기 전에 위에 설명된 대로 동기화 스케줄러를 사용하지 않도록 설정해야 합니다.

다음은 수행할 작업에 대한 요약입니다.

• AD에서 들어오기 – User AccountEnabled의 편집 가능한 복사본을 만들고, 암호 해시 동기화 사용 옵션을 선택 취소한 후 범위 지정 필터를 정의합니다.
• 기본 AD에서 들어오기 – User AccountEnabled의 또 다른 편집 가능한 복사본을 만들고, 암호 해시 동기화 사용 옵션을 선택한 후 범위 지정 필터를 정의합니다.
• 동기화 스케줄러를 다시 사용하도록 설정
• Active Directory에서 암호 해시 동기화에 허용하려는 사용자의 범위 특성으로 정의된 특성 값을 설정합니다.

중요함

선택적 암호 해시 동기화를 구성하기 위해 제공된 단계는 Active Directory에서 특성 adminDescription이 PHSIncluded값으로 채워진 사용자 객체에만 영향을 미칩니다. 이 특성이 채워지지 않거나 값이 phSIncluded 이외의 값인 경우 이러한 규칙은 사용자 개체에 적용되지 않습니다.

필요한 동기화 규칙을 구성합니다.

1. 동기화 규칙 편집기를 시작하고 필터로 암호 동기화를 켬과 규칙 유형을 표준으로 설정합니다.
2. AD 포리스트에 대한 In from AD - User AccountEnabled 규칙을 선택하여 선택적 암호 동기화를 구성하려면 편집을 선택하십시오. 다음 대화 상자에서 예를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다.
3. 첫 번째 규칙은 암호 해시 동기화를 사용하지 않도록 설정합니다. 새 사용자 지정 규칙에 다음 이름을 제공합니다. AD에서 로그인 - User AccountEnabled - PHS사용자 필터링. 우선 순위 값을 100보다 낮은 숫자(예: 90 또는 사용자 환경에서 사용할 수 있는 가장 낮은 값)로 변경합니다. 암호 동기화 사용 및 사용 안 함 확인란이 선택 취소되어 있는지 확인합니다. 다음선택합니다.
4. 범위 지정 필터에서, 절 추가를 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 NOTEQUAL을 선택한 후 값으로 PHSIncluded를 입력합니다.
5. 추가 변경은 필요하지 않습니다. 조인 규칙과 변환은 기본 복사 설정 상태로 유지되어야 하므로, 저장을(를) 선택할 수 있습니다. 커넥터의 다음 동기화 주기에서 실행되도록 전체 동기화를 알리는 경고 대화 상자에서 확인을 선택합니다.
6. 다음으로, 암호 해시 동기화가 설정된 다른 사용자 지정 규칙을 만듭니다. Active Directory 포리스트에서 선택적 암호 동기화를 구성하기 위해 기본 규칙 "AD – User AccountEnabled"을 다시 선택한 후, 편집을 선택합니다. 다음 대화 상자에서 예를 선택하여 원래 규칙의 편집 가능한 복사본을 만듭니다.
7. 새 사용자 지정 규칙에 AD에서 가져오기 - 사용자 계정 활성화됨 - PHS에 포함된 사용자라는 이름을 지정합니다. 우선 순위 값을 이전에 만든 규칙보다 낮은 숫자로 변경합니다(이 예제에서는 89). 암호 동기화 사용 확인란을 선택하고 사용 안 함 확인란을 선택 취소해야 합니다. 다음선택합니다.
8. 범위 지정 필터에서, 절 추가를 선택합니다. 특성 열에서 adminDescription을 선택하고 연산자 열에서 EQUAL을 선택한 후 값으로 PHSIncluded를 입력합니다.
9. 추가 변경은 필요하지 않습니다. 조인 규칙과 변환은 기본 복사 설정 상태로 유지되어야 하므로, 저장을(를) 선택할 수 있습니다. 커넥터의 다음 동기화 주기에서 실행되도록 전체 동기화를 알리는 경고 대화 상자에서 확인을 선택합니다.
10. 규칙 만들기를 확인합니다. Password Sync 켜기 필터 및 규칙 유형 표준 필터를 제거합니다. 방금 만든 두 개의 새 규칙이 표시되어야 합니다.

동기화 스케줄러를 다시 사용하도록 설정합니다.

필요한 동기화 규칙을 구성하는 단계를 완료한 후에는 다음 단계에 따라 동기화 스케줄러를 다시 사용하도록 설정합니다.

1. Windows PowerShell에서 다음을 실행합니다.

   set-adsyncscheduler-synccycleenabled$true

2. 그리고 다음을 실행하여 성공적으로 설정되었는지 확인합니다.

   get-adsyncscheduler

스케줄러에 대한 자세한 내용은 Microsoft Entra Connect 동기화 스케줄러참조해 주세요.

사용자 adminDescription 특성을 편집합니다.

모든 구성이 완료되면 Active Directory의 암호 해시 동기화에서 포함하려는 모든 사용자의 adminDescription 특성을 편집하고, 범위 지정 필터 PHSIncluded에 사용되는 문자열을 추가해야 합니다.

또한 다음 PowerShell 명령을 사용하여 사용자의 adminDescription 특성을 편집할 수도 있습니다.

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

다음 단계

• 암호 해시 동기화란?
• 암호 해시 동기화 작동 방법