Azure Active Directory 동기화로 암호 동기화 구현
업데이트: 2015년 7월 22일
중요
이 항목은 곧 보관될 예정입니다.
AADSync DirSync를 대체하는 "Azure Active Directory 커넥트"라는 새 제품이 있습니다.
Azure AD Connect는 이전에 DirSync 및 AAD 동기화로 릴리스된 구성 요소와 기능을 통합합니다.
향후 어느 시점에서 Dirsync 및 AAD Sync 대한 지원이 종료됩니다.
이러한 도구는 더 이상 기능 향상으로 개별적으로 업데이트되지 않으며 향후의 모든 개선 사항이 Azure AD 커넥트 업데이트에 포함됩니다.
암호 동기화를 사용하면 사용자가 온-프레미스 Active Directory에 로그온하는 데 사용하는 것과 같은 암호를 사용하여 Azure Active Directory에 로그온할 수 있습니다.
이 항목에서는 암호 동기화가 작동하는 방법 및 환경에서 해당 기능을 사용하도록 설정하는 방법을 이해하는 데 필요한 정보를 제공합니다.
암호 동기화란
암호 동기화는 온-프레미스 Active Directory에서 "Azure AD"(Azure Active Directory)로 사용자 암호를 동기화하는 Azure Active Directory 동기화 서비스(Azure AD 동기화)의 기능입니다. 이 기능을 사용하면 사용자가 온-프레미스 네트워크에 로그인하는 데 사용하는 것과 동일한 암호를 사용하여 Azure Active Directory 서비스(예: Office 365, Microsoft Intune, CRM Online 등)에 로그인할 수 있습니다. 암호 동기화 기반 프로세스에서는 토큰 공유/교환이 수행되지 않으므로 이 기능은 SSO(Single Sign-On) 솔루션을 제공하지 않습니다.
참고
FIPS 및 암호 동기화에 대해 구성된 Active Directory Domain Services 대한 자세한 내용은 FIPS 규격 시스템에서 암호 동기화 실패를 참조하세요.
암호 동기화 사용 가능 여부
모든 Azure Active Directory 고객은 암호 동기화를 실행할 수 있습니다. 페더레이션 인증과 같은 기타 기능과 암호 동기화의 호환성에 대한 내용은 이 항목 뒷부분을 참조하세요.
암호 동기화를 사용하려면 10월 버전 이상의 Azure AD 동기화를 실행해야 합니다(버전은 .exe 설치 프로그램 다운로드를 통해 구할 수 있음). 이 링크를 사용하여 최신 버전의 Azure AD Sync 다운로드할 수 있습니다.
암호 동기화의 작동 방식
암호 동기화는 디렉터리 동기화 도구에서 구현하는 디렉터리 동기화 기능의 확장입니다. 따라서 이 기능을 사용하려면 온-프레미스 및 Azure Active Directory 간의 디렉터리 동기화를 구성해야 합니다.
Active Directory 도메인 서비스는 실제 사용자 암호의 해시 값 표시 형식으로 암호를 저장합니다. 암호 해시를 사용하여 온-프레미스 네트워크에 로그인할 수는 없습니다. 또한 사용자의 일반 텍스트 암호에 액세스하기 위해 암호 해시를 다시 암호로 변환할 수도 없습니다. Azure AD 동기화는 암호를 동기화하기 위해 온-프레미스 Active Directory에서 사용자 암호 해시를 추출합니다. 이때 암호 해시가 Azure Active Directory 인증 서비스로 동기화되기 전에 추가적인 보안 처리가 적용됩니다. 암호 동기화 과정의 실제 흐름은 DisplayName 또는 전자 메일 주소와 같은 사용자 데이터 동기화와 비슷합니다.
암호는 다른 특성의 표준 디렉터리 동기화 기간보다 높은 빈도로 동기화됩니다. 또한 사용자별로/대개 시간순으로 동기화됩니다. 사용자 암호를 온-프레미스 AD에서 클라우드로 동기화하면 기존 클라우드 암호를 덮어씁니다.
암호 동기화 기능을 처음으로 사용하도록 설정하면 범위 내의 모든 사용자의 암호를 온-프레미스 Active Directory에서 Azure Active Directory로 동기화하는 첫 번째 동기화가 수행됩니다. 암호가 클라우드로 동기화되는 사용자 집합을 명시적으로 정의할 수는 없습니다. 이후에 암호가 온-프레미스 사용자에 의해 변경되면 암호 동기화 기능이 이를 감지하고 변경된 암호를 동기화합니다. 대부분의 경우 여기에는 몇 분 정도밖에 걸리지 않습니다. 암호 동기화 기능은 실패한 사용자 암호 동기화를 자동으로 다시 시도합니다. 암호 동기화 시도 중에 오류가 발생하면 이벤트 뷰어에 오류가 기록됩니다.
암호를 동기화해도 현재 로그온되어 있는 사용자에게는 아무런 영향이 없습니다. 클라우드 서비스에 로그인되어 있는 사용자가 온-프레미스 암호도 변경하더라도 클라우드 서비스 세션은 중단 없이 계속됩니다. 그러나 클라우드 서비스에서 사용자가 다시 인증해야 하면 새 암호를 즉시 제공해야 합니다. 이 시점에서 사용자는 새 암호, 즉 온-프레미스 Active Directory에서 클라우드로 최근 동기화된 암호를 제공해야 합니다.
보안 고려사항
암호를 동기화할 때는 사용자 암호의 일반 텍스트 버전이 암호 동기화 기능 또는 Azure AD나 기타 관련 서비스에 노출되지 않습니다.
또한 온-프레미스 Active Directory가 반대 방향으로 암호화할 수 있는 형식으로 암호를 저장할 필요도 없습니다. 온-프레미스 AD와 Azure Active Directory 간의 전송에는 Windows Active Directory 암호 해시 다이제스트가 사용됩니다. 암호 해시 다이제스트는 고객의 온-프레미스 환경에서 리소스에 액세스하는 데 사용할 수 없습니다 .
암호 정책 고려 사항
암호 동기화를 사용하도록 설정하는 경우 영향을 받는 암호 정책에는 다음의 두 가지 유형이 있습니다.
암호 복잡성 정책
암호 만료 정책
암호 복잡성 정책
암호 동기화를 사용하도록 설정하면 온-프레미스 Active Directory에 구성된 암호 복잡도 정책이 동기화되는 사용자에 대해 클라우드에 정의되어 있을 수 있는 모든 복잡도 정책을 재정의합니다. 따라서 고객 온-프레미스 Active Directory 환경에서 유효한 모든 암호를 사용하여 Azure AD 서비스에 액세스할 수 있습니다.
참고
클라우드에서 직접 만든 사용자의 암호는 클라우드 내에서 정의된 암호 정책을 계속 따릅니다.
암호 만료 정책
사용자가 암호 동기화 적용 범위 내에 있으면 클라우드 계정 암호는 "사용 기간 제한 없음"으로 설정됩니다. 따라서 사용자 암호가 온-프레미스 환경에서 만료되어도 이 만료된 암호를 사용하여 클라우드 서비스에 계속 로그인할 수 있습니다.
다음 번에 사용자가 온-프레미스 환경에서 암호를 변경하면 클라우드 암호가 업데이트됩니다.
동기화된 암호 재정의
관리자는 Azure Active Directory PowerShell을 통해 사용자 암호를 수동으로 다시 설정할 수 있습니다.
이 경우 새 암호는 사용자의 동기화된 암호를 재정의하며 클라우드에 정의된 모든 암호 정책이 새 암호에 적용됩니다.
사용자가 온-프레미스 암호를 다시 변경하면 새 암호가 클라우드로 동기화되며 수동으로 업데이트한 암호를 재정의합니다.
암호 동기화 준비
디렉터리 동기화를 수행할 수 있도록 Azure Active Directory 테넌트를 설정해야 암호 동기화가 가능하도록 해당 테넌트를 설정할 수 있습니다.
암호 동기화 사용
Azure AD 동기화 구성 마법사를 실행할 때 암호 동기화를 사용하도록 설정합니다.
선택적 기능 대화 상자에서 “암호 동기화” 확인란을 선택합니다.
.jpg "Optional features")
참고
이 프로세스에서는 전체 동기화가 트리거됩니다. 일반적으로 전체 동기화 주기를 완료하려면 다른 동기화 주기에 비해 시간이 오래 걸립니다.
암호 동기화 관리
Azure AD 동기화를 실행하는 컴퓨터의 이벤트 로그를 통해 암호 동기화 진행률을 모니터링할 수 있습니다.
암호 동기화 상태 확인
다음 기준과 일치하는 이벤트를 검토하여 사용자의 암호가 정상적으로 동기화되었는지를 확인할 수 있습니다.
| 원본 | 이벤트 ID |
|---|---|
디렉터리 동기화 |
656 |
디렉터리 동기화 |
657 |
이벤트 ID가 656인 이벤트는 처리된 암호 변경 요청 보고서를 제공합니다.
.jpg "Event ID 656")
ID가 657인 해당 이벤트에서는 이러한 요청의 결과를 제공합니다.
.jpg "Event ID 657")
이벤트에서는 앵커 및 DN 값으로 해당 개체를 확인할 수 있습니다. 앵커 값은 Get-MsoUser cmdlet에서 사용자에 대해 반환되는 ImmutableId 값에 해당합니다.
이벤트 ID 656에서는 개체 식별자 외에 온-프레미스 Active Directory에서 사용자 암호가 변경된 날짜도 제공됩니다.
.jpg "Password Change Request")
이벤트 ID 657에는 원본 개체 식별자 외에 해당 사용자 개체의 동기화 상태를 나타내는 Result 필드도 있습니다.
정상적으로 동기화된 암호는 이벤트 ID 657 이벤트에 Result 특성 값이 Success로 표시됩니다. 암호 동기화 시도가 실패하면 Result 특성의 값인 Failure입니다.
.jpg "Password Change Result")
암호 동기화 사용 안 함
Azure AD 동기화 구성 마법사를 다시 실행하여 암호 동기화를 사용하지 않도록 설정합니다.
마법사에서 해당 메시지가 표시되면 "암호 동기화" 확인란 선택을 취소합니다.
참고
이 프로세스에서는 전체 동기화가 트리거됩니다. 일반적으로 전체 동기화 주기를 완료하려면 다른 동기화 주기에 비해 시간이 오래 걸립니다.
구성 마법사를 실행하고 나면 테넌트가 암호를 더 이상 동기화하지 않습니다. 그러면 새 암호 변경 내용이 클라우드로 동기화되지 않습니다. 이전에 암호를 동기화한 사용자는 클라우드에서 암호를 수동으로 변경할 때까지 해당 암호를 사용하여 계속 로그인할 수 있습니다.