Microsoft Entra 통합 계획
Contoso의 IT 직원이 IT 환경에 클라우드 서비스 또는 애플리케이션을 구현하는 경우 일반적으로 로컬 및 클라우드 기반 애플리케이션에 단일 ID 저장소를 사용하려고 합니다. 디렉터리 동기화를 사용하면 온-프레미스 AD DS를 Microsoft Entra ID와 연결할 수 있습니다.
디렉터리 동기화란?
디렉터리 동기화를 사용하면 사용자, 그룹 및 연락처에 대한 온-프레미스 AD DS와 Microsoft Entra ID 간의 동기화가 가능합니다. 가장 간단한 형태로, 온-프레미스 도메인의 서버에 디렉터리 동기화 구성 요소를 설치합니다. 그런 다음 온-프레미스 AD DS에 대한 도메인 관리자 및 엔터프라이즈 관리자 액세스 권한이 있는 계정과 Microsoft Entra ID에 대한 관리자 액세스 권한이 있는 다른 계정을 제공하고 실행되도록 합니다.
AD DS에서 선택한 사용자 계정, 그룹 및 연락처는 Microsoft Entra ID로 복제됩니다. 그러면 사용자는 해당 계정을 사용하여 인증을 위해 Microsoft Entra ID를 사용하는 Azure 서비스에 로그인하고 액세스할 수 있습니다.
암호 동기화를 활성화하지 않으면 사용자가 온-프레미스 환경에서 별도의 암호를 사용하여 Azure 리소스에 로그인할 수 있습니다. 암호 동기화를 구현하는 경우에도 사용자가 도메인 조인 컴퓨터에서 Azure 리소스에 액세스할 때 자격 증명을 입력하라는 메시지가 표시됩니다. 암호 동기화의 장점은 Azure 리소스에 로그인할 때 사용자가 도메인 로그인에서와 동일한 사용자 이름 및 암호를 사용할 수 있다는 것입니다. 이를 SSO와 혼동하지 마세요. 암호 동기화에서 제공되는 동작을 동일한 로그인이라고 합니다.
Azure를 사용하면 로컬 AD DS에서 Azure로 동기화가 단방향으로 이루어집니다. 그러나 Microsoft Entra ID P1 또는 P2 기능을 사용하면 일부 특성이 다른 방향으로 복제됩니다. 예를 들어, 온-프레미스 AD DS와 Microsoft Entra ID의 그룹 및 디바이스에 암호를 다시 쓰도록 Azure를 구성할 수 있습니다. 전체 온-프레미스 AD DS를 동기화하지 않으려는 경우 Microsoft Entra ID에 대한 디렉터리 동기화는 다음 값을 기반으로 특성 흐름의 제한된 필터링 및 사용자 지정을 지원합니다.
- OU
- 도메인
- 사용자 특성
- 애플리케이션
Microsoft Entra Connect
Microsoft Entra Connect를 사용하여 온-프레미스 AD DS와 Microsoft Entra ID 간의 동기화를 수행할 수 있습니다. Microsoft Entra Connect는 온-프레미스 ID 인프라와 Azure 간의 연결을 지원하도록 설계된 마법사 기반 도구입니다. 마법사를 사용하여 토폴로지 및 요구 사항을 선택할 수 있습니다. 그러면 마법사가 필요한 모든 구성 요소를 배포하고 구성해 줍니다. 선택한 요구 사항에 따라 다음이 포함될 수 있습니다.
- Azure AD Sync(Azure Active Directory Sync)
- Exchange 하이브리드 배포
- 암호 변경 쓰기 저장
- AD FS 및 AD FS 프록시 서버 또는 웹 애플리케이션 프록시
- Microsoft Graph PowerShell 모듈
참고 항목
대부분의 조직에서는 Microsoft Entra Connect를 호스팅하기 위해 전용 동기화 서버를 배포합니다.
Microsoft Entra Connect를 실행하면 다음이 발생합니다.
- 온-프레미스 AD DS의 새 사용자, 그룹 및 연락처 개체가 Microsoft Entra ID에 추가됩니다. 단, Microsoft 365와 같은 클라우드 서비스의 라이선스는 해당 개체에 자동으로 할당되지 않습니다.
- 온-프레미스 AD DS에서 수정된 기존 사용자, 그룹 또는 연락처 개체의 특성은 Microsoft Entra ID에서 수정됩니다. 그러나 모든 온-프레미스 AD DS 특성이 Microsoft Entra ID와 동기화되는 것은 아닙니다. Microsoft Entra Connect의 동기화 관리자 구성 요소를 사용하여 Microsoft Entra ID에 동기화되는 특성 집합을 구성할 수 있습니다.
- 온-프레미스 AD DS에서 삭제된 기존 사용자, 그룹 및 연락처 개체는 Microsoft Entra ID에서 삭제됩니다.
- 온-프레미스에서 비활성화된 기존 사용자 개체는 Azure에서도 비활성화됩니다. 단, 라이선스는 자동으로 할당되지 않습니다.
Microsoft Entra ID에서는 모든 개체에 대해 단일 인증 원본이 있어야 합니다. 따라서 Microsoft Entra Connect 시나리오에서는 Active Directory 동기화를 실행할 때 Active Directory 사용자 및 컴퓨터 또는 Windows PowerShell과 같은 도구를 사용하여 온-프레미스 AD DS 내에서 개체를 마스터링한다는 점을 이해해야 합니다. 그러나 인증 원본은 온-프레미스 AD DS입니다. 첫 번째 동기화 주기가 완료된 후에는 인증 원본이 클라우드에서 온-프레미스 AD DS로 전송됩니다. 클라우드 개체의 모든 후속 변경 내용(라이선스 제외)은 온-프레미스 AD DS 도구에서 마스터링됩니다. 해당 클라우드 개체는 읽기 전용이며, 쓰기 저장을 허용하는 일부 기술을 구현하지 않는 한 인증 원본이 온-프레미스 AD DS인 경우 Microsoft Entra 관리자는 클라우드 개체를 편집할 수 없습니다.
Microsoft Entra Connect 실행에 필요한 권한 및 계정
Microsoft Entra Connect를 구현하려면 로컬 AD DS와 Microsoft Entra ID 모두에 할당된 필수 권한이 있는 계정이 있어야 합니다. Microsoft Entra Connect를 설치하고 구성하려면 다음 계정이 필요합니다.
- Azure 테넌트의 전역 관리자 권한이 있는 Azure 계정(예: 조직 계정)으로, 계정 자체를 설정하는 데 사용되지 않은 계정.
- 온-프레미스 AD DS의 엔터프라이즈 관리자 권한이 있는 온-프레미스 계정. Microsoft Entra Connect 마법사에서 이 목적으로 기존 계정을 사용하도록 선택하거나 마법사가 자동으로 계정을 만들도록 할 수 있습니다.
Microsoft Entra Connect는 Microsoft Entra Connect 구성 마법사가 실행될 때 Azure 전역 관리자 계정을 사용하여 개체를 프로비전하고 업데이트합니다. Azure 테넌트 관리자 계정을 사용할 수 없기 때문에 디렉터리 동기화를 사용하려면 Azure에서 전용 서비스 계정을 만들어야 합니다. 이렇게 제한하는 이유는 Azure를 설정하는 데 사용한 계정에 도메인 이름과 일치하는 도메인 이름 접미사가 없을 수도 있기 때문입니다. 계정은 전역 관리자 역할 그룹의 구성원이어야 합니다.
온-프레미스 환경에서 Microsoft Entra Connect를 설치하고 구성하는 데 사용되는 계정에는 다음 권한이 있어야 합니다.
- AD DS의 엔터프라이즈 관리자 권한. Active Directory에서 동기화 사용자 계정을 만들려면 해당 권한이 필요합니다.
- 로컬 머신 관리자 권한. Microsoft Entra Connect 소프트웨어를 설치하려면 이 권한이 필요합니다.
Microsoft Entra Connect를 구성하고 구성 마법사를 실행하는 데 사용되는 계정은 로컬 컴퓨터의 ADSyncAdmins 그룹에 있어야 합니다. 기본적으로 Microsoft Entra Connect를 설치하는 데 사용된 계정이 이 그룹에 자동으로 추가됩니다.
참고 항목
AD Connect를 설치하는 데 사용하는 계정은 제품을 설치할 때 ADSyncAdmins 그룹에 자동으로 추가됩니다. 다음 번에 계정을 사용하여 로그인할 때까지 계정에서 SID(그룹 보안 식별자)를 선택하지 않으므로 로그아웃한 후 다시 로그인하여 Synchronization Service Manager 인터페이스를 사용해야 합니다.
엔터프라이즈 관리자 계정은 Microsoft Entra Connect를 설치하고 구성할 때만 필요하지만 해당 자격 증명은 구성 마법사에 의해 저장되지 않습니다. 따라서 Microsoft Entra Connect 설치 및 구성을 위한 특수 Microsoft Entra Connect 관리자 계정을 만들고 Microsoft Entra Connect 설정 시 이 계정을 엔터프라이즈 관리자 그룹에 할당해야 합니다. 그러나 이 Microsoft Entra Connect 관리자 계정은 Microsoft Entra Connect 설정이 완료된 후 엔터프라이즈 관리자 그룹에서 제거되어야 합니다. 다음 표에서는 Microsoft Entra Connect 구성 중에 만들어진 계정을 자세히 설명합니다.
| 계정 | 설명 |
|---|---|
MSOL_<id> |
이 계정은 Microsoft Entra Connect 설치 중에 만들어지며 Azure 테넌트와 동기화되도록 구성됩니다. 해당 계정에는 온-프레미스 AD DS의 디렉터리 복제 권한 및 하이브리드 배포를 사용하는 특정 특성에 대한 쓰기 권한이 있습니다. |
AAD_<id> |
동기화 엔진의 서비스 계정입니다. 해당 계정은 임의로 생성된 복잡한 암호가 만료되지 않도록 자동으로 구성된 상태로 생성됩니다. 디렉터리 동기화 서비스는 실행될 때 서비스 계정 자격 증명을 사용하여 로컬 Active Directory를 읽은 다음 동기화 데이터베이스의 내용을 Azure에 기록합니다. 이는 Microsoft Entra Connect 구성 마법사에 입력한 테넌트 관리자 자격 증명을 사용하여 수행됩니다. |
주의
Microsoft Entra Connect는 항상 설치 중에 생성된 계정을 사용하여 실행하려고 시도하므로 Microsoft Entra Connect를 설치한 후에는 Microsoft Entra Connect의 서비스 계정을 변경해서는 안 됩니다. 계정을 변경하면 Microsoft Entra Connect 실행이 중지되고 예약된 동기화가 더 이상 발생하지 않습니다.
추가 자료
자세히 알아보려면 다음 문서를 검토하세요.