Microsoft Entra Connect를 사용하여 디렉터리 동기화 설치 및 구성
Microsoft Entra Connect에서는 동기화 서비스를 호스팅하기 위해 도메인 조인 컴퓨터가 필요합니다. 대부분의 조직에서는 전용 동기화 서버를 배포합니다.
요구 사항
Active Directory 테넌트를 사용하여 Azure를 설정한 후에는 다음 단계에 따라 디렉터리 동기화를 배포하는 기본 작업을 완료해야 합니다.
- AD DS 도메인을 Azure에 추가하고 도메인을 확인한 다음 해당 도메인을 주 도메인으로 설정합니다.
- Microsoft Entra Connect를 다운로드하여 설치합니다.
- Microsoft Entra Connect 구성 마법사를 실행합니다. (선택적으로 온-프레미스 AD DS 환경에서 특정 OU를 동기화하도록 Microsoft Entra Connect를 구성할 수 있습니다.)
- 암호 해시 동기화, 비밀번호 쓰기 저장 및 Exchange 하이브리드 배포와 같은 선택적 기능을 사용합니다.
- Microsoft Entra Connect를 실행하고 디렉터리 동기화를 위한 환경을 구성합니다.
- 동기화 결과의 유효성을 검사합니다.
Microsoft Entra Connect를 설정하고 초기 동기화를 수행한 후 필요한 경우 동기화 옵션을 다시 구성할 수 있습니다. Microsoft Entra Connect 소프트웨어 설치에는 디렉터리 동기화와 관련된 여러 애플리케이션이 포함되어 있습니다. Microsoft Entra Connect를 실행할 때 가장 일반적으로 사용되는 설정과 디렉터리 동기화를 설정하는 빠른 설치 설정을 사용하거나 설치 옵션을 사용자 지정하도록 선택할 수 있습니다.
사용자 지정 설치를 사용하도록 선택하는 경우 설정을 시작할 때 로컬 데이터베이스 대신 사용자 지정 SQL 서버를 사용하도록 선택할 수 있습니다. 자동 설치 프로세스에서 만든 계정을 사용하는 대신 기존 서비스 계정을 사용하도록 선택할 수도 있습니다. 또한 사용자 지정 동기화 그룹을 지정할 수 있습니다. 기본적으로 관리자, 운영자, 찾아보기 및 암호 재설정 그룹은 Microsoft Entra Connect에서 만들어지지만 이 목적을 위해 사용자 지정 그룹을 사용하도록 선택할 수 있습니다.
기본적으로 Microsoft Entra Connect는 디렉터리 동기화 모드에 대한 암호 해시 동기화를 설정합니다. 사용자 지정 설치를 선택하는 경우 통과 인증 또는 AD FS와의 페더레이션 옵션을 선택할 수도 있습니다. 또는 타사 페더레이션 서버 또는 다른 기존 솔루션이 배포되어 있는 경우 디렉터리 동기화를 수동으로 구성할 수 있습니다.
사용자 지정 Microsoft Entra Connect 설치를 통해 사용자를 식별하는 방법을 선택할 수도 있습니다. 기본적으로 설정에서는 사용자가 모든 디렉터리 중에서 한 디렉터리에만 해당한다고 가정합니다. 그러나 사용자 ID가 여러 디렉터리에 있는 시나리오의 경우 일치하는 특성을 선택해야 합니다. 다음 표에서 설명하는 옵션 중에서 선택할 수 있습니다.
| 옵션 | 설명 |
|---|---|
| 메일 특성 | 메일 특성에 다른 포리스트의 동일한 값이 있는 경우 이 옵션은 사용자 및 연락처를 연결합니다. |
| ObjectSID 및 msExchangeMasterAccountSID | 이 옵션은 계정 포리스트의 사용하도록 설정한 사용자를 Exchange 리소스 포리스트의 사용하지 않도록 설정한 사용자와 조인합니다. Exchange에서는 이를 연결된 사서함이라고도 합니다. |
| sAMAccountName 및 mailNickname | 이 옵션은 사용자의 로그인 ID가 있을 것으로 예상되는 디렉터리의 위치에 추가 특성을 조인합니다. |
| My own attribute(내 특성) | 이 옵션을 사용하면 고유한 특성을 선택할 수 있습니다. |
| 원본 앵커 | 이는 사용자 개체의 수명 동안 변경할 수 없는 특성입니다. 즉, 이 특성은 온-프레미스 사용자 개체를 Microsoft Entra ID의 사용자 개체와 연결하는 기본 키입니다. 이 용도로 사용할 특성은 나중에 변경할 수 없으므로 신중하게 선택해야 합니다. 기본 선택은 objectGUID로, 사용자 계정을 포리스트와 도메인 간에 이동하지 않는 한, 해당 특성이 변경되지 않습니다. |
동일한 창에서 UserPrincipalName 특성을 구성할 수 있습니다. 이는 사용자가 Microsoft Entra ID에 로그인할 때 사용하는 특성입니다. 이 목적으로 사용되는 도메인(UPN-suffix라고도 함)은 사용자 개체를 동기화하기 전에 Microsoft Entra ID에서 확인되어야 합니다.
경우에 따라 로컬 AD DS에서 사용자의 하위 집합만 동기화할 수도 있습니다. Microsoft Entra Connect를 사용하면 Microsoft Entra ID와 동기화하려는 특정 사용자 그룹을 선택할 수 있습니다. Microsoft Entra Connect를 실행하기 전에 이 그룹을 만들어야 합니다. 설정을 완료한 후 이 그룹에서 사용자를 추가 및 제거하여 Microsoft Entra ID에 있어야 하는 사용자 개체 목록을 유지할 수 있습니다. 또한 로컬 AD DS의 OU를 복제 범위로 사용할 수 있습니다. 마지막 단계에서 Microsoft Entra Connect를 사용하면 Microsoft Entra ID P1 또는 P2에서 사용할 수 있는 일부 선택적 기능을 설정할 수 있습니다.