Microsoft Entra Connect 그룹 쓰기 저장 활성화
Important
Microsoft Entra 커넥트 Sync의 그룹 쓰기 저장 v2 공개 미리 보기는 2024년 6월 30일 이후에 더 이상 사용할 수 없습니다. 이 기능은 이 날짜에 중단되며 커넥트 Sync에서 더 이상 지원되지 않아 클라우드 보안 그룹을 Active Directory에 프로비전할 수 없습니다.
Microsoft Entra Cloud Sync에서는 Active Directory에 클라우드 보안 그룹을 프로비전하는 데 쓰기 저장 v2 대신 사용할 수 있는 Active Directory에 대한 그룹 프로비저닝이라는 유사한 기능을 제공합니다. 클라우드 동기화에서 개발 중인 다른 새로운 기능과 함께 클라우드 동기화에서 이 기능을 향상시키기 위해 노력하고 있습니다.
커넥트 Sync에서 이 미리 보기 기능을 사용하는 고객은 구성을 커넥트 Sync에서 클라우드 동기화로 전환해야 합니다. 모든 하이브리드 동기화를 클라우드 동기화로 이동하도록 선택할 수 있습니다(요구 사항을 지원하는 경우). 클라우드 동기화를 나란히 실행하고 클라우드 보안 그룹 프로비저닝만 Active Directory로 클라우드 동기화로 이동할 수도 있습니다.
Microsoft 365 그룹을 Active Directory에 프로비전하는 고객의 경우 이 기능에 대해 그룹 쓰기 저장 v1을 계속 사용할 수 있습니다.
사용자 동기화 마법사를 사용하여 클라우드 동기화로만 이동하는 것을 평가할 수 있습니다.
그룹 쓰기 저장은 Microsoft Entra Connect 동기화를 사용하여 클라우드 그룹을 온-프레미스 Active Directory 인스턴스에 쓰기 저장할 수 있는 기능입니다.
이 문서에서는 그룹 쓰기 저장을 사용하도록 설정하는 과정을 안내합니다.
배포 단계
그룹 쓰기 저장을 사용하려면 기능의 원래 버전과 새 버전을 모두 사용하도록 설정해야 합니다. 이전에 사용자 환경에서 원래 버전을 사용하도록 설정한 경우 두 번째 단계 집합이 이미 완료되었으므로 다음 단계 중 첫 번째 집합만 사용해야 합니다.
참고 항목
환경에서 새로운 그룹 쓰기 저장 기능을 롤아웃하려면 스윙 마이그레이션 방법을 따르는 것이 좋습니다. 이 방법은 대규모 롤백이 필요한 경우 명확한 대체 계획을 제공합니다.
향상된 그룹 쓰기 저장 기능은 Microsoft Entra Connect 클라이언트 인스턴스별로가 아니라 테넌트에서 사용하도록 설정됩니다. 모든 Microsoft Entra Connect 클라이언트 인스턴스가 최소 빌드 버전 1.6.4.0 이상으로 업데이트되었는지 확인하세요.
참고 항목
모든 기존 Microsoft 365 그룹을 Active Directory에 쓰기 저장하지 않으려면 이 문서의 단계를 수행하여 기능을 사용하도록 설정하기 전에 그룹 쓰기 저장 기본 동작을 변경해야 합니다. Microsoft Entra Connect 그룹 쓰기 저장 기본 동작 수정을 참조하세요. 또한 기능의 새 버전과 원래 버전을 문서화된 순서대로 사용하도록 설정해야 합니다. 원래 기능을 먼저 사용하도록 설정하면 기존의 모든 Microsoft 365 그룹이 Active Directory에 다시 기록됩니다.
PowerShell을 사용하여 그룹 쓰기 저장 사용
Microsoft Entra Connect 서버에서 관리자 권한으로 PowerShell 프롬프트를 엽니다.
동기화 작업이 실행되고 있지 않은지 확인한 다음, 동기화 스케줄러를 사용하지 않도록 설정합니다.
Set-ADSyncScheduler -SyncCycleEnabled $falseADSync 모듈을 가져옵니다.
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'그룹 쓰기 저장 기능을 테넌트에 사용하도록 설정합니다.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true동기화 스케줄러를 다시 사용하도록 설정합니다.
Set-ADSyncScheduler -SyncCycleEnabled $true그룹 쓰기 저장이 이전에 구성되었고 Microsoft Entra Connect 마법사에서 구성되지 않은 경우 전체 동기화 주기를 실행합니다.
Start-ADSyncSyncCycle -PolicyType Initial
Microsoft Entra Connect 마법사를 사용하여 그룹 쓰기 저장 사용
이전에 그룹 쓰기 저장의 원래 버전을 사용하도록 설정하지 않은 경우 다음 단계를 계속합니다.
- Microsoft Entra Connect 서버에서 Microsoft Entra 연결 마법사를 엽니다.
- 구성을 선택한 후 다음을 선택합니다.
- 동기화 옵션 사용자 지정을 선택하고, 다음을 선택합니다.
- Microsoft Entra ID에 연결 페이지에서 자격 증명을 입력합니다. 다음을 선택합니다.
- 선택적 기능 페이지에서 이전에 구성한 옵션이 여전히 선택되어 있는지 확인합니다.
- 그룹 쓰기 저장을 선택한 후 다음을 선택합니다.
- 쓰기 저장 페이지에서, Microsoft 365에서 온-프레미스 조직으로 동기화된 개체를 저장할 Active Directory OU(조직 구성 단위)를 선택합니다. 다음을 선택합니다.
- 구성 준비 페이지에서 구성을 선택합니다.
- 구성 완료 페이지에서 끝내기를 선택합니다.
이 프로시저를 마치면 그룹 쓰기 저장이 자동으로 구성됩니다. 개체를 Active Directory로 내보내는 동안 권한 문제가 발생하면 Microsoft Entra Connect 서버에서 관리자 권한으로 Windows PowerShell을 엽니다. 다음 명령을 실행합니다. 이 단계는 선택 사항입니다.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
선택적 구성
Microsoft Entra ID에서 Active Directory로 쓰기 저장되는 그룹을 더 쉽게 찾을 수 있도록 클라우드 표시 이름을 사용하여 그룹 고유 이름을 쓰기 저장하는 옵션이 있습니다.
기본 형식:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com새 형식:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
그룹 쓰기 저장을 구성하는 경우 구성 창의 아래쪽에 확인란이 나타납니다. 확인란을 선택하여 이 기능을 사용하도록 설정합니다.
참고 항목
Microsoft Entra ID에서 Active Directory로 쓰기 저장되는 그룹에는 클라우드의 인증 원본이 있습니다. 다음 동기화 주기에서 Microsoft Entra ID에서 쓰기 저장되는 그룹에 대한 온-프레미스 변경 내용을 덮어씁니다.