Microsoft Entra Cloud Sync를 사용하여 쓰기 저장 그룹화

이제 프로비저닝 에이전트 1.1.1370.0이 릴리스되면서 클라우드 동기화에서 그룹 쓰기 저장을 수행할 수 있습니다. 이 기능은 클라우드 동기화가 온-프레미스 Active Directory 환경에 직접 그룹을 프로비전할 수 있음을 의미합니다. 이제 ID 거버넌스 기능을 사용하여 권한 관리 액세스 패키지에 그룹을 포함하는 등 AD 기반 애플리케이션에 대한 액세스를 제어할 수도 있습니다.

Important

Microsoft Entra 커넥트 Sync의 그룹 쓰기 저장 v2 공개 미리 보기는 2024년 6월 30일 이후에 더 이상 사용할 수 없습니다. 이 기능은 이 날짜에 중단되며 커넥트 Sync에서 더 이상 지원되지 않아 클라우드 보안 그룹을 Active Directory에 프로비전할 수 없습니다.

Microsoft Entra Cloud Sync에서는 Active Directory에 클라우드 보안 그룹을 프로비전하는 데 쓰기 저장 v2 대신 사용할 수 있는 Active Directory에 대한 그룹 프로비저닝이라는 유사한 기능을 제공합니다. 클라우드 동기화에서 개발 중인 다른 새로운 기능과 함께 클라우드 동기화에서 이 기능을 향상시키기 위해 노력하고 있습니다.

커넥트 Sync에서 이 미리 보기 기능을 사용하는 고객은 구성을 커넥트 Sync에서 클라우드 동기화로 전환해야 합니다. 모든 하이브리드 동기화를 클라우드 동기화로 이동하도록 선택할 수 있습니다(요구 사항을 지원하는 경우). 클라우드 동기화를 나란히 실행하고 클라우드 보안 그룹 프로비저닝만 Active Directory로 클라우드 동기화로 이동할 수도 있습니다.

Microsoft 365 그룹을 Active Directory에 프로비전하는 고객의 경우 이 기능에 대해 그룹 쓰기 저장 v1을 계속 사용할 수 있습니다.

사용자 동기화 마법사를 사용하여 클라우드 동기화로만 이동하는 것을 평가할 수 있습니다.

그룹 쓰기 저장 비디오 보기

Active Directory에 대한 클라우드 동기화 그룹 프로비저닝의 개요와 이를 위해 수행할 수 있는 작업에 대한 자세한 내용은 아래 비디오를 검사.

Active Directory에 Microsoft Entra ID 프로비전 - 필수 구성 요소

Active Directory에 프로비저닝 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

일반 요구 사항

• 하이브리드 관리이상 역할을 가진 Microsoft Entra 계정입니다.
• Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
  • AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
• 빌드 버전 1.1.1370.0 이상을 사용하여 에이전트를 프로비전합니다.

참고 항목

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.

이러한 권한은 기본적으로 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet에 관리SDHolder 개체에 적용되지 않습니다.

• 프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 do기본 컨트롤러와 통신할 수 있어야 합니다.
  • 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요
• 빌드 버전 2.2.8.0 이상이 포함된 Microsoft Entra 커넥트
  • Microsoft Entra Connect를 사용하여 동기화된 온-프레미스 사용자 멤버 자격을 지원하는 데 필요
  • AD:user:objectGUID를 AAD:user:onPremisesObjectIdentifier와 동기화하는 데 필요

지원되는 그룹

다음만 지원됩니다.

• 클라우드에서 만든 보안 그룹 만 지원됩니다.
• 이러한 그룹은 할당되거나 동적 멤버 자격을 가질 수 있습니다.
• 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
• 동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 do기본 또는 cross-do기본일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
• 이러한 그룹은 범용 AD 그룹 범위로 다시 작성됩니다. 온-프레미스 환경은 범용 그룹 범위를 지원해야 합니다.
• 멤버가 50,000명보다 큰 그룹은 지원되지 않습니다.
• 각 직접 자식 중첩 그룹은 참조 그룹에서 하나의 멤버로 계산됩니다.
• Active Directory에서 그룹을 수동으로 업데이트하는 경우 Microsoft Entra ID와 Active Directory 간의 그룹 조정은 지원되지 않습니다.

추가 정보

다음은 Active Directory에 그룹을 프로비전하는 방법에 대한 추가 정보입니다.

• 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스 동기화된 사용자 및/또는 추가 클라우드 생성 보안 그룹만 포함할 수 있습니다.
• 이러한 모든 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
• onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
• 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra Cloud Sync(1.1.1370.0) 또는 Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 동기화할 수 있습니다.
• Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 Microsoft Entra Cloud Sync 대신 사용자를 동기화하고 AD에 프로비저닝을 사용하려는 경우 2.2.8.0 이상이어야 합니다.
• 일반 Microsoft Entra ID 테넌트만 Microsoft Entra ID에서 Active Directory로 프로비전할 수 있습니다. B2C와 같은 테넌트는 지원되지 않습니다.
• 그룹 프로비저닝 작업은 20분마다 실행되도록 예약됩니다.

Microsoft Entra Cloud Sync를 사용하여 그룹 쓰기 저장에 지원되는 시나리오

다음 섹션에서는 Microsoft Entra Cloud Sync를 사용하여 그룹 쓰기 저장에 지원되는 시나리오에 대해 설명합니다.

• Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션
• Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리

Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션

시나리오: Microsoft Entra 커넥트 Sync(이전의 Azure AD 커넥트)를 사용하여 그룹 쓰기 저장을 Microsoft Entra Cloud Sync로 마이그레이션합니다. 이 시나리오는 현재 Microsoft Entra 커넥트 그룹 쓰기 저장 v2를 사용하는 고객만을 위한 것입니다. 이 문서에 설명된 프로세스는 유니버설 범위로 다시 작성된 클라우드에서 만든 보안 그룹과만 관련이 있습니다. Microsoft Entra 커넥트 그룹 쓰기 저장 V1 또는 V2를 사용하여 다시 작성된 메일 사용 그룹 및 DL은 지원되지 않습니다.

자세한 내용은 Microsoft Entra 커넥트 Sync 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션을 참조하세요.

Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리

시나리오: 클라우드에서 프로비전되고 관리되는 Active Directory 그룹을 사용하여 온-프레미스 애플리케이션을 관리합니다. Microsoft Entra Cloud Sync를 사용하면 Microsoft Entra ID 거버넌스 기능을 활용하여 액세스 관련 요청을 제어하고 수정하는 동시에 AD의 애플리케이션 할당을 완전히 제어할 수 있습니다.

자세한 내용은 Microsoft Entra ID 거버넌스를 사용하여 Kerberos(온-프레미스 Active Directory 기반 앱)를 참조하세요.

다음 단계

• Microsoft Entra 클라우드 동기화를 사용하여 Active Directory에 그룹 프로비전
• Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리
• Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션