Share via

Microsoft Entra Connect: 기존 테넌트가 있는 경우

  • 아티클

Microsoft Entra Connect를 사용하는 방법에 대한 항목 중 대부분은 새 Microsoft Entra 테넌트로 시작하고 여기에는 사용자 또는 다른 개체가 없다고 가정하고 있습니다. 그러나 Microsoft Entra 테넌트를 시작하고 사용자 및 기타 개체로 채우고 커넥트 사용하려는 경우 이 항목이 적합합니다.

기본 사항

Microsoft Entra ID의 개체는 클라우드 또는 온-프레미스에서 관리됩니다. 단일 개체의 경우 일부 특성 온-프레미스 및 Microsoft Entra ID의 다른 특성을 관리할 수 없습니다. 각 개체에는 해당 개체를 관리하는 위치를 나타내는 플래그가 있습니다.

일부 사용자 온-프레미스 및 클라우드의 다른 사용자를 관리할 수 있습니다. 이 구성의 일반적인 시나리오는 회계 직원과 판매 직원이 혼합된 조직입니다. 회계 근로자는 온-프레미스 AD 계정을 가지고 있지만 영업 사원은 그렇지 않지만 둘 다 Microsoft Entra ID에 계정이 있습니다. 온-프레미스의 일부 사용자와 Microsoft Entra ID의 일부 사용자를 관리합니다.

온-프레미스에도 있는 Microsoft Entra ID에서 사용자를 관리하기 시작하고 나중에 Microsoft Entra 커넥트 사용하려는 경우 고려해야 할 몇 가지 추가 문제가 있습니다.

Microsoft Entra ID의 기존 사용자와 동기화

Microsoft Entra 커넥트 동기화를 시작하면 Microsoft Entra 서비스 API는 들어오는 모든 개체를 검사 일치시킬 기존 개체를 찾으려고 시도합니다. 이 프로세스에는 userPrincipalName, proxyAddressessourceAnchor/immutableID의 세 가지 특성이 사용됩니다. userPrincipalName 또는 proxyAddresses일치를 "소프트 일치"라고 합니다. sourceAnchor일치를 "hard=match"라고 합니다. proxyAddresses 특성의 경우 SMTP:, 즉 기본 메일 주소 값만 평가에 사용됩니다.

일치는 Connect에서 나오는 새 개체에 대해서만 평가됩니다. 이러한 특성과 일치되도록 기존 개체를 변경하면 오류가 대신 표시됩니다.

Microsoft Entra ID에서 특성 값이 Microsoft Entra 커넥트 들어오는 새 개체와 동일한 개체를 찾은 경우 Microsoft Entra ID의 개체를 인수하고 이전에 클라우드 관리 개체를 온-프레미스 관리 개체로 변환합니다. 온-프레미스 AD에 값이 있는 Microsoft Entra ID의 모든 특성은 해당 온-프레미스 값으로 덮어씁니다.

Warning

Microsoft Entra ID의 모든 특성은 온-프레미스 값으로 덮어쓰게 되므로 온-프레미스 데이터가 양호한지 확인해야 합니다. 예를 들어, Microsoft 365에 관리되는 이메일 주소만 있고 온-프레미스 AD DS에서 업데이트된 상태를 유지하지 않는 경우 AD DS에 없는 Microsoft Entra ID/Microsoft 365의 모든 값이 손실됩니다.

Important

항상 기본 설정으로 사용되는 암호 동기화를 사용하는 경우 Microsoft Entra ID의 암호는 온-프레미스 AD의 암호로 덮어씁니다. 사용자가 다른 암호를 관리하는 데 사용되는 경우 커넥트 설치할 때 온-프레미스 암호를 사용해야 한다는 사실을 알려야 합니다.

이전 섹션과 경고는 계획에 고려되어야 합니다. 온-프레미스 AD DS에 반영되지 않은 Microsoft Entra ID를 많이 변경한 경우 데이터 손실을 방지하기 위해 개체를 Microsoft Entra 커넥트 동기화하기 전에 Microsoft Entra ID의 업데이트된 값으로 AD DS를 채우는 방법을 계획해야 합니다.

개체를 소프트 일치로 일치시키는 경우 Microsoft Entra ID의 개체에 sourceAnchor가 추가되어 나중에 하드 일치를 사용할 수 있습니다.

Important

Microsoft Entra ID의 기존 관리 계정과 온-프레미스 계정을 동기화하지 않는 것이 좋습니다.

하드 일치 및 소프트 일치

기본적으로 "abcdefghijklmnopqrstuv=="의 SourceAnchor 값은 온-프레미스 Active Directory MsDs-ConsistencyGUID 특성(또는 구성에 따라 ObjectGUID)을 사용하여 Microsoft Entra 커넥트 계산됩니다. 이 특성 값은 Microsoft Entra ID의 해당 ImmutableId입니다. Microsoft Entra 커넥트(동기화 엔진)가 개체를 추가하거나 업데이트하는 경우 Microsoft Entra ID는 Microsoft Entra ID에 있는 기존 개체의 ImmutableId 특성에 해당하는 sourceAnchor 값을 사용하여 들어오는 개체와 일치합니다. 일치하는 항목이 있는 경우 Microsoft Entra는 해당 개체를 인수하여 "하드 일치"라고 하는 들어오는 온-프레미스 Active Directory 개체의 속성으로 업데이트할 커넥트 있습니다. Microsoft Entra ID가 SouceAnchor 값과 일치하는 ImmutableId가 있는 개체를 찾을 수 없는 경우 들어오는 개체의 userPrincipalName 또는 기본 ProxyAddress를 사용하여 *"soft-match"라고 하는 항목에서 일치 항목을 찾으려고 합니다. 소프트 일치는 Microsoft Entra ID에 이미 있고 관리되는 개체를 온-프레미스에서 동일한 엔터티를 나타내는 새 들어오는 개체가 추가되거나 업데이트되는 것과 일치시키려고 시도합니다. Microsoft Entra ID가 들어오는 개체에 대한 하드 일치 또는 소프트 일치를 찾을 수 없는 경우 Microsoft Entra ID 디렉터리에 새 개체를 프로비전합니다. Microsoft Entra ID에서 하드 일치 기능을 사용하지 않도록 설정하는 구성 옵션을 추가했습니다. 고객이 클라우드 전용 계정을 인수해야 하는 경우가 아니면 하드 매칭을 사용하지 않도록 설정하는 것이 좋습니다.

하드 일치를 사용하지 않도록 설정하려면 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet을 사용합니다.

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

마찬가지로 Microsoft Entra ID에서 소프트 일치 옵션을 사용하지 않도록 설정하는 구성 옵션을 추가했습니다. 고객이 클라우드 전용 계정을 사용해야 하는 경우를 제외하고 소프트 일치를 사용하지 않도록 설정하는 것이 좋습니다.

소프트 일치를 사용하지 않도록 설정하려면 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet을 사용합니다.

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

참고 항목

BlockCloudObjectTakeoverThroughHardMatchEnabled 및 BlockSoftMatchEnabled는 테넌트에 대해 사용하도록 설정된 경우 모든 개체에 대한 일치를 차단하는 데 사용됩니다. 고객은 테넌트를 위해 일치 절차가 필요한 기간 동안에만 이러한 기능을 사용하지 않도록 설정하는 것이 좋습니다. 일치가 완료되고 더 이상 필요하지 않은 경우 이 플래그를 다시 True로 설정해야 합니다.

사용자 이외의 다른 개체

메일 사용이 가능한 그룹 및 연락처의 경우 proxyAddresses에 따라 소프트 일치를 수행할 수 있습니다. 하드 일치는 사용자에 대해서만 sourceAnchor/immutableID(PowerShell 사용)만 업데이트할 수 있으므로 적용되지 않습니다. 메일을 사용할 수 없는 그룹의 경우 현재 소프트 일치 또는 하드 일치가 지원되지 않습니다.

관리자 역할 고려 사항

신뢰할 수 없는 온-프레미스 사용자로부터 보호하기 위해 Microsoft Entra ID는 온-프레미스 사용자와 관리자 역할이 있는 클라우드 사용자와 일치하지 않습니다. 이 동작은 기본적으로 사용됩니다. 이 해결을 위해 다음 단계를 수행할 수 있습니다.

  1. 클라우드 전용 사용자 개체에서 디렉터리 역할을 제거합니다.
  2. 클라우드에서 격리된 개체를 하드 삭제합니다.
  3. 동기화를 트리거합니다.
  4. 필요에 따라 일치가 완료되면 디렉터리 역할을 클라우드의 사용자 개체에 다시 추가합니다.

Microsoft Entra ID의 데이터에서 새로운 온-프레미스 Active Directory 만들기

일부 고객은 Microsoft Entra ID를 사용하여 클라우드 전용 솔루션으로 시작하며 온-프레미스 AD가 없습니다. 나중에 온-프레미스 리소스를 사용하지만 Microsoft Entra 데이터를 기반으로 하는 온-프레미스 AD를 구축하려고 합니다. Microsoft Entra 커넥트 이 시나리오에 도움이 되지 않습니다. 온-프레미스에서 사용자를 만들지 않으며 온-프레미스 암호를 Microsoft Entra ID와 동일하게 설정할 수 없습니다.

온-프레미스 AD를 추가하려는 유일한 이유가 LOB(기간 업무 앱)를 지원하는 것이라면 Microsoft Entra 도메인 서비스를 대신 사용해야 합니다.

다음 단계

Microsoft Entra ID와 온-프레미스 ID 통합에 대해 자세히 알아봅니다.