Microsoft Entra Connect 동기화 서비스 기능
Microsoft Entra Connect의 동기화 기능에는 두 가지 구성 요소가 있습니다.
- Microsoft Entra Connect 동기화라고 하는 온-프레미스 구성 요소(동기화 엔진이라고도 함)
- Microsoft Entra Connect Sync 서비스라고도 하는 Microsoft Entra ID에 있는 서비스
이 항목에서는 다음 Microsoft Entra Connect 동기화 서비스 기능 작동 방법 및 PowerShell을 사용하여 구성할 수 있는 방법에 대해 설명합니다.
Graph PowerShell을 사용하여 Microsoft Entra 디렉터리의 구성을 보려면 다음 명령을 사용합니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
결과는 다음 출력과 같습니다.
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
기능을 사용하도록 설정한 후 다시 해제할 수 없습니다.
참고 항목
2016년 8월 24일에서 중복 특성 복원력 기능은 새로운 Microsoft Entra 디렉터리에 대해 기본적으로 활성화됩니다. 또한 이 기능은 이 날짜 이전에 생성된 디렉터리에서 롤아웃되고 사용하도록 설정됩니다. 디렉터리가 이 기능을 사용하도록 설정하면 전자 메일 알림을 받게 됩니다.
다음 설정은 Microsoft Entra 커넥트 구성됩니다.
| DirSyncFeature | Comment(설명) |
|---|---|
| SoftMatchOnUpn | 개체가 기본 SMTP 주소뿐만 아니라 userPrincipalName에 대해 가입할 수 있습니다. |
| SynchronizeUpnForManagedUsers | 관리되는/허가된(페더레이션되지 않은) 사용자에 대한 userPrincipalName 특성을 동기화 엔진이 업데이트할 수 있습니다. |
| DeviceWriteback | Microsoft Entra 연결: 디바이스 쓰기 저장 사용 |
| DirectoryExtensions | Microsoft Entra Connect 동기화: 디렉터리 확장 |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
내보내는 동안 전체 개체가 실패하지 않고 다른 개체의 중복인 경우 특성을 격리할 수 있습니다. |
| 암호 해시 동기화 | Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화 구현 |
| 통과 인증 | Microsoft Entra 통과 인증을 사용한 사용자 로그인 |
| UnifiedGroupWriteback | 그룹 쓰기 저장 |
| UserWriteback | 현재 지원되지 않습니다. |
중복 특성 복원력
중복된 UPN/proxyAddresses를 가진 개체를 프로비전하는 데 실패하는 대신 중복된 특성은 "격리"되고 임시 값이 할당됩니다. 충돌이 해결되면 임시 UPN은 적절한 값으로 자동으로 변경됩니다. 자세한 내용은 ID 동기화 및 중복 특성 복원력을 참조하세요.
UserPrincipalName 소프트 일치
이 기능을 사용하도록 설정하면 기본 SMTP 주소외에도 UPN에 소프트 일치를 사용하고 항상 사용하도록 설정됩니다. Microsoft Entra ID의 기존 클라우드 사용자를 온-프레미스 사용자와 일치하는 데 소프트 일치를 사용합니다.
온-프레미스 AD 계정이 클라우드에서 만든 기존 계정과 일치해야 하고 Exchange Online을 사용하지 않는 경우 이 기능은 특히 유용합니다. 이 시나리오에서는 일반적으로 클라우드에서 SMTP 특성을 설정할 이유가 없습니다.
이 기능은 새로 만든 Microsoft Entra 디렉터리에 기본적으로 설정되어 있습니다. 다음을 실행하여 이 기능을 사용하도록 설정했는지 확인할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Microsoft Entra 디렉터리에서 이 기능을 사용하도록 설정하지 않은 경우 다음을 실행하여 설정할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
이 기능을 사용하도록 설정하면 소프트 일치 기능이 차단됩니다. 고객은 이 기능을 사용하도록 설정하고 테넌시에 대해 소프트 일치가 다시 필요할 때까지 사용하도록 설정하는 것이 좋습니다. 이 플래그는 소프트 일치가 완료되고 더 이상 필요하지 않은 후에 다시 사용하도록 설정해야 합니다.
예 - 테넌트에서 소프트 일치를 차단하려면 다음 cmdlet을 실행합니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
UserPrincipalName 업데이트 동기화
이전에는 다음 조건이 모두 충족되지 않으면 온-프레미스에서 동기화 서비스를 사용한 UserPrincipalName 특성 업데이트가 차단되었습니다.
- 사용자가 관리됨(페더레이션되지 않음)
- 사용자에게 라이선스가 할당되지 않았습니다.
참고 항목
2019년 3월부터 페더레이션된 사용자 계정에 대한 UPN 변경 내용을 동기화할 수 있습니다.
이 기능을 사용하도록 설정하면 userPrincipalName이 변경된 온-프레미스이고 암호 해시 동기화 또는 통과 인증을 사용하는 경우 동기화 엔진이 이를 업데이트할 수 있습니다.
이 기능은 새로 만든 Microsoft Entra 디렉터리에 기본적으로 설정되어 있습니다. 다음을 실행하여 이 기능을 사용하도록 설정했는지 확인할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Microsoft Entra 디렉터리에서 이 기능을 사용하도록 설정하지 않은 경우 다음을 실행하여 설정할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
이 기능을 사용하도록 설정하면 기존 userPrincipalName 값이 그대로 유지됩니다. userPrincipalName 특성 온-프레미스의 다음 변경 시 사용자에 대한 일반 델타 동기화가 UPN을 업데이트합니다.