Azure AD Connect 동기화 서비스 기능
Azure AD Connect의 동기화 기능에는 두 가지 구성 요소가 있습니다.
- Azure AD Connect 동기화라고 하는 온-프레미스 구성 요소(동기화 엔진이라고도 함)
- Azure AD Connect 동기화 서비스
이 항목에서는 다음 Azure AD Connect 동기화 서비스 기능 작동 방법 및 Windows PowerShell을 사용하여 구성할 수 있는 방법에 대해 설명합니다.
이러한 설정은 Windows PowerShell용 Azure Active Directory 모듈에서 구성됩니다. Azure AD Connect에서 다운로드하여 별도로 설치합니다. 이 항목에서 설명한 cmdlet은 2016년 3월 릴리스(빌드 9031.1)에 도입되었습니다. 이 항목에서 설명하는 cmdlet이 없거나 동일한 결과가 생성되지 않는 경우 최신 버전을 실행하고 있는지 확인합니다.
Azure AD 디렉터리의 구성을 보려면 Get-MsolDirSyncFeatures를 실행합니다.
이러한 설정 중 대부분은 Azure AD Connect에서만 변경할 수 있습니다.
다음 설정은 Set-MsolDirSyncFeature에서 구성할 수 있습니다.
| DirSyncFeature | 주석 |
|---|---|
| EnableSoftMatchOnUpn | 개체가 기본 SMTP 주소뿐만 아니라 userPrincipalName에 대해 가입할 수 있습니다. |
| SynchronizeUpnForManagedUsers | 관리되는/허가된(페더레이션되지 않은) 사용자에 대한 userPrincipalName 특성을 동기화 엔진이 업데이트할 수 있습니다. |
기능을 사용하도록 설정한 후 다시 해제할 수 없습니다.
참고
2016년 8월 24일에서 중복 특성 복원력 기능은 새로운 Azure AD 디렉터리에 대해 기본적으로 활성화됩니다. 또한 이 기능은 이 날짜 이전에 생성된 디렉터리에서 롤아웃되고 사용하도록 설정됩니다. 디렉터리가 이 기능을 사용하도록 설정하면 전자 메일 알림을 받게 됩니다.
다음 설정은 Azure AD Connect에서 구성되며 Set-MsolDirSyncFeature으로 수정할 수 없습니다.
| DirSyncFeature | 주석 |
|---|---|
| DeviceWriteback | Azure AD Connect: 디바이스 쓰기 저장 사용 |
| DirectoryExtensions | Azure AD Connect 동기화: 디렉터리 확장 |
| DuplicateProxyAddressResiliencyDuplicateUPNResiliency | 내보내는 동안 전체 개체가 실패한 것이 아니라 또 다른 개체의 복제본인 경우 특성을 격리시킬 수 있습니다. |
| 암호 해시 동기화 | Azure AD Connect 동기화로 암호 해시 동기화 구현 |
| 통과 인증 | Azure Active Directory 통과 인증으로 사용자 로그인 |
| UnifiedGroupWriteback | 그룹 쓰기 저장 |
| UserWriteback | 현재 지원되지 않습니다. |
중복 특성 복원력
중복된 UPN/proxyAddresses를 가진 개체를 프로비전하는 데 실패하는 대신 중복된 특성은 "격리"되고 임시 값이 할당됩니다. 충돌이 해결되면 임시 UPN은 적절한 값으로 자동으로 변경됩니다. 자세한 내용은 ID 동기화 및 중복 특성 복원력을 참조하세요.
UserPrincipalName 소프트 일치
이 기능을 사용하도록 설정하면 기본 SMTP 주소외에도 UPN에 소프트 일치를 사용하고 항상 사용하도록 설정됩니다. Azure AD의 기존 클라우드 사용자를 온-프레미스 사용자와 일치하는 데 소프트 일치를 사용합니다.
온-프레미스 AD 계정이 클라우드에서 만든 기존 계정과 일치해야 하고 Exchange Online을 사용하지 않는 경우 이 기능은 특히 유용합니다. 이 시나리오에서는 일반적으로 클라우드에서 SMTP 특성을 설정할 이유가 없습니다.
이 기능은 새로 만든 Azure AD 디렉터리에 기본적으로 설정되어 있습니다. 다음을 실행하여 이 기능을 사용하도록 설정했는지 확인할 수 있습니다.
Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn
Azure AD 디렉터리에서 이 기능을 사용하도록 설정하지 않은 경우 다음을 실행하여 설정할 수 있습니다.
Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true
BlockSoftMatch
이 기능을 사용하도록 설정하면 소프트 일치 기능이 차단됩니다. 고객은 이 기능을 사용하도록 설정하고 테넌시에 대해 소프트 일치가 다시 필요할 때까지 사용하도록 설정하는 것이 좋습니다. 이 플래그는 소프트 일치가 완료되고 더 이상 필요하지 않은 후에 다시 사용하도록 설정해야 합니다.
예 - 테넌트에서 소프트 일치를 차단하려면 다음 cmdlet을 실행합니다.
PS C:\> Set-MsolDirSyncFeature -Feature BlockSoftMatch -Enable $True
UserPrincipalName 업데이트 동기화
이전에는 다음 조건이 모두 충족되지 않으면 온-프레미스에서 동기화 서비스를 사용한 UserPrincipalName 특성 업데이트가 차단되었습니다.
- 사용자가 관리됨(페더레이션되지 않음)
- 사용자에게 라이선스가 할당되지 않음
참고
2019년 3월부터 페더레이션된 사용자 계정에 대한 UPN 변경 내용을 동기화할 수 있습니다.
이 기능을 사용하도록 설정하면 userPrincipalName이 변경된 온-프레미스이고 암호 해시 동기화 또는 통과 인증을 사용하는 경우 동기화 엔진이 이를 업데이트할 수 있습니다.
이 기능은 새로 만든 Azure AD 디렉터리에 기본적으로 설정되어 있습니다. 다음을 실행하여 이 기능을 사용하도록 설정했는지 확인할 수 있습니다.
Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers
Azure AD 디렉터리에서 이 기능을 사용하도록 설정하지 않은 경우 다음을 실행하여 설정할 수 있습니다.
Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true
이 기능을 사용하도록 설정하면 기존 userPrincipalName 값이 그대로 유지됩니다. userPrincipalName 특성 온-프레미스의 다음 변경 시 사용자에 대한 일반 델타 동기화가 UPN을 업데이트합니다.