Microsoft Entra Domain Services 관리되는 도메인에서 개체 및 자격 증명을 동기화하는 방법
Microsoft Entra Domain Services 관리되는 도메인의 개체 및 자격 증명은 도메인 내에서 로컬로 만들어지거나 Microsoft Entra 테넌트에서 동기화될 수 있습니다. Domain Services를 처음 배포하면 Microsoft Entra ID에서 개체를 복제하기 위해 자동 단방향 동기화가 구성되고 시작됩니다. 이 단방향 동기화는 Microsoft Entra ID의 변경 내용에 따라 Domain Services 관리되는 도메인을 최신 상태로 유지하기 위해 백그라운드에서 계속 실행됩니다. Domain Services에서 다시 Microsoft Entra ID로 동기화가 발생하지 않습니다.
하이브리드 환경에서는 Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 도메인의 개체 및 자격 증명을 Microsoft Entra ID와 동기화할 수 있습니다. 해당 개체가 Microsoft Entra ID와 성공적으로 동기화되면 자동 백그라운드 동기화를 통해 관리되는 도메인을 사용하는 애플리케이션에서 해당 개체와 자격 증명을 사용할 수 있게 됩니다.
다음 다이어그램은 Domain Services, Microsoft Entra ID 및 선택적 온-프레미스 AD DS 환경 간의 동기화가 작동하는 방식을 보여 줍니다.
Microsoft Entra ID에서 Domain Services로 동기화
사용자 계정, 그룹 멤버 자격 및 자격 증명 해시는 Microsoft Entra ID에서 Domain Services로 단방향으로 동기화됩니다. 이 동기화 프로세스는 자동입니다. 이 동기화 프로세스를 구성하거나 모니터링하거나 관리할 필요가 없습니다. 초기 동기화는 Microsoft Entra 디렉터리의 개체 수에 따라 몇 시간에서 며칠이 걸릴 수 있습니다. 초기 동기화가 완료된 후 암호 또는 특성 변경과 같은 Microsoft Entra ID의 변경 내용은 자동으로 Domain Services에 동기화됩니다.
Microsoft Entra ID에서 사용자가 만들어지면 Microsoft Entra ID에서 암호를 변경할 때까지 Domain Services와 동기화되지 않습니다. 이 암호 변경 프로세스로 인해 Kerberos 및 NTLM 인증을 위한 암호 해시가 생성되어 Microsoft Entra ID에 저장됩니다. Domain Services에서 사용자를 성공적으로 인증하려면 암호 해시가 필요합니다.
동기화 프로세스는 설계상 단방향입니다. Domain Services에서 Microsoft Entra ID로의 변경 내용은 역동기화되지 않습니다. 관리되는 도메인은 사용자가 만들 수 있는 사용자 지정 OU를 제외하고는 대부분 읽기 전용입니다. 관리되는 도메인에서는 사용자 특성, 사용자 암호 또는 그룹 멤버 자격을 변경할 수 없습니다.
범위가 지정된 동기화 및 그룹 필터
클라우드에서 시작된 사용자 계정으로만 동기화 범위를 지정할 수 있습니다. 해당 동기화 범위 내에서 특정 그룹이나 사용자를 필터링할 수 있습니다. 클라우드 전용 그룹, 온-프레미스 그룹 또는 둘 다 중에서 선택할 수 있습니다. 범위가 지정된 동기화 구성 방법에 대한 자세한 내용은 범위가 지정된 동기화 구성을 참조하세요.
Domain Services에 대한 특성 동기화 및 매핑
다음 표에는 몇 가지 일반적인 특성과 이러한 특성이 Domain Services에 동기화되는 방법이 나열되어 있습니다.
Domain Services의 특성 | 원본 | 주의 |
---|---|---|
UPN | Microsoft Entra 테넌트의 사용자 UPN 특성 | Microsoft Entra 테넌트의 UPN 특성은 그대로 Domain Services에 동기화됩니다. 관리되는 도메인에 로그인하는 가장 신뢰할 수 있는 방법은 UPN을 사용하는 것입니다. |
SAMAccountName | Microsoft Entra 테넌트 또는 자동 생성된 사용자의 mailNickname 특성 | SAMAccountName 특성은 Microsoft Entra 테넌트의 mailNickname 특성에서 가져옵니다. 여러 사용자 계정에 같은 mailNickname 특성이 있으면 SAMAccountName이 자동으로 생성됩니다. 사용자의 mailNickname 또는 UPN 접두사가 20자보다 긴 경우에는 SAMAccountName 특성에 대한 20자 제한을 충족하기 위해 SAMAccountName이 자동으로 생성됩니다. |
암호 | Microsoft Entra 테넌트의 사용자 암호 | NTLM 또는 Kerberos 인증에 필요한 레거시 암호 해시는 Microsoft Entra 테넌트에서 동기화됩니다. Microsoft Entra Connect를 사용하여 하이브리드 동기화를 위해 Microsoft Entra 테넌트를 구성한 경우 이러한 암호 해시는 온-프레미스 AD DS 환경에서 제공됩니다. |
기본 사용자/그룹 SID | 자동 생성 | 사용자/그룹 계정의 기본 SID는 Domain Services에서 자동 생성됩니다. 이 특성은 온-프레미스 AD DS 환경에 있는 개체의 기본 사용자/그룹 SID와 일치하지 않습니다. 이 불일치는 관리되는 도메인에 온-프레미스 AD DS 도메인과 다른 SID 네임스페이스가 있기 때문입니다. |
사용자 및 그룹에 대한 SID 기록 | 온-프레미스 기본 사용자 및 그룹 SID | Domain Services의 사용자 및 그룹에 대한 SidHistory 특성은 온-프레미스 AD DS 환경의 해당 기본 사용자 또는 그룹 SID와 일치하도록 설정됩니다. 이 기능을 사용하면 리소스 ACL을 다시 만들 필요가 없으므로 온-프레미스 애플리케이션을 Domain Services로 더 쉽게 리프트 앤 시프트할 수 있습니다. |
팁
UPN 형식을 사용하여 관리되는 도메인에 로그인 관리되는 도메인의 일부 사용자 계정에 대해 AADDSCONTOSO\driley
와 같은 SAMAccountName 특성이 자동으로 생성될 수 있습니다. 사용자의 자동 생성 SAMAccountName은 UPN 접두사와 다를 수 있으므로, 항상 신뢰할 수 있는 로그인 방법은 아닙니다.
예를 들어 여러 사용자가 같은 mailNickname 특성을 사용하거나 사용자의 UPN 접두사가 너무 긴 경우 해당 사용자의 SAMAccountName이 자동으로 생성될 수 있습니다. driley@aaddscontoso.com
과 같은 UPN 형식을 사용하여 관리되는 도메인에 안정되게 로그인할 수 있습니다.
사용자 계정에 대한 특성 매핑
다음 표에서는 Microsoft Entra ID의 사용자 개체에 대한 특정 특성이 Domain Services의 해당 특성과 동기화되는 방법을 보여 줍니다.
Microsoft Entra ID의 사용자 특성 | Domain Services의 사용자 특성 |
---|---|
accountEnabled | userAccountControl(ACCOUNT_DISABLED 비트를 설정하거나 지움) |
city | l |
companyName | companyName |
country | CO |
department | department |
displayName | displayName |
employeeId | employeeId |
facsimileTelephoneNumber | facsimileTelephoneNumber |
givenName | givenName |
jobTitle | title |
mailNickname | msDS-AzureADMailNickname |
mailNickname | SAMAccountName(자동 생성되는 경우도 있음) |
관리자 | 관리자 |
mobile | mobile |
objectid | msDS-aadObjectId |
onPremiseSecurityIdentifier | sidHistory |
passwordPolicies | userAccountControl(DONT_EXPIRE_PASSWORD 비트를 설정하거나 지움) |
physicalDeliveryOfficeName | physicalDeliveryOfficeName |
postalCode | postalCode |
preferredLanguage | preferredLanguage |
proxyAddresses | proxyAddresses |
state | st |
streetAddress | streetAddress |
surname | sn |
telephoneNumber | telephoneNumber |
userPrincipalName | userPrincipalName |
그룹에 대한 특성 매핑
다음 표에서는 Microsoft Entra ID의 그룹 개체에 대한 특정 특성이 Domain Services의 해당 특성과 동기화되는 방식을 보여 줍니다.
Microsoft Entra ID의 그룹 특성 | Domain Services의 그룹 특성 |
---|---|
displayName | displayName |
displayName | SAMAccountName(자동 생성되는 경우도 있음) |
mailNickname | msDS-AzureADMailNickname |
objectid | msDS-AzureADObjectId |
onPremiseSecurityIdentifier | sidHistory |
proxyAddresses | proxyAddresses |
securityEnabled | groupType |
온-프레미스 AD DS에서 Microsoft Entra ID 및 Domain Services로 동기화
Microsoft Entra Connect는 온-프레미스 AD DS 환경의 사용자 계정, 그룹 멤버 자격 및 자격 증명 해시를 Microsoft Entra ID로 동기화하는 데 사용됩니다. UPN과 온-프레미스 SID(보안 식별자)와 같은 사용자 계정의 특성이 동기화됩니다. Domain Services를 사용하여 로그인하려면 NTLM 및 Kerberos 인증에 필요한 레거시 암호 해시도 Microsoft Entra ID와 동기화됩니다.
Important
Microsoft Entra Connect는 온-프레미스 AD DS 환경과의 동기화를 위해서만 설치 및 구성되어야 합니다. 개체를 다시 Microsoft Entra ID로 동기화하기 위해 관리되는 도메인에 Microsoft Entra Connect를 설치하는 것은 지원되지 않습니다.
쓰기 저장을 구성하면 Microsoft Entra ID의 변경 내용이 온-프레미스 AD DS 환경에 다시 동기화됩니다. 예를 들어, 사용자가 Microsoft Entra 셀프 서비스 암호 관리를 사용하여 암호를 변경하면 암호는 온-프레미스 AD DS 환경에서 다시 업데이트됩니다.
참고 항목
알려진 모든 버그에 대한 수정 사항이 있는지 확인하려면 항상 최신 버전의 Microsoft Entra Connect를 사용합니다.
다중 포리스트 온-프레미스 환경에서의 동기화
많은 조직에는 여러 포리스트를 포함하는 상당히 복잡한 온-프레미스 AD DS 환경이 있습니다. Microsoft Entra Connect는 다중 포리스트 환경의 사용자, 그룹 및 자격 증명 해시를 Microsoft Entra ID로 동기화하는 것을 지원합니다.
Microsoft Entra ID는 훨씬 단순한 단일 구조 네임스페이스를 가지고 있습니다. 사용자가 Microsoft Entra ID로 보호되는 애플리케이션에 안정적으로 액세스할 수 있도록 하려면 서로 다른 포리스트에 있는 사용자 계정 간의 UPN 충돌을 해결합니다. 관리되는 도메인은 Microsoft Entra ID와 유사한 단일 OU 구조를 사용합니다. 온-프레미스에 계층적 OU 구조를 구성한 경우에도, 모든 사용자 계정과 그룹은 다른 온-프레미스 도메인이나 포리스트에서 동기화되더라도 AADDC 사용자 컨테이너에 저장됩니다. 관리되는 도메인은 모든 계층적 OU 구조를 평면화합니다.
이전에 자세히 설명했듯이 Domain Services에서 Microsoft Entra ID로 다시 동기화되지 않습니다. Domain Services에서 사용자 지정 OU(조직 구성 단위)를 만든 다음 해당 사용자 지정 OU 내에 사용자, 그룹 또는 서비스 계정을 만들 수 있습니다. 사용자 지정 OU에서 만들어진 개체는 Microsoft Entra ID로 다시 동기화되지 않습니다. 이러한 개체는 관리되는 도메인 내에서만 사용할 수 있으며 Microsoft Graph PowerShell cmdlet, Microsoft Graph API 또는 Microsoft Entra 관리 센터를 사용하여 표시되지 않습니다.
Domain Services에 동기화되지 않는 항목
다음 개체 또는 특성은 온-프레미스 AD DS 환경에서 Microsoft Entra ID 또는 Domain Services로 동기화되지 않습니다.
- 제외된 특성: Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 환경에서 Microsoft Entra ID와의 동기화에서 특정 특성을 제외하도록 선택할 수 있습니다. 그러면 제외된 특성은 Domain Services에서 사용할 수 없습니다.
- 그룹 정책: 온-프레미스 AD DS 환경에 구성된 그룹 정책은 Domain Services와 동기화되지 않습니다.
- Sysvol 폴더: 온-프레미스 AD DS 환경에 있는 Sysvol 폴더의 콘텐츠는 Domain Services와 동기화되지 않습니다.
- 컴퓨터 개체: 온-프레미스 AD DS 환경에 조인된 컴퓨터의 컴퓨터 개체는 Domain Services와 동기화되지 않습니다. 해당 컴퓨터는 관리되는 도메인과 신뢰 관계가 없으며 온-프레미스 AD DS 환경에만 속합니다. Domain Services에는 관리되는 도메인에 명시적으로 도메인에 조인된 컴퓨터의 컴퓨터 개체만 표시됩니다.
- 사용자와 그룹의 SidHistory 특성: 온-프레미스 AD DS 환경의 기본 사용자와 기본 그룹 SID는 Domain Services에 동기화됩니다. 그러나 사용자 및 그룹의 기존 SidHistory 특성은 온-프레미스 AD DS 환경에서 Domain Services로 동기화되지 않습니다.
- OU(조직 구성 단위) 구조: 온-프레미스 AD DS 환경에 정의된 조직 구성 단위는 Domain Services와 동기화되지 않습니다. Domain Services에는 두 개의 기본 제공 OU가 있습니다. 하나는 사용자용이고 다른 하나는 컴퓨터용입니다. 관리되는 도메인은 단일 OU 구조를 가집니다. 관리되는 도메인에서 사용자 지정 OU 만들기를 선택할 수 있습니다.
암호 해시 동기화 및 보안 고려 사항
Domain Services를 사용하도록 설정하면 NTLM 및 Kerberos 인증을 위한 레거시 암호 해시가 필요합니다. Microsoft Entra ID는 일반 텍스트 암호를 저장하지 않으므로 기존 사용자 계정에 대해 이러한 해시가 자동으로 생성될 수 없습니다. NTLM 및 Kerberos 호환 암호 해시는 항상 Microsoft Entra ID에 암호화된 방식으로 저장됩니다.
암호화 키는 각 Microsoft Entra 테넌트마다 고유합니다. 이러한 해시는 Domain Services만 암호 해독 키에 액세스할 수 있도록 암호화됩니다. Microsoft Entra ID의 다른 서비스나 구성 요소는 암호 해독 키에 액세스할 수 없습니다.
그러면 레거시 암호 해시가 Microsoft Entra ID에서 관리되는 도메인의 도메인 컨트롤러로 동기화됩니다. Domain Services의 이러한 관리되는 도메인 컨트롤러에 대한 디스크는 미사용 시 암호화됩니다. 해당 암호 해시는 암호를 온-프레미스 AD DS 환경에서 저장하고 보호하는 방법과 비슷한 도메인 컨트롤러에 저장되고 보호됩니다.
클라우드 전용 Microsoft Entra 환경의 경우 필수 암호 해시를 생성하고 Microsoft Entra ID에 저장하려면 사용자가 암호를 초기화하거나 변경해야 합니다. Microsoft Entra Domain Services를 사용하도록 설정한 후 Microsoft Entra ID에서 만들어진 클라우드 사용자 계정의 경우 암호 해시가 만들어져 NTLM 및 Kerberos 호환 형식으로 저장됩니다. 모든 클라우드 사용자 계정은 Domain Services에 동기화되기 전에 암호를 변경해야 합니다.
Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 환경에서 동기화된 하이브리드 사용자 계정의 경우, NTLM 및 Kerberos 호환 형식의 암호 해시를 동기화하도록 Microsoft Entra Connect를 구성해야 합니다.
다음 단계
암호 동기화에 대한 자세한 내용은 Microsoft Entra Connect에서 암호 해시 동기화가 작동하는 방식을 참조하세요.
Domain Services를 시작하려면 관리되는 도메인을 만듭니다.