Microsoft Entra 클라우드 동기화의 필수 조건

  • 아티클

이 문서에서는 Microsoft Entra Cloud Sync를 ID 솔루션으로 사용하는 방법에 대한 지침을 제공합니다.

클라우드 프로비저닝 에이전트 요구 사항

Microsoft Entra 클라우드 동기화를 사용하려면 다음이 필요합니다.

  • 에이전트 서비스를 실행하기 위해 Microsoft Entra Connect Cloud Sync gMSA(그룹 관리 서비스 계정)를 만들기 위한 도메인 관리자 또는 엔터프라이즈 관리자 자격 증명.
  • 게스트 사용자가 아닌 Microsoft Entra 테넌트의 하이브리드 ID 관리자 계정입니다.
  • Windows 2016 이상 버전을 사용하는 프로비저닝 에이전트에 대한 온-프레미스 서버. 이 서버는 Active Directory 관리 계층 모델을 기준으로 계층 0 서버여야 합니다. 도메인 컨트롤러에 에이전트 설치가 지원됩니다.
    • AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
  • 고가용성이란 Microsoft Entra 클라우드 동기화가 오랫동안 장애 없이 지속적으로 작동하는 기능을 의미합니다. Microsoft Entra 클라우드 동기화는 여러 활성 에이전트를 설치하고 실행함으로써 하나의 에이전트가 실패하더라도 계속 작동할 수 있습니다. Microsoft는 고가용성을 위해 3개의 활성 에이전트를 설치할 것을 권장합니다.
  • 온-프레미스 방화벽 구성

그룹 관리 서비스 계정

그룹 관리 서비스 계정은 자동 암호 관리, 간소화된 SPN(서비스 사용자 이름) 관리, 다른 관리자에게 관리를 위임하는 기능 및 여러 서버에서 이 기능을 확장하는 관리되는 도메인 계정입니다. Microsoft Entra 클라우드 동기화는 에이전트 실행을 위해 gMSA를 지원하고 사용합니다. 이 계정을 만들기 위해 설치하는 동안 관리 자격 증명을 입력하라는 메시지가 표시됩니다. 계정이 .로 domain\provAgentgMSA$표시됩니다. gMSA에 대한 자세한 내용은 그룹 관리 서비스 계정을 참조 하세요.

gMSA에 대한 필수 구성 요소

  1. gMSA 도메인 포리스트의 Active Directory 스키마를 Windows Server 2012 이상으로 업데이트해야 합니다.
  2. do기본 컨트롤러의 PowerShell RSAT 모듈
  3. 도메인에 있는 하나 이상의 도메인 컨트롤러가 Windows Server 2012 이상을 실행 중이어야 합니다.
  4. 에이전트가 설치되는 도메인 가입 서버가 Windows Server 2016 이상이어야 합니다.

사용자 지정 gMSA 계정

사용자 지정 gMSA 계정을 만드는 경우 계정에 다음 권한이 있는지 확인해야 합니다.

Type 이름 Access 적용 대상
허용 gMSA 계정 모든 속성 읽기 하위 디바이스 개체
허용 gMSA 계정 모든 속성 읽기 하위 InetOrgPerson 개체
허용 gMSA 계정 모든 속성 읽기 하위 Computer 개체
허용 gMSA 계정 모든 속성 읽기 하위 foreignSecurityPrincipal 개체
허용 gMSA 계정 전체 컨트롤 하위 Group 개체
허용 gMSA 계정 모든 속성 읽기 하위 사용자 개체
허용 gMSA 계정 모든 속성 읽기 하위 Contact 개체
허용 gMSA 계정 사용자 개체 만들기/삭제 이 개체 및 모든 하위 개체

gMSA 계정을 사용하도록 기존 에이전트를 업그레이드하는 방법에 대한 단계는 그룹 관리 서비스 계정을 참조하세요.

그룹 관리 서비스 계정을 위해 Active Directory를 준비하는 방법에 관한 자세한 내용은 그룹 관리 서비스 계정 개요를 참조하세요.

Microsoft Entra 관리 센터에서

  1. Microsoft Entra 테넌트에 클라우드 전용 하이브리드 ID 관리자 계정을 만듭니다. 이러한 방식으로 온-프레미스 서비스가 실패하거나 사용할 수 없게 되면 테넌트의 구성을 관리할 수 있습니다. 클라우드 전용 하이브리드 ID 관리자 계정 추가 방법에 대해 자세히 알아봅니다. 테넌트에서 잠기지 않도록 하려면 이 단계를 완료하는 것이 중요합니다.
  2. Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가합니다. 사용자는 이러한 도메인 이름 중 하나로 로그인할 수 있습니다.

Active Directory의 디렉터리에서

IdFix 도구를 실행하여 동기화를 위한 디렉터리 특성을 준비합니다.

온-프레미스 환경에서

  1. 4GB 이상의 RAM 및 .NET 4.7.1 이상의 런타임을 사용하여 Windows Server 2016 이상을 실행하는 도메인 조인 호스트 서버를 식별합니다.
  2. 로컬 서버에 대한 PowerShell 실행 정책을 Undefined 또는 RemoteSigned로 설정해야 합니다.
  3. 서버와 Microsoft Entra ID 사이에 방화벽이 있는 경우 방화벽 및 프록시 요구 사항을 참조 하세요.

참고 항목

Windows Server Core에 클라우드 프로비저닝 에이전트 설치는 지원되지 않습니다.

Active Directory에 Microsoft Entra ID 프로비전 - 필수 구성 요소

Active Directory에 프로비저닝 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

일반 요구 사항

  • 하이브리드 관리이상 역할을 가진 Microsoft Entra 계정입니다.
  • Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
    • AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
  • 빌드 버전 1.1.1370.0 이상을 사용하여 에이전트를 프로비전합니다.

참고 항목

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.

이러한 권한은 기본적으로 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet에 관리SDHolder 개체에 적용되지 않습니다.

  • 프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 do기본 컨트롤러와 통신할 수 있어야 합니다.
    • 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요
  • 빌드 버전 2.2.8.0 이상이 포함된 Microsoft Entra 커넥트
    • Microsoft Entra Connect를 사용하여 동기화된 온-프레미스 사용자 멤버 자격을 지원하는 데 필요
    • AD:user:objectGUID를 AAD:user:onPremisesObjectIdentifier와 동기화하는 데 필요

지원되는 그룹

다음만 지원됩니다.

  • 클라우드에서 만든 보안 그룹 만 지원됩니다.
  • 이러한 그룹은 할당되거나 동적 멤버 자격을 가질 수 있습니다.
  • 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
  • 동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 do기본 또는 cross-do기본일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
  • 이러한 그룹은 범용 AD 그룹 범위로 다시 작성됩니다. 온-프레미스 환경은 범용 그룹 범위를 지원해야 합니다.
  • 멤버가 50,000명보다 큰 그룹은 지원되지 않습니다.
  • 각 직접 자식 중첩 그룹은 참조 그룹에서 하나의 멤버로 계산됩니다.
  • Active Directory에서 그룹을 수동으로 업데이트하는 경우 Microsoft Entra ID와 Active Directory 간의 그룹 조정은 지원되지 않습니다.

추가 정보

다음은 Active Directory에 그룹을 프로비전하는 방법에 대한 추가 정보입니다.

  • 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스 동기화된 사용자 및/또는 추가 클라우드 생성 보안 그룹만 포함할 수 있습니다.
  • 이러한 모든 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
  • onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
  • 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra Cloud Sync(1.1.1370.0) 또는 Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 동기화할 수 있습니다.
  • Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 Microsoft Entra Cloud Sync 대신 사용자를 동기화하고 AD에 프로비저닝을 사용하려는 경우 2.2.8.0 이상이어야 합니다.
  • 일반 Microsoft Entra ID 테넌트만 Microsoft Entra ID에서 Active Directory로 프로비전할 수 있습니다. B2C와 같은 테넌트는 지원되지 않습니다.
  • 그룹 프로비저닝 작업은 20분마다 실행되도록 예약됩니다.

더 많은 요구 사항

TLS 요구 사항

참고 항목

TLS(전송 계층 보안)는 보안 통신을 지원하는 프로토콜입니다. TLS 설정을 변경하면 전체 포리스트에 영향을 줍니다. 자세한 내용은 TLS 1.1 및 TLS 1.2를 Windows의 WinHTTP에서 기본 보안 프로토콜로 사용하는 업데이트를 참조하세요.

Microsoft Entra Connect 클라우드 프로비전 에이전트를 호스팅하는 Windows 서버는 설치하기 전에 TLS 1.2를 사용하도록 설정해야 합니다.

TLS 1.2를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. 콘텐츠를 .reg 파일에 복사하여 다음 레지스트리 키를 설정한 다음 파일을 실행합니다(마우스 오른쪽 단추를 클릭하고 병합 선택).

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. 서버를 다시 시작합니다.

방화벽 및 프록시 요구 사항

서버와 Microsoft Entra ID 사이에 방화벽이 있는 경우 다음 항목을 구성합니다.

  • 에이전트가 다음 포트를 통해 Microsoft Entra ID에 대한 아웃바운드 요청을 할 수 있는지 확인합니다.

    포트 번호 설명
    80 TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록)을 다운로드합니다.
    443 서비스와의 모든 아웃바운드 통신을 처리합니다.
    8080(선택 사항) 443 포트를 사용할 수 없는 경우 에이전트는 8080 포트를 통해 10분마다 해당 상태를 보고합니다. 이 상태는 Microsoft Entra 관리 센터에 표시됩니다.

  • 방화벽이 원래 사용자에 따라 규칙에 적용되는 경우 네트워크 서비스로 실행하는 Windows 서비스의 트래픽에 대해 이러한 포트를 엽니다.

  • 방화벽 또는 프록시를 통해 안전한 접미사를 지정할 수 있으면 다음 연결을 추가합니다.

URL 설명
*.msappproxy.net
*.servicebus.windows.net		 에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com		 에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80		 에이전트는 다음과 같은 URL을 사용하여 인증서를 확인합니다.
login.windows.net 에이전트는 등록 프로세스 동안 다음과 같은 URL을 사용합니다.

NTLM 요구 사항

Microsoft Entra 프로비저닝 에이전트를 실행하는 Windows Server에서 NTLM을 사용하도록 설정해서는 안 되며, 사용하도록 설정된 경우 사용하지 않도록 설정해야 합니다.

알려진 제한 사항

알려진 제한 사항은 다음과 같습니다.

델타 동기화

  • 델타 동기화에 대한 그룹 범위 필터링은 50,000명 이상의 멤버를 지원하지 않습니다.
  • 그룹 범위 지정 필터의 일부로 사용되는 그룹을 삭제하는 경우 그룹의 멤버인 사용자는 삭제되지 않습니다.
  • 범위에 있는 OU 또는 그룹의 이름을 바꾸면 델타 동기화에서 사용자를 제거하지 않습니다.

프로비저닝 로그

  • 프로비전 로그는 만들기 및 업데이트 작업을 명확하게 구분하지 않습니다. 업데이트에 대한 만들기 작업과 만들기에 대한 업데이트 작업이 표시될 수 있습니다.

그룹 이름 바꾸기 또는 OU 이름 바꾸기

  • 지정된 구성의 범위에 있는 AD의 그룹 또는 OU 이름을 바꾸면 클라우드 동기화 작업에서 AD의 이름 변경을 인식할 수 없습니다. 이 작업은 격리에 들어가지 않으며 다시 정상으로 기본.

범위 지정 필터

OU 범위 지정 필터를 사용하는 경우

  • 지정된 구성에 대해 최대 59개의 개별 OU 혹은 보안 그룹을 동기화할 수 있습니다.
  • 중첩 OU가 지원됩니다(즉, 130개의 중첩된 OU가 있는 OU를 동기화할 수 있지만 동일한 구성에서 60개의 개별 OU를 동기화할 수는 없음).

암호 해시 동기화

  • InetOrgPerson과 암호 해시 동기화를 사용하는 것은 지원되지 않습니다.

다음 단계