다음을 통해 공유


Microsoft Entra Do기본 Services 관리에서 개체와 자격 증명을 동기화하는 방법기본

Microsoft Entra Domain Services 관리되는 도메인의 개체 및 자격 증명은 도메인 내에서 로컬로 만들어지거나 Microsoft Entra 테넌트에서 동기화될 수 있습니다. Domain Services를 처음 배포하면 Microsoft Entra ID에서 개체를 복제하기 위해 자동 단방향 동기화가 구성되고 시작됩니다. 이 단방향 동기화는 Microsoft Entra ID의 변경 내용에 따라 Domain Services 관리되는 도메인을 최신 상태로 유지하기 위해 백그라운드에서 계속 실행됩니다. Domain Services에서 다시 Microsoft Entra ID로 동기화가 발생하지 않습니다.

하이브리드 환경에서는 온-프레미스 AD DS의 개체와 자격 증명이 기본 Microsoft Entra 커넥트 사용하여 Microsoft Entra ID로 동기화할 수 있습니다. 이러한 개체가 Microsoft Entra ID에 성공적으로 동기화되면 자동 백그라운드 동기화를 통해 관리되는 작업을 사용하여 애플리케이션에서 해당 개체와 자격 증명을 사용할 수 있게 됩니다기본.

다음 다이어그램은 Domain Services, Microsoft Entra ID 및 선택적 온-프레미스 AD DS 환경 간의 동기화가 작동하는 방식을 보여 줍니다.

Synchronization overview for a Microsoft Entra Domain Services managed domain

Microsoft Entra ID에서 Domain Services로 동기화

사용자 계정, 그룹 멤버 자격 및 자격 증명 해시는 Microsoft Entra ID에서 Domain Services로 단방향으로 동기화됩니다. 이 동기화 프로세스는 자동입니다. 이 동기화 프로세스를 구성하거나 모니터링하거나 관리할 필요가 없습니다. 초기 동기화는 Microsoft Entra 디렉터리의 개체 수에 따라 몇 시간에서 며칠까지 걸릴 수 있습니다. 초기 동기화가 완료된 후 암호 또는 특성 변경과 같은 Microsoft Entra ID의 변경 내용은 자동으로 Domain Services에 동기화됩니다.

Microsoft Entra ID에서 사용자가 만들어지면 Microsoft Entra ID에서 암호를 변경할 때까지 Domain Services와 동기화되지 않습니다. 이 암호 변경 프로세스로 인해 Kerberos 및 NTLM 인증을 위한 암호 해시가 생성되어 Microsoft Entra ID에 저장됩니다. Domain Services에서 사용자를 성공적으로 인증하려면 암호 해시가 필요합니다.

동기화 프로세스는 단방향으로 설계되었습니다. Domain Services에서 Microsoft Entra ID로의 변경 내용은 역동기화되지 않습니다. 관리되는 do기본 만들 수 있는 사용자 지정 OU를 제외하고 주로 읽기 전용입니다. 관리되는 do기본 내에서 사용자 특성, 사용자 암호 또는 그룹 멤버 자격을 변경할 수 없습니다.

범위가 지정된 동기화 및 그룹 필터

동기화 범위를 클라우드에서 시작된 사용자 계정으로만 지정할 수 있습니다. 해당 동기화 범위 내에서 특정 그룹이나 사용자를 필터링할 수 있습니다. 클라우드 전용 그룹, 온-프레미스 그룹 또는 둘 다 중에서 선택할 수 있습니다. 범위가 지정된 동기화를 구성하는 방법에 대한 자세한 내용은 범위가 지정된 동기화 구성을 참조 하세요.

Screenshot of group filter option.

Domain Services에 대한 특성 동기화 및 매핑

다음 표에는 몇 가지 일반적인 특성과 이러한 특성이 Domain Services에 동기화되는 방법이 나열되어 있습니다.

Domain Services의 특성 원본 주의
UPN Microsoft Entra 테넌트의 사용자 UPN 특성 Microsoft Entra 테넌트의 UPN 특성은 그대로 Domain Services에 동기화됩니다. 관리되는 do기본 로그인하는 가장 신뢰할 수 있는 방법은 UPN을 사용하는 것입니다.
SAMAccountName Microsoft Entra 테넌트의 사용자 mailNickname 특성 또는 자동 생성됨 SAMAccountName 특성은 Microsoft Entra 테넌트에 있는 mailNickname 특성에서 가져옵니다. 여러 사용자 계정에 동일한 mailNickname 특성 이 있는 경우 SAMAccountName 이 자동으로 생성됩니다. 사용자의 mailNickname 또는 UPN 접두사가 20자보다 긴 경우에는 SAMAccountName 특성에 대한 20자 제한을 충족하기 위해 SAMAccountName이 자동으로 생성됩니다.
암호 Microsoft Entra 테넌트의 사용자 암호 NTLM 또는 Kerberos 인증에 필요한 레거시 암호 해시는 Microsoft Entra 테넌트에서 동기화됩니다. Microsoft Entra 테넌트가 Microsoft Entra 커넥트 사용하여 하이브리드 동기화를 위해 구성된 경우 이러한 암호 해시는 온-프레미스 AD DS 환경에서 제공됩니다.
기본 사용자/그룹 SID 자동 생성 사용자/그룹 계정의 기본 SID는 Domain Services에서 자동 생성됩니다. 이 특성은 온-프레미스 AD DS 환경에서 개체의 기본 사용자/그룹 SID와 일치하지 않습니다. 이 불일치는 관리되는 do기본 온-프레미스 AD DS와 다른 SID 네임스페이스가 있기 때문입니다기본.
사용자 및 그룹에 대한 SID 기록 온-프레미스 기본 사용자 및 그룹 SID Domain Services의 사용자 및 그룹에 대한 SidHistory 특성은 온-프레미스 AD DS 환경의 해당 기본 사용자 또는 그룹 SID와 일치하도록 설정됩니다. 이 기능을 사용하면 리소스 ACL을 다시 만들 필요가 없으므로 온-프레미스 애플리케이션을 Domain Services로 더 쉽게 리프트 앤 시프트할 수 있습니다.

UPN 형식을 사용하여 관리되는 do기본 로그인합니다. SAMAccountNameAADDSCONTOSO\driley특성은 관리되는 do기본 일부 사용자 계정에 대해 자동으로 생성될 수 있습니다. 사용자의 자동 생성된 SAMAccountName 은 UPN 접두사와 다를 수 있으므로 항상 신뢰할 수 있는 로그인 방법은 아닙니다.

예를 들어 여러 사용자가 동일한 mailNickname 특성을 사용하거나 사용자가 UPN 접두사를 지나치게 긴 경우 이러한 사용자의 SAMAccountName 이 자동으로 생성될 수 있습니다. driley@aaddscontoso.com과 같은 UPN 형식을 사용하여 관리되는 도메인에 안정되게 로그인할 수 있습니다.

사용자 계정에 대한 특성 매핑

다음 표에서는 Microsoft Entra ID의 사용자 개체에 대한 특정 특성이 Domain Services의 해당 특성과 동기화되는 방법을 보여 줍니다.

Microsoft Entra ID의 사용자 특성 Domain Services의 사용자 특성
accountEnabled userAccountControl(ACCOUNT_DISABLED 비트 설정 또는 지우기)
city l
companyName companyName
country CO
department department
displayName displayName
employeeId employeeId
facsimileTelephoneNumber facsimileTelephoneNumber
givenName givenName
jobTitle title
mail mail
mailNickname msDS-AzureADMailNickname
mailNickname SAMAccountName(자동 생성되는 경우도 있음)
관리자 관리자
mobile mobile
objectid msDS-aadObjectId
onPremiseSecurityIdentifier sidHistory
passwordPolicies userAccountControl(DONT_EXPIRE_PASSWORD 비트를 설정하거나 지움)
physicalDeliveryOfficeName physicalDeliveryOfficeName
postalCode postalCode
preferredLanguage preferredLanguage
proxyAddresses proxyAddresses
state st
streetAddress streetAddress
surname sn
telephoneNumber telephoneNumber
userPrincipalName userPrincipalName

그룹에 대한 특성 매핑

다음 표에서는 Microsoft Entra ID의 그룹 개체에 대한 특정 특성이 Domain Services의 해당 특성과 동기화되는 방식을 보여 줍니다.

Microsoft Entra ID의 그룹 특성 Domain Services의 그룹 특성
displayName displayName
displayName SAMAccountName(자동 생성되는 경우도 있음)
mail mail
mailNickname msDS-AzureADMailNickname
objectid msDS-AzureADObjectId
onPremiseSecurityIdentifier sidHistory
proxyAddresses proxyAddresses
securityEnabled groupType

온-프레미스 AD DS에서 Microsoft Entra ID 및 Domain Services로 동기화

Microsoft Entra 커넥트 온-프레미스 AD DS 환경에서 Microsoft Entra ID로 사용자 계정, 그룹 멤버 자격 및 자격 증명 해시를 동기화하는 데 사용됩니다. UPN 및 온-프레미스 SID(보안 식별자)와 같은 사용자 계정의 특성이 동기화됩니다. Domain Services를 사용하여 로그인하려면 NTLM 및 Kerberos 인증에 필요한 레거시 암호 해시도 Microsoft Entra ID와 동기화됩니다.

Important

Microsoft Entra Connect는 온-프레미스 AD DS 환경과의 동기화를 위해서만 설치 및 구성되어야 합니다. 관리되는 do기본에 Microsoft Entra 커넥트 설치하여 개체를 Microsoft Entra ID로 다시 동기화하는 것은 지원되지 않습니다.

쓰기 저장을 구성하는 경우 Microsoft Entra ID의 변경 내용이 온-프레미스 AD DS 환경으로 다시 동기화됩니다. 예를 들어 사용자가 Microsoft Entra 셀프 서비스 암호 관리를 사용하여 암호를 변경하는 경우 암호는 온-프레미스 AD DS 환경에서 다시 업데이트됩니다.

참고 항목

항상 최신 버전의 Microsoft Entra 커넥트 사용하여 알려진 모든 버그에 대한 수정 사항이 있는지 확인합니다.

다중 포리스트 온-프레미스 환경에서 동기화

많은 조직에는 여러 포리스트를 포함하는 상당히 복잡한 온-프레미스 AD DS 환경이 있습니다. Microsoft Entra 커넥트 다중 포리스트 환경에서 Microsoft Entra ID로 사용자, 그룹 및 자격 증명 해시 동기화를 지원합니다.

Microsoft Entra ID에는 훨씬 간단하고 평평한 네임스페이스가 있습니다. 사용자가 Microsoft Entra ID로 보호되는 애플리케이션에 안정적으로 액세스할 수 있도록 하려면 다른 포리스트의 사용자 계정 간에 UPN 충돌을 해결합니다. 관리되는 do기본는 Microsoft Entra ID와 유사한 플랫 OU 구조를 사용합니다. 온-프레미스에 계층적 OU 구조를 구성한 경우에도, 모든 사용자 계정과 그룹은 다른 온-프레미스 도메인이나 포리스트에서 동기화되더라도 AADDC 사용자 컨테이너에 저장됩니다. 관리되는 do기본 계층적 OU 구조를 평면화합니다.

이전에 자세히 설명했듯이 Domain Services에서 Microsoft Entra ID로 다시 동기화되지 않습니다. Domain Services에서 사용자 지정 OU(조직 구성 단위)를 만든 다음 해당 사용자 지정 OU 내에 사용자, 그룹 또는 서비스 계정을 만들 수 있습니다. 사용자 지정 OU에서 만든 개체는 Microsoft Entra ID로 다시 동기화되지 않습니다. 이러한 개체는 관리되는 도메인 내에서만 사용할 수 있으며 Microsoft Graph PowerShell cmdlet, Microsoft Graph API 또는 Microsoft Entra 관리 센터를 사용하여 표시되지 않습니다.

Domain Services에 동기화되지 않는 항목

다음 개체 또는 특성은 온-프레미스 AD DS 환경에서 Microsoft Entra ID 또는 Domain Services로 동기화되지 않습니다.

  • 제외된 특성: Microsoft Entra 커넥트 사용하여 온-프레미스 AD DS 환경에서 Microsoft Entra ID와 동기화에서 특정 특성을 제외하도록 선택할 수 있습니다. 그러면 제외된 특성은 Domain Services에서 사용할 수 없습니다.
  • 그룹 정책: 온-프레미스 AD DS 환경에 구성된 그룹 정책은 Domain Services와 동기화되지 않습니다.
  • Sysvol 폴더: 온-프레미스 AD DS 환경에 있는 Sysvol 폴더의 콘텐츠는 Domain Services와 동기화되지 않습니다.
  • 컴퓨터 개체: 온-프레미스 AD DS 환경에 조인된 컴퓨터의 컴퓨터 개체는 Domain Services와 동기화되지 않습니다. 이러한 컴퓨터는 관리되는 작업과 트러스트 관계가 없으며기본 온-프레미스 AD DS 환경에만 속합니다. Domain Services에는 관리되는 도메인에 명시적으로 도메인에 조인된 컴퓨터의 컴퓨터 개체만 표시됩니다.
  • 사용자와 그룹의 SidHistory 특성: 온-프레미스 AD DS 환경의 기본 사용자와 기본 그룹 SID는 Domain Services에 동기화됩니다. 그러나 사용자 및 그룹의 기존 SidHistory 특성은 온-프레미스 AD DS 환경에서 Domain Services로 동기화되지 않습니다.
  • OU(조직 구성 단위) 구조: 온-프레미스 AD DS 환경에 정의된 조직 구성 단위는 Domain Services와 동기화되지 않습니다. Domain Services에는 두 개의 기본 제공 OU가 있습니다. 하나는 사용자용이고 다른 하나는 컴퓨터용입니다. 관리되는 do기본에는 평평한 OU 구조가 있습니다. 관리되는 do기본 사용자 지정 OU를 만들도록 선택할 수 있습니다.

암호 해시 동기화 및 보안 고려 사항

Domain Services를 사용하도록 설정하면 NTLM 및 Kerberos 인증을 위한 레거시 암호 해시가 필요합니다. Microsoft Entra ID는 텍스트 지우기 암호를 저장하지 않으므로 기존 사용자 계정에 대해 이러한 해시를 자동으로 생성할 수 없습니다. NTLM 및 Kerberos 호환 암호 해시는 항상 Microsoft Entra ID로 암호화된 방식으로 저장됩니다.

암호화 키는 각 Microsoft Entra 테넌트에 고유합니다. 이러한 해시는 Domain Services만 암호 해독 키에 액세스할 수 있도록 암호화됩니다. Microsoft Entra ID의 다른 서비스 또는 구성 요소는 암호 해독 키에 액세스할 수 없습니다.

그러면 레거시 암호 해시가 Microsoft Entra ID에서 관리되는 do기본 대한 do기본 컨트롤러로 동기화됩니다. Domain Services의 이러한 관리되는 도메인 컨트롤러에 대한 디스크는 미사용 시 암호화됩니다. 해당 암호 해시는 암호를 온-프레미스 AD DS 환경에서 저장하고 보호하는 방법과 비슷한 도메인 컨트롤러에 저장되고 보호됩니다.

클라우드 전용 Microsoft Entra 환경의 경우 필수 암호 해시를 생성하고 Microsoft Entra ID에 저장하려면 사용자가 암호를 재설정/변경해야 합니다. Microsoft Entra Do기본 Services를 사용하도록 설정한 후 Microsoft Entra ID로 만든 클라우드 사용자 계정의 경우 암호 해시가 생성되고 NTLM 및 Kerberos 호환 형식으로 저장됩니다. 모든 클라우드 사용자 계정은 Domain Services에 동기화되기 전에 암호를 변경해야 합니다.

Microsoft Entra 커넥트 사용하여 온-프레미스 AD DS 환경에서 동기화된 하이브리드 사용자 계정의 경우 NTLM 및 Kerberos 호환 형식으로 암호 해시를 동기화하도록 Microsoft Entra 커넥트 구성해야 합니다.

다음 단계

암호 동기화의 세부 사항에 대한 자세한 내용은 Microsoft Entra 커넥트 암호 해시 동기화가 작동하는 방식을 참조하세요.

Domain Services를 시작하려면 관리되는 도메인을 만듭니다.