Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리
Important
Microsoft Entra Connect 동기화의 그룹 쓰기 저장 v2 공개 미리 보기는 2024년 6월 30일 이후 더 이상 사용할 수 없습니다. 이 기능은 이 날짜에 중단되며, Connect 동기화에서 Active Directory에 클라우드 보안 그룹을 프로비전하는 기능이 더 이상 지원되지 않습니다. 이 기능은 중단 날짜 이후에도 계속 작동됩니다. 그러나 이 날짜 이후에는 더 이상 지원을 받을 수 없으며 언제든지 통지 없이 작동이 중단될 수 있습니다.
Microsoft Entra 클라우드 동기화에서는 클라우드 보안 그룹을 Active Directory에 프로비저닝하기 위해 Group Writeback v2 대신 사용할 수 있는 Active Directory에 그룹 프로비전이라는 유사한 기능을 제공합니다. 클라우드 동기화에서 개발 중인 다른 새로운 기능과 함께 클라우드 동기화에서 이 기능을 향상시키기 위해 노력하고 있습니다.
Connect 동기화에서 이 미리 보기 기능을 사용하는 고객은 Connect 동기화에서 클라우드 동기화로 구성을 전환해야 합니다. 모든 하이브리드 동기화를 클라우드 동기화로 이동하도록 선택할 수 있습니다(필요한 경우 지원). 클라우드 동기화를 나란히 실행하고 Active Directory에 대한 클라우드 보안 그룹 프로비전만 클라우드 동기화로 이동할 수도 있습니다.
Microsoft 365 그룹을 Active Directory에 프로비전하는 고객의 경우 이 기능에 그룹 쓰기 저장 v1을 계속 사용할 수 있습니다.
사용자 동기화 마법사를 사용하여 클라우드 동기화로만 전환하는 것을 평가할 수 있습니다.
시나리오: 클라우드에서 프로비전되고 관리되는 Active Directory 그룹을 사용하여 온-프레미스 애플리케이션을 관리합니다. Microsoft Entra 클라우드 동기화를 사용하면 Microsoft Entra ID Governance 기능을 활용하여 액세스 관련 요청을 제어하고 수정하는 동시에 AD의 애플리케이션 할당을 완전히 제어할 수 있습니다.
프로비전 에이전트 1.1.1370.0가 릴리스되면서 클라우드 동기화는 이제 온-프레미스 Active Directory 환경에 직접 그룹을 프로비전할 수 있습니다. ID Governance 기능을 사용하여 권한 관리 액세스 패키지에 그룹을 포함하는 등 AD 기반 애플리케이션에 대한 액세스를 관리할 수 있습니다.
그룹 쓰기 저장 동영상 보기
Active Directory에 대한 클라우드 동기화 그룹 프로비전과 이를 통해 수행할 수 있는 작업에 대한 개요를 보려면 아래 동영상을 확인합니다.
필수 조건
이 시나리오를 구현하려면 다음 필수 구성 요소가 필요합니다.
- 최소한 하이브리드 ID 관리자 역할이 있는 Microsoft Entra 계정.
- Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
- AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId.
- 빌드 버전 1.1.1367.0 이상의 프로비전 에이전트.
참고 항목
서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.
이러한 권한은 기본적으로 AdminSDHolder 개체에 적용되지 않음
Microsoft Entra 프로비전 에이전트 gMSA PowerShell cmdlet
- 프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 도메인 컨트롤러와 통신할 수 있어야 합니다.
- 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요.
- 빌드 버전 2.2.8.0 이상을 사용하는 Microsoft Entra Connect.
- Microsoft Entra Connect를 사용하여 동기화된 온-프레미스 사용자 멤버 자격을 지원하는 데 필요.
- AD:user:objectGUID를 Microsoft Entra ID:user:onPremisesObjectIdentifier와 동기화하는 데 필요.
지원되는 그룹
이 시나리오에서는 다음 그룹만 지원됩니다.
- 클라우드에서 생성된 보안 그룹만 지원됨
- 할당된 또는 동적 멤버 자격 그룹
- 온-프레미스 동기화된 사용자 및/또는 클라우드에서 만든 보안 그룹만 포함합니다.
- 동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 도메인 또는 교차 도메인에 있을 수 있지만 모두 동일한 포리스트에 있어야 합니다.
- AD 그룹 범위를 유니버설로 다시 작성합니다. 온-프레미스 환경은 유니버설 그룹 범위를 지원해야 합니다.
- 멤버 수가 50,000명 이하
- 각 직계 자식 중첩 그룹은 참조 그룹에서 하나의 멤버로 계산됨
지원되는 시나리오
다음 섹션에서는 클라우드 동기화 그룹 프로비저닝에서 지원되는 시나리오에 대해 설명합니다.
지원되는 시나리오 구성
사용자가 Windows 인증을 사용하는 Active Directory 애플리케이션에 연결할 수 있는지 여부를 제어하려면 애플리케이션 프록시와 Microsoft Entra 보안 그룹을 사용할 수 있습니다. 애플리케이션이 Kerberos 또는 LDAP를 통해 사용자의 AD 그룹 멤버 자격을 확인하는 경우 클라우드 동기화 그룹 프로비전을 사용하여 사용자가 애플리케이션에 액세스하기 전에 AD 사용자가 해당 그룹 멤버 자격을 갖고 있는지 확인할 수 있습니다.
다음 섹션에서는 클라우드 동기화 그룹 프로비전에서 지원되는 두 가지 시나리오 옵션에 대해 설명합니다. 시나리오 옵션은 애플리케이션에 할당된 사용자가 애플리케이션에 인증할 때 그룹 멤버 자격을 갖도록 하기 위한 것입니다.
- 새 그룹을 만들고 이미 있는 경우 애플리케이션을 업데이트하여 새 그룹을 확인합니다. 또는
- 새 그룹을 만들고 기존 그룹을 업데이트하면 애플리케이션이 새 그룹을 멤버로 포함하도록 확인 중이었습니다.
시작하기 전에 애플리케이션이 설치된 도메인의 도메인 관리자인지 확인합니다. 도메인 컨트롤러에 로그인할 수 있는지 확인하거나 Windows PC에 AD DS(Active Directory Domain Services) 관리용 원격 서버 관리 도구가 설치되어 있는지 확인합니다.
새 그룹 옵션 구성
이 시나리오 옵션에서는 클라우드 동기화 그룹 프로비전에서 만든 새 그룹의 SID, 이름 또는 고유 이름을 확인하도록 애플리케이션을 업데이트합니다. 이 시나리오는 다음에 적용됩니다.
- 처음으로 AD DS에 연결되는 새 애플리케이션에 대한 배포.
- 애플리케이션에 액세스하는 새 사용자 코호트.
- 애플리케이션 현대화를 위해 기존 AD DS 그룹에 대한 종속성을 줄입니다.
현재
Domain Admins
그룹의 멤버 자격을 확인하는 애플리케이션은 새로 만든 AD 그룹도 확인하도록 업데이트해야 합니다.
애플리케이션에서 새 그룹을 사용하려면 다음 단계를 사용합니다.
애플리케이션 및 그룹 만들기
- Microsoft Entra 관리 센터를 이용하여 AD 기반 애플리케이션을 나타내는 Microsoft Entra ID로 애플리케이션을 만들고 사용자 할당을 요구하도록 애플리케이션을 구성합니다.
- 사용자가 애플리케이션에 연결할 수 있도록 애플리케이션 프록시를 사용하는 경우 애플리케이션 프록시를 구성합니다.
- Microsoft Entra ID에서 새 보안 그룹을 만듭니다.
- AD에 그룹 프로비저닝을 사용하여 이 그룹을 AD에 프로비저닝합니다.
- Active Directory 사용자 및 컴퓨터를 시작하고 결과로 새 AD 그룹이 AD 도메인에 생성될 때까지 기다립니다. 있는 경우 새 AD 그룹의 고유 이름, 도메인, 계정 이름 및 SID를 기록합니다.
새 그룹을 사용하도록 애플리케이션 구성
- 애플리케이션이 LDAP를 통해 AD를 사용하는 경우 새 AD 그룹의 고유 이름으로 애플리케이션을 구성합니다. 애플리케이션이 Kerberos를 통해 AD를 사용하는 경우 새 AD 그룹의 SID 또는 도메인 및 계정 이름으로 애플리케이션을 구성합니다.
- 액세스 패키지를 만듭니다. #3의 보안 그룹인 #1의 애플리케이션을 액세스 패키지의 리소스로 추가합니다. 액세스 패키지에서 직접 할당 정책을 구성합니다.
- 권한 관리에서 AD 기반 앱에 액세스해야 하는 동기화된 사용자를 액세스 패키지에 할당합니다.
- 새 AD 그룹이 새 멤버로 업데이트될 때까지 기다립니다. Active Directory 사용자 및 컴퓨터를 사용하여 올바른 사용자가 그룹의 멤버로 있는지 확인합니다.
- AD 도메인 모니터링에서 프로비전 에이전트를 실행하는 gMSA 계정만 새 AD 그룹의 멤버 자격을 변경할 수 있는 권한을 허용합니다.
이제 이 새로운 액세스 패키지를 통해 AD 애플리케이션에 대한 액세스를 관리할 수 있습니다.
기존 그룹 옵션 구성
이 시나리오 옵션에서는 새 AD 보안 그룹을 기존 그룹의 중첩된 그룹 멤버로 추가합니다. 이 시나리오는 특정 그룹 계정 이름, SID 또는 고유 이름에 대한 하드 코딩된 종속성이 있는 애플리케이션의 배포에 적용할 수 있습니다.
해당 그룹을 기존 AD 그룹의 애플리케이션에 중첩하면 다음이 허용됩니다.
- 거버넌스 기능에 의해 할당된 후 앱에 액세스하는 Microsoft Entra 사용자는 적절한 Kerberos 티켓을 보유합니다. 이 티켓에는 기존 그룹 SID가 포함됩니다. 이 중첩은 AD 그룹 중첩 규칙에 의해 허용됩니다.
앱이 LDAP를 사용하고 중첩된 그룹 멤버 자격을 따르는 경우 앱은 Microsoft Entra 사용자가 기존 그룹을 멤버 자격 중 하나로 갖는 것으로 간주합니다.
기존 그룹의 자격 확인
- Active Directory 사용자 및 컴퓨터를 시작하고 애플리케이션에서 사용하는 기존 AD 그룹의 고유 이름, 유형 및 범위를 기록합니다.
- 기존 그룹이
Domain Admins
,Domain Guests
,Domain Users
,Enterprise Admins
,Enterprise Key Admins
,Group Policy Creation Owners
,Key Admins
,Protected Users
또는Schema Admins
인 경우 위에서 설명한 대로 이러한 그룹을 클라우드 동기화에서 사용할 수 없으므로 새 그룹을 사용하도록 애플리케이션을 변경해야 합니다. - 그룹에 전체 범위가 있는 경우 그룹을 유니버설 범위로 변경합니다. 전체 그룹은 유니버설 그룹을 멤버로 할 수 없습니다.
애플리케이션 및 그룹 만들기
- Microsoft Entra 관리 센터에서 AD 기반 애플리케이션을 나타내는 Microsoft Entra ID로 애플리케이션을 만들고 사용자 할당을 요구하도록 애플리케이션을 구성합니다.
- 애플리케이션 프록시를 사용하여 사용자가 애플리케이션에 연결할 수 있도록 하려면 애플리케이션 프록시를 구성합니다.
- Microsoft Entra ID에서 새 보안 그룹을 만듭니다.
- AD에 그룹 프로비저닝을 사용하여 이 그룹을 AD에 프로비저닝합니다.
- Active Directory 사용자 및 컴퓨터를 시작하고 그 결과 새 AD 그룹이 AD 도메인에 만들어질 때까지 기다린 다음, 새 AD 그룹이 만들어지면 새 AD 그룹의 고유 이름, 도메인, 계정 이름 및 SID를 기록합니다.
새 그룹을 사용하도록 애플리케이션 구성
- Active Directory 사용자 및 컴퓨터를 사용하여 새 AD 그룹을 기존 AD 그룹의 멤버로 추가합니다.
- 액세스 패키지를 만듭니다. #3의 보안 그룹인 #1의 애플리케이션을 액세스 패키지의 리소스로 추가합니다. 액세스 패키지에서 직접 할당 정책을 구성합니다.
- 권한 관리에서 AD 기반 앱에 액세스해야 하는 동기화된 사용자를 여전히 액세스가 필요한 기존 AD 그룹의 사용자 멤버를 포함하여 액세스 패키지에 할당합니다.
- 새 AD 그룹이 새 멤버로 업데이트될 때까지 기다립니다. Active Directory 사용자 및 컴퓨터를 사용하여 올바른 사용자가 그룹의 멤버로 있는지 확인합니다.
- Active Directory 사용자 및 컴퓨터를 사용하여 새 AD 그룹을 제외한 기존 AD 그룹의 기존 멤버를 제거합니다.
- AD 도메인 모니터링에서 프로비전 에이전트를 실행하는 gMSA 계정만 새 AD 그룹의 멤버 자격을 변경할 수 있는 권한을 허용합니다.
그러면 이 새 액세스 패키지를 통해 AD 애플리케이션에 대한 액세스를 제어할 수 있습니다.
문제 해결
새 AD 그룹의 멤버이고 이미 AD 도메인에 로그인한 Windows PC를 사용하는 사용자에게는 새 AD 그룹 멤버 자격이 포함되지 않은 AD 도메인 컨트롤러에서 발급한 기존 티켓이 있을 수 있습니다. 이는 클라우드 동기화 그룹 프로비저닝이 새 AD 그룹에 추가되기 전에 티켓이 발급되었을 수 있기 때문입니다. 사용자는 애플리케이션에 액세스하기 위해 티켓을 제시할 수 없으므로 티켓이 만료되고 새 티켓이 발급될 때까지 기다리거나 티켓을 삭제하고 로그아웃한 후 도메인에 다시 로그인해야 합니다. 자세한 내용은 klist 명령을 참조하세요.
기존 Microsoft Entra Connect 그룹 쓰기 저장 v2 고객
Microsoft Entra Connect 그룹 쓰기 저장 v2를 사용하는 경우 클라우드 동기화 그룹 프로비전을 활용하려면 먼저 클라우드 동기화 프로비전을 AD로 이동해야 합니다. Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션 참조