Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리

Important

Microsoft Entra 커넥트 Sync의 그룹 쓰기 저장 v2 공개 미리 보기는 2024년 6월 30일 이후에 더 이상 사용할 수 없습니다. 이 기능은 이 날짜에 중단되며 커넥트 Sync에서 더 이상 지원되지 않아 클라우드 보안 그룹을 Active Directory에 프로비전할 수 없습니다.

Microsoft Entra Cloud Sync에서는 Active Directory에 클라우드 보안 그룹을 프로비전하는 데 쓰기 저장 v2 대신 사용할 수 있는 Active Directory에 대한 그룹 프로비저닝이라는 유사한 기능을 제공합니다. 클라우드 동기화에서 개발 중인 다른 새로운 기능과 함께 클라우드 동기화에서 이 기능을 향상시키기 위해 노력하고 있습니다.

커넥트 Sync에서 이 미리 보기 기능을 사용하는 고객은 구성을 커넥트 Sync에서 클라우드 동기화로 전환해야 합니다. 모든 하이브리드 동기화를 클라우드 동기화로 이동하도록 선택할 수 있습니다(요구 사항을 지원하는 경우). 클라우드 동기화를 나란히 실행하고 클라우드 보안 그룹 프로비저닝만 Active Directory로 클라우드 동기화로 이동할 수도 있습니다.

Microsoft 365 그룹을 Active Directory에 프로비전하는 고객의 경우 이 기능에 대해 그룹 쓰기 저장 v1을 계속 사용할 수 있습니다.

사용자 동기화 마법사를 사용하여 클라우드 동기화로만 이동하는 것을 평가할 수 있습니다.

시나리오: 클라우드에서 프로비전되고 관리되는 Active Directory 그룹을 사용하여 온-프레미스 애플리케이션을 관리합니다. Microsoft Entra Cloud Sync를 사용하면 Microsoft Entra ID 거버넌스 기능을 활용하여 액세스 관련 요청을 제어하고 수정하는 동시에 AD의 애플리케이션 할당을 완전히 제어할 수 있습니다.

프로비전 에이전트 1.1.1370.0가 릴리스되면서 클라우드 동기화는 이제 온-프레미스 Active Directory 환경에 직접 그룹을 프로비전할 수 있습니다. ID 거버넌스 기능을 사용하여 권한 관리 액세스 패키지에 그룹을 포함하는 등 AD 기반 애플리케이션에 대한 액세스를 제어할 수 있습니다.

그룹 쓰기 저장 비디오 보기

Active Directory에 대한 클라우드 동기화 그룹 프로비저닝의 개요와 이를 위해 수행할 수 있는 작업에 대한 자세한 내용은 아래 비디오를 검사.

필수 조건

이 시나리오를 구현하려면 다음 필수 구성 요소가 필요합니다.

• 하이브리드 관리이상 역할을 가진 Microsoft Entra 계정입니다.
• Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
  • AD 스키마 특성 - msDS-ExternalDirectoryObjectId에 필요합니다.
• 빌드 버전 1.1.1367.0 이상의 프로비전 에이전트.

참고 항목

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.

이러한 권한은 기본적으로 AdminSDHolder 개체에 적용되지 않음

Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet

• 프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 do기본 컨트롤러와 통신할 수 있어야 합니다.
  • 잘못된 멤버 자격 참조를 필터링하려면 글로벌 카탈로그 조회에 필요합니다.
• Microsoft Entra는 빌드 버전 2.2.8.0 이상을 사용하여 커넥트.
  • Microsoft Entra 커넥트 사용하여 동기화된 온-프레미스 사용자 멤버 자격을 지원하는 데 필요합니다.
  • AD:user:objectGUID를 Microsoft Entra ID:user:onPremisesObjectIdentifier와 동기화하는 데 필요합니다.

지원되는 그룹

이 시나리오에서는 다음 그룹만 지원됩니다.

• 클라우드에서 생성된 보안 그룹만 지원됨
• 이러한 그룹은 할당되거나 동적 멤버 자격을 가질 수 있습니다.
• 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 클라우드에서 만든 보안 그룹만 포함할 수 있습니다.
• 동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 do기본 또는 cross-do기본일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
• 이러한 그룹은 범용 AD 그룹 범위로 쓰기 저장됩니다. 온-프레미스 환경에서 범용 그룹 범위를 지원해야 합니다.
• 50,000명보다 큰 그룹은 지원되지 않습니다.
• 각 직계 자식 중첩 그룹은 참조 그룹에서 하나의 멤버로 계산됨

지원되는 시나리오

다음 섹션에서는 클라우드 동기화 그룹 프로비저닝에서 지원되는 시나리오에 대해 설명합니다.

지원되는 시나리오 구성

사용자가 Windows 인증 사용하는 Active Directory 애플리케이션에 연결할 수 있는지 여부를 제어하려면 애플리케이션 프록시 및 Microsoft Entra 보안 그룹을 사용할 수 있습니다. 애플리케이션이 Kerberos 또는 LDAP를 통해 사용자의 AD 그룹 멤버 자격을 검사 경우 클라우드 동기화 그룹 프로비저닝을 사용하여 사용자가 애플리케이션에 액세스하기 전에 AD 사용자에게 해당 그룹 멤버 자격이 있는지 확인할 수 있습니다.

다음 섹션에서는 클라우드 동기화 그룹 프로비저닝에서 지원되는 두 가지 시나리오 옵션에 대해 설명합니다. 시나리오 옵션은 애플리케이션에 할당된 사용자가 애플리케이션에 인증할 때 그룹 멤버 자격을 갖도록 하기 위한 것입니다.

• 새 그룹을 만들고 애플리케이션이 이미 있는 경우 새 그룹에 대한 검사 또는 애플리케이션을 업데이트합니다.
• 새 그룹을 만들고 기존 그룹을 업데이트합니다. 애플리케이션은 새 그룹을 멤버로 포함하기 위해 검사.

시작하기 전에 애플리케이션이 설치된 do기본에서 do기본 관리자인지 확인합니다. do기본 컨트롤러에 로그인하거나 Windows PC에 AD DS(Active Directory 도메인 Services) 관리용 원격 서버 관리istration Tools를 설치할 수 있는지 확인합니다.

새 그룹 옵션 구성

이 시나리오 옵션에서는 클라우드 동기화 그룹 프로비저닝에서 만든 새 그룹의 SID, 이름 또는 고유 이름의 검사 애플리케이션을 업데이트합니다. 이 시나리오는 다음 경우에 적용됩니다.

• AD DS에 처음으로 연결되는 새 애플리케이션에 대한 배포입니다.
• 애플리케이션에 액세스하는 사용자의 새 코호트입니다.
• 애플리케이션 현대화를 위해 기존 AD DS 그룹에 대한 종속성을 줄입니다. 현재 Domain Admins 그룹의 멤버 자격을 확인하는 애플리케이션은 새로 만든 AD 그룹도 확인하도록 업데이트해야 합니다.

애플리케이션에서 새 그룹을 사용하려면 다음 단계를 사용합니다.

애플리케이션 및 그룹 만들기

1. Microsoft Entra 관리 센터를 사용하여 AD 기반 애플리케이션을 나타내는 Microsoft Entra ID로 애플리케이션을 만들고 사용자 할당을 요구하도록 애플리케이션을 구성합니다.
2. 애플리케이션 프록시를 사용하여 사용자가 애플리케이션에 연결할 수 있도록 하는 경우 애플리케이션 프록시를 구성합니다.
3. Microsoft Entra ID에서 새 보안 그룹을 만듭니다.
4. AD에 그룹 프로비저닝을 사용하여 이 그룹을 AD에 프로비저닝합니다.
5. Active Directory 사용자 및 컴퓨터를 시작하고 결과로 새 AD 그룹이 AD 도메인에 생성될 때까지 기다립니다. 있는 경우 새 AD 그룹의 고유 이름, 도메인, 계정 이름 및 SID를 기록합니다.

새 그룹을 사용하도록 애플리케이션 구성

1. 애플리케이션이 LDAP를 통해 AD를 사용하는 경우 새 AD 그룹의 고유 이름으로 애플리케이션을 구성합니다. 애플리케이션이 Kerberos를 통해 AD를 사용하는 경우 새 AD 그룹의 SID 또는 도메인 및 계정 이름으로 애플리케이션을 구성합니다.
2. 액세스 패키지를 만듭니다. #3의 보안 그룹인 #1의 애플리케이션을 액세스 패키지의 리소스로 추가합니다. 액세스 패키지에서 직접 할당 정책을 구성합니다.
3. 권한 관리에서 AD 기반 앱에 액세스해야 하는 동기화된 사용자를 액세스 패키지에 할당합니다.
4. 새 AD 그룹이 새 멤버로 업데이트될 때까지 기다립니다. Active Directory 사용자 및 컴퓨터를 사용하여 올바른 사용자가 그룹의 멤버로 있는지 확인합니다.
5. AD 도메인 모니터링에서 프로비전 에이전트를 실행하는 gMSA 계정만 새 AD 그룹의 멤버 자격을 변경할 수 있는 권한을 허용합니다.

이제 이 새 액세스 패키지를 통해 AD 애플리케이션에 대한 액세스를 제어할 수 있습니다.

기존 그룹 옵션 구성

이 시나리오 옵션에서는 새 AD 보안 그룹을 기존 그룹의 중첩된 그룹 멤버로 추가합니다. 이 시나리오는 특정 그룹 계정 이름, SID 또는 고유 이름에 대한 하드 코딩된 종속성이 있는 애플리케이션의 배포에 적용할 수 있습니다.

기존 AD 그룹에 해당 그룹을 애플리케이션에 중첩하면 다음이 허용됩니다.

• 거버넌스 기능에 의해 할당된 다음 앱에 액세스하는 Microsoft Entra 사용자는 적절한 Kerberos 티켓을 갖습니다. 이 티켓에는 기존 그룹 SID가 포함됩니다. 이 중첩은 AD 그룹 중첩 규칙에 의해 허용됩니다.

앱이 LDAP를 사용하고 중첩된 그룹 멤버 자격을 따르는 경우 앱은 Microsoft Entra 사용자가 기존 그룹을 멤버 자격 중 하나로 갖는 것으로 표시합니다.

기존 그룹의 자격 확인

1. Active Directory 사용자 및 컴퓨터를 시작하고 애플리케이션에서 사용하는 기존 AD 그룹의 고유 이름, 유형 및 범위를 기록합니다.
2. 기존 그룹이 Domain Admins클라우드 Enterprise Key AdminsDomain GuestsEnterprise AdminsSchema AdminsDomain UsersGroup Policy Creation OwnersKey AdminsProtected Users동기화에서 사용할 수 없으므로 위에서 설명한 대로 새 그룹을 사용하도록 애플리케이션을 변경해야 합니다.
3. 그룹에 전체 범위가 있는 경우 그룹을 유니버설 범위로 변경합니다. 전체 그룹은 유니버설 그룹을 멤버로 할 수 없습니다.

애플리케이션 및 그룹 만들기

1. Microsoft Entra 관리 센터에서 AD 기반 애플리케이션을 나타내는 Microsoft Entra ID로 애플리케이션을 만들고 사용자 할당이 필요하도록 애플리케이션을 구성합니다.
2. 애플리케이션 프록시를 사용하여 사용자가 애플리케이션에 연결할 수 있도록 하려면 애플리케이션 프록시를 구성합니다.
3. Microsoft Entra ID에서 새 보안 그룹을 만듭니다.
4. AD에 그룹 프로비저닝을 사용하여 이 그룹을 AD에 프로비저닝합니다.
5. Active Directory 사용자 및 컴퓨터를 시작하고 그 결과 새 AD 그룹이 AD 도메인에 만들어질 때까지 기다린 다음, 새 AD 그룹이 만들어지면 새 AD 그룹의 고유 이름, 도메인, 계정 이름 및 SID를 기록합니다.

새 그룹을 사용하도록 애플리케이션 구성

1. Active Directory 사용자 및 컴퓨터를 사용하여 새 AD 그룹을 기존 AD 그룹의 멤버로 추가합니다.
2. 액세스 패키지를 만듭니다. #3의 보안 그룹인 #1의 애플리케이션을 액세스 패키지의 리소스로 추가합니다. 액세스 패키지에서 직접 할당 정책을 구성합니다.
3. 권한 관리에서 AD 기반 앱에 액세스해야 하는 동기화된 사용자를 액세스 패키지에 할당합니다. 여기에는 계속 액세스 권한이 필요한 기존 AD 그룹의 모든 사용자 구성원이 포함됩니다.
4. 새 AD 그룹이 새 멤버로 업데이트될 때까지 기다립니다. Active Directory 사용자 및 컴퓨터를 사용하여 올바른 사용자가 그룹의 멤버로 있는지 확인합니다.
5. Active Directory 사용자 및 컴퓨터를 사용하여 새 AD 그룹을 제외한 기존 AD 그룹의 기존 멤버를 제거합니다.
6. AD 도메인 모니터링에서 프로비전 에이전트를 실행하는 gMSA 계정만 새 AD 그룹의 멤버 자격을 변경할 수 있는 권한을 허용합니다.

그러면 이 새 액세스 패키지를 통해 AD 애플리케이션에 대한 액세스를 제어할 수 있습니다.

문제 해결

새 AD 그룹의 멤버이고 이미 AD 도메인에 로그인한 Windows PC를 사용하는 사용자에게는 새 AD 그룹 멤버 자격이 포함되지 않은 AD 도메인 컨트롤러에서 발급한 기존 티켓이 있을 수 있습니다. 이는 클라우드 동기화 그룹 프로비저닝이 새 AD 그룹에 추가되기 전에 티켓이 발급되었을 수 있기 때문입니다. 사용자는 애플리케이션에 액세스하기 위해 티켓을 제시할 수 없으므로 티켓이 만료되고 새 티켓이 발급될 때까지 기다리거나 티켓을 삭제하고 로그아웃한 후 도메인에 다시 로그인해야 합니다. 자세한 내용은 klist 명령을 참조하세요.

기존 Microsoft Entra 커넥트 그룹 쓰기 저장 v2 고객

Microsoft Entra 커넥트 그룹 쓰기 저장 v2를 사용하는 경우 클라우드 동기화 그룹 프로비저닝을 활용하려면 클라우드 동기화 프로비저닝을 AD로 이동해야 합니다. Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션 참조

다음 단계

• Microsoft Entra Cloud Sync를 사용하여 쓰기 저장 그룹화
• Microsoft Entra Cloud Sync를 사용하여 Active Directory에 그룹 프로비저닝
• Microsoft Entra 커넥트 동기화 그룹 쓰기 저장 V2를 Microsoft Entra 클라우드 동기화 마이그레이션