Microsoft Entra 클라우드 동기화에 대한 필수 구성 요소
이 문서에서는 Microsoft Entra 클라우드 동기화를 ID 솔루션으로 사용하는 방법에 대한 지침을 제공합니다.
클라우드 프로비전 에이전트 요구 사항
Microsoft Entra 클라우드 동기화를 사용하려면 다음이 필요합니다.
- 에이전트 서비스를 실행하기 위해 Microsoft Entra Connect 클라우드 동기화 gMSA(그룹 관리 서비스 계정)를 만들기 위한 도메인 관리자 또는 엔터프라이즈 관리자 자격 증명
- 게스트 사용자가 아닌 Microsoft Entra 테넌트에 대한 하이브리드 ID 관리자 계정
- Windows 2016 이상 버전을 사용하는 프로비전 에이전트에 대한 온-프레미스 서버. 이 서버는 Active Directory 관리 계층 모델을 기준으로 계층 0 서버여야 합니다. 도메인 컨트롤러에 에이전트 설치가 지원됩니다. 자세한 내용은 Microsoft Entra 프로비전 에이전트 서버 강화를 참조하세요.
- AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
- 고가용성이란 Microsoft Entra 클라우드 동기화가 오랫동안 장애 없이 지속적으로 작동하는 기능을 의미합니다. Microsoft Entra 클라우드 동기화는 여러 활성 에이전트를 설치하고 실행함으로써 하나의 에이전트가 실패하더라도 계속 작동할 수 있습니다. Microsoft는 고가용성을 위해 3개의 활성 에이전트를 설치할 것을 권장합니다.
- 온-프레미스 방화벽 구성
Microsoft Entra 프로비전 에이전트 서버 강화
IT 환경의 중요한 구성 요소에 대한 보안 공격 노출 영역을 줄이려면 Microsoft Entra 프로비전 에이전트 서버를 강화하는 것이 좋습니다. 이러한 권장 사항을 따르면 조직에 대한 일부 보안 위험을 완화하는 데 도움이 됩니다.
- 권한 있는 액세스 보호 및 Active Directory 관리 계층 모델에 제공된 지침에 따라 Microsoft Entra 프로비전 에이전트 서버를 컨트롤 플레인(이전의 계층 0) 자산으로 강화하는 것이 좋습니다.
- Microsoft Entra 프로비전 에이전트 서버에 대한 관리 액세스를 도메인 관리자 또는 기타 엄격하게 제어되는 보안 그룹으로 제한합니다.
- 권한 있는 액세스가 있는 모든 직원에 대한 전용 계정을 만듭니다. 관리자는 높은 권한이 있는 계정을 사용하여 웹을 탐색하거나, 메일을 확인하거나, 일상적인 생산성 작업을 수행하면 안 됩니다.
- 권한 있는 액세스 보안에 제공된 지침을 따릅니다.
- Microsoft Entra 프로비전 에이전트 서버에서 NTLM 인증 사용을 거부합니다. 이 작업을 수행하는 방법은 Microsoft Entra 프로비전 에이전트 서버에서 NTLM 제한 및 도메인에서 NTLM 제한입니다.
- 모든 머신에 고유한 로컬 관리자 암호가 있는지 확인합니다. 자세한 내용은 Windows LAPS(로컬 관리자 암호 솔루션)을 참조하세요. 이 기능을 사용하여 각 워크스테이션과 서버에서 고유한 임의의 암호를 구성함으로써 ACL로 보호되는 Active Directory에 저장할 수 있습니다. 권한 있는 적격 사용자만이 이러한 로컬 관리자 계정 암호를 읽거나 재설정을 요청할 수 있습니다. Windows LAPS 및 PAW(Privileged Access Workstation)를 사용하여 환경을 운영하는 방법에 대한 추가 지침은 클린 원본 원칙을 기반으로 하는 운영 표준에서 찾을 수 있습니다.
- 조직의 정보 시스템에 대해 권한 있는 액세스가 있는 모든 직원에 대해 전용 권한 있는 액세스 워크스테이션을 구현합니다.
- 이러한 추가 지침에 따라 Active Directory 환경의 공격 표면을 줄입니다.
- 페더레이션 구성 변경 내용 모니터링에 따라 Idp와 Microsoft Entra ID 간에 설정된 신뢰 변경 내용을 모니터링하도록 경고를 설정합니다.
- Microsoft Entra ID 또는 AD에 대한 액세스 권한이 있는 모든 사용자에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정합니다. Microsoft Entra 프로비전 에이전트 사용과 관련된 한 가지 보안 문제는 공격자가 Microsoft Entra 프로비전 에이전트 서버를 제어할 수 있으면 Microsoft Entra ID에서 사용자를 조작할 수 있다는 것입니다. 공격자가 이러한 기능을 사용하여 Microsoft Entra 계정을 탈취하는 것을 방지하기 위해 MFA는 공격자가 Microsoft Entra 프로비전 에이전트를 사용하여 사용자의 암호를 재설정하는 등의 작업을 하더라도 두 번째 단계를 우회할 수 없도록 보호 기능을 제공합니다.
그룹 관리 서비스 계정
그룹 관리 서비스 계정은 자동 암호 관리, 간소화된 SPN(서비스 사용자 이름) 관리, 다른 관리자에게 관리를 위임하는 기능 및 여러 서버에서 이 기능을 확장하는 관리되는 도메인 계정입니다. Microsoft Entra 클라우드 동기화는 에이전트 실행을 위해 gMSA를 지원하고 사용합니다. 이 계정을 만들기 위해 설치 도중 관리자 자격 증명을 입력하라는 메시지가 표시됩니다. 계정이 domain\provAgentgMSA$
로 표시됩니다. gMSA에 대한 자세한 내용은 그룹 관리 서비스 계정을 참조하세요.
gMSA에 대한 필수 구성 요소
- gMSA 도메인 포리스트의 Active Directory 스키마를 Windows Server 2012 이상으로 업데이트해야 합니다.
- 도메인 컨트롤러의 PowerShell RSAT 모듈입니다.
- 도메인에 있는 하나 이상의 도메인 컨트롤러가 Windows Server 2012 이상을 실행 중이어야 합니다.
- 에이전트가 설치되는 도메인 조인 서버가 Windows Server 2016 이상이어야 합니다.
사용자 지정 gMSA 계정
사용자 지정 gMSA 계정을 만드는 경우 계정에 다음 권한이 있는지 확인해야 합니다.
형식 | 이름 | 액세스 | 적용 대상 |
---|---|---|---|
허용 | gMSA 계정 | 모든 속성 읽기 | 하위 디바이스 개체 |
허용 | gMSA 계정 | 모든 속성 읽기 | 하위 InetOrgPerson 개체 |
허용 | gMSA 계정 | 모든 속성 읽기 | 하위 Computer 개체 |
허용 | gMSA 계정 | 모든 속성 읽기 | 하위 foreignSecurityPrincipal 개체 |
허용 | gMSA 계정 | 모든 권한 | 하위 Group 개체 |
허용 | gMSA 계정 | 모든 속성 읽기 | 하위 User 개체 |
허용 | gMSA 계정 | 모든 속성 읽기 | 하위 Contact 개체 |
허용 | gMSA 계정 | User 개체 만들기/삭제 | 이 개체 및 모든 하위 개체 |
gMSA 계정을 사용하도록 기존 에이전트를 업그레이드하는 방법에 대한 단계는 그룹 관리 서비스 계정을 참조하세요.
그룹 관리 서비스 계정을 위해 Active Directory를 준비하는 방법에 관한 자세한 내용은 그룹 관리 서비스 계정 개요 및 클라우드 동기화를 사용한 그룹 관리 서비스 계정을 참조하세요.
Microsoft Entra 관리 센터에서
- Microsoft Entra 테넌트에 클라우드 전용 하이브리드 ID 관리자 계정을 만듭니다. 이러한 방식으로 온-프레미스 서비스가 실패하거나 사용할 수 없게 되면 테넌트의 구성을 관리할 수 있습니다. 클라우드 전용 하이브리드 ID 관리자 계정 추가 방법에 대해 자세히 알아봅니다. 테넌트에서 잠기지 않도록 하려면 이 단계를 완료하는 것이 중요합니다.
- Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가합니다. 사용자는 이러한 도메인 이름 중 하나로 로그인할 수 있습니다.
Active Directory의 디렉터리에서
IdFix 도구를 실행하여 동기화를 위한 디렉터리 특성을 준비합니다.
온-프레미스 환경에서
- 4GB 이상의 RAM 및 .NET 4.7.1 이상의 런타임을 사용하여 Windows Server 2016 이상을 실행하는 도메인 조인 호스트 서버를 식별합니다.
- 로컬 서버에 대한 PowerShell 실행 정책을 Undefined 또는 RemoteSigned로 설정해야 합니다.
- 서버와 Microsoft Entra ID 사이에 방화벽이 있는 경우 방화벽 및 프록시 요구 사항을 참조하세요.
참고
Windows Server Core에 클라우드 프로비전 에이전트를 설치하는 것은 지원되지 않습니다.
Microsoft Entra ID를 Active Directory에 프로비전 - 필수 구성 요소
프로비전 그룹을 Active Directory에 구현하려면 다음 필수 구성 요소가 필요합니다.
라이선스 요구 사항
이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.
일반 요구 사항
- 최소한 하이브리드 ID 관리자 역할이 있는 Microsoft Entra 계정.
- Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
- AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
- 프로비전 에이전트 빌드 버전 1.1.1370.0 이상
참고
서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.
이러한 권한은 기본 Microsoft Entra 프로비전 에이전트 gMSA PowerShell cmdlet에서 AdminSDHolder 개체에 적용되지 않습니다.
- 프로비전 에이전트는 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그) 포트에서 하나 이상의 도메인 컨트롤러와 통신할 수 있어야 합니다.
- 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요
- Microsoft Entra Connect 동기화 빌드 버전 2.2.8.0 이상
- Microsoft Entra Connect 동기화를 사용하여 동기화된 온-프레미스 사용자 멤버십을 지원하는 데 필요
- AD:user:objectGUID를 AAD:user:onPremisesObjectIdentifier와 동기화하는 데 필요
지원되는 그룹 및 크기 조정 제한
다음과 같이 지원됩니다.
- 클라우드에서 만든 보안 그룹만 지원됩니다.
- 이러한 그룹은 할당되거나 동적 멤버십 그룹을 가질 수 있습니다.
- 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
- 동기화되고 이 클라우드에서 만든 보안 그룹의 멤버인 온-프레미스 사용자 계정은 동일한 도메인 또는 교차 도메인에서일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
- 이러한 그룹은 범용 AD 그룹 범위로 쓰기 저장됩니다. 온-프레미스 환경은 범용 그룹 범위를 지원해야 합니다.
- 멤버가 50,000명보다 많은 그룹은 지원되지 않습니다.
- 개체가 150,000개보다 많은 테넌트는 지원되지 않습니다. 즉, 150,000개 개체를 초과하는 사용자와 그룹의 조합이 있는 테넌트에 경우 이 테넌트는 지원되지 않습니다.
- 각 직계 자식 중첩 그룹은 참조 그룹의 한 멤버로 계산됩니다.
- 그룹이 Active Directory에서 수동으로 업데이트되는 경우 Microsoft Entra ID와 Active Directory 간의 그룹 조정은 지원되지 않습니다.
추가 정보
다음은 Active Directory에 그룹을 프로비전하는 방법에 대한 추가 정보입니다.
- 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스에서 동기화된 사용자 및/또는 클라우드에서 만든 추가 보안 그룹만 포함할 수 있습니다.
- 이러한 사용자는 onPremisesObjectIdentifier 특성을 자신의 계정에 설정해야 합니다.
- onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
- 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra 클라우드 동기화(1.1.1370.0) 또는 Microsoft Entra Connect 동기화(2.2.8.0)를 사용하여 동기화 할 수 있습니다.
- Microsoft Entra 클라우드 동기화 대신 Microsoft Entra Connect 동기화(2.2.8.0)를 사용하여 사용자를 동기화하고 AD에 대한 프로비전을 사용하려면 2.2.8.0 이상이어야 합니다.
- Microsoft Entra ID에서 Active Directory로의 프로비전에는 일반 Microsoft Entra ID 테넌트만 지원됩니다. B2C와 같은 테넌트는 지원되지 않습니다.
- 그룹 프로비전 작업은 20분마다 실행되도록 예약되어 있습니다.
추가 요구 사항
TLS 요구 사항
참고
TLS(전송 계층 보안)는 보안 통신을 지원하는 프로토콜입니다. TLS 설정을 변경하면 전체 포리스트에 영향을 줍니다. 자세한 내용은 TLS 1.1 및 TLS 1.2를 Windows의 WinHTTP에서 기본 보안 프로토콜로 사용하는 업데이트를 참조하세요.
Microsoft Entra Connect 클라우드 프로비전 에이전트를 호스팅하는 Windows 서버는 설치하기 전에 TLS 1.2를 사용하도록 설정해야 합니다.
TLS 1.2를 사용하도록 설정하려면 다음 단계를 수행합니다.
콘텐츠를 .reg 파일에 복사하여 다음 레지스트리 키를 설정한 다음, 파일을 실행합니다(마우스 오른쪽 단추를 클릭하고 병합 선택).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
서버를 다시 시작합니다.
방화벽 및 프록시 요구 사항
서버와 Microsoft Entra ID 사이에 방화벽이 있는 경우 다음 항목을 구성합니다.
에이전트가 다음 포트를 통해 Microsoft Entra ID에 대한 아웃바운드 요청을 할 수 있는지 확인합니다.
포트 번호 설명 80 TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록) 다운로드 443 서비스와의 모든 아웃바운드 통신 처리 8080(선택 사항) 443 포트를 사용할 수 없는 경우 에이전트는 8080 포트를 통해 10분마다 해당 상태를 보고합니다. 이 상태는 Microsoft Entra 관리 센터에 표시됩니다. 방화벽이 원래 사용자에 따라 규칙에 적용되는 경우 네트워크 서비스로 실행하는 Windows 서비스의 트래픽에 대해 이러한 포트를 엽니다.
프록시가 HTTP 1.1 프로토콜 이상을 지원하고 청크 인코딩을 사용하도록 설정했는지 확인합니다.
방화벽 또는 프록시를 통해 안전한 접미사를 지정할 수 있으면 다음 연결을 추가합니다.
URL | 설명 |
---|---|
*.msappproxy.net *.servicebus.windows.net |
에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
에이전트는 다음과 같은 URL을 사용하여 인증서를 확인합니다. |
login.windows.net |
에이전트는 등록 프로세스 동안 다음과 같은 URL을 사용합니다. |
NTLM 요구 사항
Microsoft Entra 프로비전 에이전트를 실행하는 Windows Server에서는 NTLM을 사용하도록 설정해서는 안 되며, 사용하도록 설정된 경우 사용하지 않도록 설정해야 합니다.
알려진 제한 사항
알려진 제한 사항은 다음과 같습니다.
델타 동기화
- 델타 동기화에 대한 그룹 범위 필터링은 50,000명이 넘는 멤버를 지원하지 않습니다.
- 그룹 범위 지정 필터의 일부로 사용되는 그룹을 삭제하는 경우 그룹의 멤버인 사용자는 삭제되지 않습니다.
- 범위에 있는 OU 또는 그룹의 이름을 바꾸면 델타 동기화에서 사용자가 제거되지 않습니다.
프로비전 로그
- 프로비전 로그는 만들기 및 업데이트 작업을 명확하게 구분하지 않습니다. 업데이트에 대한 만들기 작업과 만들기에 대한 업데이트 작업이 표시될 수 있습니다.
그룹 이름 바꾸기 또는 OU 이름 바꾸기
- 지정된 구성의 범위에 속하는 AD의 그룹 또는 OU의 이름을 바꾸는 경우 클라우드 동기화 작업에서 AD의 이름 변경을 인식할 수 없습니다. 작업은 격리되지 않으며 정상 상태로 유지됩니다.
범위 지정 필터
OU 범위 지정 필터를 사용하는 경우
범위 지정 구성의 문자 길이는 4MB로 제한됩니다. 표준 테스트 환경에서는 지정된 구성에 필요한 메타데이터를 포함하여 약 50개의 개별 OU(조직 구성 단위) 또는 보안 그룹으로 변환됩니다.
중첩 OU가 지원됩니다(즉, 130개의 중첩된 OU가 있는 OU를 동기화할 수 있지만 동일한 구성에서 60개의 개별 OU를 동기화할 수는 없음).
암호 해시 동기화
- 암호 해시 동기화를 InetOrgPerson과 함께 사용하는 기능은 지원되지 않습니다.