Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션

Important

Microsoft Entra 커넥트 Sync의 그룹 쓰기 저장 v2 공개 미리 보기는 2024년 6월 30일 이후에 더 이상 사용할 수 없습니다. 이 기능은 이 날짜에 중단되며 커넥트 Sync에서 더 이상 지원되지 않아 클라우드 보안 그룹을 Active Directory에 프로비전할 수 없습니다.

Microsoft Entra Cloud Sync에서는 Active Directory에 클라우드 보안 그룹을 프로비전하는 데 쓰기 저장 v2 대신 사용할 수 있는 Active Directory에 대한 그룹 프로비저닝이라는 유사한 기능을 제공합니다. 클라우드 동기화에서 개발 중인 다른 새로운 기능과 함께 클라우드 동기화에서 이 기능을 향상시키기 위해 노력하고 있습니다.

커넥트 Sync에서 이 미리 보기 기능을 사용하는 고객은 구성을 커넥트 Sync에서 클라우드 동기화로 전환해야 합니다. 모든 하이브리드 동기화를 클라우드 동기화로 이동하도록 선택할 수 있습니다(요구 사항을 지원하는 경우). 클라우드 동기화를 나란히 실행하고 클라우드 보안 그룹 프로비저닝만 Active Directory로 클라우드 동기화로 이동할 수도 있습니다.

Microsoft 365 그룹을 Active Directory에 프로비전하는 고객의 경우 이 기능에 대해 그룹 쓰기 저장 v1을 계속 사용할 수 있습니다.

사용자 동기화 마법사를 사용하여 클라우드 동기화로만 이동하는 것을 평가할 수 있습니다.

다음 문서에서는 Microsoft Entra Connect 동기화(이전의 Azure AD Connect)를 사용하여 그룹 쓰기 저장을 Microsoft Entra Cloud Sync로 마이그레이션하는 방법을 설명합니다. 이 시나리오는 현재 Microsoft Entra Connect 그룹 쓰기백 v2를 사용 중인 고객에게만 해당됩니다. 이 문서에 설명된 프로세스는 유니버설 범위로 다시 작성된 클라우드에서 만든 보안 그룹과만 관련이 있습니다. Microsoft Entra 커넥트 그룹 쓰기 저장 V1 또는 V2를 사용하여 다시 작성된 메일 사용 그룹 및 DL은 지원되지 않습니다.

Important

이 시나리오는 현재 Microsoft Entra Connect 그룹 쓰기백 v2를 사용 중인 고객에게만 해당됨

또한 이 시나리오는 다음 경우에만 지원됩니다.

• 클라우드에서 만든 보안 그룹
• 이러한 그룹은 범용 AD 그룹 범위로 쓰기 저장됩니다.

Microsoft Entra 커넥트 그룹 쓰기 저장 V1 또는 V2를 사용하여 다시 작성된 메일 사용 그룹 및 DL은 지원되지 않습니다.

자세한 내용은 Microsoft Entra Cloud Sync FAQ를 사용하여 Active Directory에 프로비저닝을 참조 하세요.

필수 조건

이 시나리오를 구현하려면 다음 필수 구성 요소가 필요합니다.

• 하이브리드 관리이상 역할을 가진 Microsoft Entra 계정입니다.
• 관리자 권한 이상의 도메인 관리자 권한이 있는 온-프레미스 AD 계정 - adminDescription 속성에 액세스하고 이를 msDS-ExternalDirectoryObjectId 속성에 복사하는 데 필요함
• Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
  • AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
• 빌드 버전 1.1.1367.0 이상의 프로비전 에이전트.
• 프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 도메인 컨트롤러와 통신할 수 있어야 합니다.
  • 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요

1단계 - msDS-ExternalDirectoryObjectID에 adminDescription 복사

1. 온-프레미스 환경에서 ADSI 편집을 엽니다.

2. 그룹의 adminDescription 특성에 있는 값 복사

   

3. msDS-ExternalDirectoryObjectID 특성에 붙여넣습니다.

   

2단계 - 준비 모드에서 Microsoft Entra Connect 동기화 서버를 배치하고 동기화 스케줄러를 사용하지 않도록 설정

1. Microsoft Entra 커넥트 동기화 마법사 시작

2. 구성을 클릭합니다.

3. 준비 모드 구성을 선택한 다음, 다음 선택

4. Microsoft Entra 자격 증명 입력

5. 준비 모드 사용 확인란에 체크하고 다음 클릭

   

6. 구성을 클릭합니다.

7. 종료를 클릭합니다.

   

8. Microsoft Entra Connect 서버에서 관리자 권한으로 PowerShell 프롬프트를 엽니다.

9. 동기화 스케줄러를 사용하지 않도록 설정합니다.

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3단계 - 사용자 지정 그룹 인바운드 규칙 만들기

Microsoft Entra Connect 동기화 규칙 편집기에서 메일 특성에 대해 NULL이 있는 그룹을 필터링하는 인바운드 동기화 규칙을 만들어야 합니다. 인바운드 동기화 규칙은 cloudNoFlow의 대상 특성을 사용하는 조인 규칙입니다. 이 규칙은 Microsoft Entra Connect에 이러한 그룹의 특성을 동기화하지 않도록 지시합니다.

1. 아래와 같이 데스크톱의 애플리케이션 메뉴에서 동기화 편집기를 시작합니다.

2. 방향 드롭다운 목록에서 인바운드를 선택하고, 새 규칙 추가를 선택합니다.

3. 설명 페이지에서 다음을 입력하고, 다음을 선택합니다.

   • 이름: 규칙에 의미 있는 이름을 지정합니다.

   • 설명: 의미 있는 설명을 추가합니다.

   • 연결된 시스템: 작성하는 사용자 지정 동기화 규칙의 대상이 되는 Microsoft Entra 커넥터를 선택합니다.

   • 연결된 시스템 개체 유형: 그룹

   • 메타버스 개체 형식: 그룹

   • 링크 형식: 조인

   • 우선 순위: 시스템에서 고유한 값 제공

   • 태그: 비워 둡니다.

     

4. 범위 지정 필터 페이지에서 다음을 추가하고 다음을 선택합니다.

   Attribute	연산자	값
   cloudMastered	같음	true
   mail	ISNULL

   

5. 조인 규칙 페이지에서 다음을 선택합니다.

6. 변환 페이지에서 cloudNoFlow 특성을 True로 지정한 상수 변환을 추가합니다. 추가를 선택합니다.

   

4단계 - 사용자 지정 그룹 아웃바운드 규칙 만들기

또한 JoinNoFlow의 링크 유형과 cloudNoFlow 특성이 True로 설정된 범위 지정 필터를 사용하는 아웃바운드 동기화 규칙이 필요합니다. 이 규칙은 Microsoft Entra Connect에 이러한 그룹의 특성을 동기화하지 않도록 지시합니다.

1. [방향] 드롭다운 목록에서 아웃바운드를 선택하고, 새 규칙 추가를 선택합니다.

2. 설명 페이지에서 다음을 입력하고, 다음을 선택합니다.

   • 이름: 규칙에 의미 있는 이름을 지정합니다.
   • 설명: 의미 있는 설명을 추가합니다.
   • 연결된 시스템: 작성하는 사용자 지정 동기화 규칙의 대상이 되는 AD 커넥터를 선택합니다.
   • 연결된 시스템 개체 유형: 그룹
   • 메타버스 개체 형식: 그룹
   • 연결 유형: JoinNoFlow
   • 우선 순위: 시스템에서 고유한 값 제공
   • 태그: 비워 둡니다.

   

3. 범위 지정 필터 페이지에서 cloudNoFlow, 같음, True를 차례로 선택합니다. 그런 후 다음을 선택합니다.

   

4. 조인 규칙 페이지에서 다음을 선택합니다.

5. 변환 페이지에서 추가를 선택합니다.

5단계 - PowerShell을 사용하여 구성 완료

1. Microsoft Entra Connect 서버에서 관리자 권한으로 PowerShell 프롬프트를 엽니다.

2. ADSync 모듈을 가져옵니다.

   Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
   

3. 전체 동기화 주기를 실행합니다.

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. 그룹 쓰기 저장 기능을 테넌트에 사용하지 않도록 설정합니다.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. 전체 동기화 주기를 실행합니다(다시 예).

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. 동기화 스케줄러를 다시 사용하도록 설정합니다.

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

6단계 - 스테이징 모드에서 Microsoft Entra Connect 동기화 서버 제거

1. Microsoft Entra 커넥트 동기화 마법사 시작
2. 구성을 클릭합니다.
3. 준비 모드 구성을 선택한 다음, 다음 선택
4. Microsoft Entra 자격 증명 입력
5. 준비 모드 사용 상자에서 확인란을 선택 취소하고 다음 클릭
6. 구성을 클릭합니다.
7. 종료를 클릭합니다.

7단계 - Microsoft Entra 클라우드 동기화 구성

이제 Microsoft Entra 커넥트 Sync 범위에서 그룹을 성공적으로 제거했으므로 동기화를 인수하도록 Microsoft Entra Cloud Sync를 설정하고 구성할 수 있습니다. Microsoft Entra Cloud Sync를 사용하여 Active Directory에 그룹 프로비저닝을 참조하세요.

다음 단계

• Microsoft Entra Cloud Sync를 사용하여 쓰기 저장 그룹화

• Microsoft Entra 클라우드 동기화를 사용하여 Active Directory에 그룹 프로비전

• Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리

• Microsoft Entra Cloud Sync FAQ를 사용하여 Active Directory에 프로비전