다음을 통해 공유


Microsoft Entra 클라우드 동기화 지원 토폴로지 및 시나리오

이 문서에서는 Microsoft Entra 클라우드 동기화를 사용하는 다양한 온-프레미스 및 Microsoft Entra 토폴로지에 대해 설명합니다. 이 문서에는 지원되는 구성 및 시나리오만 포함되어 있습니다.

Important

Microsoft는 공식적으로 문서화된 구성 또는 작업 외의 Microsoft Entra 클라우드 동기화에 대한 수정 또는 작업을 지원하지 않습니다. 이러한 구성이나 작업으로 인해 Microsoft Entra 클라우드 동기화가 일관되지 않거나 지원되지 않는 상태가 될 수 있습니다. 결과적으로, Microsoft는 해당 배포에 대해 기술 지원을 제공할 수 없습니다.

자세한 내용은 다음 비디오를 참조하세요.

모든 시나리오 및 토폴로지에 대해 기억할 사항

솔루션을 선택하는 경우 아래 정보에 유의해야 합니다.

  • 사용자 및 그룹은 모든 포리스트에서 고유하게 식별되어야 합니다.
  • 포리스트 간 일치는 클라우드 동기화에서 발생하지 않습니다.
  • 개체의 원본 앵커는 자동으로 선택되며 ms-DS-ConsistencyGuid를 사용합니다(있는 경우). 이 GUID가 없으면 ObjectGUID를 사용합니다.
  • 원본 앵커에 사용되는 특성은 변경할 수 없음

Active Directory에서 Microsoft Entra ID로 지원되는 토폴로지

Active Directory에서 Microsoft Entra ID로의 프로비전을 위해 다음 토폴로지가 지원됩니다.

단일 포리스트, 단일 Microsoft Entra 테넌트

단일 포리스트와 단일 테넌트에 대한 토폴로지를 보여 주는 다이어그램

가장 간단한 토폴로지는 하나 이상의 도메인 및 단일 Microsoft Entra 테넌트를 포함하는 단일 온-프레미스 포리스트입니다. 이 시나리오의 예제는 자습서: 단일 Microsoft Entra 테넌트를 포함하는 단일 포리스트를 참조하세요.

다중 포리스트, 단일 Microsoft Entra 테넌트

다중 포리스트 및 단일 테넌트에 대한 토폴로지

여러 AD 포리스트는 하나 이상의 도메인과 단일 Microsoft Entra 테넌트가 있는 일반적인 토폴로지입니다.

Microsoft Entra Connect를 사용하는 기존 포리스트, 클라우드 프로비저닝을 사용하는 새 포리스트

기존 포리스트와 새 포리스트에 대한 토폴로지를 보여 주는 다이어그램

이 시나리오의 토폴로지는 다중 포리스트 시나리오와 유사하지만 이 시나리오에는 기존 Microsoft Entra Connect 환경이 포함되고 Microsoft Entra 클라우드 동기화를 사용하여 새 포리스트를 가져옵니다. 이 시나리오의 예는 자습서: 단일 Microsoft Entra 테넌트가 있는 기존 포리스트를 참조하세요.

기존 하이브리드 AD 포리스트에서 Microsoft Entra 클라우드 동기화 파일럿

단일 포리스트 및 단일 테넌트에 대한 토폴로지

파일럿 시나리오에는 동일한 포리스트에 Microsoft Entra Connect와 Microsoft Entra Cloud Sync가 모두 존재하고 그에 따라 사용자 및 그룹의 범위를 지정하는 작업이 포함됩니다. 참고: 개체는 도구 중 하나에서만 범위 내에 있어야 합니다.

이 시나리오의 예는 자습서: 기존 동기화된 AD 포리스트에서 Microsoft Entra 클라우드 동기화 파일럿을 참조하세요.

연결이 끊긴 원본의 개체 병합

(공개 미리 보기)

연결이 끊긴 원본에서 개체를 병합하기 위한 다이어그램

이 시나리오에서는 연결이 끊어진 두 개의 Active Directory 포리스트가 사용자 특성에 기여합니다.

예를 들면 다음과 같습니다.

  • 하나의 포리스트(1)에는 대부분의 특성이 포함됩니다.
  • 두 번째 포리스트(2)에는 몇 가지 특성이 포함되어 있습니다.

Microsoft Entra Connect 서버에 대한 네트워크 연결이 없으므로 두 번째 포리스트는 Microsoft Entra Connect를 통해 개체를 병합할 수 없습니다. 두 번째 포리스트의 클라우드 동기화를 사용하면 두 번째 포리스트에서 특성 값을 검색할 수 있습니다. 그런 다음, Microsoft Entra Connect에서 동기화되는 Microsoft Entra ID의 개체와 값을 병합할 수 있습니다.

이는 고급 구성이며, 이 토폴로지에는 다음과 같은 몇 가지 주의 사항이 있습니다.

  1. 클라우드 동기화 구성에서 ms-DS-ConsistencyGuid를 원본 앵커로 사용해야 합니다.
  2. 두 번째 포리스트에 있는 사용자 개체의 ms-DS-ConsistencyGuid는 Microsoft Entra ID에 있는 해당 개체의 ms-DS-ConsistencyGuid와 일치해야 합니다.
  3. 두 번째 포리스트의 UserPrincipalName 특성과 Alias 특성을 채워야 하며, 첫 번째 포리스트에서 동기화되는 특성과 일치해야 합니다.
  4. 값이 없거나 두 번째 포리스트에 다른 값이 있을 수 있는 클라우드 동기화 구성의 특성 매핑에서 모든 특성을 제거해야 합니다. 첫 번째 포리스트와 두 번째 포리스트 간에는 겹치는 특성 매핑이 있을 수 없습니다.
  5. 첫 번째 포리스트에 일치하는 개체가 없는 경우에도 두 번째 포리스트에서 동기화되는 개체에 대해 클라우드 동기화에서 여전히 개체를 Microsoft Entra ID에 만듭니다. 개체에는 두 번째 포리스트에 대한 클라우드 동기화의 매핑 구성에 정의된 특성만 있습니다.
  6. 두 번째 포리스트에서 개체를 삭제하면 Microsoft Entra ID에서 일시 삭제됩니다. 이 개체는 다음 Microsoft Entra Connect 동기화 주기 후에 자동으로 복원됩니다.
  7. 첫 번째 포리스트에서 개체를 삭제하면 Microsoft Entra ID에서 일시 삭제됩니다. 두 번째 포리스트의 개체가 변경되지 않으면 해당 개체가 복원되지 않습니다. 이 개체는 30일 후에 Microsoft Entra ID에서 영구 삭제되고, 두 번째 포리스트의 개체가 변경되면 Microsoft Entra ID에서 새 개체로 만들어집니다.

Microsoft Entra ID에서 Active Directory로 지원되는 토폴로지

Microsoft Entra ID에서 Active Directory로의 프로비전을 위해 다음 토폴로지가 지원됩니다.

Active Directory에 단일 포리스트 그룹 프로비전

단일 포리스트 쓰기 저장의 개념 다이어그램입니다.

가장 간단한 그룹 프로비전 토폴로지는 하나 이상의 도메인과 단일 Microsoft Entra 테넌트가 있는 단일 온-프레미스 포리스트입니다. 이 시나리오의 예는 Active Directory에 그룹 프로비전을 참조하세요.

Active Directory에 다중 포리스트 그룹 프로비전

다중 포리스트 쓰기 저장의 개념 다이어그램입니다.

고급 그룹 프로비전 토폴로지는 단일 Microsoft Entra ID 테넌트를 공유하는 여러 온프레미스 AD 포리스트로 구성됩니다.

이 구성은 고급 구성이며 이 토폴로지에 대해 기억해야 할 몇 가지 사항이 있습니다.

  • 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스에서 동기화된 사용자 및/또는 추가 클라우드 생성 보안 그룹만 포함할 수 있습니다.
  • 이러한 모든 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
  • onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
  • 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra Cloud Sync(1.1.1370.0) 또는 Microsoft Entra Connect Sync(2.2.8.0)를 사용하여 동기화할 수 있습니다.
  • 테넌트 내에서 두 포리스트의 사용자가 포함된 공통 그룹을 공유할 수 있습니다.
  • 그러나 다른 포리스트에 없는 사용자는 온-프레미스에서 프로비전될 때 그룹의 구성원으로 프로비전되지 않습니다. 따라서 Microsoft Entra ID에 contoso.com 및 fabrikam.com의 사용자가 포함된 그룹이 있는 경우 contoso.com 포리스트에 있는 사용자만 contoso.com으로 프로비전될 때 그룹의 구성원이 됩니다. 그리고 fabrikam의 경우도 마찬가지입니다.

다음 단계