시나리오 - Active Directory에 그룹 프로비전과 함께 디렉터리 확장 사용

시나리오: Microsoft Entra ID에는 수백 개의 그룹이 있습니다. 이러한 그룹 중 일부를 프로비전하려고 하지만 모두 Active Directory로 다시 프로비전하는 것은 아닙니다. 보다 복잡한 범위 지정 필터를 만들지 않고도 그룹에 적용할 수 있는 빠른 필터를 사용하려고 합니다.

이 시나리오에서 만든 환경을 테스트하거나 클라우드 동기화에 더 익숙해지려면 사용할 수 있습니다.

가정

• 이 시나리오에서는 사용자를 Microsoft Entra ID와 동기화하는 작업 환경이 이미 있다고 가정합니다.
• 동기화된 4명의 사용자가 있습니다. 브리타 사이먼, 롤라 제이콥슨, 안나 링달, 존 스미스.
• Active Directory에서 영업, 마케팅 및 그룹이라는 세 가지 조직 구성 단위가 생성되었습니다.
• Britta Simon 및 Anna Ringdahl 사용자 계정은 Sales OU에 상주합니다.
• 롤라 제이콥슨과 존 스미스 사용자 계정은 마케팅 OU에 상주합니다.
• 그룹 OU는 Microsoft Entra ID의 그룹이 프로비전되는 위치입니다.

Microsoft Entra ID에서 두 그룹 만들기

시작하려면 Microsoft Entra ID에서 두 그룹을 만듭니다. 한 그룹은 영업이고 다른 그룹은 마케팅입니다.

두 그룹을 만들려면 다음 단계를 수행합니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>그룹>모든 그룹으로 이동합니다.
3. 위쪽에서 새 그룹을 클릭합니다.
4. 그룹 유형이 보안으로 설정되어 있는지 확인합니다.
5. 그룹 이름에 대해 Sales 입력
6. 멤버 자격 유형의 경우 할당된 상태로 유지합니다.
7. 만들기를 클릭합니다.
8. 마케팅을 그룹 이름으로 사용하여 이 프로세스를 반복합니다.

새로 만든 그룹에 사용자 추가

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>그룹>모든 그룹으로 이동합니다.
3. 위쪽의 검색 상자에 Sales를 입력합니다.
4. 새 판매 그룹을 클릭합니다.
5. 왼쪽에서 구성원을 클릭합니다 .
6. 맨 위에서 구성원 추가를 클릭합니다.
7. 위쪽의 검색 상자에 Britta Simon을 입력합니다.
8. Britta Simon과 Anna Ringdahl 옆에 검사 놓고 [선택]을 클릭합니다.
9. 그것은 성공적으로 그룹에 그녀를 추가해야합니다.
10. 맨 왼쪽에서 모든 그룹을 클릭하고 마케팅 그룹을 사용하여 이 프로세스를 반복하고 해당 그룹에 롤라 제이콥슨과 존 스미스를 추가합니다.

참고 항목

마케팅 그룹에 사용자를 추가할 때 개요 페이지에서 그룹 ID를 기록해 둡니다. 이 ID는 나중에 새로 만든 속성을 그룹에 추가하는 데 사용됩니다.

테넌트 ID 가져오기

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>개요로 이동합니다.
3. 테넌트 ID를 적어 두고 나중에 사용하기 위해 복사합니다.

CloudSyncCustomExtensionApp 및 서비스 주체 만들기

Important

Microsoft Entra Cloud Sync에 대한 디렉터리 확장은 식별자 URI "api://< tenantId>/CloudSyncCustomExtensionsApp" 및 Microsoft Entra 커넥트 의해 만들어진 테넌트 스키마 확장 앱이 있는 애플리케이션에서만 지원됩니다.

1. 온-프레미스 컴퓨터에서 관리제공 권한으로 PowerShell을 엽니다.
2. 실행 정책을 설정하려면 다음을 실행합니다(메시지가 표시되면 [A] 모두 예 누르기).

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

3. PowerShell Core 또는 Windows PowerShell에 SDK의 v1 모듈을 설치하려면 다음 명령을 실행합니다. 메시지가 표시되면 [Y] 예를 누릅니다.

Install-Module Microsoft.Graph -Scope CurrentUser

4. 테넌트에 커넥트(로그인할 때 대신 수락해야 합니다).

Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"

5. CloudSyncCustomExtensionApp이 있는지 확인합니다.

Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"

6. 있는 경우 appId를 확인하고 8단계로 건너뜁니다. 그렇지 않으면 앱을 만듭니다.
7. CloudSyncCustomExtensionApp을 만듭니다. 테넌트 ID>를 테넌트 ID로 대체<합니다. 만든 후 표시되는 ID 및 앱 ID를 복사합니다.

New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"

8. 앱이 있는 경우 검사 보안 주체가 있는지 확인합니다. 애플리케이션 ID>를 appId로 대체<합니다. 방금 앱을 만든 경우

Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

9. 앱을 방금 만든 경우 새 보안 주체를 만듭니다. 애플리케이션 ID>를 appId로 대체<합니다. 방금 앱을 만든 경우

   New-MgServicePrincipal -AppId '<appId>'
   

확장 및 클라우드 동기화 구성 만들기

1. 이제 사용자 지정 특성을 만들어 CloudSyncCustomExtensionApp에 할당합니다. ID를 ID>로 대체<합니다. 애플리케이션의 개체 ID를 사용합니다.

New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

2. ID를 입력하라는 메시지가 다시 표시될 수 있습니다.

3. 이 cmdlet은 extension_<_SynchGroup> 같은 특성을 만듭니다. 그룹과 연결하려면 이 방법이 필요 하지만 그래프 PowerShell cmdlet은 이를 반환하지 않습니다.

4. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

5. ID>하이브리드 관리>Microsoft Entra 커넥트>Cloud 동기화로 찾습니다.

6. 새 구성을 선택합니다.

7. AD 동기화에 대한 Microsoft Entra ID를 선택합니다.

8. 구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 만들기를 클릭합니다.

9. 시작 화면이 열립니다. 여기에서 클라우드 동기화를 계속 구성할 수 있습니다.

10. 왼쪽에서 범위 지정 필터를 클릭하고 그룹 범위 - 모든 그룹을 선택합니다.

11. 특성 매핑 편집을 클릭하고 대상 Contaniner를 OU=Groups,DC=contoso,DC=com으로 변경합니다. 저장을 클릭합니다.

12. 특성 범위 지정 필터 추가 클릭

13. 대상 특성 아래에서 extension_<guid>_SynchGroup 같이 새로 만든 특성을 선택합니다. 또한 이 특성을 그룹 중 하나에 추가하기 위해 이 특성을 사용해야 하므로 이를 적어 씁니다.

14. 연산자에서 PRESENT를 선택합니다.

15. 저장을 클릭합니다. 저장을 클릭합니다.

16. 구성을 사용하지 않도록 설정한 상태로 두고 다시 돌아갑니다.

그룹 중 하나에 새 확장 속성 추가

이 부분에서는 새로 만든 속성을 기존 그룹 중 하나인 마케팅에 추가할 예정입니다. 이렇게 하려면 Microsoft Graph Explorer를 사용합니다. Group.ReadWrite.All에 동의했는지 확인해야 합니다. 권한 수정을 선택하여 이 작업을 수행할 수 있습니다.

1. https://developer.microsoft.com/graph/graph-explorer 로 이동합니다.

2. 테넌트 관리자 계정을 사용하여 로그인합니다. 전역 관리자 계정이어야 할 수 있습니다. 이 시나리오를 만드는 데 전역 관리자 계정이 사용되었습니다. 하이브리드 관리자 계정으로 충분할 수 있습니다.

3. 위쪽에서 GET을 PATCH로 변경합니다.

4. 주소 상자에 다음을 입력 https://graph.microsoft.com/v1.0/groups/<합니다. 그룹 ID>

5. 요청 본문에 다음을 입력합니다.

   {
    extension_<guid>_SynchGroup: true
   }
   
   

6. 쿼리 실행 클릭

7. 올바르게 수행되면 []이 표시됩니다.

8. 이제 맨 위에서 PATCH를 GET으로 변경하고 마케팅 그룹의 속성을 확인합니다.

9. 쿼리 실행을 클릭합니다. 새로 만든 특성이 표시됩니다.

구성 테스트

참고 항목

주문형 프로비저닝을 사용하는 경우 멤버는 자동으로 프로비전되지 않습니다. 테스트할 멤버를 선택해야 하며 멤버 제한은 5개입니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

3. 구성 아래에서 구성을 선택합니다.

4. 왼쪽에서 주문형 프로비전을 선택합니다.

5. 선택한 그룹 상자에 마케팅 입력

6. 선택한 사용자 섹션에서 테스트할 사용자를 선택합니다. 롤라 제이콥슨과 존 스미스를 선택합니다.

7. 프로비전을 클릭합니다. 성공적으로 프로비전되어야 합니다.

8. 이제 영업 그룹을 사용해 보고 Britta Simon과 Anna Ringdahl을 추가합니다. 프로비전하면 안 됩니다.

9. Active Directory에 새로 만든 마케팅 그룹이 표시됩니다.

다음 단계

• Microsoft Entra Cloud Sync에서 그룹 쓰기 저장 사용
• Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리
• Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션