자습서 - Microsoft Entra Cloud Sync를 사용하여 Active Directory에 그룹 프로비전
이 자습서에서는 그룹을 온-프레미스 Active Directory 동기화하도록 클라우드 동기화를 만들고 구성하는 방법을 안내합니다.
Active Directory에 Microsoft Entra ID 프로비전 - 필수 구성 요소
Active Directory에 프로비저닝 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.
라이선스 요구 사항
이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.
일반 요구 사항
- 하이브리드 관리이상 역할을 가진 Microsoft Entra 계정입니다.
- Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
- AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
- 빌드 버전 1.1.1370.0 이상을 사용하여 에이전트를 프로비전합니다.
참고 항목
서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.
이러한 권한은 기본적으로 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet에 관리SDHolder 개체에 적용되지 않습니다.
- 프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 do기본 컨트롤러와 통신할 수 있어야 합니다.
- 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요
- 빌드 버전 2.2.8.0 이상이 포함된 Microsoft Entra 커넥트
- Microsoft Entra Connect를 사용하여 동기화된 온-프레미스 사용자 멤버 자격을 지원하는 데 필요
- AD:user:objectGUID를 AAD:user:onPremisesObjectIdentifier와 동기화하는 데 필요
지원되는 그룹
다음만 지원됩니다.
- 클라우드에서 만든 보안 그룹 만 지원됩니다.
- 이러한 그룹은 할당되거나 동적 멤버 자격을 가질 수 있습니다.
- 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
- 동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 do기본 또는 cross-do기본일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
- 이러한 그룹은 범용 AD 그룹 범위로 다시 작성됩니다. 온-프레미스 환경은 범용 그룹 범위를 지원해야 합니다.
- 멤버가 50,000명보다 큰 그룹은 지원되지 않습니다.
- 각 직접 자식 중첩 그룹은 참조 그룹에서 하나의 멤버로 계산됩니다.
- Active Directory에서 그룹을 수동으로 업데이트하는 경우 Microsoft Entra ID와 Active Directory 간의 그룹 조정은 지원되지 않습니다.
추가 정보
다음은 Active Directory에 그룹을 프로비전하는 방법에 대한 추가 정보입니다.
- 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스 동기화된 사용자 및/또는 추가 클라우드 생성 보안 그룹만 포함할 수 있습니다.
- 이러한 모든 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
- onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
- 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra Cloud Sync(1.1.1370.0) 또는 Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 동기화할 수 있습니다.
- Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 Microsoft Entra Cloud Sync 대신 사용자를 동기화하고 AD에 프로비저닝을 사용하려는 경우 2.2.8.0 이상이어야 합니다.
- 일반 Microsoft Entra ID 테넌트만 Microsoft Entra ID에서 Active Directory로 프로비전할 수 있습니다. B2C와 같은 테넌트는 지원되지 않습니다.
- 그룹 프로비저닝 작업은 20분마다 실행되도록 예약됩니다.
가정
이 튜토리얼은 다음 사항들을 가정합니다.
- Active Directory 온-프레미스 환경이 있습니다.
- 사용자를 Microsoft Entra ID에 동기화하도록 클라우드 동기화를 설정했습니다.
- 동기화된 두 명의 사용자가 있습니다. 브리타 사이먼과 롤라 제이콥슨. 이러한 사용자는 온-프레미스 및 Microsoft Entra ID에 있습니다.
- Active Directory에서 그룹, 영업 및 마케팅이라는 세 가지 조직 구성 단위가 만들어졌습니다. 다음과 같은 distinguishedNames가 있습니다.
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
Microsoft Entra ID에서 두 그룹을 만듭니다.
시작하려면 Microsoft Entra ID에 두 개의 그룹을 만듭니다. 한 그룹은 영업이고 다른 그룹은 마케팅입니다.
두 그룹을 만들려면 다음 단계를 수행합니다.
- 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>그룹>모든 그룹으로 이동합니다.
- 위쪽에서 새 그룹을 클릭합니다.
- 그룹 유형이 보안으로 설정되어 있는지 확인합니다.
- 그룹 이름에 대해 Sales 입력
- 멤버 자격 유형의 경우 할당된 상태로 유지합니다.
- 만들기를 클릭합니다.
- 마케팅을 그룹 이름으로 사용하여 이 프로세스를 반복합니다.
새로 만든 그룹에 사용자 추가
- 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>그룹>모든 그룹으로 이동합니다.
- 위쪽의 검색 상자에 Sales를 입력합니다.
- 새 판매 그룹을 클릭합니다.
- 왼쪽에서 구성원을 클릭합니다 .
- 맨 위에서 구성원 추가를 클릭합니다.
- 위쪽의 검색 상자에 Britta Simon을 입력합니다.
- Britta Simon 옆에 검사 놓고 [선택]을 클릭합니다.
- 그것은 성공적으로 그룹에 그녀를 추가해야합니다.
- 맨 왼쪽에서 모든 그룹을 클릭하고 영업 그룹을 사용하여 이 프로세스를 반복하고 해당 그룹에 Lola Jacobson을 추가합니다.
프로비전 구성
프로비전을 구성하려면 다음 단계를 따릅니다.
- 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.
새 구성을 선택합니다.
구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 만들기를 클릭합니다.
시작 화면이 열립니다. 여기에서 클라우드 동기화를 계속 구성할 수 있습니다.
왼쪽에서 범위 지정 필터를 클릭합니다.
그룹 범위에서 모든 보안 그룹으로 설정
매핑 유형을 식으로 변경
식 상자에 다음을 입력합니다.
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
적용을 클릭합니다. 그룹 displayName 특성에 따라 대상 컨테이너가 변경됩니다.
페이지 맨 아래에 있는 저장
왼쪽에서 개요를 클릭합니다 .
맨 위에서 [검토]를 클릭하고 [사용]을 클릭합니다 .
오른쪽에서 구성 사용 클릭
테스트 구성
참고 항목
주문형 프로비저닝을 사용하는 경우 멤버는 자동으로 증명되지 않습니다. 테스트할 멤버를 선택해야 하며 멤버 제한은 5개입니다.
- 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.
구성 아래에서 구성을 선택합니다.
왼쪽에서 주문형 프로비전을 선택합니다.
선택한 그룹 상자에 판매 입력
프로비전을 클릭합니다.
프로비전된 그룹이 표시됩니다.
Active Directory에서 확인
이제 그룹이 Active Directory에 프로비전되었는지 확인할 수 있습니다.
다음을 수행하십시오: