자습서 - Microsoft Entra Cloud Sync를 사용하여 Active Directory에 그룹 프로비전

이 자습서에서는 그룹을 온-프레미스 Active Directory 동기화하도록 클라우드 동기화를 만들고 구성하는 방법을 안내합니다.

Active Directory에 Microsoft Entra ID 프로비전 - 필수 구성 요소

Active Directory에 프로비저닝 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

일반 요구 사항

• 하이브리드 관리이상 역할을 가진 Microsoft Entra 계정입니다.
• Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
  • AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
• 빌드 버전 1.1.1370.0 이상을 사용하여 에이전트를 프로비전합니다.

참고 항목

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.

이러한 권한은 기본적으로 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet에 관리SDHolder 개체에 적용되지 않습니다.

• 프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 do기본 컨트롤러와 통신할 수 있어야 합니다.
  • 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요
• 빌드 버전 2.2.8.0 이상이 포함된 Microsoft Entra 커넥트
  • Microsoft Entra Connect를 사용하여 동기화된 온-프레미스 사용자 멤버 자격을 지원하는 데 필요
  • AD:user:objectGUID를 AAD:user:onPremisesObjectIdentifier와 동기화하는 데 필요

지원되는 그룹

다음만 지원됩니다.

• 클라우드에서 만든 보안 그룹 만 지원됩니다.
• 이러한 그룹은 할당되거나 동적 멤버 자격을 가질 수 있습니다.
• 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
• 동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 do기본 또는 cross-do기본일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
• 이러한 그룹은 범용 AD 그룹 범위로 다시 작성됩니다. 온-프레미스 환경은 범용 그룹 범위를 지원해야 합니다.
• 멤버가 50,000명보다 큰 그룹은 지원되지 않습니다.
• 각 직접 자식 중첩 그룹은 참조 그룹에서 하나의 멤버로 계산됩니다.
• Active Directory에서 그룹을 수동으로 업데이트하는 경우 Microsoft Entra ID와 Active Directory 간의 그룹 조정은 지원되지 않습니다.

추가 정보

다음은 Active Directory에 그룹을 프로비전하는 방법에 대한 추가 정보입니다.

• 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스 동기화된 사용자 및/또는 추가 클라우드 생성 보안 그룹만 포함할 수 있습니다.
• 이러한 모든 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
• onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
• 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra Cloud Sync(1.1.1370.0) 또는 Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 동기화할 수 있습니다.
• Microsoft Entra 커넥트 Sync(2.2.8.0)를 사용하여 Microsoft Entra Cloud Sync 대신 사용자를 동기화하고 AD에 프로비저닝을 사용하려는 경우 2.2.8.0 이상이어야 합니다.
• 일반 Microsoft Entra ID 테넌트만 Microsoft Entra ID에서 Active Directory로 프로비전할 수 있습니다. B2C와 같은 테넌트는 지원되지 않습니다.
• 그룹 프로비저닝 작업은 20분마다 실행되도록 예약됩니다.

가정

이 튜토리얼은 다음 사항들을 가정합니다.

• Active Directory 온-프레미스 환경이 있습니다.
• 사용자를 Microsoft Entra ID에 동기화하도록 클라우드 동기화를 설정했습니다.
• 동기화된 두 명의 사용자가 있습니다. 브리타 사이먼과 롤라 제이콥슨. 이러한 사용자는 온-프레미스 및 Microsoft Entra ID에 있습니다.
• Active Directory에서 그룹, 영업 및 마케팅이라는 세 가지 조직 구성 단위가 만들어졌습니다. 다음과 같은 distinguishedNames가 있습니다.
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groups,DC=contoso,DC=com

Microsoft Entra ID에서 두 그룹을 만듭니다.

시작하려면 Microsoft Entra ID에 두 개의 그룹을 만듭니다. 한 그룹은 영업이고 다른 그룹은 마케팅입니다.

두 그룹을 만들려면 다음 단계를 수행합니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>그룹>모든 그룹으로 이동합니다.
3. 위쪽에서 새 그룹을 클릭합니다.
4. 그룹 유형이 보안으로 설정되어 있는지 확인합니다.
5. 그룹 이름에 대해 Sales 입력
6. 멤버 자격 유형의 경우 할당된 상태로 유지합니다.
7. 만들기를 클릭합니다.
8. 마케팅을 그룹 이름으로 사용하여 이 프로세스를 반복합니다.

새로 만든 그룹에 사용자 추가

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>그룹>모든 그룹으로 이동합니다.
3. 위쪽의 검색 상자에 Sales를 입력합니다.
4. 새 판매 그룹을 클릭합니다.
5. 왼쪽에서 구성원을 클릭합니다 .
6. 맨 위에서 구성원 추가를 클릭합니다.
7. 위쪽의 검색 상자에 Britta Simon을 입력합니다.
8. Britta Simon 옆에 검사 놓고 [선택]을 클릭합니다.
9. 그것은 성공적으로 그룹에 그녀를 추가해야합니다.
10. 맨 왼쪽에서 모든 그룹을 클릭하고 영업 그룹을 사용하여 이 프로세스를 반복하고 해당 그룹에 Lola Jacobson을 추가합니다.

프로비전 구성

프로비전을 구성하려면 다음 단계를 따릅니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

3. 새 구성을 선택합니다.

4. AD 동기화에 대한 Microsoft Entra ID를 선택합니다.

5. 구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 만들기를 클릭합니다.

6. 시작 화면이 열립니다. 여기에서 클라우드 동기화를 계속 구성할 수 있습니다.

7. 왼쪽에서 범위 지정 필터를 클릭합니다.

8. 그룹 범위에서 모든 보안 그룹으로 설정

9. 대상 컨테이너에서 특성 매핑 편집을 클릭합니다.

10. 매핑 유형을 식으로 변경

11. 식 상자에 다음을 입력합니다. Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. 기본값을 OU=Groups,DC=contoso,DC=com으로 변경합니다.

13. 적용을 클릭합니다. 그룹 displayName 특성에 따라 대상 컨테이너가 변경됩니다.

14. 페이지 맨 아래에 있는 저장

15. 왼쪽에서 개요를 클릭합니다 .

16. 맨 위에서 [검토]를 클릭하고 [사용]을 클릭합니다 .

17. 오른쪽에서 구성 사용 클릭

테스트 구성

참고 항목

주문형 프로비저닝을 사용하는 경우 멤버는 자동으로 증명되지 않습니다. 테스트할 멤버를 선택해야 하며 멤버 제한은 5개입니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

3. 구성 아래에서 구성을 선택합니다.

4. 왼쪽에서 주문형 프로비전을 선택합니다.

5. 선택한 그룹 상자에 판매 입력

6. 선택한 사용자 섹션에서 테스트할 사용자를 선택합니다.

7. 프로비전을 클릭합니다.

8. 프로비전된 그룹이 표시됩니다.

Active Directory에서 확인

이제 그룹이 Active Directory에 프로비전되었는지 확인할 수 있습니다.

다음을 수행하십시오:

1. 온-프레미스 환경에 로그인합니다.
2. 시작 Active Directory 사용자 및 컴퓨터
3. 새 그룹이 프로비전되었는지 확인합니다.

다음 단계

• Microsoft Entra Cloud Sync를 사용하여 쓰기 저장 그룹화
• Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리
• Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션