기존 동기화된 AD 포리스트를 위해 Microsoft Entra 클라우드 동기화로 마이그레이션

이 자습서에서는 Microsoft Entra Connect 동기화를 사용하여 이미 동기화된 테스트 Active Directory 포리스트에 대한 클라우드 동기화로 마이그레이션하는 방법을 안내합니다.

참고 항목

이 문서에서는 기본 마이그레이션에 대한 정보를 제공하며 프로덕션 환경을 마이그레이션하기 전에 클라우드 동기화로 마이그레이션 설명서를 검토해야 합니다.

고려 사항

이 자습서를 수행하기 전에 고려해야 하는 사항은 다음과 같습니다.

1. 클라우드 동기화의 기본 사항에 대해 잘 알고 있어야 합니다.

2. Microsoft Entra Connect 동기화 버전 1.4.32.0 이상을 실행하고 문서에 설명한 대로 동기화 규칙을 구성했는지 확인합니다.

3. 파일럿 테스트를 수행하는 경우 Microsoft Entra Connect 동기화 범위에 속한 테스트 OU 또는 그룹을 제거합니다. 범위를 벗어난 개체를 이동하면 해당 개체가 Microsoft Entra ID에서 삭제됩니다.

   • 사용자 개체: Microsoft Entra ID의 개체가 일시 삭제되며 복원할 수 있습니다.
   • 그룹 개체: Microsoft Entra ID의 개체가 영구 삭제되며 복원할 수 없습니다.

   파일럿 테스트 시나리오의 경우 삭제를 방지하는 새 링크 유형이 Microsoft Entra Connect 동기화에 도입되었습니다.

4. 파일럿 범위에 속한 개체에 ms-ds-consistencyGUID가 채워져 클라우드 동기화가 개체와 일치하는지 확인합니다.

참고 항목

Microsoft Entra Connect 동기화는 기본적으로 그룹 개체에 대한 ms-ds-consistencyGUID를 채우지 않습니다.

5. 이 구성은 고급 시나리오를 위한 것입니다. 이 자습서에서 설명하는 단계를 정확히 수행해야 합니다.

필수 조건

다음은 이 자습서를 완료하는 데 필요한 필수 구성 요소입니다.

• Microsoft Entra Connect 동기화 버전 1.4.32.0 이상인 테스트 환경
• 동기화 범위에 속하고 파일럿 테스트에 사용할 수 있는 OU 또는 그룹. 작은 개체 세트로 시작하는 것이 좋습니다.
• Windows Server 2016 이상을 실행하고 프로비전 에이전트를 호스트하는 서버.
• Microsoft Entra Connect 동기화에 대한 원본 앵커는 objectGuid 또는 ms-ds-consistencyGUID여야 합니다.

Microsoft Entra Connect 업데이트

최소한 Microsoft Entra Connect 1.4.32.0이 있어야 합니다. Microsoft Entra Connect 동기화를 업데이트하려면 Microsoft Entra Connect: 최신 버전으로 업그레이드의 단계를 완료합니다.

Microsoft Entra Connect 구성 백업

변경하기 전에 Microsoft Entra Connect 구성을 백업해야 합니다. 이렇게 하면 이전 구성으로 롤백할 수 있습니다. 자세한 내용은 Microsoft Entra Connect 구성 설정 가져오기 및 내보내기를 참조하세요.

스케줄러 중지

Microsoft Entra Connect 동기화는 스케줄러를 사용하여 온-프레미스 디렉터리에서 발생하는 변경 내용을 동기화합니다. 사용자 지정 규칙을 수정하고 추가하려면 스케줄러를 사용하지 않도록 설정하여 변경 작업을 수행하는 동안 동기화가 실행되지 않도록 해야 합니다. 스케줄러를 중지하려면 다음 단계를 사용합니다.

1. Microsoft Entra Connect 동기화를 실행하는 서버에서 PowerShell을 관리자 권한으로 엽니다.
2. Stop-ADSyncSyncCycle을 실행합니다. Enter 키를 누릅니다.
3. Set-ADSyncScheduler -SyncCycleEnabled $false을 실행합니다.

참고 항목

Microsoft Entra Connect 동기화에 대한 사용자 지정 스케줄러를 실행하는 경우 스케줄러를 사용하지 않도록 설정하세요.

사용자 지정 사용자 인바운드 규칙 만들기

Microsoft Entra Connect 동기화 규칙 편집기에서 이전에 식별한 OU의 사용자를 필터링하는 인바운드 동기화 규칙을 만들어야 합니다. 인바운드 동기화 규칙은 cloudNoFlow의 대상 특성을 사용하는 조인 규칙입니다. 이 규칙은 Microsoft Entra Connect에 이러한 사용자의 특성을 동기화하지 않도록 지시합니다. 자세한 내용은 프로덕션 환경을 마이그레이션하기 전에 클라우드 동기화로 마이그레이션 설명서를 참조하세요.

1. 아래와 같이 데스크톱의 애플리케이션 메뉴에서 동기화 편집기를 시작합니다.

   

2. 방향 드롭다운 목록에서 인바운드를 선택하고, 새 규칙 추가를 선택합니다.

   

3. 설명 페이지에서 다음을 입력하고, 다음을 선택합니다.

   • 이름: 규칙에 의미 있는 이름을 지정합니다.
   • 설명: 의미 있는 설명을 추가합니다.
   • 연결된 시스템: 작성하는 사용자 지정 동기화 규칙의 대상이 되는 AD 커넥터를 선택합니다.
   • 연결된 시스템 개체 유형: 사용자
   • 메타버스 개체 유형: 사람
   • 링크 형식: 조인
   • 우선 순위: 시스템에서 고유한 값 제공
   • 태그: 이 항목은 비워 둠

   

4. 범위 지정 필터 페이지에서 파일럿 테스트 기반으로 사용할 OU 또는 보안 그룹을 입력합니다. OU를 필터링하려면 고유 이름의 OU 부분을 추가합니다. 이 규칙은 해당 OU에 속한 모든 사용자에게 적용됩니다. 따라서 DN이 "OU=CPUsers,DC=contoso,DC=com"으로 끝나면 이 필터를 추가합니다. 그런 후 다음을 선택합니다.

   규칙	Attribute	연산자	값
   범위 지정 OU	DN	ENDSWITH	OU의 고유 이름입니다.
   범위 지정 그룹		ISMEMBEROF	보안 그룹의 고유 이름입니다.

   

5. 조인 규칙 페이지에서 다음을 선택합니다.

6. 변환 페이지에서 cloudNoFlow 특성을 True로 지정한 상수 변환을 추가합니다. 추가를 선택합니다.

   

모든 개체 형식(사용자, 그룹 및 연락처)에 대해서도 동일한 단계를 수행해야 합니다. 구성된 AD 커넥터 및 AD 포리스트별로 단계를 반복합니다.

사용자 지정 사용자 아웃바운드 규칙 만들기

또한 JoinNoFlow의 링크 유형과 cloudNoFlow 특성이 True로 설정된 범위 지정 필터를 사용하는 아웃바운드 동기화 규칙이 필요합니다. 이 규칙은 Microsoft Entra Connect에 이러한 사용자의 특성을 동기화하지 않도록 지시합니다. 자세한 내용은 프로덕션 환경을 마이그레이션하기 전에 클라우드 동기화로 마이그레이션 설명서를 참조하세요.

1. [방향] 드롭다운 목록에서 아웃바운드를 선택하고, 새 규칙 추가를 선택합니다.

   

2. 설명 페이지에서 다음을 입력하고, 다음을 선택합니다.

   • 이름: 규칙에 의미 있는 이름을 지정합니다.
   • 설명: 의미 있는 설명을 추가합니다.
   • 연결된 시스템: 작성하는 사용자 지정 동기화 규칙의 대상이 되는 Microsoft Entra 커넥터를 선택합니다.
   • 연결된 시스템 개체 유형: 사용자
   • 메타버스 개체 유형: 사람
   • 연결 유형: JoinNoFlow
   • 우선 순위: 시스템에서 고유한 값 제공
     
   • 태그: 이 항목은 비워 둠

   

3. 범위 지정 필터 페이지에서 cloudNoFlow, 같음, True를 차례로 선택합니다. 그런 후 다음을 선택합니다.

   

4. 조인 규칙 페이지에서 다음을 선택합니다.

5. 변환 페이지에서 추가를 선택합니다.

모든 개체 형식(사용자, 그룹 및 연락처)에 대해서도 동일한 단계를 수행해야 합니다.

Microsoft Entra 프로비저닝 에이전트 설치

기본 AD 및 Azure 환경 자습서를 사용하는 경우 CP1이 됩니다. 에이전트를 설치하려면 다음 단계를 따르세요.

1. Azure Portal에서 Microsoft Entra ID를 선택합니다.
2. 왼쪽에서 Microsoft Entra Connect를 선택합니다.
3. 왼쪽에서 클라우드 동기화를 선택합니다.

4. 왼쪽에서 에이전트를 선택합니다.
5. 온-프레미스 에이전트 다운로드를 선택하고 약관 동의 및 다운로드를 선택합니다.

6. Microsoft Entra 커넥트 프로비전 에이전트 패키지가 다운로드되면 다운로드 폴더에서 AAD커넥트ProvisioningAgentSetup.exe 설치 파일을 실행합니다.

참고 항목

미국 정부 클라우드용으로 설치하는 경우 다음을 사용합니다.
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
자세한 내용은 "미국 정부 클라우드에 에이전트 설치"를 참조하세요.

7. 시작 화면에서 라이선스 및 사용 약관에 동의함, 설치를 차례로 선택합니다.

8. 설치 작업이 완료되면 구성 마법사가 시작됩니다. 다음을 선택하여 구성을 시작합니다.
9. 확장 선택 화면에서 HR 기반 프로비저닝(Workday 및 SuccessFactors) /Microsoft Entra 커넥트 클라우드 동기화를 선택하고 다음을 선택합니다.

참고 항목

온-프레미스 앱 프로비전에 사용할 프로비전 에이전트를 설치하는 경우 온-프레미스 애플리케이션 프로비전(애플리케이션에 대한 Microsoft Entra ID)을 선택합니다.

10. 하이브리드 ID 관리이상 역할을 가진 계정으로 로그인합니다. Internet Explorer 보안이 강화된 경우 로그인을 차단합니다. 그렇다면 설치를 닫고 Internet Explorer 보안 강화를 사용하지 않도록 설정한 다음 Microsoft Entra Connect 프로비전 에이전트 패키지 설치를 다시 시작합니다.

11. 서비스 계정 구성 화면에서 gMSA(그룹 관리 서비스 계정)를 선택합니다. 이 계정은 에이전트 서비스를 실행하는 데 사용됩니다. 다른 에이전트가 관리 서비스 계정을 이미 구성하고 기본 두 번째 에이전트를 설치하는 경우 시스템에서 기존 계정을 검색하고 새 에이전트가 gMSA 계정을 사용하는 데 필요한 권한을 추가하므로 gMSA 만들기를 선택합니다. 메시지가 표시되면 다음 중 선택합니다.

• gMSA 만들기: 에이전트가 provAgentgMSA$ 관리되는 서비스 계정을 만들 수 있습니다. 그룹 관리 서비스 계정(예: CONTOSO\provAgentgMSA$)은 호스트 서버가 조인된 동일한 Active Directory 도메인에 만들어집니다. 이 옵션을 사용하려면 Active Directory 도메인 관리자 자격 증명을 입력합니다(권장).
• 사용자 지정 gMSA를 사용하고 이 작업을 위해 수동으로 만든 관리 서비스 계정의 이름을 입력합니다.

계속하려면 다음을 선택합니다.

12. Active Directory 연결 화면에서 도메인 이름이 구성된 도메인 아래에 표시되면 다음 단계로 건너뜁니다. 그렇지 않으면 Active Directory 도메인 이름을 입력하고 디렉터리 추가를 선택합니다.

13. Active Directory 도메인 관리자 계정으로 로그인합니다. 도메인 관리자 계정에는 만료된 암호가 없어야 합니다. 에이전트 설치 중에 암호가 만료되거나 변경되는 경우 에이전트를 새 자격 증명으로 다시 구성해야 합니다. 이 작업은 온-프레미스 디렉터리를 추가합니다. 확인을 선택하고 다음을 선택하여 계속합니다.

14. 다음 스크린샷은 contoso.com 구성된 도메인의 예를 보여 줍니다. 다음을 선택하여 작업을 계속할 수 있습니다.

15. 구성 완료 화면에서 확인을 선택합니다. 이 작업은 에이전트를 등록하고 다시 시작합니다.

16. 이 작업이 완료되면 에이전트 구성이 확인되었습니다.라는 알림이 표시됩니다. 종료를 선택할 수 있습니다.

17. 초기 시작 화면이 계속 표시되면 닫기를 선택합니다.

에이전트 설치 확인

에이전트 확인은 Azure Portal 및 에이전트를 실행하는 로컬 서버에서 수행됩니다.

Azure Portal에서 에이전트 확인

에이전트가 Microsoft Entra ID로 등록되고 있는지 확인하려면 다음 단계를 따릅니다.

1. Azure Portal에 로그인합니다.
2. Microsoft Entra ID를 선택합니다.
3. Microsoft Entra Connect를 선택한 다음 클라우드 동기화를 선택합니다.
4. 클라우드 동기화 페이지에 설치한 에이전트가 표시됩니다. 에이전트가 표시되고 상태가 정상인지 확인합니다.

로컬 서버에서 에이전트 확인

에이전트가 실행되는지 확인하려면 다음 단계를 수행합니다.

1. 관리자 계정으로 서버에 로그인합니다.
2. 서비스로 이동하거나 Start/Run/Services.msc로 이동하여 서비스를 엽니다.
3. 서비스에서 Microsoft Entra Connect 에이전트 업데이트 프로그램 및 Microsoft Entra Connect 프로비전 에이전트가 있고 상태가 실행 중인지 확인합니다.

프로비전 에이전트 버전 확인

실행 중인 에이전트 버전을 확인하려면 다음 단계를 따릅니다.

1. 'C:\Program Files\Microsoft Azure AD Connect 프로비전 에이전트'로 이동합니다.
2. 'AADConnectProvisioningAgent.exe'를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
3. 세부 정보 탭을 클릭하면 제품 버전 옆에 버전 번호가 표시됩니다.

Microsoft Entra 클라우드 동기화 구성

다음 단계를 사용하여 프로비저닝을 구성합니다.

1. 최소한 하이브리드 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

3. 새 구성을 선택합니다.
4. 구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 만들기를 클릭합니다.

5. 시작 화면이 열립니다.

6. 시작 화면에서 범위 지정 필터 추가 아이콘 옆에 있는 범위 지정 필터 추가를 클릭하거나 관리 아래 왼쪽에서 범위 지정 필터를 클릭합니다.

7. 범위 지정 필터를 선택합니다. 이 자습서에서는 다음을 선택합니다.
   • 선택한 조직 구성 단위: 특정 OU에 적용할 구성 범위를 지정합니다.
8. 상자에 “OU=CPUsers,DC=contoso,DC=com”을 입력합니다.

9. 추가를 클릭합니다. 저장을 클릭합니다.

스케줄러 시작

Microsoft Entra Connect 동기화는 스케줄러를 사용하여 온-프레미스 디렉터리에서 발생하는 변경 내용을 동기화합니다. 이제 규칙을 수정했으므로 스케줄러를 다시 시작할 수 있습니다. 다음 단계를 사용합니다.

1. Microsoft Entra Connect 동기화를 실행하는 서버에서 PowerShell을 관리자 권한으로 엽니다.
2. Set-ADSyncScheduler -SyncCycleEnabled $true을 실행합니다.
3. Start-ADSyncSyncCycle을 실행한 다음, Enter 키를 누릅니다.

참고 항목

Microsoft Entra Connect 동기화에 대한 사용자 지정 스케줄러를 실행하는 경우 스케줄러를 사용하도록 설정하세요.

스케줄러가 사용하도록 설정되면 Microsoft Entra Connect는 참조 특성(예: manager)이 업데이트되지 않는 한 메타버스의 cloudNoFlow=true를 사용하여 개체의 변경 내용 내보내기를 중지합니다. 개체에 대한 참조 특성 업데이트가 있는 경우 Microsoft Entra Connect는 cloudNoFlow 신호를 무시하고 개체에 대한 모든 업데이트를 내보냅니다.

문제가 발생했습니다.

파일럿 테스트가 예상대로 작동하지 않는 경우 아래 단계에 따라 Microsoft Entra Connect 동기화 설정으로 돌아갈 수 있습니다.

1. 포털에서 프로비전 구성을 사용하지 않도록 설정합니다.
2. 동기화 규칙 편집기 도구를 사용하여 클라우드 프로비저닝에 대해 만들어진 모든 사용자 지정 동기화 규칙을 사용하지 않도록 설정합니다. 사용하지 않도록 설정하면 모든 커넥터에서 전체 동기화가 수행됩니다.

다음 단계

• 프로비저닝이란?
• Microsoft Entra 클라우드 동기화란?