다음을 통해 공유


Microsoft Entra 클라우드 동기화를 사용한 그룹 쓰기 저장

프로비전 에이전트 1.1.1370.0이 릴리스되면서 클라우드 동기화는 이제 그룹 쓰기 저장을 수행할 수 있습니다. 이 기능은 클라우드 동기화가 온-프레미스 Active Directory 환경에 직접 그룹을 프로비전할 수 있음을 의미합니다. 이제는 ID Governance 기능을 사용하여 권한 관리 액세스 패키지에 그룹을 포함하는 등 AD 기반 애플리케이션에 대한 액세스를 관리할 수 있습니다.

클라우드 동기화를 사용한 그룹 쓰기 저장을 보여주는 다이어그램

중요

Microsoft Entra Connect 동기화의 그룹 쓰기 저장 v2 공개 미리 보기는 2024년 6월 30일 이후 더 이상 사용할 수 없습니다. 이 기능은 이 날짜에 중단되며, Connect 동기화에서 Active Directory에 클라우드 보안 그룹을 프로비전하는 기능이 더 이상 지원되지 않습니다. 이 기능은 중단 날짜 이후에도 계속 작동됩니다. 그러나 이 날짜 이후에는 더 이상 지원을 받을 수 없으며 언제든지 통지 없이 작동이 중단될 수 있습니다.

Microsoft Entra 클라우드 동기화에서는 클라우드 보안 그룹을 Active Directory에 프로비저닝하기 위해 Group Writeback v2 대신 사용할 수 있는 Active Directory에 그룹 프로비전이라는 유사한 기능을 제공합니다. 클라우드 동기화에서 개발 중인 다른 새로운 기능과 함께 클라우드 동기화에서 이 기능을 향상시키기 위해 노력하고 있습니다.

Connect 동기화에서 이 미리 보기 기능을 사용하는 고객은 Connect 동기화에서 클라우드 동기화로 구성을 전환해야 합니다. 모든 하이브리드 동기화를 클라우드 동기화로 이동하도록 선택할 수 있습니다(필요한 경우 지원). 클라우드 동기화를 나란히 실행하고 Active Directory에 대한 클라우드 보안 그룹 프로비전만 클라우드 동기화로 이동할 수도 있습니다.

Microsoft 365 그룹을 Active Directory에 프로비전하는 고객의 경우 이 기능에 그룹 쓰기 저장 v1을 계속 사용할 수 있습니다.

사용자 동기화 마법사를 사용하여 클라우드 동기화로만 전환하는 것을 평가할 수 있습니다.

Microsoft Entra ID를 Active Directory에 프로비전 - 필수 구성 요소

프로비전 그룹을 Active Directory에 구현하려면 다음 필수 구성 요소가 필요합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

일반 요구 사항

  • 최소한 하이브리드 ID 관리자 역할이 있는 Microsoft Entra 계정.
  • Windows Server 2016 운영 체제 이상이 있는 온-프레미스 Active Directory Domain Services 환경.
    • AD 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
  • 프로비전 에이전트 빌드 버전 1.1.1370.0 이상

참고

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell cmdlet을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽고, 쓰고, 만들고, 삭제해야 합니다.

이러한 권한은 기본 Microsoft Entra 프로비전 에이전트 gMSA PowerShell cmdlet에서 AdminSDHolder 개체에 적용되지 않습니다.

  • 프로비전 에이전트는 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그) 포트에서 하나 이상의 도메인 컨트롤러와 통신할 수 있어야 합니다.
    • 잘못된 멤버 자격 참조를 필터링하기 위해 글로벌 카탈로그 조회에 필요
  • Microsoft Entra Connect 동기화 빌드 버전 2.2.8.0 이상
    • Microsoft Entra Connect 동기화를 사용하여 동기화된 온-프레미스 사용자 멤버십을 지원하는 데 필요
    • AD:user:objectGUID를 AAD:user:onPremisesObjectIdentifier와 동기화하는 데 필요

지원되는 그룹 및 크기 조정 제한

다음과 같이 지원됩니다.

  • 클라우드에서 만든 보안 그룹만 지원됩니다.
  • 이러한 그룹은 할당되거나 동적 멤버십 그룹을 가질 수 있습니다.
  • 이러한 그룹에는 온-프레미스 동기화된 사용자 및/또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
  • 동기화되고 이 클라우드에서 만든 보안 그룹의 멤버인 온-프레미스 사용자 계정은 동일한 도메인 또는 교차 도메인에서일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
  • 이러한 그룹은 범용 AD 그룹 범위로 쓰기 저장됩니다. 온-프레미스 환경은 범용 그룹 범위를 지원해야 합니다.
  • 멤버가 50,000명보다 많은 그룹은 지원되지 않습니다.
  • 개체가 150,000개보다 많은 테넌트는 지원되지 않습니다. 즉, 150,000개 개체를 초과하는 사용자와 그룹의 조합이 있는 테넌트에 경우 이 테넌트는 지원되지 않습니다.
  • 각 직계 자식 중첩 그룹은 참조 그룹의 한 멤버로 계산됩니다.
  • 그룹이 Active Directory에서 수동으로 업데이트되는 경우 Microsoft Entra ID와 Active Directory 간의 그룹 조정은 지원되지 않습니다.

추가 정보

다음은 Active Directory에 그룹을 프로비전하는 방법에 대한 추가 정보입니다.

  • 클라우드 동기화를 사용하여 AD에 프로비전된 그룹은 온-프레미스에서 동기화된 사용자 및/또는 클라우드에서 만든 추가 보안 그룹만 포함할 수 있습니다.
  • 이러한 사용자는 onPremisesObjectIdentifier 특성을 자신의 계정에 설정해야 합니다.
  • onPremisesObjectIdentifier는 대상 AD 환경에서 해당 objectGUID와 일치해야 합니다.
  • 클라우드 사용자 onPremisesObjectIdentifier 특성에 대한 온-프레미스 사용자 objectGUID 특성은 Microsoft Entra 클라우드 동기화(1.1.1370.0) 또는 Microsoft Entra Connect 동기화(2.2.8.0)를 사용하여 동기화 할 수 있습니다.
  • Microsoft Entra 클라우드 동기화 대신 Microsoft Entra Connect 동기화(2.2.8.0)를 사용하여 사용자를 동기화하고 AD에 대한 프로비전을 사용하려면 2.2.8.0 이상이어야 합니다.
  • Microsoft Entra ID에서 Active Directory로의 프로비전에는 일반 Microsoft Entra ID 테넌트만 지원됩니다. B2C와 같은 테넌트는 지원되지 않습니다.
  • 그룹 프로비전 작업은 20분마다 실행되도록 예약되어 있습니다.

Microsoft Entra 클라우드 동기화를 사용한 그룹 쓰기 저장에 지원되는 시나리오

다음 섹션에서는 Microsoft Entra 클라우드 동기화를 사용한 그룹 쓰기 저장에 지원되는 시나리오에 대해 설명합니다.

Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra Cloud Sync로 마이그레이션

시나리오: Microsoft Entra Connect 동기화(이전의 Azure AD Connect)를 사용하여 그룹 쓰기 저장을 Microsoft Entra 클라우드 동기화로 마이그레이션합니다. 이 시나리오는 현재 Microsoft Entra Connect 그룹 쓰기 저장 v2를 사용 중인 고객에게만 해당됩니다. 이 문서에 설명된 프로세스는 유니버설 범위로 다시 작성된 클라우드에서 만든 보안 그룹과만 관련이 있습니다. 메일 사용 그룹 및 Microsoft Entra Connect 그룹 쓰기 저장 V1 또는 V2를 사용하여 쓰기 저장된 DL은 지원되지 않습니다.

자세한 내용은 Microsoft Entra Connect 동기화 그룹 쓰기 저장 V2를 Microsoft Entra 클라우드 동기화로 마이그레이션을 참조하세요.

Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리

시나리오: 클라우드에서 프로비전되고 관리되는 Active Directory 그룹을 사용하여 온-프레미스 애플리케이션을 관리합니다. Microsoft Entra 클라우드 동기화를 사용하면 Microsoft Entra ID Governance 기능을 활용하여 액세스 관련 요청을 제어하고 수정하는 동시에 AD의 애플리케이션 할당을 완전히 제어할 수 있습니다.

자세한 내용은 Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리를 참조하세요.

다음 단계