다음을 통해 공유


Microsoft Azure에서 Microsoft 365 디렉터리 동기화 배포

Microsoft Entra Connect(이전의 디렉터리 동기화 도구, 디렉터리 동기화 도구 또는 DirSync.exe 도구)는 도메인 조인 서버에 설치하여 온-프레미스 Active Directory Domain Services(AD DS) 사용자를 Microsoft Entra 동기화하는 애플리케이션입니다. Microsoft 365 구독의 테넌트입니다. Microsoft 365는 디렉터리 서비스에 Microsoft Entra ID 사용합니다. Microsoft 365 구독에는 Microsoft Entra 테넌트가 포함됩니다. 이 테넌트는 Azure의 다른 SaaS 애플리케이션 및 앱을 포함하여 다른 클라우드 워크로드를 사용하여 organization ID를 관리하는 데 사용할 수도 있습니다.

온-프레미스 서버에 Microsoft Entra Connect를 설치할 수 있지만 다음과 같은 이유로 Azure의 가상 머신에 설치할 수도 있습니다.

  • 클라우드 기반 서비스를 더 빠르게 프로비저닝하고 구성하여 사용자가 서비스를 더 빠르게 사용하도록 할 수 있습니다.
  • Azure에서는 더 적은 노력으로 더 나은 사이트 가용성을 제공합니다.
  • 조직의 온-프레미스 서버 수를 줄일 수 있습니다.

이 솔루션을 사용하려면 온-프레미스 네트워크와 Azure 가상 네트워크 간의 연결이 필요합니다. 자세한 내용은 Microsoft Azure 가상 네트워크에 온-프레미스 네트워크 연결을 참조하세요.

참고

이 문서에서는 단일 포리스트에서 단일 도메인의 동기화에 대해 설명합니다. Microsoft Entra Connect는 Active Directory 포리스트의 모든 AD DS 도메인을 Microsoft 365와 동기화합니다. Microsoft 365와 동기화할 Active Directory 포리스트가 여러 대 있는 경우 다중 포리스트 디렉터리 동기화와 단일 Sign-On 시나리오를 참조하세요.

Azure에서 Microsoft 365 디렉터리 동기화 배포 개요

다음 다이어그램에서는 온-프레미스 AD DS 포리스트를 Microsoft 365 구독과 동기화하는 Azure의 가상 머신(디렉터리 동기화 서버)에서 실행되는 Microsoft Entra Connect를 보여 줍니다.

Microsoft Entra Azure의 가상 머신에서 온-프레미스 계정을 트래픽 흐름이 있는 Microsoft 365 구독의 Microsoft Entra 테넌트와 동기화하는 Connect 도구입니다.

다이어그램에는 사이트 간 VPN 또는 ExpressRoute 연결로 연결된 두 개의 네트워크가 있습니다. AD DS 도메인 컨트롤러가 있는 온-프레미스 네트워크가 있으며, 디렉터리 동기화 서버가 있는 Azure 가상 네트워크가 있으며 Microsoft Entra Connect를 실행하는 가상 머신입니다. 디렉터리 동기화 서버에서 발생하는 두 가지 기본 트래픽 흐름이 있습니다.

  • Microsoft Entra Connect는 온-프레미스 네트워크의 도메인 컨트롤러에 계정 및 암호 변경 내용을 쿼리합니다.
  • Microsoft Entra Connect는 계정 및 암호에 대한 변경 내용을 Microsoft 365 구독의 Microsoft Entra instance 보냅니다. 디렉터리 동기화 서버는 온-프레미스 네트워크의 확장된 부분에 있으므로 이러한 변경 내용은 온-프레미스 네트워크의 프록시 서버를 통해 전송됩니다.

참고

이 솔루션에서는 단일 Active Directory 포리스트에서 단일 Active Directory 도메인의 동기화를 설명합니다. Microsoft Entra Connect는 Active Directory 포리스트의 모든 Active Directory 도메인을 Microsoft 365와 동기화합니다. Microsoft 365와 동기화할 Active Directory 포리스트가 여러 대 있는 경우 다중 포리스트 디렉터리 동기화와 단일 Sign-On 시나리오를 참조하세요.

이 솔루션을 배포할 때는 다음과 같은 두 가지 주요 단계가 진행됩니다.

  1. Azure 가상 네트워크를 만들고 온-프레미스 네트워크에 대한 사이트 및 사이트 간의 VPN 연결을 설정합니다. 자세한 내용은 Microsoft Azure 가상 네트워크에 온-프레미스 네트워크 연결을 참조하세요.

  2. Azure의 도메인 가입 가상 머신에 Microsoft Entra Connect를 설치한 다음 온-프레미스 AD DS를 Microsoft 365와 동기화합니다. 여기에는 다음이 포함됩니다.

    Microsoft Entra Connect를 구성하려면 Microsoft Entra 관리자 계정 및 AD DS 엔터프라이즈 관리자 계정의 자격 증명(사용자 이름 및 암호)이 필요합니다. Microsoft Entra Connect는 온-프레미스 AD DS 포리스트를 Microsoft 365와 동기화하기 위해 즉시 지속적으로 실행됩니다.

프로덕션 환경에서 이 솔루션을 배포하기 전에 시뮬레이션된 엔터프라이즈 기본 구성 의 지침을 사용하여 이 구성을 개념 증명, 데모 또는 실험용으로 설정할 수 있습니다.

중요

Microsoft Entra Connect 구성이 완료되면 AD DS 엔터프라이즈 관리자 계정 자격 증명을 저장하지 않습니다.

참고

이 솔루션에서는 단일 AD DS 포리스트를 Microsoft 365와 동기화하는 방법을 설명합니다. 이 문서에서 설명하는 토폴로지에서는 이 솔루션을 구현하는 한 가지 방법만 나타냅니다. organization 토폴로지의 고유한 네트워크 요구 사항 및 보안 고려 사항에 따라 다를 수 있습니다.

Azure에서 Microsoft 365용 디렉터리 동기화 서버 호스팅 계획

필수 구성 요소

시작하기 전에 이 솔루션에 대한 다음 필수 구성 요소를 검토하세요.

  • Azure Virtual Network 계획에서 관련 계획 콘텐츠를 검토하세요.

  • Azure Virtual Network 구성을 위한 모든 필수 구성 요소가 충족되는지 확인합니다.

  • Active Directory 통합 기능을 포함하는 Microsoft 365 구독이 있습니다. Microsoft 365 구독에 대한 자세한 내용은 Microsoft 365 구독 페이지로 이동하세요.

  • Microsoft Entra Connect를 실행하는 하나의 Azure Virtual Machine을 프로비전하여 온-프레미스 AD DS 포리스트를 Microsoft 365와 동기화합니다.

    AD DS 엔터프라이즈 관리자 계정 및 Microsoft Entra 관리자 계정에 대한 자격 증명(이름 및 암호)이 있어야 합니다.

솔루션 아키텍처 디자인 가정

다음 목록은 이 솔루션을 위한 디자인 선택 옵션에 대해 설명합니다.

  • 이 솔루션은 사이트 간 VPN 연결을 사용하는 단일 Azure Virtual Network를 사용합니다. Azure 가상 네트워크는 하나의 서버, Microsoft Entra Connect를 실행하는 디렉터리 동기화 서버가 있는 단일 서브넷을 호스트합니다.

  • 온-프레미스 네트워크에 도메인 컨트롤러 및 DNS 서버가 존재합니다.

  • Microsoft Entra Connect는 Single Sign-On 대신 암호 해시 동기화를 수행합니다. AD FS(Active Directory Federation Services) 인프라를 배포할 필요가 없습니다. 암호 해시 동기화 및 Single Sign-On 옵션에 대한 자세한 내용은 Microsoft Entra 하이브리드 ID 솔루션에 적합한 인증 방법 선택을 참조하세요.

환경에 이 솔루션을 배포할 때 고려할 수 있는 다른 디자인 선택 사항이 있습니다. 이러한 경계 및 제한은 다음과 같습니다.

  • 기존 Azure Virtual Network에 기존 DNS 서버가 있는 경우 디렉터리 동기화 서버에서 이름 확인을 위해 온-프레미스 네트워크의 DNS 서버 대신, 기존 DNS 서버를 사용하도록 할지 여부를 결정합니다.

  • 기존 Azure 가상 네트워크에 도메인 컨트롤러가 있는 경우 Active Directory 사이트 및 서비스 구성이 더 나은 옵션이 될 수 있는지 확인합니다. 디렉터리 동기화 서버는 온-프레미스 네트워크의 도메인 컨트롤러 대신 계정 및 암호의 변경 내용을 Azure 가상 네트워크의 도메인 컨트롤러에 쿼리할 수 있습니다.

배포 로드맵

Azure의 가상 머신에 Microsoft Entra Connect를 배포하는 작업은 다음 세 단계로 구성됩니다.

  • 1단계: Azure Virtual Network 만들기 및 구성

  • 2단계: Azure Virtual Machine 만들기 및 구성

  • 3단계: Microsoft Entra Connect 설치 및 구성

배포 후에는 Microsoft 365의 새 사용자 계정에 대한 위치 및 라이선스도 할당해야 합니다.

1단계: Azure Virtual Network 만들기 및 구성

Azure Virtual Network를 만들고 구성하려면 온-프레미스 네트워크를 Microsoft Azure Virtual Network에 연결의 배포 로드맵에서 1단계: 온-프레미스 네트워크 준비2단계: Azure에 프레미스 간 가상 네트워크 만들기를 완료합니다.

구성 결과는 다음과 같습니다.

Azure에서 호스트되는 Microsoft 365용 디렉터리 동기화 서버의 1단계입니다.

이 그림에서는 사이트 간 VPN 또는 ExpressRoute 연결을 통해 Azure Virtual Network에 연결된 온-프레미스를 보여줍니다.

2단계: Azure Virtual Machine 만들기 및 구성

Azure Portal 첫 번째 Windows 가상 머신 만들기 지침을 사용하여 Azure에서 가상 머신을 만듭니다. 다음 설정을 사용합니다.

  1. 기본 창에서 가상 네트워크와 동일한 구독, 위치 및 리소스 그룹을 선택합니다. 사용자 이름과 암호를 안전한 위치에 기록합니다. 나중에 가상 머신에 연결하려면 이러한 항목이 필요합니다.

  2. 크기 선택 창에서 A2 표준 크기를 선택합니다.

  3. 설정 창의 스토리지 섹션에서 표준 스토리지 유형을 선택합니다. 네트워크 섹션에서 가상 네트워크의 이름 및 디렉터리 동기화 서버를 호스트하기 위한 서브넷(GatewaySubnet 아님)을 선택합니다. 다른 설정은 기본값을 그대로 사용합니다.

내부 DNS를 확인하여 주소 (A) 레코드가 해당 IP 주소의 가상 머신에 대해 추가되었는지 검토함으로써 디렉터리 동기화 서버가 DNS를 올바르게 사용하고 있는지 확인합니다.

가상 머신에 연결 및 로그온의 지침을 사용하여 원격 데스크톱 연결을 사용하여 디렉터리 동기화 서버에 연결합니다. 로그인한 후 가상 머신을 온-프레미스 AD DS 도메인에 조인합니다.

Microsoft Entra 연결에서 인터넷 리소스에 액세스하려면 온-프레미스 네트워크의 프록시 서버를 사용하도록 디렉터리 동기화 서버를 구성해야 합니다. 수행할 추가 구성 단계는 네트워크 관리자에게 문의해야 합니다.

구성 결과는 다음과 같습니다.

Azure에서 호스트되는 Microsoft 365용 디렉터리 동기화 서버의 2단계.

이 그림은 크로스-프레미스 Azure Virtual Network의 디렉터리 동기화 서버 가상 머신을 보여줍니다.

3단계: Microsoft Entra Connect 설치 및 구성

다음 절차를 완료합니다.

  1. 로컬 관리자 권한이 있는 AD DS 도메인 계정으로 원격 데스크톱 연결을 사용하여 디렉터리 동기화 서버에 연결합니다. 가상 머신에 연결 및 로그온을 참조하세요.

  2. 디렉터리 동기화 서버에서 Microsoft 365용 디렉터리 동기화 설정 문서를 열고 암호 해시 동기화를 사용하여 디렉터리 동기화 지침을 따릅니다.

주의

설치 프로그램은 OU(로컬 사용자 조직 구성 단위)에서 AAD_xxxxxxxxxxxx 계정을 만듭니다. 이 계정을 이동하거나 제거하지 마세요. 또는 동기화가 실패합니다.

구성 결과는 다음과 같습니다.

Azure에서 호스트되는 Microsoft 365용 디렉터리 동기화 서버의 3단계.

이 그림에서는 프레미스 간 Azure 가상 네트워크에서 Microsoft Entra Connect가 있는 디렉터리 동기화 서버를 보여 줍니다.

Microsoft 365의 사용자에게 위치 및 라이선스 할당

Microsoft Entra Connect는 온-프레미스 AD DS에서 Microsoft 365 구독에 계정을 추가하지만 사용자가 Microsoft 365에 로그인하고 해당 서비스를 사용하려면 위치 및 라이선스로 계정을 구성해야 합니다. 적절한 사용자 계정에 대한 위치를 추가하고 라이선스를 활성화하려면 다음 단계를 사용합니다.

  1. Microsoft 365 관리 센터 로그인한 다음 관리 클릭합니다.

  2. 왼쪽 탐색 영역에서 사용자>활성 사용자를 클릭합니다.

  3. 사용자 계정 목록에서 정품 인증하려는 사용자 옆에 있는 확인란을 선택합니다.

  4. 사용자 페이지에서 제품 라이선스에 대해 편집을 클릭합니다.

  5. 제품 라이선스 페이지에서 위치로 사용자의 위치를 선택한 다음, 사용자를 위한 적절한 라이선스를 사용하도록 설정합니다.

  6. 완료되면 저장을 클릭한 다음 닫기를 두 번 클릭합니다.

  7. 추가 사용자가 있으면 3단계로 돌아갑니다.

참고 항목

Microsoft 365 솔루션 및 아키텍처 센터

온-프레미스 네트워크를 Microsoft Azure Virtual Network에 연결

Microsoft Entra Connect 다운로드

Microsoft 365에 대한 디렉터리 동기화 설정