Microsoft 365로 디렉터리 동기화 준비
이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.
이 솔루션의 2단계 및 3단계 의 사용자 계정에서 하이브리드 ID 모델을 선택하고 관리자 계정에 대한 보호를 구성한 경우 다음 작업은 디렉터리 동기화를 배포하는 것입니다. organization 디렉터리 동기화의 이점은 다음과 같습니다.
- organization 관리 프로그램 축소
- 필요에 따라 Single Sign-On 시나리오 사용
- Microsoft 365에서 계정 변경 자동화
디렉터리 동기화 사용의 이점에 대한 자세한 내용은 Microsoft Entra ID를 사용하는 하이브리드 ID를 참조하세요.
그러나 디렉터리 동기화에는 AD DS(Active Directory Domain Services)가 최소 오류로 Microsoft 365 구독의 Microsoft Entra 테넌트와 동기화되도록 계획 및 준비가 필요합니다.
최상의 결과를 얻으려면 다음 단계를 수행합니다.
참고
ASCII가 아닌 문자는 AD DS 사용자 계정의 특성에 대해 동기화되지 않습니다.
AD DS 준비
동기화를 사용하여 Microsoft 365로 원활하게 전환할 수 있도록 Microsoft 365 디렉터리 동기화 배포를 시작하기 전에 AD DS 포리스트를 준비해야 합니다.
디렉터리 준비는 다음 작업에 집중해야 합니다.
중복 된 proxyAddress 및 userPrincipalName 특성을 제거합니다.
유효한 userPrincipalName 특성을 사용하여 비어 있고 잘못된 userPrincipalName 특성을 업데이트합니다.
givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname 및 userPrincipalName 특성에서 유효하지 않은 의심스러운 문자를 제거합니다. 특성 준비에 대한 자세한 내용은 Azure Active Directory 동기화 도구에서 동기화되는 특성 목록을 참조하세요.
참고
Microsoft Entra Connect가 동기화하는 것과 동일한 특성입니다.
다중 포리스트 배포 고려 사항
여러 포리스트 및 SSO 옵션의 경우 Microsoft Entra Connect의 사용자 지정 설치를 사용합니다.
organization 인증(로그온 포리스트)을 위한 포리스트가 여러 개 있는 경우 다음을 사용하는 것이 좋습니다.
- 포리스트를 통합하는 것이 좋습니다. 일반적으로 여러 포리스트를 유지 관리하는 데 더 많은 오버헤드가 필요합니다. organization 별도의 포리스트의 필요성을 결정하는 보안 제약 조건이 없는 한 온-프레미스 환경을 간소화하는 것이 좋습니다.
- 기본 로그온 포리스트에서만 사용합니다. Microsoft 365의 초기 출시를 위해 기본 로그온 포리스트에만 Microsoft 365를 배포하는 것이 좋습니다.
다중 포리스트 AD DS 배포를 통합할 수 없거나 다른 디렉터리 서비스를 사용하여 ID를 관리하는 경우 Microsoft 또는 파트너의 도움을 받아 동기화할 수 있습니다.
자세한 내용은 Microsoft Entra Connect에 대한 토폴로지를 참조하세요.
디렉터리 동기화에 종속된 기능
디렉터리 동기화는 다음 기능과 기능에 필요합니다.
- 원활한 SSO(Single Sign-On) Microsoft Entra
- Skype 공존
- 다음을 포함한 Exchange 하이브리드 배포:
- 온-프레미스 Exchange 환경과 Microsoft 365 간에 GAL(전체 공유 전역 주소 목록)
- 다른 메일 시스템에서 GAL 정보를 동기화합니다.
- Microsoft 365 서비스 제품에서 사용자를 추가하고 사용자를 제거하는 기능입니다. 이렇게 하려면 다음이 필요합니다.
- 디렉터리 동기화를 설정하는 동안 양방향 동기화를 구성해야 합니다. 기본적으로 디렉터리 동기화 도구는 디렉터리 정보를 클라우드에만 씁니다. 양방향 동기화를 구성할 때 제한된 수의 개체 특성이 클라우드에서 복사된 다음 로컬 AD DS에 다시 쓰도록 쓰기 저장 기능을 사용하도록 설정합니다. 쓰기 저장을 Exchange 하이브리드 모드라고도 합니다.
- 온-프레미스 Exchange 하이브리드 배포.
- 다른 사용자 사서함을 온-프레미스에 유지하면서 일부 사용자 사서함을 Microsoft 365로 이동하는 기능입니다.
- 안전한 보낸 사람 및 차단된 보낸 사람 온-프레미스는 Microsoft 365로 복제됩니다.
- 기본 위임 및 전자 메일 보내기 기능.
- 통합된 온-프레미스 스마트 카드 또는 다단계 인증 솔루션이 있습니다.
- 사진, 축소판 그림, 회의실 및 보안 그룹 동기화
1. 디렉터리 정리 작업
AD DS를 Microsoft Entra 테넌트와 동기화하기 전에 AD DS를 클린 합니다.
중요
동기화하기 전에 AD DS 정리를 수행하지 않으면 배포 프로세스에 상당한 부정적인 영향을 줄 수 있습니다. 디렉터리 동기화, 오류 식별 및 다시 동기화 주기를 진행하는 데 며칠 또는 몇 주가 걸릴 수 있습니다.
AD DS에서 Microsoft 365 라이선스가 할당될 각 사용자 계정에 대해 다음 클린 작업을 완료합니다.
proxyAddresses 특성에서 유효하고 고유한 전자 메일 주소를 확인합니다.
proxyAddresses 특성에서 중복되는 값을 모두 제거합니다.
가능하면 사용자 개체의userPrincipalName 특성에 대해 유효하고 고유한 값을 확인합니다. 최상의 동기화 환경을 위해 AD DS UPN이 Microsoft Entra UPN과 일치하는지 확인합니다. userPrincipalName 특성에 대한 값이 없는 경우 사용자 개체는 sAMAccountName 특성에 대한 유효하고 고유한 값을 포함해야 합니다. userPrincipalName 특성에서 중복되는 값을 모두 제거합니다.
GAL(전역 주소 목록)을 최적으로 사용하려면 AD DS 사용자 계정의 다음 특성에 있는 정보가 올바른지 확인합니다.
- givenName
- surname
- displayName
- 직함
- 부서
- 사무실
- 사무실 전화
- 휴대폰 번호
- 팩스 번호
- 주소
- 구/군/시
- 시/도
- 우편 번호
- 국가
2. 디렉터리 개체 및 특성 준비
AD DS와 Microsoft 365 간의 디렉터리 동기화가 성공하려면 AD DS 특성이 제대로 준비되어야 합니다. 예를 들어 Microsoft 365 환경과 동기화되는 특정 특성에서 특정 문자가 사용되지 않도록 해야 합니다. 예기치 않은 문자는 디렉터리 동기화에 실패하지 않지만 경고를 반환할 수 있습니다. 잘못된 문자로 인해 디렉터리 동기화가 실패합니다.
일부 AD DS 사용자에게 하나 이상의 중복 특성이 있는 경우에도 디렉터리 동기화가 실패합니다. 각 사용자에게는 고유한 특성이 있어야 합니다.
준비해야 하는 특성은 다음과 같습니다.
displayName
- 특성이 사용자 개체에 있는 경우 Microsoft 365와 동기화됩니다.
- 이 특성이 사용자 개체에 있는 경우 값이 있어야 합니다. 즉, 특성이 비어 있으면 안 됩니다.
- 최대 문자 수: 256
givenName
- 특성이 사용자 개체에 있는 경우 Microsoft 365와 동기화되지만 Microsoft 365에는 필요하거나 사용하지 않습니다.
- 최대 문자 수: 64
메일
특성 값은 디렉터리 내에서 고유해야 합니다.
참고
중복 값이 있는 경우 값이 있는 첫 번째 사용자가 동기화됩니다. 후속 사용자는 Microsoft 365에 표시되지 않습니다. 두 사용자가 Microsoft 365에 표시되도록 Microsoft 365의 값을 수정하거나 AD DS의 두 값을 모두 수정해야 합니다.
mailNickname (Exchange 별칭)
특성 값은 마침표(.)로 시작할 수 없습니다.
특성 값은 디렉터리 내에서 고유해야 합니다.
참고
동기화된 이름의 밑줄("_")은 이 특성의 원래 값에 잘못된 문자가 포함되어 있음을 나타냅니다. 이 특성에 대한 자세한 내용은 Exchange 별칭 특성을 참조하세요.
proxyAddresses
다중 값 특성
값당 최대 문자 수: 256
특성 값에 공백이 포함되어서는 안됩니다.
특성 값은 디렉터리 내에서 고유해야 합니다.
잘못된 문자: <> ( ) ; , [ ] "
움라우트, 악센트 및 타일과 같은 음색이 있는 문자는 잘못된 문자입니다.
잘못된 문자는 형식 구분 기호 및 ":"를 따르는 문자에 적용되므로 SMTP:User@contso.com 가 허용되지만 SMTP:user:M@contoso.com 는 적용되지 않습니다.
중요
모든 SMTP(단순 메일 전송 프로토콜) 주소는 전자 메일 메시징 표준을 준수해야 합니다. 중복되거나 원치 않는 주소가 있는 경우 제거합니다.
sAMAccountName
- 최대 문자 수: 20
- 특성 값은 디렉터리 내에서 고유해야 합니다.
- 잘못된 문자: [ \ " | , / : <> + = ; ? * ']
- 사용자에게 잘못된 sAMAccountName 특성이 있지만 유효한 userPrincipalName 특성이 있는 경우 사용자 계정은 Microsoft 365에서 만들어집니다.
- sAMAccountName과 userPrincipalName이 모두 잘못된 경우 AD DS userPrincipalName 특성을 업데이트해야 합니다.
sn (성)
- 특성이 사용자 개체에 있는 경우 Microsoft 365와 동기화되지만 Microsoft 365에는 필요하거나 사용하지 않습니다.
Targetaddress
사용자에 대해 채워진 targetAddress 특성(예: SMTP:tom@contoso.com)이 Microsoft 365 GAL에 표시되어야 합니다. 타사 메시징 마이그레이션 시나리오에서는 AD DS에 대한 Microsoft 365 스키마 확장이 필요합니다. Microsoft 365 스키마 확장은 AD DS의 디렉터리 동기화 도구를 사용하여 채워진 Microsoft 365 개체를 관리하는 다른 유용한 특성도 추가합니다. 예를 들어 숨겨진 사서함 또는 메일 그룹을 관리하는 msExchHideFromAddressLists 특성이 추가됩니다.
- 최대 문자 수: 256
- 특성 값에 공백이 포함되어서는 안됩니다.
- 특성 값은 디렉터리 내에서 고유해야 합니다.
- 잘못된 문자: \ <> ( ) ; , [ ] "
- 모든 SMTP(단순 메일 전송 프로토콜) 주소는 전자 메일 메시징 표준을 준수해야 합니다.
userPrincipalName
- userPrincipalName 특성은 인터넷 스타일 로그인 형식이어야 합니다. 여기서 사용자 이름 뒤에 at 기호(@)와 도메인 이름(예user@contoso.com: )이 와 입니다. 모든 SMTP(단순 메일 전송 프로토콜) 주소는 전자 메일 메시징 표준을 준수해야 합니다.
- userPrincipalName 특성의 최대 문자 수는 113자입니다. 다음과 같이 특정 수의 문자가 at 기호(@)의 앞과 뒤에 허용됩니다.
- at 기호 앞에 있는 사용자 이름의 최대 문자 수(@): 64
- at 기호(@)를 따르는 도메인 이름의 최대 문자 수: 48
- 잘못된 문자: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
- 허용되는 문자: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
- 움라우트, 악센트 및 타일과 같은 음색이 있는 문자는 잘못된 문자입니다.
- @ 문자는 각 userPrincipalName 값에 필요합니다.
- @ 문자는 각 userPrincipalName 값의 첫 번째 문자가 될 수 없습니다.
- 사용자 이름은 마침표(.), 앰퍼샌드(&), 공백 또는 at 기호(@)로 끝날 수 없습니다.
- 사용자 이름은 공백을 포함할 수 없습니다.
- 라우팅 가능한 도메인을 사용해야 합니다. 예를 들어 로컬 또는 내부 도메인을 사용할 수 없습니다.
- 유니코드는 밑줄 문자로 변환됩니다.
- userPrincipalName 은 디렉터리에 중복 값을 포함할 수 없습니다.
3. userPrincipalName 특성 준비
Active Directory는 organization 최종 사용자가 sAMAccountName 또는 userPrincipalName을 사용하여 디렉터리에 로그인할 수 있도록 설계되었습니다. 마찬가지로 최종 사용자는 회사 또는 학교 계정의 UPN(사용자 계정 이름)을 사용하여 Microsoft 365에 로그인할 수 있습니다. 디렉터리 동기화는 AD DS에 있는 동일한 UPN을 사용하여 Microsoft Entra ID에 새 사용자를 만들려고 시도합니다. UPN은 전자 메일 주소처럼 서식이 지정됩니다.
Microsoft 365에서 UPN은 이메일 주소를 생성하는 데 사용되는 기본 특성입니다. userPrincipalName(AD DS 및 Microsoft Entra ID)과 proxyAddresses의 기본 메일 주소 다른 값으로 설정하기 쉽습니다. 다른 값으로 설정된 경우 관리자와 최종 사용자에게 혼동이 있을 수 있습니다.
혼동을 줄이기 위해 이러한 특성을 맞추는 것이 가장 좋습니다. Active Directory Federation Services(AD FS) 2.0에서 Single Sign-On의 요구 사항을 충족하려면 Microsoft Entra ID 및 AD DS의 UPN이 일치하고 유효한 도메인 네임스페이스를 사용하고 있는지 확인해야 합니다.
4. AD DS에 대체 UPN 접미사 추가
사용자의 회사 자격 증명을 Microsoft 365 환경과 연결하려면 대체 UPN 접미사를 추가해야 할 수 있습니다. UPN 접미사는 UPN에서 @ 문자 오른쪽에 있는 부분입니다. Single Sign-On에 사용되는 UPN에는 문자, 숫자, 마침표, 대시 및 밑줄을 포함할 수 있으며 다른 유형의 문자는 포함할 수 없습니다.
Active Directory에 대체 UPN 접미사를 추가하는 방법에 대한 자세한 내용은 디렉터리 동기화 준비를 참조하세요.
5. Microsoft 365 UPN과 AD DS UPN 일치
디렉터리 동기화를 이미 설정한 경우 Microsoft 365용 사용자의 UPN이 AD DS에 정의된 사용자의 AD DS UPN과 일치하지 않을 수 있습니다. 이 조건은 도메인이 확인되기 전에 사용자에게 라이선스가 할당되었을 때 발생할 수 있습니다. 이 문제를 해결하려면 PowerShell을 사용하여 중복 UPN을 수정하여 사용자의 UPN 을 업데이트하여 Microsoft 365 UPN이 회사 사용자 이름 및 도메인과 일치하는지 확인합니다. AD DS에서 UPN을 업데이트하고 Microsoft Entra ID와 동기화하려는 경우 AD DS를 변경하기 전에 Microsoft 365에서 사용자 라이선스를 제거해야 합니다.
디렉터 리 동기화를 위해 라우팅할 수 없는 도메인(예: .local 도메인)을 준비하는 방법도 참조하세요.
다음 단계
1~5단계를 완료한 후 디렉터리 동기화 설정을 참조하세요.