자습서 - Microsoft Entra Cloud Sync를 사용하여 Active Directory Domain Services에 그룹 프로비전

이 자습서에서는 그룹을 온-프레미스 AD DS(Active Directory Domain Services)와 동기화하도록 클라우드 동기화를 구성하는 방법을 안내합니다.

중요합니다

AD DS에 대한 그룹 프로비저닝을 구성할 때 선택한 보안 그룹을 기본 범위 지정 필터로 사용하는 것이 좋습니다. 이 기본 범위 지정 필터는 그룹을 프로비전할 때 성능 문제를 방지하는 데 도움이 됩니다.

Active Directory Domain Services에 Microsoft Entra ID 프로비전 - 필수 구성 요소

AD DS(Active Directory Domain Services)에 프로비저닝 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

일반 요구 사항

최소한 하이브리드 ID 관리자 역할이 있는 Microsoft Entra 계정.
MsDS-ExternalDirectoryObjectId 특성이 있는 온-프레미스 AD DS 스키마는 Windows Server 2016 이상에서 사용할 수 있습니다.
빌드 버전 1.1.3730.0 이상을 사용하여 에이전트를 프로비전합니다.

참고

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽기, 쓰기, 만들기 및 삭제에 할당해야 합니다.

이러한 권한은 기본적으로 AdminSDHolder 개체에 적용되지 않습니다. 자세한 내용은 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet을 참조하세요.

프로비전 에이전트는 Windows Server 2022, Windows Server 2019 또는 Windows Server 2016을 실행하는 서버에 설치해야 합니다.
프로비저닝 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 도메인 컨트롤러와 통신할 수 있어야 합니다.
- 잘못된 멤버 자격 참조를 필터링하려면 글로벌 카탈로그 조회에 필요
빌드 버전 2.22.8.0과 Microsoft Entra Connect 동기화
- Microsoft Entra Connect 동기화를 사용하여 동기화된 온-프레미스 사용자 멤버십을 지원하는 데 필요
- 에 동기화 AD DS:user:objectGUID 하는 데 필요 AAD DS:user:onPremisesObjectIdentifier

Active Directory로 프로비저닝 그룹에 대한 크기 조정 제한

Active Directory에 그룹 프로비전 기능의 성능은 테넌트의 크기와 Active Directory에 프로비전하는 범위에 있는 그룹 및 멤버 자격의 수에 의해 영향을 받습니다. 이 섹션에서는 GPAD가 확장 요구 사항을 지원하는지 확인하는 방법과 더 빠른 초기 및 델타 동기화 주기를 달성하기 위해 올바른 그룹 범위 지정 모드를 선택하는 방법에 대한 지침을 제공합니다.

지원되지 않는 항목은 무엇인가요?

50K 멤버보다 큰 그룹은 지원되지 않습니다.
특성 범위 필터링을 적용하지 않고 "모든 보안 그룹" 범위 지정을 사용하는 것은 지원되지 않습니다.

확장 한도

범위 지정 모드	범위 내 그룹 수	멤버 자격 링크 수(직접 멤버만 해당)	비고
"선택한 보안 그룹" 모드	최대 10K 그룹. Microsoft Entra 포털의 CloudSync 창에서는 최대 999개의 그룹을 선택할 수 있으며 최대 999개의 그룹을 표시할 수 있습니다. 범위에 1000개 이상의 그룹을 추가해야 하는 경우 다음을 참조하세요. API를 통해 확장된 그룹 선택.	범위의 모든 그룹에 대해 최대 250K의 총 멤버입니다.	테넌트가 이러한 제한을 초과하는 경우 이 범위 지정 모드를 사용합니다. 1. 테넌트에 200k 이상의 사용자가 있습니다. 2. 테넌트에 40K 이상의 그룹이 있습니다. 3. 테넌트에는 100만 이상의 그룹 멤버십이 있습니다.
하나 이상의 특성 범위 지정 필터가 있는 "모든 보안 그룹" 모드입니다.	최대 20K 그룹.	모든 해당 그룹에 걸쳐 최대 500K의 전체 멤버 수입니다.	테넌트가 아래의 모든 제한을 충족하는 경우 이 범위 지정 모드를 사용합니다. 1. 테넌트에는 200k 미만의 사용자가 있습니다. 2. 테넌트에는 40K 미만의 그룹이 있습니다. 3. 테넌트에는 1백만 미만의 그룹 멤버십이 있습니다.

한도를 초과하는 경우 수행할 일

권장 제한을 초과하면 초기 및 델타 동기화 속도가 느려져 동기화 오류가 발생할 수 있습니다. 이 경우 다음 단계를 수행합니다.

'선택한 보안 그룹' 범위 지정 모드의 그룹 또는 그룹 구성원이 너무 많습니다.

범위 내 그룹(대상 상위 값 그룹)의 수를 줄이거나 비연속 범위를 사용하여 여러 고유 작업으로 프로비저닝을 분할 합니다.

'모든 보안 그룹' 범위 지정 모드의 그룹 또는 그룹 구성원이 너무 많습니다.

권장되는 대로 선택한 보안 그룹 범위 지정 모드를 사용합니다.

일부 그룹은 50K 멤버를 초과합니다.

여러 그룹에 멤버 자격을 분할 하거나 준비된 그룹(예: 지역 또는 사업부별)을 채택하여 각 그룹을 한도 아래에 유지합니다.

API를 통한 확장된 그룹 선택

999개 이상의 그룹을 선택해야 하는 경우 서비스 주체 API 호출에 appRoleAssignment 부여를 사용해야 합니다.

API 호출의 예는 다음과 같습니다.

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

principalId: 그룹 개체 ID입니다.
resourceId: 작업의 서비스 주체 ID입니다.
appRoleId: 리소스 서비스 주체가 노출하는 앱 역할의 식별자입니다.

다음 표는 클라우드용 앱 역할 ID 목록입니다.

클라우드	appRoleId (앱 역할 ID)
공개	1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment	d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud	50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud	52e862b9-0b95-43fe-9340-54f51248314f

추가 정보

AD DS에 그룹을 프로비전할 때 고려해야 할 더 많은 사항은 다음과 같습니다.

클라우드 동기화를 사용하여 AD DS에 프로비전된 그룹은 온-프레미스 동기화된 사용자 또는 다른 클라우드에서 만든 보안 그룹만 포함할 수 있습니다.
이러한 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
onPremisesObjectIdentifier는 대상 AD DS 환경에서 해당 objectGUID와 일치해야 합니다.
온-프레미스 사용자 objectGUID 특성은 동기화 클라이언트를 사용하여 클라우드 사용자 onPremisesObjectIdentifier 특성에 동기화할 수 있습니다.
전역 Microsoft Entra ID 테넌트만 Microsoft Entra ID에서 AD DS로 프로비전할 수 있습니다. B2C와 같은 테넌트는 지원되지 않습니다.
그룹 프로비전 작업은 20분마다 실행되도록 예약되어 있습니다.

그룹 및 사용자 SOA 시나리오

사용 사례	부모 그룹 유형	사용자 구성원 그룹 유형	동기화 방향	동기화 작동 방법
SOA가 클라우드에 있고 모든 사용자 구성원이 SOA 온-프레미스를 갖는 보안 그룹	SOA가 클라우드에 있는 보안 그룹	SOA가 온-프레미스인 사용자	Entra to AD(AAD2ADGroup 프로비저닝)	작업은 모든 멤버 참조(멤버 사용자)를 사용하여 부모 그룹을 프로비전합니다.
SOA가 클라우드에 있고 모든 사용자 구성원이 클라우드에 SOA가 있는 보안 그룹	SOA가 클라우드에 있는 보안 그룹	SOA가 클라우드에 있는 사용자	Entra to AD(AAD2ADGroup 프로비저닝)	작업은 보안 그룹을 프로비전하지만 멤버 참조는 프로비전하지 않습니다.
SOA가 클라우드에 있고 일부 사용자 구성원이 클라우드에 SOA가 있는 반면 다른 사용자 구성원은 SOA 온-프레미스를 사용하는 보안 그룹	SOA가 클라우드에 있는 보안 그룹	일부 사용자는 클라우드에 SOA가 있고 일부는 SOA 온-프레미스가 있습니다.	Entra to AD(AAD2ADGroup 프로비저닝)	작업은 보안 그룹을 설정하고 SOA가 내부에 있는 멤버 참조만 포함합니다. 클라우드에 SOA가 있는 멤버 참조를 건너뜁니다.
SOA가 클라우드에 있고 사용자 구성원이 없는 보안 그룹	SOA가 클라우드에 있는 보안 그룹	사용자 구성원 없음	Entra to AD(AAD2ADGroup 프로비저닝)	작업은 보안 그룹(빈 멤버 자격)을 설정합니다.
SOA가 온-프레미스에 있고 모든 사용자 멤버에 SOA 온-프레미스가 있는 보안 그룹	SOA가 온-프레미스인 보안 그룹	SOA가 온-프레미스인 사용자	Entra to AD(AAD2ADGroup 프로비저닝)	작업이 보안 그룹을 프로비전 하지 않습니다.
SOA가 온-프레미스에 있고 모든 사용자 멤버가 클라우드에 SOA가 있는 보안 그룹	SOA가 온-프레미스인 보안 그룹	SOA가 클라우드에 있는 사용자	Entra to AD(AAD2ADGroup 프로비저닝)	작업이 보안 그룹을 프로비전 하지 않습니다.
SOA가 온-프레미스에 있고 일부 사용자 멤버가 클라우드에 SOA가 있는 반면 다른 사용자 구성원은 SOA 온-프레미스를 사용하는 보안 그룹	SOA가 온-프레미스인 보안 그룹	일부 사용자는 클라우드에 SOA가 있고 일부는 SOA 온-프레미스가 있습니다.	Entra to AD(AAD2ADGroup 프로비저닝)	작업이 보안 그룹을 프로비전 하지 않습니다.
SOA가 온-프레미스에 있고 모든 사용자 멤버에 SOA 온-프레미스가 있는 보안 그룹	SOA가 온-프레미스인 보안 그룹	SOA가 온-프레미스인 사용자	AD에서 Entra로(AD2AADprovisioning)	작업은 모든 멤버 참조(멤버 사용자)를 사용하여 보안 그룹을 프로비전합니다.
SOA가 온-프레미스에 있고 모든 사용자 멤버가 클라우드에 SOA가 있는 보안 그룹	SOA가 온-프레미스인 보안 그룹	SOA가 클라우드에 있는 사용자	AD에서 Entra로(AD2AADprovisioning)	작업은 모든 멤버 참조(멤버 사용자)를 사용하여 보안 그룹을 프로비전합니다. 따라서 이러한 온-프레미스 그룹에 대해 SOA가 클라우드로 변환되는 멤버 참조도 동기화됩니다.
SOA가 온-프레미스에 있고 일부 사용자 멤버가 클라우드에 SOA가 있는 반면 다른 사용자 구성원은 SOA 온-프레미스를 사용하는 보안 그룹	SOA가 온-프레미스인 보안 그룹	일부 사용자는 클라우드에 SOA가 있고 일부는 SOA 온-프레미스가 있습니다.	AD에서 Entra로(AD2AADprovisioning)	작업은 모든 멤버 참조(멤버 사용자)를 사용하여 부모 그룹을 프로비전합니다. 따라서 이러한 온-프레미스 그룹에 대해 SOA가 클라우드로 변환되는 멤버 참조도 동기화됩니다.
SOA가 온-프레미스에 있고 사용자 멤버가 없는 보안 그룹	SOA가 온-프레미스인 보안 그룹	사용자 구성원 없음	AD에서 Entra로(AD2AADprovisioning)	작업은 보안 그룹(빈 멤버 자격)을 설정합니다.
SOA가 클라우드에 있고 모든 사용자 구성원이 SOA 온-프레미스를 갖는 보안 그룹	SOA가 클라우드인 보안 그룹	SOA가 온-프레미스인 사용자	AD에서 Entra로(AD2AADprovisioning)	작업이 보안 그룹을 프로비전 하지 않습니다.
SOA가 클라우드에 있고 모든 사용자 구성원이 클라우드에 SOA가 있는 보안 그룹	SOA가 클라우드인 보안 그룹	SOA가 클라우드에 있는 사용자	AD에서 Entra로(AD2AADprovisioning)	작업이 보안 그룹을 프로비전 하지 않습니다.
SOA가 클라우드에 있고 일부 사용자 구성원이 클라우드에 SOA가 있는 반면 다른 사용자 구성원은 SOA 온-프레미스를 사용하는 보안 그룹	SOA가 클라우드인 보안 그룹	일부 사용자는 클라우드에 SOA가 있고 일부는 SOA 온-프레미스가 있습니다.	AD에서 Entra로(AD2AADprovisioning)	작업이 보안 그룹을 프로비전 하지 않습니다.

가정

이 자습서에서는 다음을 가정합니다.

AD DS 온-프레미스 환경이 있습니다.
사용자를 Microsoft Entra ID에 동기화하기 위한 클라우드 동기화 설정이 있습니다.
동기화된 두 명의 사용자인 Britta Simon과 Lola Jacobson이 있습니다. 이러한 사용자는 온-프레미스 및 Microsoft Entra ID에 존재합니다.
다음 각 부서에 대한 OU(조직 구성 단위)가 AD DS에 만들어집니다.

표시 이름 고유 이름

그룹 OU=마케팅,DC=contoso,DC=com

영업 OU=판매,DC=contoso,DC=com

마케팅 OU=그룹,DC=contoso,DC=com

표시 이름	고유 이름
그룹	OU=마케팅,DC=contoso,DC=com
영업	OU=판매,DC=contoso,DC=com
마케팅	OU=그룹,DC=contoso,DC=com

클라우드 네이티브 또는 SOA(원본) 변환된 보안 그룹에 사용자 추가

동기화된 사용자를 추가하려면 다음 단계를 수행합니다.

참고

동기화된 사용자 멤버 참조만 AD DS에 프로비전됩니다.

최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID>그룹>모든 그룹으로 탐색합니다.
상단의 검색 상자에 Sales를 입력합니다.
새 판매 그룹을 선택합니다.
왼쪽에서 멤버를 선택합니다.
맨 위에서 멤버 추가를 선택합니다.
상단의 검색 상자에 Britta Simon을 입력합니다.
Britta Simon 옆에 확인란을 놓고 선택을 선택합니다.
그룹에 사용자를 성공적으로 추가해야 합니다.
맨 왼쪽에서 모든 그룹을 선택합니다. 영업 그룹을 사용하여 이 프로세스를 반복하고 해당 그룹에 Lola Jacobson을 추가합니다.

원래 OU(조직 구성 단위) 경로에 프로비저닝하기 위해 SOA 변환된 그룹 준비

Microsoft Entra ID에서 AD DS(Active Directory Domain Services) 온-프레미스의 원래 OU 경로로 프로비저닝하기 위해 클라우드 관리로 변환하려는 그룹을 준비하려면 다음 단계를 완료합니다.

AD DS 그룹 범위를 유니버설로 변경합니다.
특수 애플리케이션을 만듭니다.
그룹에 대한 디렉터리 확장 속성을 만듭니다.

AD DS 그룹의 그룹 범위를 유니버설로 변경

Active Directory 관리 센터를 엽니다.
그룹을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
그룹 섹션에서 그룹 범위로 유니버설 을 선택합니다.
저장을 클릭합니다.

확장 만들기

클라우드 동기화는 CloudSyncCustomExtensionsApp이라는 특수 애플리케이션에서 만든 확장만 지원합니다. 테넌트에 앱이 없으면 만들어야 합니다. 이 단계는 테넌트당 한 번씩 수행됩니다.

확장을 만드는 방법에 대한 자세한 내용은 클라우드 동기화 디렉터리 확장 및 사용자 지정 특성 매핑을 참조하세요.

Graph PowerShell
그래프 탐색기

관리자 권한 PowerShell 창을 열고 다음 명령을 실행하여 모듈을 설치하고 연결합니다.

Install-Module Microsoft.Graph -Scope CurrentUser -Force 
Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All"

애플리케이션이 있는지 확인합니다. 그렇지 않다면 만들어라. 또한 서비스 주체가 존재하는지 확인합니다.

$tenantId = (Get-MgOrganization).Id 
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
if (-not $app) { 
  $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
} 

$sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
if (-not $sp) { 
  $sp = New-MgServicePrincipal -AppId $app.AppId 
}

이제 GroupDN이라는 디렉터리 확장 속성을 추가합니다. 그룹 개체에서 사용할 수 있는 문자열 특성입니다.

New-MgApplicationExtensionProperty ` 
  -ApplicationId $app.Id ` 
  -Name "GroupDN" ` 
  -DataType "String" ` 
  -TargetObjects Group

그룹에 대한 디렉터리 확장 속성을 만드는 방법에 대한 자세한 내용은 클라우드 동기화 디렉터리 확장 및 사용자 지정 특성 매핑을 참조하세요.

식별자 URI API://<tenantId>/CloudSyncCustomExtensionsApp 있는 애플리케이션이 있는지 확인합니다.
```
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
```
자세한 내용은 애플리케이션 가져오기를 참조하세요.
애플리케이션이 없는 경우 식별자 URI API://<tenantId>/CloudSyncCustomExtensionsApp를 사용하여 애플리케이션을 만듭니다.
```
POST https://graph.microsoft.com/v1.0/applications
Content-type: application/json

{
"displayName": "CloudSyncCustomExtensionsApp",
"identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
}
```
자세한 내용은 애플리케이션 만들기를 참조하세요.

Microsoft Entra ID에서 디렉터리 확장을 만듭니다. 예를 들어 그룹 개체에 대해 문자열 형식의 'GroupDN'이라는 새 확장이 있습니다.

POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
Content-type: application/json

{
  "name": "GroupDN",
  "dataType": "String",
  "isMultiValued": false,
  "targetObjects": [
      "Group"
  ]
}

클라우드 동기화 특성 매핑 구성

다음으로, 그룹의 고유 이름(DN)을 Active Directory에서 가져와서 Cloud Sync가 이 확장 속성에 채우도록 하세요. 이 단계에서는 원래 OU 및 CN 정보가 Microsoft Entra ID로 유지되도록 합니다.

Microsoft Entra 관리 센터 >Entra ID>Entra Connect>클라우드 동기화를 엽니다.
AD에서 Microsoft Entra ID 구성을 선택합니다.
특성 매핑으로 이동합니다.
맨 위에서 개체 유형을그룹으로 전환합니다.
새 특성 매핑을 추가합니다.
- 매핑 유형: 직접
- 원본 특성: distinguishedName (온프레미스 그룹의 DN)
- 대상 특성: extension_<appIdWithoutHyphens>_GroupDN
스키마를 저장하여 동기화를 트리거합니다.

distinguishedName을 직접 매핑하면 확장 속성에서 그룹의 전체 DN(CN + OU 경로)을 캡처하여 나중에 AD로 다시 프로비전할 때 CN 및 OU를 더 쉽게 다시 구성할 수 있습니다.

매핑이 작동했는지 확인

동기화가 실행되면 확장 속성이 DN으로 채워져 있는지 확인해야 합니다. Microsoft Graph PowerShell 사용:

$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq 'My Security Group'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

이 명령은 확장 속성에 저장된 DN이 있는 그룹을 반환합니다. 다음을 쿼리하여 Graph Explorer를 사용하여 테스트할 수도 있습니다.

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

SOA(권한 출처) 변환

DN이 확장에 저장되어 있는지 확인했으면 그룹의 인증 원본을 Microsoft Entra ID로 변환할 수 있습니다. 이렇게 변경하면 나중에 AD DS에 대한 그룹 프로비저닝에서 사용할 수 있도록 확장에서 원래 DN을 유지하면서 그룹 클라우드 관리가 수행됩니다.

프로비전 구성

프로비저닝을 구성하려면 다음 단계를 수행합니다.

최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID>Entra Connect>클라우드 동기화로 이동하십시오.

Microsoft Entra Connect 클라우드 동기화 홈페이지를 보여 주는

새 구성을 선택합니다.
Microsoft Entra ID를 AD 동기화로를선택합니다.
구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 만들기선택합니다.
시작 화면이 열립니다. 여기에서 클라우드 동기화를 계속 구성할 수 있습니다.
왼쪽에서 범위 지정 필터를 선택합니다.
그룹 범위의 경우 선택한 보안 그룹을 선택합니다.
OU를 설정하는 방법에는 두 가지가 있습니다.
- 사용자 지정 식을 사용하면 그룹이 동일한 OU로 다시 만들어지도록 할 수 있습니다. ParentDistinguishedName 값에 다음 식을 사용합니다.
```
IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Mid(
            Mid(
                Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
"<Existing ParentDistinguishedName>",
)
```
  이 식은 다음과 같습니다.
  - 확장이 비어 있는 경우 기본 OU를 사용합니다.
  - 그렇지 않으면 CN 부분을 제거하고 부모 DN 경로를 유지하며 이스케이프된 쉼표를 다시 처리합니다.
  이 변경으로 인해 전체 동기화가 발생하며 기존 그룹에는 영향을 주지 않습니다. Microsoft Graph를 사용하여 기존 그룹의 GroupDN 속성 설정을 테스트하고, 이 설정으로 인해 원래 OU로 다시 이동되는지를 확인합니다.
- 온-프레미스에서 원래 OU 경로 및 CN 정보를 유지하지 않으려면 대상 컨테이너 에서 특성 매핑 편집을 선택합니다.
  1. 매핑 유형을식으로 변경합니다.
  2. 식 상자에 다음을 입력합니다.
    
    Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
  3. 기본값OU=Groups,DC=contoso,DC=com을 .로 변경합니다.
  4. 적용을 선택합니다. 그룹 displayName 특성에 따라 대상 컨테이너가 변경됩니다.

사용자 지정 식을 사용하여 그룹이 동일한 CN으로 다시 생성되도록 할 수 있습니다. CN 값에 다음 식을 사용합니다.

IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Replace(
            Replace(
                Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                "CN=", , , "", ,
            ),
            "cn=", , , "", ,
        ),
        "\2C", , , ",", ,
    ),
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
)

이 식은 다음과 같습니다.

확장이 비어 있으면 DisplayName + ObjectId에서 대체 CN을 생성합니다.
CN을 추출한 후, 이스케이프된 쉼표를 일시적으로 16진수 값으로 바꿔 처리합니다.

저장을 선택합니다.
왼쪽에서 개요를 선택합니다.
맨 위에서 검토를 선택하고 사용하도록 설정합니다.
오른쪽에서 구성 사용을 선택합니다.

테스트 구성

참고

주문형 프로비저닝을 실행하면 멤버가 자동으로 프로비전되지 않습니다. 테스트할 멤버를 선택해야 하며 한도는 5개의 멤버입니다.

최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID>Entra Connect>클라우드 동기화로 이동하십시오.

Microsoft Entra Connect 클라우드 동기화 홈페이지를 보여 주는

구성 아래에서 구성을 선택합니다.
왼쪽에서 주문형 프로비전을 선택합니다.
선택한 그룹 상자에 Sales를 입력합니다.
선택한 사용자 섹션에서 테스트할 사용자를 선택합니다.
프로비전을 선택합니다.
그룹이 프로비전된 것을 확인하세요.

AD DS에서 확인

다음 단계에 따라 그룹이 AD DS에 프로비전되었는지 확인합니다.

온-프레미스 환경에 로그인합니다.
Active Directory 사용자 및 컴퓨터를 시작합니다.
새 그룹이 프로비전되었는지 확인합니다.

SOA 변환된 개체에 대한 AD DS 동작에 대한 그룹 프로비전

온-프레미스 그룹의 SOA(원본 기관)를 클라우드로 변환하면 해당 그룹은 AD DS에 그룹 프로비저닝할 수 있습니다.

예를 들어 다음 다이어그램에서 SOA 또는 SOATestGroup1 은 클라우드로 변환됩니다. 결과적으로 AD DS에 대한 그룹 프로비저닝의 작업 범위에 사용할 수 있게 됩니다.

작업이 실행되면 SOATestGroup1 이 성공적으로 프로비전됩니다.
프로비저닝 로그에서 SOATestGroup1을 검색하고 그룹이 프로비전되었는지 확인할 수 있습니다.
자세한 내용은 SOATestGroup1 이 기존 대상 그룹과 일치했음을 보여 줍니다.
대상 그룹의 adminDescription 및 cn 이 업데이트되는지 확인할 수도 있습니다.
AD DS를 살펴보면 원래 그룹이 업데이트된 것을 확인할 수 있습니다.

클라우드는 변환된 SOA 개체를 Microsoft Entra ID로 프로비저닝을 생략합니다.

SOA를 클라우드로 변환한 후 AD DS에서 그룹의 특성을 편집하려고 하면 프로비전하는 동안 클라우드 동기화가 개체를 건너뜁니다.

SOAGroup3 그룹이 있고 해당 그룹 이름을 SOA Group3.1로 업데이트한다고 가정해 보겠습니다.

개체 이름 업데이트의 스크린샷.

프로비전 로그에서 SOAGroup3이 건너뛴 것을 볼 수 있습니다.

건너뛴 개체의 스크린샷.

세부 정보는 SOA가 클라우드로 변환되므로 개체가 동기화되지 않는다는 것을 설명합니다.

차단된 동기화의 스크린샷

중첩된 그룹 및 멤버 자격 참조 처리

다음 표에서는 다른 사용 사례에서 SOA를 변환한 후 프로비전이 멤버 자격 참조를 처리하는 방법을 설명합니다.

사용 사례	부모 그룹 유형	멤버 그룹 유형	직업	동기화 작동 방법
Microsoft Entra 부모 보안 그룹에는 Microsoft Entra 구성원만 있습니다.	Microsoft Entra 보안 그룹	Microsoft Entra 보안 그룹	AAD2ADGroupProvisioning(AD DS에 그룹 프로비전)	작업은 모든 멤버 참조(멤버 그룹)를 사용하여 부모 그룹을 프로비전합니다.
Microsoft Entra 부모 보안 그룹에는 동기화된 그룹인 일부 멤버가 있습니다.	Microsoft Entra 보안 그룹	AD DS 보안 그룹(동기화된 그룹)	AAD2ADGroupProvisioning(AD DS에 그룹 프로비전)	작업은 부모 그룹을 프로비전하지만 AD DS 그룹인 모든 멤버 참조(멤버 그룹)는 프로비전되지 않습니다.
Microsoft Entra 부모 보안 그룹에는 SOA가 클라우드로 변환된 동기화된 그룹인 일부 멤버가 있습니다.	Microsoft Entra 보안 그룹	SOA가 클라우드로 변환되는 AD DS 보안 그룹입니다.	AAD2ADGroupProvisioning(AD DS에 그룹 프로비전)	작업은 모든 멤버 참조(멤버 그룹)를 사용하여 부모 그룹을 프로비전합니다.
클라우드 소유 그룹을 멤버로 사용하는 동기화된 그룹(부모)의 SOA를 변환합니다.	SOA가 클라우드로 변환된 AD DS 보안 그룹	Microsoft Entra 보안 그룹	AAD2ADGroupProvisioning(AD DS에 그룹 프로비전)	작업은 모든 멤버 참조(멤버 그룹)를 사용하여 부모 그룹을 프로비전합니다.
다른 동기화된 그룹이 있는 동기화된 그룹(부모)의 SOA를 멤버로 변환합니다.	SOA가 클라우드로 변환된 AD DS 보안 그룹	AD DS 보안 그룹(동기화된 그룹)	AAD2ADGroupProvisioning(AD DS에 그룹 프로비전)	작업은 부모 그룹을 프로비전하지만 AD DS 보안 그룹인 모든 멤버 참조(멤버 그룹)는 프로비전되지 않습니다.
SOA가 클라우드로 변환된 다른 동기화된 그룹인 동기화된 그룹(부모)의 SOA를 변환합니다.	SOA가 클라우드로 변환된 AD DS 보안 그룹	SOA가 클라우드로 변환된 AD DS 보안 그룹	AAD2ADGroupProvisioning(AD DS에 그룹 프로비전)	작업은 모든 멤버 참조(멤버 그룹)를 사용하여 부모 그룹을 프로비전합니다.

SOA 변환된 그룹을 롤백한 후 AD DS 동작에 그룹 프로비전

범위에서 SOA 변환된 그룹이 있고 SOA 변환된 그룹을 롤백하여 AD DS가 소유하도록 하는 경우 AD DS에 대한 그룹 프로비저닝은 변경 내용 동기화를 중지하지만 온-프레미스 그룹은 삭제되지 않습니다. 또한 구성 범위에서 그룹을 제거합니다. 그룹의 온-프레미스 제어는 다음 동기화 주기에서 다시 시작됩니다.

감사 로그에서 이 개체가 온-프레미스에서 관리되기 때문에 동기화가 수행되지 않는지 확인할 수 있습니다.

AD DS에서 그룹이 여전히 손상되지 않고 삭제되지 않은지 확인할 수도 있습니다.

다음 단계

피드백

이 페이지가 도움이 되었나요?

Last updated on 2025-12-05