이 자습서에서는 Microsoft Entra Connect 동기화를 사용하여 동기화된 테스트 Active Directory 포리스트를 위해 Microsoft Entra Cloud Sync로 마이그레이션하는 방법을 안내합니다.
이 문서에서는 기본 마이그레이션에 대한 정보를 제공합니다. 프로덕션 환경을 마이그레이션하기 전에 Microsoft Entra Cloud Sync 설명서를 검토하십시오.
이 자습서에서는 다음 방법을 알아봅니다.
- 스케줄러를 중지합니다.
- 사용자 지정 사용자 인바운드 및 아웃바운드 규칙을 만듭니다.
- 프로비저닝 에이전트를 설치합니다.
- 에이전트 설치를 확인합니다.
- Microsoft Entra Cloud Sync를 구성합니다.
- 스케줄러를 다시 시작합니다.
고려 사항
이 자습서를 수행하기 전에 고려해야 하는 사항은 다음과 같습니다.
Microsoft Entra Cloud Sync의 기본 사항에 대해 잘 알고 있는지 확인합니다.
Microsoft Entra Connect 동기화 버전 1.4.32.0 이상을 실행하고 있으며 설명된 대로 동기화 규칙을 구성했는지 확인합니다.
파일럿의 경우 Microsoft Entra Connect 동기화 범위에서 OU(테스트 조직 구성 단위) 또는 그룹을 제거해야 합니다. 범위를 벗어난 개체를 이동하면 해당 개체가 Microsoft Entra ID에서 삭제됩니다.
- Microsoft Entra ID의 사용자 개체는 일시 삭제되므로 복원할 수 있습니다.
- Microsoft Entra ID의 그룹 개체는 하드 삭제되므로 복원할 수 없습니다.
Microsoft Entra Connect Sync는 파일럿 시나리오에서 삭제를 방지하는 새로운 링크 형식을 도입했습니다.
Microsoft Entra Cloud Sync가 개체를 정확히 일치시키도록 파일럿 범위 내 개체에
ms-ds-consistencyGUID가 채워져 있는지 확인합니다.Microsoft Entra Connect Sync는 기본적으로 그룹 개체에 대한
ms-ds-consistencyGUID를 채우지 않습니다.이 자습서의 단계를 정확하게 수행합니다. 이 구성은 고급 시나리오를 위한 것입니다.
필수 조건
다음은 이 자습서를 완료하는 데 필요한 필수 구성 요소입니다.
- Microsoft Entra Connect 동기화 버전 1.4.32.0 이상인 테스트 환경
- 동기화의 범위에 포함된 시범 운영 중에 사용할 수 있는 OU 또는 그룹입니다. 작은 개체 세트로 시작하는 것이 좋습니다.
- 프로비저닝 에이전트를 호스트하기 위해 Windows Server 2022, Windows Server 2019 또는 Windows Server 2016을 실행하는 서버입니다.
- Microsoft Entra Connect 동기화의 원본 앵커는 objectGuid 또는 ms-ds-consistencyGUID여야 합니다.
Microsoft Entra Connect 업데이트
최소한 Microsoft Entra Connect 1.4.32.0이 있어야 합니다. Microsoft Entra Connect 동기화를 업데이트하려면 Microsoft Entra Connect: 최신 버전으로 업그레이드의 단계를 따릅니다.
Microsoft Entra Connect 구성 백업
변경하기 전에 Microsoft Entra Connect 구성을 백업합니다. 이렇게 하면 이전 구성으로 롤백할 수 있습니다. 자세한 내용은 Microsoft Entra Connect 구성 설정 가져오기 및 내보내기 항목을 참조하세요.
스케줄러 중지
Microsoft Entra Connect 동기화는 스케줄러를 사용하여 온-프레미스 디렉터리에서 발생하는 변경 내용을 동기화합니다. 사용자 지정 규칙을 수정하고 추가하려면 작업하고 변경하는 동안 동기화가 실행되지 않도록 스케줄러를 사용하지 않도록 설정하려고 합니다. 스케줄러를 중지하려면 다음 단계를 사용합니다.
- Microsoft Entra Connect 동기화를 실행하는 서버에서 관리자 권한으로 PowerShell을 엽니다.
-
Stop-ADSyncSyncCycle을 실행합니다. Enter 키를 선택합니다. -
Set-ADSyncScheduler -SyncCycleEnabled $false을 실행합니다.
참고
Microsoft Entra Connect Sync에 대한 사용자 지정 스케줄러를 실행하는 경우 사용자 지정 동기화 스케줄러를 사용하지 않도록 설정합니다.
사용자 지정 사용자 인바운드 규칙 만들기
Microsoft Entra Connect 동기화 규칙 편집기에서 이전에 식별한 OU에서 사용자를 필터링하는 인바운드 동기화 규칙을 만들어야 합니다. 인바운드 동기화 규칙은 대상 특성이 cloudNoFlow인 조인 규칙입니다. 이 규칙은 Microsoft Entra Connect에 이러한 사용자의 특성을 동기화하지 않도록 지시합니다. 자세한 내용은 프로덕션 환경을 마이그레이션하기 전에 Microsoft Entra 클라우드 동기화 로 마이그레이션을 참조하세요.
바탕 화면의 애플리케이션 메뉴에서 동기화 규칙 편집기를 엽니다.
방향 아래의 드롭다운 목록에서 인바운드를 선택합니다. 그런 다음 새 규칙 추가를 선택합니다.
설명 페이지에서 다음 값을 입력하고 다음을 선택합니다.
- 이름: 규칙에 의미 있는 이름을 지정합니다.
-
설명: 의미 있는 설명을 추가합니다.
- 연결된 시스템: 사용자 지정 동기화 규칙을 작성하는 Microsoft Entra 커넥터를 선택합니다.
- 연결된 시스템 개체 유형: 사용자를 선택합니다.
- 메타버스 개체 유형: 사람을 선택합니다.
- 링크 유형: 조인을 선택합니다.
- 우선 순위: 시스템에서 고유한 값을 제공합니다.
- 태그: 이 필드를 비워 둡니다.
범위 지정 필터 페이지에서 파일럿을 기반으로 할 OU 또는 보안 그룹을 입력합니다. OU를 필터링하려면 고유 식별 이름의 OU 부분을 추가하십시오. 이 규칙은 해당 OU에 있는 모든 사용자에게 적용됩니다. 따라서 DN(고유 이름)이
OU=CPUsers,DC=contoso,DC=com끝나는 경우 이 필터를 추가합니다. 그런 다음 , 다음을 선택합니다.규칙 속성 운영자 가치 조직 단위 범위 지정 DNENDSWITHOU의 고유 식별 이름입니다. 범위 지정 그룹 ISMEMBEROF보안 그룹의 고유 이름입니다. 
조인 규칙 페이지에서 다음을 선택합니다.
변환 페이지에서 상수 변환을 추가합니다. cloudNoFlow 특성에 대한 True의 원본 값입니다. 추가를 선택합니다.
모든 개체 형식(사용자, 그룹 및 연락처)에 대해 동일한 단계를 수행합니다. 구성된 Active Directory 커넥터 또는 Active Directory 포리스트에 따라 단계를 반복합니다.
사용자 지정 사용자 아웃바운드 규칙 만들기
아웃바운드 동기화 규칙이 필요한데, 이 규칙에는 JoinNoFlow 링크 형식과 cloudNoFlow 특성이 True로 설정된 범위 지정 필터가 포함되어야 합니다. 이 규칙은 Microsoft Entra Connect에 이러한 사용자의 특성을 동기화하지 않도록 지시합니다. 자세한 내용은 프로덕션 환경을 마이그레이션하기 전에 Microsoft Entra 클라우드 동기화 로 마이그레이션을 참조하세요.
방향 아래의 드롭다운 목록에서 아웃바운드를 선택합니다. 그런 다음 규칙 추가를 선택합니다.
설명 페이지에서 다음 값을 입력하고 다음을 선택합니다.
- 이름: 규칙에 의미 있는 이름을 지정합니다.
-
설명: 의미 있는 설명을 추가합니다.
- 연결된 시스템: 사용자 지정 동기화 규칙을 작성하는 Microsoft Entra 커넥터를 선택합니다.
- 연결된 시스템 개체 유형: 사용자를 선택합니다.
- 메타버스 개체 유형: 사람을 선택합니다.
- 링크 유형: JoinNoFlow를 선택합니다.
- 우선 순위: 시스템에서 고유한 값을 제공합니다.
- 태그: 이 필드를 비워 둡니다.
범위 지정 필터 페이지의 특성에 대해 cloudNoFlow를 선택합니다. 값의 경우 True를 선택합니다. 그런 다음 , 다음을 선택합니다.
조인 규칙 페이지에서 다음을 선택합니다.
변환 페이지에서 추가를 선택합니다.
모든 개체 형식(사용자, 그룹 및 연락처)에 대해 동일한 단계를 수행합니다.
Microsoft Entra 프로비저닝 에이전트 설치
기본 Active Directory 및 Azure 환경 자습서를 사용하는 경우 CP1을 사용합니다. 에이전트를 설치하려면 다음 단계를 수행합니다.
최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
왼쪽 창에서 Entra Connect를 선택한 다음 , 클라우드 동기화를 선택합니다.
왼쪽 창에서 에이전트를 선택합니다.
온-프레미스 에이전트 다운로드를 선택한 다음, 약관 동의 및 다운로드를 선택합니다.
Microsoft Entra Connect 프로비전 에이전트 패키지를 다운로드한 후 다운로드 폴더에서 AADConnectProvisioningAgentSetup.exe 설치 파일을 실행합니다.
화면이 열리면 사용 약관 확인란 에 동의 함을 선택한 다음 설치를 선택합니다.
설치가 완료되면 구성 마법사가 열립니다. 다음을 선택하여 구성을 시작합니다.
적어도 하이브리드 ID 관리자 역할이 있는 계정으로 로그인합니다. Internet Explorer 보안 강화를 사용하도록 설정한 경우 로그인이 차단됩니다. 그렇다면 설치를 닫고 Internet Explorer 보안 강화를 사용하지 않도록 설정한 다음 Microsoft Entra Provisioning Agent Package 설치를 다시 시작합니다.
서비스 계정 구성 화면에서 gMSA(그룹 관리 서비스 계정)를 선택합니다. 이 계정은 에이전트 서비스를 실행하는 데 사용됩니다. 관리되는 서비스 계정이 다른 에이전트에 의해 도메인에 이미 구성되어 있고 두 번째 에이전트를 설치하는 경우 gMSA 만들기를 선택합니다. 시스템은 기존 계정을 검색하고 새 에이전트가 gMSA 계정을 사용하는 데 필요한 권한을 추가합니다. 메시지가 표시되면 다음 두 가지 옵션 중 하나를 선택합니다.
-
gMSA 만들기: 에이전트가 provAgentgMSA$ 관리 서비스 계정을 만들도록 합니다. 그룹 관리 서비스 계정(예:
CONTOSO\provAgentgMSA$)은 호스트 서버가 조인된 동일한 Active Directory 도메인에 만들어집니다. 이 옵션을 사용하려면 Active Directory 도메인 관리자 자격 증명을 입력합니다(권장). - 사용자 지정 gMSA 사용: 이 작업에 대해 수동으로 만든 관리 서비스 계정의 이름을 제공합니다.
-
gMSA 만들기: 에이전트가 provAgentgMSA$ 관리 서비스 계정을 만들도록 합니다. 그룹 관리 서비스 계정(예:
계속하려면 다음을 선택합니다.
Active Directory 연결 화면에서 도메인 이름이 구성된 도메인 아래에 표시되는 경우 다음 단계로 건너뜁니다. 그렇지 않은 경우 Active Directory 도메인 이름을 입력하고 디렉터리 추가를 선택합니다.
Active Directory 도메인 관리자 계정으로 로그인합니다. 도메인 관리자 계정에는 만료된 암호가 없어야 합니다. 에이전트 설치 중에 암호가 만료되거나 변경된 경우 에이전트를 새 자격 증명으로 다시 구성합니다. 이 작업을 수행하면 온-프레미스 디렉터리가 추가됩니다. 확인을 선택한 다음 다음을 선택하여 계속합니다.
계속하려면 [다음]을 선택합니다.
구성 전체 화면에서 확인을 선택합니다. 이 작업은 에이전트를 등록하고 다시 시작합니다.
작업이 완료되면 에이전트 구성이 성공적으로 확인되었다는 알림이 표시됩니다. 끝내기를 선택합니다. 초기 화면이 계속 표시되면 닫기를 선택합니다.
에이전트 설치 확인
에이전트 확인은 Azure Portal 및 에이전트를 실행하는 로컬 서버에서 발생합니다.
Azure Portal에서 에이전트 확인
Microsoft Entra ID가 에이전트를 등록했는지 확인하려면 다음 단계를 수행합니다.
최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Entra Connect를 선택한 다음, 클라우드 동기화를 선택합니다.
클라우드 동기화 페이지에서 에이전트를 클릭하여 설치한 에이전트를 확인합니다. 에이전트가 나타나고 상태가 활성 상태인지 확인합니다.
로컬 서버에서 에이전트 확인
에이전트가 실행되는지 확인하려면 다음 단계를 수행합니다.
관리자 계정으로 서버에 로그인합니다.
서비스로 이동합니다. 시작/실행/Services.msc를 사용하여 해당 위치로 이동할 수도 있습니다.
서비스에서 Microsoft Azure AD Connect 에이전트 업데이트 관리자 및 Microsoft Azure AD Connect 프로비저닝 에이전트가 있고 상태가 실행 중인지 확인합니다.
프로비전 에이전트 버전 확인
실행 중인 에이전트의 버전을 확인하려면 다음 단계를 수행합니다.
- C:\Program Files\Microsoft Azure AD Connect 프로비저닝 에이전트로 이동합니다.
- AADConnectProvisioningAgent.exe 마우스 오른쪽 버튼을 클릭하고 속성을 선택합니다.
- 세부 정보 탭을 선택합니다. 제품 버전 옆에 버전 번호가 나타납니다.
Microsoft Entra 클라우드 동기화 구성
프로비저닝을 구성하려면 다음 단계를 수행합니다.
최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID>Entra Connect>클라우드 동기화로 이동합니다.
새 구성을 선택합니다.
구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 그런 다음 만들기를 선택합니다.
시작 화면에서 범위 지정 필터 추가 아이콘 옆에 있는 범위 지정 필터 추가를 선택합니다. 또는 관리 아래의 왼쪽 창에서 범위 지정 필터를 선택합니다.
범위 지정 필터를 선택합니다. 이 자습서에서는 선택한 조직 구성 단위를 선택합니다. 이 필터는 특정 OU에 적용할 구성의 범위를 지정합니다.
상자에 OU=CPUERS,DC=contoso,DC=com을 입력합니다.
저장>를 선택합니다.
스케줄러 시작
Microsoft Entra Connect 동기화는 스케줄러를 사용하여 온-프레미스 디렉터리에서 발생하는 변경 내용을 동기화합니다. 이제 규칙을 수정했으므로 스케줄러를 다시 시작할 수 있습니다.
- Microsoft Entra Connect 동기화를 실행하는 서버에서 관리자 권한으로 PowerShell을 엽니다.
-
Set-ADSyncScheduler -SyncCycleEnabled $true을 실행합니다. -
Start-ADSyncSyncCycle을 실행합니다. 그런 다음 입력을 선택합니다.
참고
Microsoft Entra Connect Sync에 대한 사용자 지정 스케줄러를 실행하는 경우 사용자 지정 동기화 스케줄러를 다시 사용할 수 있습니다.
스케줄러를 사용하도록 설정한 후 Microsoft Entra Connect는 참조 특성(예: cloudNoFlow=true)이 업데이트되지 않는 한 메타버스에 manager 있는 개체에 대한 변경 내용 내보내기를 중지합니다. 개체에 대한 참조 특성 업데이트가 있는 경우 Microsoft Entra Connect는 cloudNoFlow 신호를 무시하고 개체의 모든 업데이트를 내보냅니다.
문제 해결
테스트 실행이 의도한 대로 작동하지 않는 경우 Microsoft Entra Connect 동기화 설정으로 되돌아가십시오.
- 포털에서 프로비전 구성을 사용하지 않도록 설정합니다.
- 동기화 규칙 편집기 도구를 사용하여 클라우드 프로비저닝을 위해 만든 모든 사용자 지정 동기화 규칙을 사용하지 않도록 설정합니다. 사용하지 않도록 설정하면 모든 커넥터에서 전체 동기화가 발생합니다.