이제 프로비저닝 에이전트 1.1.1370.0이 릴리스되면서 클라우드 동기화에서 그룹 쓰기 저장을 수행할 수 있습니다. 이 기능은 클라우드 동기화가 온-프레미스 Active Directory 환경에 직접 그룹을 프로비전할 수 있음을 의미합니다. 이제 ID 거버넌스 기능을 사용하여 권한 관리 액세스 패키지에 그룹을 포함하는 등 AD 기반 애플리케이션 에 대한 액세스를 제어할 수도 있습니다.
중요
Microsoft Entra Connect Sync의 그룹 쓰기 저장 v2 미리 보기는 더 이상 사용되지 않으며 더 이상 지원되지 않습니다.
Microsoft Entra Cloud Sync를 사용하여 온-프레미스 AD DS(Active Directory Domain Services)에 클라우드 보안 그룹을 프로비전할 수 있습니다.
Microsoft Entra Connect Sync에서 그룹 쓰기 저장 v2를 사용하는 경우 동기화 클라이언트를 Microsoft Entra Cloud Sync로 이동해야 합니다. Microsoft Entra Cloud Sync로 이동할 자격이 있는지 확인하려면 사용자 동기화 마법사를 사용합니다.
마법사에서 권장하는 대로 Microsoft 클라우드 동기화를 사용할 수 없는 경우 Microsoft Entra Connect Sync와 함께 Microsoft Entra Cloud Sync를 실행할 수 있습니다. 이 경우 Microsoft Entra Cloud Sync를 실행하여 온-프레미스 AD DS에 클라우드 보안 그룹을 프로비전할 수 있습니다.
Microsoft 365 그룹을 AD DS에 프로비전하는 경우 그룹 쓰기 저장 v1을 계속 사용할 수 있습니다.
Active Directory Domain Services에 Microsoft Entra ID 프로비전 - 필수 구성 요소
AD DS(Active Directory Domain Services)에 프로비저닝 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.
라이선스 요구 사항
이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 맞는 적절한 라이선스를 찾으려면 Microsoft Entra ID의 일반적으로 제공되는 기능을 비교한 을 참조하세요.
일반 요구 사항
- 하이브리드 ID 관리자 역할 이상이 있는 Microsoft Entra 계정
- MsDS-ExternalDirectoryObjectId 특성이 있는 온-프레미스 AD DS 스키마는 Windows Server 2016 이상에서 사용할 수 있습니다.
- 빌드 버전 1.1.3730.0 이상을 사용하여 에이전트를 프로비전합니다.
참고
서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell을 사용하여 권한을 수동으로 할당해야 합니다.
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽기, 쓰기, 만들기 및 삭제에 할당해야 합니다.
이러한 권한은 기본적으로 AdminSDHolder 개체에 적용되지 않습니다. 자세한 내용은 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet을 참조하세요.
- 프로비전 에이전트는 Windows Server 2022, Windows Server 2019 또는 Windows Server 2016을 실행하는 서버에 설치해야 합니다.
- 프로비저닝 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 도메인 컨트롤러와 통신할 수 있어야 합니다.
- 잘못된 멤버 자격 참조를 필터링하려면 글로벌 카탈로그 조회에 필요
- 빌드 버전 2.22.8.0과 Microsoft Entra Connect 동기화
- Microsoft Entra Connect 동기화를 사용하여 동기화된 온-프레미스 사용자 멤버십을 지원하는 데 필요
- 에 동기화
AD DS:user:objectGUID하는 데 필요AAD DS:user:onPremisesObjectIdentifier
Active Directory로 프로비저닝 그룹에 대한 크기 조정 제한
Active Directory에 그룹 프로비전 기능의 성능은 테넌트의 크기와 Active Directory에 프로비전하는 범위에 있는 그룹 및 멤버 자격의 수에 의해 영향을 받습니다. 이 섹션에서는 GPAD가 확장 요구 사항을 지원하는지 확인하는 방법과 더 빠른 초기 및 델타 동기화 주기를 달성하기 위해 올바른 그룹 범위 지정 모드를 선택하는 방법에 대한 지침을 제공합니다.
지원되지 않는 항목은 무엇인가요?
- 50K 멤버보다 큰 그룹은 지원되지 않습니다.
- 특성 범위 필터링을 적용하지 않고 "모든 보안 그룹" 범위 지정을 사용하는 것은 지원되지 않습니다.
확장 한도
| 범위 지정 모드 | 범위 내 그룹 수 | 멤버 자격 링크 수(직접 멤버만 해당) | 비고 |
|---|---|---|---|
| "선택한 보안 그룹" 모드 | 최대 10K 그룹. Microsoft Entra 포털의 CloudSync 창에서는 최대 999개의 그룹을 선택할 수 있으며 최대 999개의 그룹을 표시할 수 있습니다. 범위에 1000개 이상의 그룹을 추가해야 하는 경우 다음을 참조하세요. API를 통해 확장된 그룹 선택. | 범위의 모든 그룹에 대해 최대 250K의 총 멤버입니다. | 테넌트가 이러한 제한을 초과하는 경우 이 범위 지정 모드를 사용합니다. 1. 테넌트에 200k 이상의 사용자가 있습니다. 2. 테넌트에 40K 이상의 그룹이 있습니다. 3. 테넌트에는 1백만 개 이상의 그룹 멤버십이 있습니다. |
| 하나 이상의 특성 범위 지정 필터가 있는 "모든 보안 그룹" 모드입니다. | 최대 20K 그룹. | 모든 해당 그룹에 걸쳐 최대 500K의 전체 멤버 수입니다. | 테넌트가 아래의 모든 제한을 충족하는 경우 이 범위 지정 모드를 사용합니다. 1. 테넌트에는 200k 미만의 사용자가 있습니다. 2. 테넌트에는 40K 미만의 그룹이 있습니다. 3. 테넌트에는 1백만 미만의 그룹 멤버십이 있습니다. |
한도를 초과하는 경우 수행할 일
권장 제한을 초과하면 초기 및 델타 동기화 속도가 느려져 동기화 오류가 발생할 수 있습니다. 이 경우 다음 단계를 수행합니다.
'선택한 보안 그룹' 범위 지정 모드의 그룹 또는 그룹 구성원이 너무 많습니다.
범위 내 그룹(대상 상위 값 그룹)의 수를 줄이거나 비연속 범위를 사용하여 여러 고유 작업으로 프로비저닝을 분할 합니다.
'모든 보안 그룹' 범위 지정 모드의 그룹 또는 그룹 구성원이 너무 많습니다.
권장되는 대로 선택한 보안 그룹 범위 지정 모드를 사용합니다.
일부 그룹은 50K 멤버를 초과합니다.
여러 그룹에 멤버 자격을 분할 하거나 준비된 그룹(예: 지역 또는 사업부별)을 채택하여 각 그룹을 한도 아래에 유지합니다.
API를 통한 확장된 그룹 선택
999개 이상의 그룹을 선택해야 하는 경우 서비스 주체 API 호출에 appRoleAssignment 부여를 사용해야 합니다.
API 호출의 예는 다음과 같습니다.
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
where:
- principalId: 그룹 개체 ID입니다.
- resourceId: 작업의 서비스 주체 ID입니다.
- appRoleId: 리소스 서비스 주체가 노출하는 앱 역할의 식별자입니다.
다음 표는 클라우드용 앱 역할 ID 목록입니다.
| 클라우드 | appRoleId (앱 역할 ID) |
|---|---|
| 공개 | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
추가 정보
AD DS에 그룹을 프로비전할 때 고려해야 할 더 많은 사항은 다음과 같습니다.
- 클라우드 동기화를 사용하여 AD DS에 프로비전된 그룹은 온-프레미스 동기화된 사용자 또는 다른 클라우드에서 만든 보안 그룹만 포함할 수 있습니다.
- 이러한 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
- onPremisesObjectIdentifier는 대상 AD DS 환경에서 해당 objectGUID와 일치해야 합니다.
- 온-프레미스 사용자 objectGUID 특성은 동기화 클라이언트를 사용하여 클라우드 사용자 onPremisesObjectIdentifier 특성에 동기화할 수 있습니다.
- 전역 Microsoft Entra ID 테넌트만 Microsoft Entra ID에서 AD DS로 프로비전할 수 있습니다. B2C와 같은 테넌트는 지원되지 않습니다.
- 그룹 프로비전 작업은 20분마다 실행되도록 예약되어 있습니다.
Microsoft Entra Cloud Sync를 사용하여 지원되는 그룹 쓰기 백 시나리오
다음 섹션에서는 Microsoft Entra Cloud Sync를 사용하여 그룹 쓰기 저장에 지원되는 시나리오에 대해 설명합니다.
- Microsoft Entra Connect Sync 그룹 쓰기 백 V2를 Microsoft Entra Cloud Sync로 마이그레이션
- Microsoft Entra ID 거버넌스를 사용하여 온-프레미스 Kerberos(Active Directory 기반 앱) 관리
Microsoft Entra Connect 동기화 그룹 쓰기 반환 V2를 Microsoft Entra Cloud Sync로 마이그레이션
시나리오: Microsoft Entra Connect 동기화(이전의 Azure AD Connect)를 사용하여 그룹 쓰기 저장을 Microsoft Entra Cloud Sync로 마이그레이션합니다. 이 시나리오는 현재 Microsoft Entra Connect 그룹 쓰기 저장 v2를 사용하는 고객 만 을 위한 것입니다. 이 문서에 설명된 프로세스는 유니버설 범위로 다시 작성된 클라우드에서 만든 보안 그룹과만 관련이 있습니다. 메일 사용 가능 그룹과 DL(배포 목록)은 Microsoft Entra Connect 그룹 쓰기 저장 V1 또는 V2를 통해 다시 쓰기 처리된 경우 지원되지 않습니다.
자세한 내용은 Microsoft Entra Connect 동기화 그룹 쓰기 되돌리기 V2를 Microsoft Entra Cloud Sync로 마이그레이션하는 방법을 참조하세요.
Microsoft Entra ID Governance를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos) 관리
시나리오: 클라우드에서 프로비전되고 관리되는 Active Directory 그룹을 사용하여 온-프레미스 애플리케이션을 관리합니다. Microsoft Entra 클라우드 동기화를 사용하면 Microsoft Entra ID Governance 기능을 활용하여 액세스 관련 요청을 제어하고 수정하는 동시에 AD의 애플리케이션 할당을 완전히 제어할 수 있습니다.
자세한 내용은 Microsoft Entra ID 거버넌스를 사용하여 온-프레미스 Kerberos(Active Directory 기반 앱) 관리를 참조하세요.