Microsoft Entra Domain Services 관리되는 도메인에서 개체 및 자격 증명을 동기화하는 방법
Microsoft Entra Domain Services 관리되는 도메인의 개체 및 자격 증명은 도메인 내에서 로컬로 만들거나 Microsoft Entra 테넌트에서 동기화할 수 있습니다. Domain Services를 처음 배포하면 자동 단방향 동기화가 구성되고 Microsoft Entra ID에서 개체를 복제하기 시작합니다. 이 단방향 동기화는 백그라운드에서 계속 실행되어 Domain Services 관리되는 도메인을 Microsoft Entra ID의 변경 내용과 up-to-date로 유지합니다. Domain Services에서 Microsoft Entra ID로 다시 동기화가 수행되지 않습니다.
하이브리드 환경에서는 Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 도메인의 개체와 자격 증명을 Microsoft Entra ID로 동기화할 수 있습니다. 이러한 개체가 Microsoft Entra ID에 성공적으로 동기화되면 자동 백그라운드 동기화를 통해 관리되는 도메인을 사용하는 애플리케이션에서 해당 개체와 자격 증명을 사용할 수 있게 됩니다.
다음 다이어그램에서는 Domain Services, Microsoft Entra ID 및 선택적 온-프레미스 AD DS 환경 간에 동기화가 작동하는 방법을 보여 줍니다.
Microsoft Entra Domain Services 관리되는 도메인동기화 개요
Microsoft Entra ID에서 Domain Services로 동기화
사용자 계정, 그룹 멤버 자격 및 자격 증명 해시는 Microsoft Entra ID에서 Domain Services로 한 방향으로 동기화됩니다. 이 동기화 프로세스는 자동입니다. 이 동기화 프로세스를 구성, 모니터링 또는 관리할 필요가 없습니다. 초기 동기화는 Microsoft Entra 디렉터리의 개체 수에 따라 몇 시간에서 며칠까지 걸릴 수 있습니다. 초기 동기화가 완료되면 암호 또는 특성 변경과 같은 Microsoft Entra ID에서 수행된 변경 내용이 Domain Services에 자동으로 동기화됩니다.
사용자가 Microsoft Entra ID로 만들어지면 Microsoft Entra ID에서 암호를 변경할 때까지 Domain Services에 동기화되지 않습니다. 이 암호 변경 프로세스로 인해 Kerberos 및 NTLM 인증에 대한 암호 해시가 생성되고 Microsoft Entra ID에 저장됩니다. Domain Services에서 사용자를 성공적으로 인증하려면 암호 해시가 필요합니다.
동기화 프로세스는 단방향으로 설계되었습니다. Domain Services에서 Microsoft Entra ID로 변경 내용의 역방향 동기화는 없습니다. 관리되는 도메인은 만들 수 있는 사용자 지정 OU를 제외하고 주로 읽기 전용입니다. 관리되는 도메인 내에서 사용자 특성, 사용자 암호 또는 그룹 멤버 자격을 변경할 수 없습니다.
범위가 지정된 동기화 및 그룹 필터
동기화 범위를 클라우드에서 시작된 사용자 계정으로만 지정할 수 있습니다. 해당 동기화 범위 내에서 특정 그룹 또는 사용자를 필터링할 수 있습니다. 클라우드 전용 그룹, 온-프레미스 그룹 또는 둘 다 중에서 선택할 수 있습니다. 범위가 지정된 동기화를 구성하는 방법에 대한 자세한 내용은 범위가 지정된 동기화구성을 참조하세요.
Domain Services에 대한 특성 동기화 및 매핑
다음 표에서는 몇 가지 일반적인 특성과 도메인 서비스와 동기화되는 방법을 나열합니다.
| Domain Services의 특성 | 근원 | 노트 |
|---|---|---|
| UPN | Microsoft Entra 테넌트에서 사용자의 UPN 특성 | Microsoft Entra 테넌트의 UPN 속성은 as-is Domain Services에 동기화됩니다. 관리되는 도메인에 로그인하는 가장 신뢰할 수 있는 방법은 UPN을 사용하는 것입니다. |
| SAM 계정 이름 (SAMAccountName) | Microsoft Entra 테넌트에 속하거나 자동 생성된 사용자의 mailNickname 속성 | SAMAccountName 특성은 Microsoft Entra 테넌트에 있는 mailNickname 특성에서 가져옵니다. 여러 사용자 계정에 동일한 mailNickname 특성이 있는 경우 SAMAccountName 자동으로 생성됩니다. 사용자의 mailNickname 또는 UPN 접두사는 20자보다 긴 경우 SAMAccountNameSAMAccountName 특성에 대한 20자 제한을 충족하도록 자동으로 생성됩니다. |
| 암호 | Microsoft Entra 테넌트의 사용자 암호 | NTLM 또는 Kerberos 인증에 필요한 레거시 암호 해시는 Microsoft Entra 테넌트에서 동기화됩니다. Microsoft Entra Connect를 사용하여 하이브리드 동기화를 위해 Microsoft Entra 테넌트를 구성하는 경우 이러한 암호 해시는 온-프레미스 AD DS 환경에서 제공됩니다. |
| 기본 사용자/그룹 SID | 자동 생성됨 | 사용자/그룹 계정에 대한 기본 SID는 Domain Services에서 자동으로 생성됩니다. 이 특성은 온-프레미스 AD DS 환경에서 개체의 기본 사용자/그룹 SID와 일치하지 않습니다. 이 불일치는 관리되는 도메인에 온-프레미스 AD DS 도메인과 다른 SID 네임스페이스가 있기 때문입니다. |
| 사용자 및 그룹에 대한 SID 기록 | 온-프레미스 기본 사용자 및 그룹 SID | Domain Services의 사용자 및 그룹에 대한 SidHistory 특성은 온-프레미스 AD DS 환경에서 해당 기본 사용자 또는 그룹 SID와 일치하도록 설정됩니다. 이 기능을 사용하면 ACL 리소스를 다시 가져올 필요가 없으므로 온-프레미스 애플리케이션을 Domain Services로 쉽게 리프트 앤 시프트할 수 있습니다. |
팁
UPN 형식SAMAccountName 특성(예: AADDSCONTOSO\driley)을 사용하여 관리되는 도메인에 로그인하면 관리되는 도메인의 일부 사용자 계정에 대해 자동으로 생성될 수 있습니다. 사용자의 자동 생성된 SAMAccountName UPN 접두사와 다를 수 있으므로 항상 신뢰할 수 있는 로그인 방법은 아닙니다.
예를 들어 여러 사용자가 mailNickname 특성이 동일하거나 UPN 접두사가 지나치게 긴 경우, 이러한 사용자의 SAMAccountName이 자동으로 생성될 수 있습니다.
driley@aaddscontoso.com같은 UPN 형식을 사용하여 관리되는 도메인에 안정적으로 로그인합니다.
사용자 계정에 대한 특성 매핑
다음 표에서는 Microsoft Entra ID의 사용자 개체에 대한 특정 특성이 Domain Services의 해당 특성과 동기화되는 방법을 보여 줍니다.
| Microsoft Entra ID의 사용자 특성 | Domain Services의 사용자 특성 |
|---|---|
| 계정 활성화됨 | userAccountControl(ACCOUNT_DISABLED 비트를 설정하거나 해제하기) |
| 도시 | l |
| companyName | 회사명 |
| 나라 | 회사 |
| 부서 | 부서 |
| 디스플레이 이름 | 표시 이름 |
| 직원 ID | 직원 ID |
| 팩시밀리전화번호 | 팩스 전화번호 |
| givenName | givenName |
| 직책 | 타이틀 |
| 우편 | 우편 |
| 메일 별칭 | msDS-AzureADMailNickname |
| 메일 닉네임 | SAMAccountName(경우에 따라 자동 생성될 수 있음) |
| 매니저 | 매니저 |
| 휴대폰 | 휴대폰 |
| 오브젝트 ID | msDS-aadObjectId |
| 온프레미스 보안 식별자 | sidHistory |
| 비밀번호 정책 | userAccountControl(DONT_EXPIRE_PASSWORD 비트를 설정하거나 해제합니다) |
| 물리적 배송 사무소 이름 | 물리적 배송 사무소 이름 |
| 우편번호 | 우편번호 |
| 선호 언어 | 선호 언어 |
| 프록시 주소 | 프록시 주소 |
| 주 | 세인트 |
| 거리 주소 | 도로 주소 |
| 성 | sn |
| 전화번호 | 전화번호 |
| userPrincipalName (사용자 주 이름) | 사용자 주 이름 |
그룹에 대한 특성 매핑
다음 표에서는 Microsoft Entra ID의 그룹 개체에 대한 특정 특성이 Domain Services의 해당 특성과 동기화되는 방법을 보여 줍니다.
| Microsoft Entra ID의 그룹 특성 | Domain Services의 그룹 특성 |
|---|---|
| 표시 이름 | 표시 이름 |
| 표시 이름 | SAMAccountName(경우에 따라 자동 생성될 수 있음) |
| 우편 | 우편 |
| 메일 닉네임 | msDS-AzureADMailNickname |
| 객체 ID | msDS-AzureADObjectId |
| 온프레미스 보안 식별자 | sidHistory (SID 기록) |
| 프록시주소 | 프록시 주소 (proxyAddresses) |
| 보안 활성화됨 | 그룹 유형 |
온-프레미스 AD DS에서 Microsoft Entra ID 및 Domain Services로 동기화
Microsoft Entra Connect는 온-프레미스 AD DS 환경에서 Microsoft Entra ID로 사용자 계정, 그룹 멤버 자격 및 자격 증명 해시를 동기화하는 데 사용됩니다. UPN 및 온-프레미스 SID(보안 식별자)와 같은 사용자 계정의 특성이 동기화됩니다. Domain Services를 사용하여 로그인하려면 NTLM 및 Kerberos 인증에 필요한 레거시 암호 해시도 Microsoft Entra ID와 동기화됩니다.
중요하다
Microsoft Entra Connect는 온-프레미스 AD DS 환경과의 동기화에 대해서만 설치 및 구성되어야 합니다. 관리되는 도메인에 Microsoft Entra Connect를 설치하여 개체를 Microsoft Entra ID로 다시 동기화하는 것은 지원되지 않습니다.
쓰기 저장을 구성하는 경우 Microsoft Entra ID의 변경 내용이 온-프레미스 AD DS 환경으로 다시 동기화됩니다. 예를 들어 사용자가 Microsoft Entra 셀프 서비스 암호 관리를 사용하여 암호를 변경하는 경우 암호는 온-프레미스 AD DS 환경에서 다시 업데이트됩니다.
메모
항상 최신 버전의 Microsoft Entra Connect를 사용하여 알려진 모든 버그에 대한 수정이 있는지 확인합니다.
다중 포리스트 온프레미스 환경에서의 동기화
많은 조직에는 여러 포리스트를 포함하는 상당히 복잡한 온-프레미스 AD DS 환경이 있습니다. Microsoft Entra Connect는 다중 포리스트 환경에서 Microsoft Entra ID로 사용자, 그룹 및 자격 증명 해시 동기화를 지원합니다.
Microsoft Entra ID에는 훨씬 간단하고 평평한 네임스페이스가 있습니다. 사용자가 Microsoft Entra ID로 보호되는 애플리케이션에 안정적으로 액세스할 수 있도록 하려면 다른 포리스트의 사용자 계정 간에 UPN 충돌을 해결합니다. 관리되는 도메인은 Microsoft Entra ID와 유사한 플랫 OU 구조를 사용합니다. 온-프레미스에서 계층적 OU 구조를 구성한 경우에도 모든 사용자 계정 및 그룹은 다른 온-프레미스 도메인 또는 포리스트에서 동기화되었음에도 불구하고 AADDC 사용자 컨테이너에 저장됩니다. 관리되는 도메인은 모든 계층적 OU 구조를 평면화합니다.
앞에서 설명한 대로 Domain Services에서 Microsoft Entra ID로의 동기화는 없습니다. Domain Services에서 사용자 지정 OU(조직 구성 단위) 만든 다음 사용자 지정 OU 내에서 사용자, 그룹 또는 서비스 계정을 만들 수 있습니다. 사용자 지정 OU에서 만든 개체는 Microsoft Entra ID로 다시 동기화되지 않습니다. 이러한 개체는 관리되는 도메인 내에서만 사용할 수 있으며 Microsoft Graph PowerShell cmdlet, Microsoft Graph API 또는 Microsoft Entra 관리 센터를 사용하여 표시되지 않습니다.
Domain Services에 동기화되지 않는 기능
다음 개체 또는 특성은 온-프레미스 AD DS 환경에서 Microsoft Entra ID 또는 Domain Services로 동기화되지 않습니다.
- 제외된 특성: Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 환경에서 Microsoft Entra ID와 동기화할 때 특정 특성을 제외하도록 선택할 수 있습니다. 이러한 제외된 특성은 Domain Services에서 사용할 수 없습니다.
- 그룹 정책: 온-프레미스 AD DS 환경에서 구성된 그룹 정책은 Domain Services와 동기화되지 않습니다.
- Sysvol 폴더: 온-프레미스 AD DS 환경에서 Sysvol 폴더의 내용은 Domain Services와 동기화되지 않습니다.
- Computer 개체: 온-프레미스 AD DS 환경에 조인된 컴퓨터의 Computer 개체는 Domain Services와 동기화되지 않습니다. 이러한 컴퓨터는 관리되는 도메인과 트러스트 관계가 없으며 온-프레미스 AD DS 환경에만 속합니다. Domain Services에서는 관리되는 도메인에 명시적으로 도메인에 가입된 컴퓨터의 컴퓨터 개체만 표시됩니다.
- 사용자 및 그룹에 대한 sidHistory 특성 : 온-프레미스 AD DS 환경의 기본 사용자 및 기본 그룹 SID가 Domain Services에 동기화됩니다. 그러나 사용자 및 그룹에 대한 기존 SidHistory 특성은 온-프레미스 AD DS 환경에서 Domain Services로 동기화되지 않습니다.
- OU(조직 구성 단위) 구조: 온-프레미스 AD DS 환경에 정의된 조직 구성 단위는 Domain Services와 동기화되지 않습니다. Domain Services에는 두 가지 기본 제공 OU가 있습니다. 하나는 사용자용이고 다른 하나는 컴퓨터용입니다. 관리되는 도메인에는 플랫 OU 구조가 있습니다. 관리되는 도메인 에서 사용자 지정 OU를 생성하도록선택할 수 있습니다.
암호 해시 동기화 및 보안 고려 사항
Domain Services를 사용하도록 설정하면 NTLM 및 Kerberos 인증에 대한 레거시 암호 해시가 필요합니다. Microsoft Entra ID는 텍스트 지우기 암호를 저장하지 않으므로 기존 사용자 계정에 대해 이러한 해시를 자동으로 생성할 수 없습니다. NTLM 및 Kerberos 호환 암호 해시는 항상 Microsoft Entra ID로 암호화된 방식으로 저장됩니다.
암호화 키는 각 Microsoft Entra 테넌트에 고유합니다. 이러한 해시는 도메인 서비스만 암호 해독 키에 액세스할 수 있도록 암호화됩니다. Microsoft Entra ID의 다른 서비스 또는 구성 요소는 암호 해독 키에 액세스할 수 없습니다.
그러면 레거시 암호 해시가 Microsoft Entra ID에서 관리되는 도메인의 도메인 컨트롤러로 동기화됩니다. Domain Services에서 이러한 관리되는 도메인 컨트롤러의 디스크는 미사용 시 암호화됩니다. 이러한 암호 해시는 온-프레미스 AD DS 환경에서 암호를 저장하고 보호하는 방법과 유사하게 이러한 도메인 컨트롤러에 저장되고 보호됩니다.
클라우드 전용 Microsoft Entra 환경의 경우 필요한 암호 해시를 생성하고 Microsoft Entra ID에 저장하려면 사용자가 암호 재설정/변경해야 합니다. Microsoft Entra Domain Services를 사용하도록 설정한 후 Microsoft Entra ID로 만든 클라우드 사용자 계정의 경우 암호 해시가 생성되고 NTLM 및 Kerberos 호환 형식으로 저장됩니다. 모든 클라우드 사용자 계정은 Domain Services에 동기화되기 전에 암호를 변경해야 합니다.
Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 환경에서 동기화된 하이브리드 사용자 계정의 경우 NTLM 및 Kerberos 호환 형식으로 암호 해시를 동기화하도록 Microsoft Entra Connect를구성해야 합니다.
다음 단계
암호 동기화의 세부 정보에 대한 자세한 내용은 암호 해시 동기화가 Microsoft Entra Connect작동하는 방식을 참조하세요.
Domain Services를 시작하려면 관리되는 도메인을만들어야 합니다.