Azure AD Connect 클라우드 동기화에 대한 필수 구성 요소Prerequisites for Azure AD Connect cloud sync

이 문서에서는 id 솔루션으로 Azure AD (Azure Active Directory) 연결 클라우드 동기화를 선택 하 고 사용 하는 방법에 대 한 지침을 제공 합니다.This article provides guidance on how to choose and use Azure Active Directory (Azure AD) Connect cloud sync as your identity solution.

클라우드 프로비저닝 에이전트 요구 사항Cloud provisioning agent requirements

Azure AD Connect 클라우드 동기화를 사용 하려면 다음이 필요 합니다.You need the following to use Azure AD Connect cloud sync:

  • 에이전트 서비스를 실행 하는 Azure AD Connect Cloud Sync gMSA (그룹 관리 서비스 계정)를 만드는 데 필요한 도메인 관리자 또는 엔터프라이즈 관리자 자격 증명입니다.Domain Administrator or Enterprise Administrator credentials to create the Azure AD Connect Cloud Sync gMSA (group Managed Service Account) to run the agent service.
  • 게스트 사용자가 아닌 Azure AD 테 넌 트에 대 한 하이브리드 id 관리자 계정입니다.A hybrid identity administrator account for your Azure AD tenant that is not a guest user.
  • Windows 2016 이상에서 프로 비전 에이전트에 대 한 온-프레미스 서버.An on-premises server for the provisioning agent with Windows 2016 or later. 이 서버는 Active Directory 관리 계층 모델을 기반으로 하는 계층 0 서버 여야 합니다.This server should be a tier 0 server based on the Active Directory administrative tier model.
  • 온-프레미스 방화벽 구성On-premises firewall configurations.

Group Managed Service AccountsGroup Managed Service Accounts

그룹 관리 서비스 계정은 자동 암호 관리, 간소화 된 SPN (서비스 사용자 이름) 관리, 다른 관리자에 게 관리를 위임 하는 기능 및 여러 서버에서이 기능을 확장 하는 관리 되는 도메인 계정입니다.A group Managed Service Account is a managed domain account that provides automatic password management, simplified service principal name (SPN) management,the ability to delegate the management to other administrators, and also extends this functionality over multiple servers. Azure AD Connect 클라우드 동기화는 에이전트를 실행 하는 데 gMSA을 지원 하 고 사용 합니다.Azure AD Connect Cloud Sync supports and uses a gMSA for running the agent. 이 계정을 만들기 위해 설치 중에 관리자 자격 증명을 입력 하 라는 메시지가 표시 됩니다.You will be prompted for administrative credentials during setup, in order to create this account. 계정이 (domain\provAgentgMSA $)로 표시 됩니다.The account will appear as (domain\provAgentgMSA$). GMSA에 대 한 자세한 내용은 그룹 관리 서비스 계정 을 참조 하세요.For more information on a gMSA, see Group Managed Service Accounts

GMSA에 대 한 필수 구성 요소:Prerequisites for gMSA:

  1. GMSA 도메인 포리스트의 Active Directory 스키마를 Windows Server 2016로 업데이트 해야 합니다.The Active Directory schema in the gMSA domain's forest needs to be updated to Windows Server 2016.
  2. 도메인 컨트롤러의 POWERSHELL RSAT 모듈PowerShell RSAT modules on a domain controller
  3. 도메인에 있는 하나 이상의 도메인 컨트롤러가 Windows Server 2016를 실행 해야 합니다.At least one domain controller in the domain must be running Windows Server 2016.
  4. 에이전트가 설치 되는 도메인에 가입 된 서버는 Windows Server 2016 이상 이어야 합니다.A domain joined server where the agent is being installed needs to be either Windows Server 2016 or later.

사용자 지정 gMSA 계정Custom gMSA account

사용자 지정 gMSA 계정을 만드는 경우 계정에 다음 사용 권한이 있는지 확인 해야 합니다.If you are creating a custom gMSA account, you need to ensure that the account has the following permissions.

TypeType 속성Name 액세스 권한Access 적용 대상Applies To
AllowAllow gMSA 계정gMSA Account 모든 속성 읽기Read all properties 하위 디바이스 개체Descendant device objects
AllowAllow gMSA 계정gMSA Account 모든 속성 읽기Read all properties 하위 InetOrgPerson 개체Descendant InetOrgPerson objects
AllowAllow gMSA 계정gMSA Account 모든 속성 읽기Read all properties 하위 Computer 개체Descendant Computer objects
AllowAllow gMSA 계정gMSA Account 모든 속성 읽기Read all properties 하위 foreignSecurityPrincipal 개체Descendant foreignSecurityPrincipal objects
AllowAllow gMSA 계정gMSA Account 모든 권한Full control 하위 Group 개체Descendant Group objects
AllowAllow gMSA 계정gMSA Account 모든 속성 읽기Read all properties 하위 User 개체Descendant User objects
AllowAllow gMSA 계정gMSA Account 모든 속성 읽기Read all properties 하위 Contact 개체Descendant Contact objects
허용Allow gMSA 계정gMSA Account 사용자 개체 만들기/삭제Create/delete User objects 이 개체 및 모든 하위 개체This object and all descendant objects

GMSA 계정을 사용 하도록 기존 에이전트를 업그레이드 하는 방법에 대 한 단계는 그룹 관리 서비스 계정을 참조 하세요.For steps on how to upgrade an existing agent to use a gMSA account see Group Managed Service Accounts.

Azure Active Directory 관리 센터에서In the Azure Active Directory admin center

  1. Azure AD 테 넌 트에서 클라우드 전용 하이브리드 id 관리자 계정을 만듭니다.Create a cloud-only hybrid identity administrator account on your Azure AD tenant. 이러한 방식으로 온-프레미스 서비스가 실패하거나 사용할 수 없게 되면 테넌트의 구성을 관리할 수 있습니다.This way, you can manage the configuration of your tenant if your on-premises services fail or become unavailable. 클라우드 전용 하이브리드 id 관리자 계정을 추가하는 방법에 대해 알아봅니다.Learn about how to add a cloud-only hybrid identity administrator account. 테넌트에서 잠기지 않도록 하려면 이 단계를 완료하는 것이 중요합니다.Finishing this step is critical to ensure that you don't get locked out of your tenant.
  2. Azure AD 테넌트에 사용자 지정 도메인 이름을 하나 이상 추가합니다.Add one or more custom domain names to your Azure AD tenant. 사용자는 이러한 도메인 이름 중 하나로 로그인할 수 있습니다.Your users can sign in with one of these domain names.

Active Directory의 디렉터리에서In your directory in Active Directory

IdFix 도구를 실행하여 동기화를 위한 디렉터리 특성을 준비합니다.Run the IdFix tool to prepare the directory attributes for synchronization.

온-프레미스 환경에서In your on-premises environment

  1. 최소 4gb RAM 및 .NET 4.7.1 + runtime을 사용 하 여 Windows Server 2016 이상을 실행 하는 도메인에 가입 된 호스트 서버를 식별 합니다.Identify a domain-joined host server running Windows Server 2016 or greater with a minimum of 4-GB RAM and .NET 4.7.1+ runtime.

  2. 로컬 서버에 대한 PowerShell 실행 정책을 Undefined 또는 RemoteSigned로 설정해야 합니다.The PowerShell execution policy on the local server must be set to Undefined or RemoteSigned.

  3. 서버와 Azure AD 사이에 방화벽이 있는 경우 다음 항목을 구성합니다.If there's a firewall between your servers and Azure AD, configure the following items:

    • 에이전트에서 다음 포트를 통해 Azure AD에 대한 아웃바운드 요청을 수행할 수 있는지 확인합니다.Ensure that agents can make outbound requests to Azure AD over the following ports:

      포트 번호Port number 사용 방법How it's used
      8080 TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록)을 다운로드합니다.Downloads the certificate revocation lists (CRLs) while validating the TLS/SSL certificate.
      443443 서비스와의 모든 아웃바운드 통신을 처리합니다.Handles all outbound communication with the service.
      8080(선택 사항)8080 (optional) 443 포트를 사용할 수 없는 경우 에이전트는 8080 포트를 통해 10분마다 해당 상태를 보고합니다.Agents report their status every 10 minutes over port 8080, if port 443 is unavailable. 이 상태는 Azure AD 포털에 표시됩니다.This status is displayed in the Azure AD portal.
    • 방화벽이 원래 사용자에 따라 규칙에 적용되는 경우 네트워크 서비스로 실행하는 Windows 서비스의 트래픽에 대해 이러한 포트를 엽니다.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • 방화벽 또는 프록시를 통해 안전한 접미사를 지정할 수 있으면 *.msappproxy.net 및 *.servicebus.windows.net에 대한 연결을 추가합니다.If your firewall or proxy allows you to specify safe suffixes, add connections to *.msappproxy.net and *.servicebus.windows.net. 그렇지 않으면 매주 업데이트되는 Azure 데이터 센터 IP 범위에 액세스하도록 허용합니다.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • 에이전트는 초기 등록을 위해 login.windows.net 및 login.microsoftonline.com에 액세스해야 합니다.Your agents need access to login.windows.net and login.microsoftonline.com for initial registration. 이러한 URL에 대한 방화벽도 엽니다.Open your firewall for those URLs as well.

    • 인증서 유효성 검사를 위해 mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 및 www.microsoft.com:80 URL을 차단 해제합니다.For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. 이러한 URL은 다른 Microsoft 제품과의 인증서 유효성 검사에 사용되므로 이러한 URL을 이미 차단 해제했을 수 있습니다.These URLs are used for certificate validation with other Microsoft products, so you might already have these URLs unblocked.

    참고

    Windows Server Core에 클라우드 프로저닝 에이전트를 설치하는 것은 지원되지 않습니다.Installing the cloud provisioning agent on Windows Server Core is not supported.

추가 요구 사항Additional requirements

TLS 요구 사항TLS requirements

참고

TLS(전송 계층 보안)는 보안 통신을 지원하는 프로토콜입니다.Transport Layer Security (TLS) is a protocol that provides for secure communications. TLS 설정을 변경하면 전체 포리스트에 영향을 줍니다.Changing the TLS settings affects the entire forest. 자세한 내용은 TLS 1.1 및 TLS 1.2를 Windows의 WinHTTP에서 기본 보안 프로토콜로 사용하는 업데이트를 참조하세요.For more information, see Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows.

Azure AD Connect 클라우드 프로비저닝 에이전트를 호스트하는 Windows Server를 설치하기 전에 TLS 1.2를 사용하도록 설정해야 합니다.The Windows server that hosts the Azure AD Connect cloud provisioning agent must have TLS 1.2 enabled before you install it.

TLS 1.2를 사용하도록 설정하려면 다음 단계를 수행합니다.To enable TLS 1.2, follow these steps.

  1. 다음 레지스트리 키를 설정합니다.Set the following registry keys:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. 서버를 다시 시작합니다.Restart the server.

알려진 제한 사항Known limitations

알려진 제한 사항은 다음과 같습니다.The following are known limitations:

델타 동기화Delta Synchronization

  • 델타 동기화에 대 한 그룹 범위 필터링은 1500 개 이상의 멤버를 지원 하지 않습니다.Group scope filtering for delta sync does not support more than 1500 members.
  • 그룹 범위 지정 필터의 일부로 사용 되는 그룹을 삭제 하는 경우 그룹의 멤버인 사용자는 삭제 되지 않습니다.When you delete a group that's used as part of a group scoping filter, users who are members of the group, don't get deleted.
  • 범위에 있는 OU 또는 그룹의 이름을 바꾸면 델타 동기화가 사용자를 제거 하지 않습니다.When you rename the OU or group that's in scope, delta sync will not remove the users.

프로비저닝 로그Provisioning Logs

  • 프로 비전 로그는 생성 및 업데이트 작업을 명확 하 게 구분 하지 않습니다.Provisioning logs do not clearly differentiate between create and update operations. 만들기에 대 한 업데이트 및 업데이트 작업에 대 한 만들기 작업이 표시 될 수 있습니다.You may see a create operation for an update and an update operation for a create.

그룹 이름 다시 지정 또는 OU 다시 명명Group re-naming or OU re-naming

  • 지정 된 구성의 범위에 속하는 그룹 또는 OU의 이름을 지정 하는 경우 클라우드 동기화 작업은 AD의 이름 변경을 인식할 수 없습니다.If you rename a group or OU in AD that's in scope for a given configuration, the cloud sync job will not be able to recognize the name change in AD. 작업은 격리로 이동 하지 않으며 정상 상태로 유지 됩니다.The job won't go into quarantine and will remain healthy.

다음 단계Next steps