자습서: 단일 Microsoft Entra 테넌트와 단일 포리스트 통합

  • 아티클

이 자습서에서는 Microsoft Entra 클라우드 동기화를 사용하여 하이브리드 ID 환경을 만드는 과정을 안내합니다.

Microsoft Entra Cloud Sync 흐름을 보여 주는 다이어그램

이 자습서에서 만든 환경을 사용하여 테스트하거나 클라우드 동기화를 익숙하게 사용할 수 있습니다.

필수 조건

Microsoft Entra 관리 센터에서

  1. Microsoft Entra 테넌트에 클라우드 전용 전역 관리자 계정을 만듭니다. 이러한 방식으로 온-프레미스 서비스가 실패하거나 사용할 수 없게 될 때 테넌트의 구성을 관리할 수 있습니다. 클라우드 전용 전역 관리자 계정 추가에 대해 자세히 알아봅니다. 테넌트에 잠기지 않도록 이 단계를 완료하는 것이 중요합니다.
  2. Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가합니다. 사용자는 이러한 도메인 이름 중 하나로 로그인할 수 있습니다.

온-프레미스 환경에서

  1. 4GB 이상의 RAM 및 .NET 4.7.1 이상의 런타임을 사용하여 Windows Server 2016 이상을 실행하는 도메인 조인 호스트 서버를 식별합니다.

  2. 서버와 Microsoft Entra ID 사이에 방화벽이 있는 경우 다음 항목을 구성합니다.

    • 에이전트가 다음 포트를 통해 Microsoft Entra ID에 대한 아웃바운드 요청을 할 수 있는지 확인합니다.

      포트 번호 사용 방법
      80 TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록) 다운로드
      443 서비스와의 모든 아웃바운드 통신 처리
      8080(선택 사항) 443 포트를 사용할 수 없는 경우 에이전트는 8080 포트를 통해 10분마다 해당 상태를 보고합니다. 이 상태는 포털에 표시됩니다.

      방화벽이 원래 사용자에 따라 규칙에 적용되는 경우 네트워크 서비스로 실행하는 Windows 서비스의 트래픽에 대해 이러한 포트를 엽니다.

    • 방화벽 또는 프록시를 통해 안전한 접미사를 지정할 수 있으면 연결을 *.msappproxy.net*.servicebus.windows.net에 추가합니다. 그렇지 않으면 매주 업데이트되는 Azure 데이터 센터 IP 범위에 액세스하도록 허용합니다.

    • 에이전트는 초기 등록을 위해 login.windows.netlogin.microsoftonline.com에 액세스해야 합니다. 이러한 URL에 대한 방화벽도 엽니다.

    • 인증서 유효성 검사를 위해 mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80www.microsoft.com:80 URL을 차단 해제합니다. 이 URL은 다른 Microsoft 제품과의 인증서 유효성 검사에 사용되므로 이 URL을 이미 차단 해제했을 수 있습니다.

Microsoft Entra 프로비저닝 에이전트 설치

기본 AD 및 Azure 환경 자습서를 사용하는 경우 DC1이 됩니다. 에이전트를 설치하려면 다음 단계를 따르세요.

  1. Azure Portal에서 Microsoft Entra ID를 선택합니다.
  2. 왼쪽에서 Microsoft Entra Connect를 선택합니다.
  3. 왼쪽에서 클라우드 동기화를 선택합니다.

새 UX 화면의 스크린샷.

  1. 왼쪽에서 에이전트를 선택합니다.
  2. 온-프레미스 에이전트 다운로드를 선택하고 약관 동의 및 다운로드를 선택합니다.

다운로드 에이전트의 스크린샷.

  1. Microsoft Entra Connect 프로비저닝 에이전트 패키지 다운로드가 완료되면 다운로드 폴더에서 AADConnectProvisioningAgentSetup.exe 설치 파일을 실행합니다.

참고 항목

미국 정부 클라우드용으로 설치하는 경우 다음을 사용합니다.
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
자세한 내용은 "미국 정부 클라우드에 에이전트 설치"를 참조하세요.

  1. 시작 화면에서 라이선스 및 사용 약관에 동의함, 설치를 차례로 선택합니다.

Microsoft Entra 커넥트 프로비전 에이전트 패키지 시작 화면을 보여 주는 스크린샷

  1. 설치 작업이 완료되면 구성 마법사가 시작됩니다. 다음을 선택하여 구성을 시작합니다. 시작 화면의 스크린샷.
  2. 확장 선택 화면에서 HR 기반 프로비전(Workday 및 SuccessFactors)/Microsoft Entra Connect 클라우드 동기화를 선택하고 다음을 클릭합니다. 확장 선택 화면의 스크린샷.

참고 항목

온-프레미스 앱 프로비전에 사용할 프로비전 에이전트를 설치하는 경우 온-프레미스 애플리케이션 프로비전(애플리케이션에 대한 Microsoft Entra ID)을 선택합니다.

  1. Microsoft Entra 전역 관리자 또는 하이브리드 ID 관리자 계정으로 로그인합니다. Internet Explorer 보안 강화를 사용하도록 설정하면 로그인이 차단됩니다. 그렇다면 설치를 닫고 Internet Explorer 보안 강화를 사용하지 않도록 설정한 다음 Microsoft Entra Connect 프로비전 에이전트 패키지 설치를 다시 시작합니다.

커넥트 Microsoft Entra ID 화면의 스크린샷.

  1. 서비스 계정 구성 화면에서 gMSA(그룹 관리 서비스 계정)를 선택합니다. 이 계정은 에이전트 서비스를 실행하는 데 사용됩니다. 관리 서비스 계정이 다른 에이전트에 의해 도메인에 이미 구성되어 있고 두 번째 에이전트를 설치하는 경우 시스템에서 기존 계정을 검색하고 새 에이전트가 gMSA 계정을 사용하는 데 필요한 권한을 추가하므로 gMSA 만들기를 선택합니다. 메시지가 표시되면 다음 중 선택합니다.
  • gMSA 만들기: 에이전트가 provAgentgMSA$ 관리되는 서비스 계정을 만들 수 있습니다. 그룹 관리 서비스 계정(예: CONTOSO\provAgentgMSA$)은 호스트 서버가 조인된 동일한 Active Directory 도메인에 만들어집니다. 이 옵션을 사용하려면 Active Directory 도메인 관리자 자격 증명을 입력합니다(권장).
  • 사용자 지정 gMSA를 사용하고 이 작업을 위해 수동으로 만든 관리 서비스 계정의 이름을 입력합니다.

계속하려면 다음을 선택합니다.

서비스 계정 구성 화면의 스크린샷.

  1. Active Directory 연결 화면에서 도메인 이름이 구성된 도메인 아래에 표시되면 다음 단계로 건너뜁니다. 그렇지 않으면 Active Directory 도메인 이름을 입력하고 디렉터리 추가를 선택합니다.

  2. Active Directory 도메인 관리자 계정으로 로그인합니다. 도메인 관리자 계정에는 만료된 암호가 없어야 합니다. 에이전트 설치 중 암호가 만료되거나 변경되는 경우 새 자격 증명을 사용하여 에이전트를 다시 구성해야 합니다. 이 작업을 수행하면 온-프레미스 디렉터리가 추가됩니다. 확인을 선택하고 다음을 선택하여 계속합니다.

도메인 관리자 자격 증명을 입력하는 방법을 보여 주는 스크린샷

  1. 다음 스크린샷은 contoso.com 구성된 도메인의 예를 보여 줍니다. 다음을 선택하여 작업을 계속할 수 있습니다.

커넥트 Active Directory 화면의 스크린샷.

  1. 구성 완료 화면에서 확인을 선택합니다. 이 작업을 수행하면 에이전트가 등록되고 다시 시작됩니다.

  2. 이 작업이 완료되면 에이전트 구성이 확인되었습니다.라는 알림이 표시됩니다. 종료를 선택할 수 있습니다.

완료 화면을 보여 주는 스크린샷.

  1. 초기 시작 화면이 계속 표시되면 닫기를 선택합니다.

에이전트 설치 확인

에이전트 확인은 Azure Portal 및 에이전트를 실행하는 로컬 서버에서 수행됩니다.

Azure Portal에서 에이전트 확인

에이전트가 Microsoft Entra ID로 등록되고 있는지 확인하려면 다음 단계를 따릅니다.

  1. Azure Portal에 로그인합니다.
  2. Microsoft Entra ID를 선택합니다.
  3. Microsoft Entra Connect를 선택한 다음 클라우드 동기화를 선택합니다. 새 UX 화면의 스크린샷.
  4. 클라우드 동기화 페이지에 설치한 에이전트가 표시됩니다. 에이전트가 표시되고 상태가 정상인지 확인합니다.

로컬 서버에서 에이전트 확인

에이전트가 실행되는지 확인하려면 다음 단계를 수행합니다.

  1. 관리자 계정으로 서버에 로그인합니다.
  2. 서비스로 이동하거나 Start/Run/Services.msc로 이동하여 서비스를 엽니다.
  3. 서비스에서 Microsoft Entra Connect 에이전트 업데이트 프로그램Microsoft Entra Connect 프로비전 에이전트가 있고 상태가 실행 중인지 확인합니다. Windows 서비스를 보여 주는 스크린샷

프로비전 에이전트 버전 확인

실행 중인 에이전트 버전을 확인하려면 다음 단계를 따릅니다.

  1. 'C:\Program Files\Microsoft Azure AD Connect 프로비전 에이전트'로 이동합니다.
  2. 'AADConnectProvisioningAgent.exe'를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
  3. 세부 정보 탭을 클릭하면 제품 버전 옆에 버전 번호가 표시됩니다.

Microsoft Entra 클라우드 동기화 구성

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

다음 단계를 사용하여 프로비저닝을 구성하고 시작합니다.

  1. 최소한 하이브리드 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다. 클라우드 동기화 홈페이지의 스크린샷.
  1. 새 구성을 선택합니다.
  2. 구성 화면에서 알림 메일을 입력하고, 선택기를 사용으로 이동하고, 저장을 선택합니다.
  3. 이제 구성 상태는 정상입니다.

사용자가 생성되고 동기화가 수행되는지 확인

이제 동기화 범위에 있는 온-프레미스 디렉터리에 있던 사용자가 동기화되어 이제 Microsoft Entra 테넌트에 존재하는지 확인하게 됩니다. 동기화 작업을 완료하는 데 몇 시간 정도 걸릴 수 있습니다. 사용자가 동기화되었는지 확인하려면 다음 단계를 수행합니다.

  1. 최소한 하이브리드 ID 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>사용자로 이동합니다.
  3. 새 사용자가 테넌트에 표시되는지 확인

사용자 중 한 명으로 로그인 테스트

  1. https://myapps.microsoft.com으로 이동합니다.

  2. 테넌트에 생성된 사용자 계정으로 로그인합니다. user@domain.onmicrosoft.com 형식을 사용하여 로그인해야 합니다. 사용자가 온-프레미스 로그인에 사용하는 것과 동일한 암호를 사용합니다.

로그인한 사용자가 있는 내 앱 포털을 보여 주는 스크린샷

이제 Microsoft Entra 클라우드 동기화를 사용하여 하이브리드 ID 환경을 성공적으로 구성했습니다.

다음 단계