Microsoft Entra ID에서 관리되지 않는 디렉터리를 관리자로 인수

  • 아티클

이 문서에서는 Microsoft Entra ID의 관리되지 않는 디렉터리에서 DNS 도메인 이름을 인수하는 두 가지 방법을 설명합니다. 셀프 서비스 사용자가 Microsoft Entra ID를 사용하는 클라우드 서비스에 등록하면 이메일 도메인을 기반으로 관리되지 않는 Microsoft Entra 디렉터리에 추가됩니다. 셀프 서비스 또는 서비스 "바이럴" 등록에 대한 자세한 내용은 Microsoft Entra ID 셀프 서비스 등록이란?을 참조하세요.

관리되지 않는 디렉터리를 인수하고자 하는 방법을 결정합니다.

관리자 인수 과정에서 Microsoft Entra ID에 사용자 지정 도메인 이름 추가에 설명된 대로 소유권을 증명할 수 있습니다. 다음 섹션에서 관리자 환경을 보다 자세히 설명하지만 요약 내용은 다음과 같습니다.

  • 관리되지 않는 Azure 디렉터리의 "내부" 관리자 인수를 수행하는 경우 새 관리자가 관리되지 않는 디렉터리의 전역 관리자로 추가됩니다. 어떤 사용자, 도메인 또는 서비스 계획도 새 관리자가 관리하는 다른 디렉터리로 마이그레이션되지 않습니다.

  • 관리되지 않는 Azure 디렉터리의 "내부" 관리자 인수를 수행하는 경우 관리되지 않는 디렉터리의 DNS 도메인 이름을 관리되는 Azure 디렉터리에 추가합니다. 도메인 이름을 추가하면 사용자에서 리소스로 매핑이 관리되는 Azure 디렉터리에 생성되어 사용자가 중단 없이 서비스에 계속 액세스할 수 있습니다.

내부 관리자 인수

Microsoft 365와 같이 SharePoint 및 OneDrive를 포함하는 일부 제품은 외부 인수를 지원하지 않습니다. 이것이 사용자의 시나리오이거나 관리자이고 셀프 서비스 등록을 사용한 사용자가 만든 관리되지 않거나 "섀도" Microsoft Entra 조직을 인수하려는 경우 내부 관리자 인수를 통해 이를 수행할 수 있습니다.

  1. Power BI 등록을 통해 관리되지 않는 조직에 사용자 컨텍스트를 만듭니다. 예제의 편의를 위해 이러한 단계는 해당 경로를 가정합니다.

  2. Power BI 사이트를 열고 무료로 시작을 선택합니다. 조직에 대한 도메인 이름을 사용하는 사용자 계정을 입력합니다. 예: admin@fourthcoffee.xyz. 확인 코드를 입력한 후 인증 코드에 대한 전자 메일을 확인합니다.

  3. Power BI에서 온 확인 전자 메일에서 예, 바로 저입니다를 선택합니다.

  4. Power BI 사용자 계정을 사용하여 365 관리자 센터에 로그인합니다.

    Microsoft 365 시작 페이지의 스크린샷.

  5. 관리되지 않는 조직에서 이미 확인된 도메인 이름의 관리자 되기에 관해 지시하는 메시지를 수신합니다. 예, 관리자가 되고 싶습니다를 선택합니다.

    관리 스크린샷

  6. 도메인 이름 등록자에서 도메인 이름 fourthcoffee.xyz을 소유하고 있음을 증명하기 위해 TXT 레코드를 추가합니다. 이 예에서는 GoDaddy.com입니다.

    do기본 이름에 대한 TXT 레코드 추가 스크린샷

도메인 이름 등록 기관에서 DNS TXT 레코드가 확인되면 Microsoft Entra 조직을 관리할 수 있습니다.

앞의 단계를 완료하여 이제 Microsoft 365에서 Fourth Coffee 조직의 전역 관리자가 되었습니다. 도메인 이름을 다른 Azure 서비스와 통합하려면 Microsoft 365에서 제거하고 Azure에서 다른 관리되는 조직에 추가할 수 있습니다.

Microsoft Entra ID에서 관리되는 조직에 도메인 이름 추가

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. Microsoft 365 관리 센터를 엽니다.

  2. 사용자 탭을 선택하고, 사용자 지정 도메인 이름을 사용하지 않는 user@fourthcoffeexyz.onmicrosoft.com와 같은 이름으로 새 사용자 계정을 만듭니다.

  3. 새 사용자 계정에 Microsoft Entra 조직에 대한 전역 관리자 권한이 있는지 확인합니다.

  4. Microsoft 365 관리 센터 do기본s 탭을 열고 do기본 이름을 선택하고 제거를 선택합니다.

    Microsoft 365에서 do기본 이름을 제거하는 옵션을 보여 주는 스크린샷

  5. 제거된 도메인 이름을 참조하는 Microsoft 365에 사용자 또는 그룹이 있다면 이러한 이름은 .onmicrosoft.com 도메인으로 이름이 변경되어야 합니다. 도메인 이름을 강제로 삭제한다면, 모든 사용자는 자동적으로 이름이 변경되며, 이 예에서는 user@fourthcoffeexyz.onmicrosoft.com으로 변경됩니다.

  6. 최소한 전역 관리자Microsoft Entra 관리 센터에 로그인합니다.

  7. 페이지 상단의 검색 상자에서 도메인 이름을 검색합니다.

  8. + 사용자 지정 도메인 이름 추가를 선택한 다음 도메인 이름을 추가합니다. 도메인 이름의 소유권을 확인하려면 DNS TXT 레코드를 입력해야 합니다.

    Microsoft Entra ID에 추가된 것으로 확인된 do기본를 보여 주는 스크린샷

참고 항목

Microsoft 365 조직에 할당된 라이선스를 가진 Power BI 또는 Azure Rights Management 서비스의 모든 사용자는 도메인 이름이 제거된 경우 해당 대시보드를 저장해야 합니다. 그들은 user@fourthcoffee.xyz 보다는 user@fourthcoffeexyz.onmicrosoft.com과 같은 사용자 이름을 사용하여 서명해야 합니다.

외부 관리자 인수

이미 Azure 서비스 또는 Microsoft 365를 사용하여 조직을 관리하고 있는 경우, 다른 Microsoft Entra 조직에서 이미 확인된 경우 사용자 지정 도메인 이름을 추가할 수 없습니다. 그러나 Microsoft Entra ID의 관리되는 조직에서 관리되지 않는 조직을 외부 관리자 인수로 인수할 수 있습니다. 일반적인 절차는 Microsoft Entra ID에 사용자 지정 도메인 추가 문서를 따릅니다.

도메인 이름의 소유권을 확인하는 경우 Microsoft Entra ID는 관리되지 않는 조직의 도메인 이름을 제거하고 그것을 기존 조직으로 옮깁니다. 관리되지 않는 디렉터리의 외부 관리자 인수를 하려면 내부 관리자 인수와 동일한 DNS TXT 유효성 검사 프로세스를 필요로 합니다. 차이점은 또한 다음을 도메인 이름과 함께 이동할 수 있습니다.

  • 사용자
  • Abunələr
  • 라이선스 할당

외부 관리자 인수에 대한 지원

외부 관리자 인수는 다음과 같은 온라인 서비스에서 지원합니다.

  • Azure Rights Management
  • Exchange Online

지원되는 서비스 계획은 다음과 같습니다.

  • Power Apps 무료
  • Power Automate 무료
  • 개인용 RMS
  • Microsoft Stream
  • Dynamics 365 평가판

SharePoint, OneDrive 또는 비즈니스용 Skype를 포함하는 서비스 계획을 가진 서비스(예: Office 무료 구독을 통해)에는 외부 관리자 인수가 지원되지 않습니다.

참고 항목

외부 관리자 인수는 클라우드 경계(예: Azure Government에서 Azure Commercial로)를 넘어 지원하지 않습니다. 이러한 시나리오에서는 대상 Azure Government 테넌트에 대해 성공적으로 확인할 수 있도록 다른 Azure 상용 테넌트로 외부 관리자 인수를 수행한 다음 이 테넌트에서 도메인을 삭제하는 것이 좋습니다.

개인용 RMS에 대한 자세한 내용

개인용 RMS의 경우, 관리되지 않는 조직이 사용자 소유의 조직과 같은 지역에 있을 경우 자동으로 생성된 Azure Information Protection 조직 키기본 보호 템플릿이 도메인 이름과 함께 추가로 이동됩니다.

관리되지 않는 조직이 다른 지역에 있을 때는 이 키 및 템플릿이 이동되지 않습니다. 예를 들어 관리되지 않는 조직이 유럽에 있고 소유 한 조직이 북미에 있는 경우입니다.

개인용 RMS는 Microsoft Entra 인증을 지원하여 사용권 계약에 따라 보호하는 콘텐츠를 열도록 설계되었지만 사용자가 콘텐츠를 보호하는 것을 방해하지는 않습니다. 사용자가 개인용 RMS 구독을 사용하여 콘텐츠를 보호하고 키와 템플릿이 이동되지 않은 경우 도메인 인수 후에 해당 콘텐츠에 액세스할 수 없습니다.

ForceTakeover 옵션에 대한 Microsoft Azure AD PowerShell cmdlets

PowerShell 예에서 사용되는 이러한 cmdlet을 참조할 수 있습니다.

Important

Azure AD PowerShell은 2024년 3월 30일에 사용 중단될 예정입니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. Microsoft Graph PowerShell은 모든 Microsoft Graph API에 대한 액세스를 허용하며 PowerShell 7에서 사용할 수 있습니다. 일반적인 마이그레이션 쿼리에 대한 답변은 마이그레이션 FAQ를 참조하세요.

Cmdlet 사용
connect-mggraph 메시지가 표시되면 관리되는 조직에 로그인합니다.
get-mgdomain 현재 조직과 연결된 도메인 이름을 보여줍니다.
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} 조직에 도메인 이름을 확인되지 않음(아직 DNS 확인이 실행되지 않음)으로 추가합니다.
get-mgdomain 도메인 이름이 이제 관리되는 조직과 연결된 도메인 이름 목록에 포함되지만, 확인되지 않음으로 나열됩니다.
Get-MgDomainVerificationDnsRecord 도메인에 대해 새 DNS TXT 레코드를 저장할 정보 제공 (MS = xxxxx). TXT 레코드가 전파되는 데 약간의 시간이 걸리므로 확인이 즉시 이뤄지지 않을 수도 있습니다. 따라서 -ForceTakeover 옵션을 고려하기 전에 몇 분 정도 기다리십시오.
confirm-mgdomain –Domainname <domainname> - 여전히 도메인 이름이 확인되지 않는 경우 -ForceTakeover 옵션을 사용하여 진행할 수 있습니다. TXT 레코드가 만들어졌는지 확인하고 인수 프로세스를 시작합니다.
- -ForceTakeover 옵션은 인수를 차단하는 Microsoft 365 서비스가 관리되지 않는 조직에 있을 경우와 같이 외부 관리자 인수를 강제 적용할 경우에만 cmdlet에 추가되어야 합니다.
get-mgdomain 이제 도메인 목록은 도메인 이름을 확인됨으로 표시합니다.

참고 항목

관리되지 않는 Microsoft Entra 조직은 외부 인수 강제 옵션을 행사한 후 10일 후에 삭제됩니다.

PowerShell 예제

  1. 셀프 서비스 제공 사항에 응답하는 데 사용된 자격 증명을 사용하여 Microsoft Graph에 연결합니다.

    Install-Module -Name Microsoft.Graph

Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"

  2. 도메인 목록을 가져옵니다.

    Get-MgDomain

  3. New-MgDomain cmdlet을 실행하여 새 도메인을 추가합니다.

    New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}

  4. Get-MgDomainVerificationDnsRecord cmdlet을 실행하여 DNS 챌린지를 확인합니다.

    (Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

    예시:

    (Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

  5. 이 명령에서 반환되는 값(챌린지)을 복사합니다. 예시:

    MS=ms18939161

  6. 공용 DNS 네임스페이스에서 이전 단계에서 복사한 값이 포함된 DNS txt 레코드를 만듭니다. 이 레코드의 이름은 부모 도메인의 이름이므로 Windows Server의 DNS 역할을 사용하여 이 리소스 레코드를 만드는 경우 레코드 이름은 비워두고 값을 텍스트 상자에 붙여넣기만 하세요.

  7. Confirm-MgDomain cmdlet을 실행하여 챌린지를 확인합니다.

    Confirm-MgDomain -DomainId "<your domain name>"

    예시:

    Confirm-MgDomain -DomainId "contoso.com"

참고 항목

Confirm-MgDomain Cmdlet이 업데이트되는 중입니다. Confirm-MgDomain Cmdlet 문서에서 업데이트를 모니터링할 수 있습니다.

챌린지가 성공하면 오류 없이 프롬프트로 돌아갑니다.

다음 단계