Microsoft Azure Active Directory에서 관리자로서 관리되지 않는 디렉터리 인수Take over an unmanaged directory as administrator in Azure Active Directory

이 문서에서는 Azure Active Directory (Azure AD)에서 관리 되지 않는 디렉터리의 DNS 도메인 이름을 인수할 두 가지 방법을 설명합니다.This article describes two ways to take over a DNS domain name in an unmanaged directory in Azure Active Directory (Azure AD). 셀프 서비스 사용자가 Microsoft AD를 사용하는 클라우드 서비스에 등록할 때, 전자 메일 도메인에 기반하여 관리되지 않는 Microsoft Azure AD 디렉토리에 추가됩니다.When a self-service user signs up for a cloud service that uses Azure AD, they are added to an unmanaged Azure AD directory based on their email domain. 셀프 서비스 또는 서비스에 대 한 "바 이럴" 등록에 대 한 자세한 내용은 Azure Active Directory에 대 한 셀프 서비스 등록 이란? 을 참조 하세요.For more about self-service or "viral" sign-up for a service, see What is self-service sign-up for Azure Active Directory?

관리되지 않는 디렉터리를 인수하고자 하는 방법을 결정합니다.Decide how you want to take over an unmanaged directory

관리자 인수 과정 중에 Microsoft Azure AD에 사용자 지정 도메인 이름 추가에서 설명된 대로 소유권을 증명할 수 있습니다.During the process of admin takeover, you can prove ownership as described in Add a custom domain name to Azure AD. 다음 섹션에서 관리자 환경을 보다 자세히 설명하지만 요약 내용은 다음과 같습니다.The next sections explain the admin experience in more detail, but here's a summary:

  • 관리 되지 않는 Azure 디렉터리의 "내부" 관리자 인수 를 수행 하는 경우 관리 되지 않는 디렉터리의 전역 관리자로 추가 됩니다.When you perform an "internal" admin takeover of an unmanaged Azure directory, you are added as the global administrator of the unmanaged directory. 어떤 사용자, 도메인 또는 서비스 계획도 새 관리자가 관리하는 다른 디렉터리로 마이그레이션되지 않습니다.No users, domains, or service plans are migrated to any other directory you administer.

  • 관리 되지 않는 Azure 디렉터리의 "외부" 관리자 인수 를 수행 하는 경우 관리 되지 않는 디렉터리의 DNS 도메인 이름을 관리 되는 azure 디렉터리에 추가 합니다.When you perform an "external" admin takeover of an unmanaged Azure directory, you add the DNS domain name of the unmanaged directory to your managed Azure directory. 도메인 이름을 추가하면 사용자에서 리소스로 매핑이 관리되는 Azure 디렉터리에 생성되어 사용자가 중단 없이 서비스에 계속 액세스할 수 있습니다.When you add the domain name, a mapping of users to resources is created in your managed Azure directory so that users can continue to access services without interruption.

내부 관리자 인수Internal admin takeover

Microsoft 365와 같이 SharePoint 및 OneDrive를 포함 하는 일부 제품은 외부 인수을 지원 하지 않습니다.Some products that include SharePoint and OneDrive, such as Microsoft 365, do not support external takeover. 사용자의 시나리오 이거나 관리자 이며 셀프 서비스 등록을 사용 하는 사용자가 만든 관리 되지 않거나 "섀도" Azure AD 조직을 사용 하려는 경우에는 내부 관리자 인수을 사용 하 여이 작업을 수행할 수 있습니다.If that is your scenario, or if you are an admin and want to take over an unmanaged or "shadow" Azure AD organization create by users who used self-service sign-up, you can do this with an internal admin takeover.

  1. Power BI에 등록 하 여 관리 되지 않는 조직에서 사용자 컨텍스트를 만듭니다.Create a user context in the unmanaged organization through signing up for Power BI. 예제의 편의를 위해 이러한 단계는 해당 경로를 가정합니다.For convenience of example, these steps assume that path.

  2. Power BI 사이트를 열고 무료로 시작 을 선택합니다.Open the Power BI site and select Start Free. 조직에 대한 도메인 이름을 사용하는 사용자 계정을 입력합니다. 예: admin@fourthcoffee.xyz.Enter a user account that uses the domain name for the organization; for example, admin@fourthcoffee.xyz. 확인 코드를 입력한 후 인증 코드에 대한 전자 메일을 확인합니다.After you enter in the verification code, check your email for the confirmation code.

  3. Power BI에서 온 확인 전자 메일에서 예, 바로 저입니다 를 선택합니다.In the confirmation email from Power BI, select Yes, that's me.

  4. Power BI 사용자 계정을 사용 하 여 Microsoft 365 관리 센터 에 로그인 합니다.Sign in to the Microsoft 365 admin center with the Power BI user account. 관리 되지 않는 조직에서 이미 확인 된 도메인 이름의 관리자 가 되도록 지시 하는 메시지가 표시 됩니다.You receive a message that instructs you to Become the Admin of the domain name that was already verified in the unmanaged organization. 예, 관리자가 되고 싶습니다 를 선택합니다.select Yes, I want to be the admin.

    관리자 되기에 대한 첫 번째 스크린샷

  5. 도메인 이름 등록자에서 도메인 이름 fourthcoffee.xyz 을 소유하고 있음을 증명하기 위해 TXT 레코드를 추가합니다.Add the TXT record to prove that you own the domain name fourthcoffee.xyz at your domain name registrar. 이 예제에서는 GoDaddy.com입니다.In this example, it is GoDaddy.com.

    도메인 이름에 대한 TXT 레코드 추가

DNS TXT 레코드를 도메인 이름 등록 기관에서 확인 하는 경우 Azure AD 조직을 관리할 수 있습니다.When the DNS TXT records are verified at your domain name registrar, you can manage the Azure AD organization.

앞의 단계를 완료 하면 Microsoft 365에서 네 번째 커피 조직의 전역 관리자가 됩니다.When you complete the preceding steps, you are now the global administrator of the Fourth Coffee organization in Microsoft 365. 도메인 이름을 다른 Azure 서비스와 통합 하려면 Microsoft 365에서 제거 하 여 Azure의 다른 관리 되는 조직에 추가 합니다.To integrate the domain name with your other Azure services, you can remove it from Microsoft 365 and add it to a different managed organization in Azure.

Azure AD에서 관리 되는 조직에 도메인 이름 추가Adding the domain name to a managed organization in Azure AD

  1. Microsoft 365 관리 센터를 엽니다.Open the Microsoft 365 admin center.

  2. 사용자 탭을 선택 하 고 사용자 지정 도메인 이름을 사용 하지 않는 사용자 @ fourthcoffeexyz.onmicrosoft.com 같은 이름으로 새 사용자 계정을 만듭니다.Select Users tab, and create a new user account with a name like user@fourthcoffeexyz.onmicrosoft.com that does not use the custom domain name.

  3. 새 사용자 계정에 Azure AD 조직에 대 한 전역 관리자 권한이 있는지 확인 합니다.Ensure that the new user account has global admin privileges for the Azure AD organization.

  4. Microsoft 365 관리 센터에서 도메인 탭을 열고 도메인 이름을 선택한 다음 제거 를 선택 합니다.Open Domains tab in the Microsoft 365 admin center, select the domain name and select Remove.

    Microsoft 365에서 도메인 이름 제거

  5. 제거 된 도메인 이름을 참조 하는 Microsoft 365의 사용자 또는 그룹이 있는 경우 해당 이름을 onmicrosoft.com 도메인으로 변경 해야 합니다.If you have any users or groups in Microsoft 365 that reference the removed domain name, they must be renamed to the .onmicrosoft.com domain. 강제로 도메인 이름을 삭제 하면이 예제에서 사용자 @ fourthcoffeexyz.onmicrosoft.com 에 모든 사용자의 이름이 자동으로 바뀝니다.If you force delete the domain name, all users are automatically renamed, in this example to user@fourthcoffeexyz.onmicrosoft.com.

  6. Azure ad 조직에 대 한 전역 관리자 인 계정으로 AZURE ad 관리 센터 에 로그인 합니다.Sign in to the Azure AD admin center with an account that is the global admin for the Azure AD organization.

  7. 사용자 지정 도메인 이름 을 선택하고 도메인 이름을 추가합니다.Select Custom domain names, then add the domain name. 도메인 이름의 소유권을 확인하려면 DNS TXT 레코드를 입력해야 합니다.You'll have to enter the DNS TXT records to verify ownership of the domain name.

    Azure AD에 추가 된 것으로 확인 된 도메인

참고

Microsoft 365 조직에 할당 된 라이선스가 있는 Power BI 또는 Azure Rights Management 서비스의 사용자는 도메인 이름을 제거 하는 경우 해당 대시보드를 저장 해야 합니다.Any users of Power BI or Azure Rights Management service who have licenses assigned in the Microsoft 365 organization must save their dashboards if the domain name is removed. 사용자 @ fourthcoffee 대신 사용자 @ fourthcoffeexyz.onmicrosoft.com 같은 사용자 이름으로 로그인 해야 합니다.They must sign in with a user name like user@fourthcoffeexyz.onmicrosoft.com rather than user@fourthcoffee.xyz.

외부 관리자 인수External admin takeover

이미 Azure 서비스 또는 Microsoft 365를 사용 하 여 조직을 관리 하는 경우 다른 Azure AD 조직에서 이미 확인 된 경우 사용자 지정 도메인 이름을 추가할 수 없습니다.If you already manage an organization with Azure services or Microsoft 365, you cannot add a custom domain name if it is already verified in another Azure AD organization. 그러나 Azure AD의 관리 되는 조직에서는 외부 관리자 인수 관리 되지 않는 조직을 사용할 수 있습니다.However, from your managed organization in Azure AD you can take over an unmanaged organization as an external admin takeover. 일반적인 절차는 Microsoft Azure AD에 사용자 지정 도메인 추가 문서를 따릅니다.The general procedure follows the article Add a custom domain to Azure AD.

도메인 이름의 소유권을 확인 하는 경우 Azure AD는 관리 되지 않는 조직에서 도메인 이름을 제거 하 고 기존 조직으로 이동 합니다.When you verify ownership of the domain name, Azure AD removes the domain name from the unmanaged organization and moves it to your existing organization. 관리되지 않는 디렉터리의 외부 관리자 인수를 하려면 내부 관리자 인수와 동일한 DNS TXT 유효성 검사 프로세스를 필요로 합니다.External admin takeover of an unmanaged directory requires the same DNS TXT validation process as internal admin takeover. 차이점은 또한 다음을 도메인 이름과 함께 이동할 수 있습니다.The difference is that the following are also moved over with the domain name:

  • 사용자Users
  • 구독Subscriptions
  • 라이선스 할당License assignments

외부 관리자 인수에 대한 지원Support for external admin takeover

외부 관리자 인수는 다음과 같은 온라인 서비스에서 지원합니다.External admin takeover is supported by the following online services:

  • Azure Rights ManagementAzure Rights Management
  • Exchange OnlineExchange Online

지원되는 서비스 계획은 다음과 같습니다.The supported service plans include:

  • PowerApps FreePowerApps Free
  • PowerFlow FreePowerFlow Free
  • 개인용 RMSRMS for individuals
  • Microsoft StreamMicrosoft Stream
  • Dynamics 365 평가판Dynamics 365 free trial

SharePoint, OneDrive 또는 비즈니스용 Skype를 포함 하는 서비스 계획이 있는 서비스에 대해서는 외부 관리자 인수 지원 되지 않습니다. 예를 들어, Office 무료 구독을 사용 합니다.External admin takeover is not supported for any service that has service plans that include SharePoint, OneDrive, or Skype For Business; for example, through an Office free subscription.

필요에 따라 ForceTakeover 옵션 을 사용 하 여 관리 되지 않는 조직에서 도메인 이름을 제거 하 고 원하는 조직에서 도메인 이름을 확인할 수 있습니다.You can optionally use the ForceTakeover option for removing the domain name from the unmanaged organization and verifying it on the desired organization.

개인용 RMS에 대한 자세한 내용More information about RMS for individuals

개인용 RMS의 경우 관리 되지 않는 조직이 소유 하 고 있는 조직과 동일한 지역에 있는 경우 자동으로 생성 된 Azure Information Protection 조직 키기본 보호 템플릿이 도메인 이름으로 추가로 이동 됩니다.For RMS for individuals, when the unmanaged organization is in the same region as the organization that you own, the automatically created Azure Information Protection organization key and default protection templates are additionally moved over with the domain name.

관리 되지 않는 조직이 다른 지역에 있으면 키와 템플릿이 이동 하지 않습니다.The key and templates are not moved over when the unmanaged organization is in a different region. 예를 들어 관리 되지 않는 조직이 유럽에 있고 소유 하 고 있는 조직이 북아메리카 경우입니다.For example, if the unmanaged organization is in Europe and the organization that you own is in North America.

개인용 RMS는 보호된 콘텐츠를 열기 위한 Azure AD 인증을 지원하도록 디자인되었지만, 사용자의 콘텐츠 보호를 방지하지 못 합니다.Although RMS for individuals is designed to support Azure AD authentication to open protected content, it doesn't prevent users from also protecting content. 사용자가 개인용 RMS 구독을 사용 하 여 콘텐츠를 보호 하 고 키와 템플릿을 이동 하지 않은 경우 도메인 인수 후 해당 콘텐츠에 액세스할 수 없습니다.If users did protect content with the RMS for individuals subscription, and the key and templates were not moved over, that content is not accessible after the domain takeover.

ForceTakeover 옵션에 대한 Microsoft Azure AD PowerShell cmdletsAzure AD PowerShell cmdlets for the ForceTakeover option

PowerShell 예에서 사용되는 이러한 cmdlet을 참조할 수 있습니다.You can see these cmdlets used in PowerShell example.

Cmdletcmdlet 사용Usage
connect-msolservice 메시지가 표시 되 면 관리 되는 조직에 로그인 합니다.When prompted, sign in to your managed organization.
get-msoldomain 현재 조직과 연결 된 도메인 이름을 표시 합니다.Shows your domain names associated with the current organization.
new-msoldomain –name <domainname> 조직에 도메인 이름을 확인 되지 않음으로 추가 합니다 (DNS 확인이 아직 수행 되지 않음).Adds the domain name to organization as Unverified (no DNS verification has been performed yet).
get-msoldomain 이제 도메인 이름이 관리 되는 조직과 연결 된 도메인 이름 목록에 포함 되어 있지만 확인 되지 않음으로 표시 됩니다.The domain name is now included in the list of domain names associated with your managed organization, but is listed as Unverified.
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord 도메인에 대해 새 DNS TXT 레코드를 저장할 정보 제공 (MS = xxxxx).Provides the information to put into new DNS TXT record for the domain (MS=xxxxx). TXT 레코드가 전파되는 데 약간의 시간이 걸리므로 확인이 즉시 이뤄지지 않을 수도 있습니다. 따라서 -ForceTakeover 옵션을 고려하기 전에 몇 분 정도 기다리십시오.Verification might not happen immediately because it takes some time for the TXT record to propagate, so wait a few minutes before considering the -ForceTakeover option.
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • 여전히 도메인 이름이 확인되지 않는 경우 -ForceTakeover 옵션을 사용하여 진행할 수 있습니다.If your domain name is still not verified, you can proceed with the -ForceTakeover option. TXT 레코드가 만들어졌는지 확인하고 인수 프로세스를 시작합니다.It verifies that the TXT record was created and kicks off the takeover process.
  • ForceTakeover 옵션은 관리 되지 않는 조직에 인수를 차단 하는 Microsoft 365 서비스가 있는 경우와 같이 외부 관리자 인수을 적용 하는 경우에만 cmdlet에 추가 해야 합니다.The -ForceTakeover option should be added to the cmdlet only when forcing an external admin takeover, such as when the unmanaged organization has Microsoft 365 services blocking the takeover.
  • get-msoldomain 이제 도메인 목록은 도메인 이름을 확인됨 으로 표시합니다.The domain list now shows the domain name as Verified.

    참고

    관리 되지 않는 Azure AD 조직은 external 인수 force 옵션을 실행 한 후 10 일 후에 삭제 됩니다.The unmanaged Azure AD organization is deleted 10 days after you exercise the external takeover force option.

    PowerShell 예제PowerShell example

    1. 셀프 서비스 제공 사항에 응답하는 데 사용된 자격 증명을 사용하여 Azure AD에 연결합니다.Connect to Azure AD using the credentials that were used to respond to the self-service offering:

      Install-Module -Name MSOnline
      $msolcred = get-credential
      
      connect-msolservice -credential $msolcred
      
    2. 도메인 목록을 가져옵니다.Get a list of domains:

      Get-MsolDomain
      
    3. Get-MsolDomainVerificationDns cmdlet을 실행하여 챌린지를 만듭니다.Run the Get-MsolDomainVerificationDns cmdlet to create a challenge:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord
      

      다음은 그 예입니다. For example:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord
      
    4. 이 명령에서 반환되는 값(챌린지)을 복사합니다.Copy the value (the challenge) that is returned from this command. 다음은 그 예입니다. For example:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9
      
    5. 공용 DNS 네임스페이스에서 이전 단계에서 복사한 값이 포함된 DNS txt 레코드를 만듭니다.In your public DNS namespace, create a DNS txt record that contains the value that you copied in the previous step. 이 레코드의 이름은 부모 도메인의 이름이므로 Windows Server의 DNS 역할을 사용하여 이 리소스 레코드를 만드는 경우 레코드 이름은 비워두고 값을 텍스트 상자에 붙여넣기만 하세요.The name for this record is the name of the parent domain, so if you create this resource record by using the DNS role from Windows Server, leave the Record name blank and just paste the value into the Text box.

    6. Confirm-MsolDomain cmdlet을 실행하여 챌린지를 확인합니다.Run the Confirm-MsolDomain cmdlet to verify the challenge:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force
      

      다음은 그 예입니다. For example:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force
      

    챌린지가 성공하면 오류 없이 프롬프트로 돌아갑니다.A successful challenge returns you to the prompt without an error.

    다음 단계Next steps