Microsoft 365로 디렉터리 동기화 준비

  • 아티클
  • 읽는 데 9분 걸림

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

하이브리드 ID 모델을 선택하고 2단계 의 관리자 계정 및 이 솔루션의 3단계 에서 사용자 계정에 대한 보호를 구성한 경우 다음 작업은 디렉터리 동기화를 배포하는 것입니다. 조직에 대한 디렉터리 동기화의 이점은 다음과 같습니다.

  • 조직에서 관리 프로그램 줄이기
  • 필요에 따라 Single Sign-On 시나리오 사용
  • Microsoft 365 계정 변경 자동화

디렉터리 동기화 사용의 이점에 대한 자세한 내용은 Azure Active Directory(Azure AD)를 사용하는 하이브리드 ID를 참조하세요.

그러나 디렉터리 동기화에는 AD DS(Active Directory Domain Services)가 최소 오류로 Microsoft 365 구독의 Azure AD 테넌트와 동기화되도록 계획 및 준비가 필요합니다.

최상의 결과를 얻으려면 다음 단계를 수행합니다.

참고

비 ASCII 문자는 AD DS 사용자 계정의 특성에 대해 동기화되지 않습니다.

AD DS 준비

동기화를 사용하여 Microsoft 365 원활하게 전환하려면 Microsoft 365 디렉터리 동기화 배포를 시작하기 전에 AD DS 포리스트를 준비해야 합니다.

디렉터리 준비는 다음 작업에 집중해야 합니다.

  • 중복 proxyAddressuserPrincipalName 특성을 제거합니다.

  • 유효한 userPrincipalName 특성을 사용하여 비어 있고 잘못된 userPrincipalName 특성을 업데이트합니다.

  • givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNicknameuserPrincipalName 특성에서 유효하지 않은 의심스러운 문자를 제거합니다. 특성 준비에 대한 자세한 내용은 Azure Active Directory 동기화 도구에서 동기화되는 특성 목록을 참조하세요.

    참고

    이러한 특성은 Azure AD 커넥트 동기화하는 것과 동일한 특성입니다.

다중 포리스트 배포 고려 사항

여러 포리스트 및 SSO 옵션의 경우 Azure AD 커넥트 사용자 지정 설치를 사용합니다.

조직에 인증을 위한 여러 포리스트(로그온 포리스트)가 있는 경우 다음을 사용하는 것이 좋습니다.

  • 포리스트를 통합하는 것이 좋습니다. 일반적으로 여러 포리스트를 유지 관리하는 데 더 많은 오버헤드가 필요합니다. 조직에 별도의 포리스트의 필요성을 지시하는 보안 제약 조건이 없는 한 온-프레미스 환경을 간소화하는 것이 좋습니다.
  • 기본 로그온 포리스트에서만 사용합니다. Microsoft 365 초기 롤아웃을 위해 기본 로그온 포리스트에만 Microsoft 365 배포하는 것이 좋습니다.

다중 포리스트 AD DS 배포를 통합할 수 없거나 다른 디렉터리 서비스를 사용하여 ID를 관리하는 경우 Microsoft 또는 파트너의 도움을 받아 동기화할 수 있습니다.

자세한 내용은 Azure AD 커넥트 대한 토폴로지(Topologies)를 참조하세요.

디렉터리 동기화에 종속된 기능

디렉터리 동기화는 다음 기능과 기능에 필요합니다.

  • Azure AD Seamless SSO(Single Sign-On)
  • Skype 공존
  • 다음을 포함하여 하이브리드 배포를 Exchange.
    • 온-프레미스 Exchange 환경과 Microsoft 365 간에 완전히 공유된 GAL(전역 주소 목록)입니다.
    • 다른 메일 시스템에서 GAL 정보를 동기화합니다.
    • Microsoft 365 서비스 제품에 사용자를 추가하고 사용자를 제거하는 기능입니다. 이렇게 하려면 다음이 필요합니다.
    • 디렉터리 동기화를 설정하는 동안 양방향 동기화를 구성해야 합니다. 기본적으로 디렉터리 동기화 도구는 클라우드에만 디렉터리 정보를 씁니다. 양방향 동기화를 구성하는 경우 제한된 수의 개체 특성이 클라우드에서 복사된 다음 로컬 AD DS에 다시 기록되도록 쓰기 저장 기능을 사용하도록 설정합니다. 쓰기 저장을 Exchange 하이브리드 모드라고도 합니다.
    • 온-프레미스 Exchange 하이브리드 배포
    • 다른 사용자 사서함을 온-프레미스에 유지하면서 일부 사용자 사서함을 Microsoft 365 이동하는 기능입니다.
    • 온-프레미스에서 보낸 사람 및 차단된 보낸 사람이 금고 Microsoft 365 복제됩니다.
    • 기본 위임 및 전자 메일 보내기 기능
    • 통합된 온-프레미스 스마트 카드 또는 다단계 인증 솔루션이 있습니다.
  • 사진, 축소판 그림, 회의실 및 보안 그룹 동기화

1. 디렉터리 정리 작업

AD DS를 Azure AD 테넌트에 동기화하기 전에 AD DS를 정리해야 합니다.

중요

동기화하기 전에 AD DS 정리를 수행하지 않으면 배포 프로세스에 상당한 부정적인 영향을 미칠 수 있습니다. 디렉터리 동기화, 오류 식별 및 다시 동기화 주기를 진행하는 데 며칠 또는 몇 주가 걸릴 수 있습니다.

AD DS에서 Microsoft 365 라이선스가 할당될 각 사용자 계정에 대해 다음 정리 작업을 완료합니다.

  1. proxyAddresses 특성에서 유효하고 고유한 이메일 주소를 확인합니다.

  2. proxyAddresses 특성에서 중복 값을 제거합니다.

  3. 가능하면 사용자 개체의 userPrincipalName 특성에 대해 유효하고 고유한 값을 확인합니다. 최상의 동기화 환경을 위해 AD DS UPN이 Azure AD UPN과 일치하는지 확인합니다. 사용자에게 userPrincipalName 특성에 대한 값이 없는 경우 사용자 개체는 sAMAccountName 특성에 대한 유효하고 고유한 값을 포함해야 합니다. userPrincipalName 특성에서 중복 값을 제거합니다.

  4. GAL(전역 주소 목록)을 최적으로 사용하려면 AD DS 사용자 계정의 다음 특성에 있는 정보가 올바른지 확인합니다.

    • givenName
    • displayName
    • 직함
    • 부서
    • 사무실
    • 사무실 전화
    • 휴대폰 번호
    • 팩스 번호
    • 주소
    • 구/군/시
    • 시/도
    • 우편 번호
    • 국가

2. 디렉터리 개체 및 특성 준비

AD DS와 Microsoft 365 간의 성공적인 디렉터리 동기화를 위해서는 AD DS 특성이 제대로 준비되어야 합니다. 예를 들어 특정 문자가 Microsoft 365 환경과 동기화되는 특정 특성에서 사용되지 않도록 해야 합니다. 예기치 않은 문자로 인해 디렉터리 동기화가 실패하지는 않지만 경고를 반환할 수 있습니다. 잘못된 문자로 인해 디렉터리 동기화가 실패합니다.

일부 AD DS 사용자에게 하나 이상의 중복 특성이 있는 경우에도 디렉터리 동기화가 실패합니다. 각 사용자에게는 고유한 특성이 있어야 합니다.

준비해야 하는 특성은 다음과 같습니다.

  • displayName

    • 사용자 개체에 특성이 있으면 Microsoft 365 동기화됩니다.
    • 이 특성이 사용자 개체에 있는 경우 해당 값이 있어야 합니다. 즉, 특성이 비어 있으면 안 됩니다.
    • 최대 문자 수: 256

  • givenName

    • 특성이 사용자 개체에 있는 경우 Microsoft 365 동기화되지만 Microsoft 365 필요하거나 사용하지 않습니다.
    • 최대 문자 수: 64

  • 메일

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

      참고

      중복 값이 있는 경우 값이 있는 첫 번째 사용자가 동기화됩니다. 후속 사용자는 Microsoft 365 표시되지 않습니다. 두 사용자가 Microsoft 365 표시하려면 Microsoft 365 값을 수정하거나 AD DS의 두 값을 모두 수정해야 합니다.

  • mailNickname(Exchange 별칭)

    • 특성 값은 마침표(.)로 시작할 수 없습니다.

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

      참고

      동기화된 이름의 밑줄("_")은 이 특성의 원래 값에 잘못된 문자가 포함되어 있음을 나타냅니다. 이 특성에 대한 자세한 내용은 Exchange 별칭 특성을 참조하세요.

  • proxyAddresses

    • 다중 값 특성

    • 값당 최대 문자 수: 256

    • 특성 값에 공백이 없어야 합니다.

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

    • 잘못된 문자: < > ( ) ; , [ ] "

    • 움라우트, 악센트 및 타일과 같은 음색이 있는 문자는 잘못된 문자입니다.

      잘못된 문자는 형식 구분 기호 및 ":"뒤에 있는 문자에 적용되므로 SMTP:User@contso.com 허용되지만 SMTP:user:M@contoso.com 적용되지 않습니다.

      중요

      모든 SMTP(단순 메일 전송 프로토콜) 주소는 전자 메일 메시징 표준을 준수해야 합니다. 중복되거나 원치 않는 주소가 있는 경우 제거합니다.

  • sAMAccountName

    • 최대 문자 수: 20
    • 특성 값은 디렉터리 내에서 고유해야 합니다.
    • 잘못된 문자: [ \ " | , / : < > + = ; ? * ']
    • 사용자에게 잘못된 sAMAccountName 특성이 있지만 유효한 userPrincipalName 특성이 있는 경우 사용자 계정은 Microsoft 365 만들어집니다.
    • sAMAccountNameuserPrincipalName 이 모두 유효하지 않으면 AD DS userPrincipalName 특성을 업데이트해야 합니다.

  • sn (성)

    • 특성이 사용자 개체에 있는 경우 Microsoft 365 동기화되지만 Microsoft 365 필요하거나 사용하지 않습니다.

  • Targetaddress

    사용자에 대해 채워진 targetAddress 특성(예: SMTP:tom@contoso.com)이 Microsoft 365 GAL에 표시되어야 합니다. 타사 메시징 마이그레이션 시나리오에서는 AD DS에 대한 Microsoft 365 스키마 확장이 필요합니다. Microsoft 365 스키마 확장은 AD DS의 디렉터리 동기화 도구를 사용하여 채워지는 Microsoft 365 개체를 관리하는 다른 유용한 특성도 추가합니다. 예를 들어 숨겨진 사서함 또는 메일 그룹을 관리하는 msExchHideFromAddressLists 특성이 추가됩니다.

    • 최대 문자 수: 256
    • 특성 값에 공백이 없어야 합니다.
    • 특성 값은 디렉터리 내에서 고유해야 합니다.
    • 잘못된 문자: \ < > ( ) ; , [ ] "
    • 모든 SMTP(단순 메일 전송 프로토콜) 주소는 전자 메일 메시징 표준을 준수해야 합니다.

  • userPrincipalName

    • userPrincipalName 특성은 인터넷 스타일 로그인 형식이어야 합니다. 여기서 사용자 이름 뒤에는 at sign(@) 및 도메인 이름(예: user@contoso.com)이 뒤에 와야 합니다. 모든 SMTP(단순 메일 전송 프로토콜) 주소는 전자 메일 메시징 표준을 준수해야 합니다.
    • userPrincipalName 특성의 최대 문자 수는 113자입니다. 다음과 같이 특정 수의 문자가 at 기호(@) 앞과 뒤에 허용됩니다.
    • at sign(@) 앞에 있는 사용자 이름에 대한 최대 문자 수: 64
    • at 기호(@) 다음에 있는 도메인 이름의 최대 문자 수: 48
    • 잘못된 문자: \ % & * + / = ? { } | < > ( ) ; : , [ ] "
    • 허용되는 문자: A - Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • 움라우트, 악센트 및 타일과 같은 음색이 있는 문자는 잘못된 문자입니다.
    • @ 문자는 각 userPrincipalName 값에 필요합니다.
    • @ 문자는 각 userPrincipalName 값의 첫 번째 문자일 수 없습니다.
    • 사용자 이름은 마침표(.), 앰퍼샌드(&), 공백 또는 at 기호(@)로 끝날 수 없습니다.
    • 사용자 이름에는 공백이 포함될 수 없습니다.
    • 라우팅 가능한 도메인을 사용해야 합니다. 예를 들어 로컬 또는 내부 도메인을 사용할 수 없습니다.
    • 유니코드는 밑줄 문자로 변환됩니다.
    • userPrincipalName 은 디렉터리에 중복 값을 포함할 수 없습니다.

3. userPrincipalName 특성 준비

Active Directory는 조직의 최종 사용자가 sAMAccountName 또는 userPrincipalName 을 사용하여 디렉터리에 로그인할 수 있도록 설계되었습니다. 마찬가지로 최종 사용자는 회사 또는 학교 계정의 UPN(사용자 계정 이름)을 사용하여 Microsoft 365 로그인할 수 있습니다. 디렉터리 동기화는 AD DS에 있는 동일한 UPN을 사용하여 Azure Active Directory 새 사용자를 만들려고 시도합니다. UPN은 전자 메일 주소처럼 서식이 지정됩니다.

Microsoft 365 UPN은 이메일 주소를 생성하는 데 사용되는 기본 특성입니다. userPrincipalName(AD DS 및 Azure AD)과 proxyAddresses 의 기본 이메일 주소를 다른 값으로 쉽게 가져올 수 있습니다. 서로 다른 값으로 설정된 경우 관리자와 최종 사용자에게 혼동이 있을 수 있습니다.

혼동을 줄이기 위해 이러한 특성을 맞추는 것이 가장 좋습니다. AD FS(Active Directory Federation Services) 2.0에서 Single Sign-On의 요구 사항을 충족하려면 Azure Active Directory UPN과 AD DS가 일치하고 유효한 도메인 네임스페이스를 사용하고 있는지 확인해야 합니다.

4. AD DS에 대체 UPN 접미사 추가

사용자의 회사 자격 증명을 Microsoft 365 환경에 연결하기 위해 대체 UPN 접미사를 추가해야 할 수 있습니다. UPN 접미사는 UPN에서 @ 문자 오른쪽에 있는 부분입니다. Single Sign-On에 사용되는 UPN에는 문자, 숫자, 마침표, 대시 및 밑줄을 포함할 수 있으며 다른 유형의 문자는 포함할 수 없습니다.

Active Directory에 대체 UPN 접미사를 추가하는 방법에 대한 자세한 내용은 디렉터리 동기화 준비를 참조하세요.

5. AD DS UPN을 Microsoft 365 UPN과 일치

디렉터리 동기화를 이미 설정한 경우 Microsoft 365 대한 사용자의 UPN이 AD DS에 정의된 사용자의 AD DS UPN과 일치하지 않을 수 있습니다. 도메인이 확인되기 전에 사용자에게 라이선스가 할당된 경우 이와 같은 문제가 발생할 수 있습니다. 이 문제를 해결하려면 PowerShell을 사용하여 중복 UPN을 수정하여 사용자의 UPN을 업데이트하여 Microsoft 365 UPN이 회사 사용자 이름 및 도메인과 일치하는지 확인합니다. AD DS에서 UPN을 업데이트하고 Azure Active Directory ID와 동기화하려는 경우 AD DS를 변경하기 전에 Microsoft 365 사용자 라이선스를 제거해야 합니다.

또한 디렉터리 동기화를 위해 라우팅할 수 없는 도메인(예: .local 도메인)을 준비하는 방법도 참조하세요.

다음 단계

위의 1~5를 완료한 후 디렉터리 동기화 설정을 참조하세요.