이 문서에서는 권한 관리에서 그룹 쓰기 저장을 설정하는 방법을 보여줍니다. 그룹 쓰기 저장은 Microsoft Entra Cloud Sync를 사용하여 클라우드 그룹을 온-프레미스 Active Directory 인스턴스에 다시 쓸 수 있는 기능입니다.
권한 관리에서 그룹 쓰기 되돌리기 설정
액세스 패키지에서 Microsoft 365 그룹에 대한 그룹 쓰기 저장을 설정하려면 다음 필수 조건을 완료해야 합니다.
- Microsoft Entra 관리 센터에서 그룹 되쓰기를 설정합니다.
- Microsoft Entra Cloud Sync Configuration에서 그룹 다시 쓰기를 설정하는 데 사용되는 OU(조직 구성 단위)입니다.
- Microsoft Entra Cloud Sync에 대한 그룹 쓰기 되돌리기 활성화 단계을 완료합니다.
이제 그룹 쓰기 저장을 사용하여 액세스 패키지의 일부인 보안 그룹을 온-프레미스 Active Directory에 동기화할 수 있습니다. 그룹을 동기화하려면 다음 단계를 수행합니다.
Microsoft Entra 보안 그룹을 만듭니다.
그룹을 온-프레미스 Active Directory에 다시 쓰도록 설정합니다. Microsoft Entra 관리 센터 내의그룹 되쓰기에 대한 지침은 참조하세요.
액세스 패키지에 그룹을 리소스 역할로 추가합니다. 지침은 새 액세스 패키지 만들기를 참조하세요.
Active Directory 사용자 및 컴퓨터를 시작하고 결과 새 AD 그룹이 AD 도메인에 생성될 때까지 기다립니다. 있는 경우 새 AD 그룹의 고유 이름, 도메인, 계정 이름 및 SID를 기록합니다.
새 그룹을 사용하도록 애플리케이션을 구성하려면, 먼저 애플리케이션을 업데이트하거나 기존 그룹에 새 그룹을 구성원으로 추가하십시오. 이는 'Microsoft Entra ID 거버넌스를 사용하여 온-프레미스 Active Directory 기반 앱(Kerberos)을 관리하는 방법'에 설명된 대로 수행할 수 있습니다.
액세스 패키지에 사용자를 할당합니다. 사용자를 직접 할당하는 지침은 액세스 패키지 대한 할당 보기, 추가 및 제거를 참조하세요.
액세스 패키지에 사용자를 할당한 후 Microsoft Entra 클라우드 동기화 주기가 완료되면 사용자가 온-프레미스 그룹의 구성원인지 확인합니다.
- 온-프레미스 OU OR에서 그룹의 멤버 속성 보기
- 사용자 개체의 멤버 Of을 검토합니다.
메모
Microsoft Entra Cloud Sync의 기본 동기화 주기 일정은 30분마다입니다. 다음 주기가 발생할 때까지 기다려야 온-프레미스에서 결과를 보거나 동기화 주기를 수동으로 실행하여 결과를 더 빨리 확인하도록 선택할 수 있습니다.
AD 도메인 모니터링에서 프로비전 에이전트를 실행하는 gMSA 계정만 새 AD 그룹의 멤버 자격을 변경할 수 있는 권한을 갖도록 허용합니다.
다음 단계
- 권한 관리 리소스 카탈로그 만들기 및 관리
- 권한 관리에서 액세스 패키지 관리자에게 거버넌스를 위임