Microsoft Entra 클라우드 동기화를 위한 필수 구성 요소

2025-08-20

이 문서에서는 Microsoft Entra Cloud Sync를 ID 솔루션으로 사용하는 방법에 대한 지침을 제공합니다.

Cloud Provisioning Agent 요구 사항

Microsoft Entra Cloud Sync를 사용하려면 다음이 필요합니다.

에이전트 서비스를 실행하기 위해 Microsoft Entra Connect 클라우드 동기화 gMSA(그룹 관리 서비스 계정)를 생성하기 위한 도메인 관리자 또는 엔터프라이즈 관리자 자격 증명.
게스트 사용자가 아닌 Microsoft Entra 테넌트에 대한 하이브리드 ID 관리자 계정입니다.
Windows 2016 이상을 사용하는 프로비저닝 에이전트에 대한 온-프레미스 서버입니다. 이 서버는 Active Directory 관리 계층 모델을 기반으로 하는 계층 0 서버여야 합니다. 도메인 컨트롤러에 에이전트 설치가 지원됩니다. 자세한 내용은 Microsoft Entra 프로비저닝 에이전트 서버 강화를 참조하세요.
- msDS-ExternalDirectoryObjectId - AD 스키마 속성에 필요합니다.
Windows 자격 증명 관리자 서비스(VaultSvc)는 프로비저닝 에이전트 설치를 방지하므로 사용하지 않도록 설정할 수 없습니다.
고가용성은 Microsoft Entra 클라우드 동기화가 오랫동안 실패하지 않고 지속적으로 작동하는 기능을 의미합니다. 여러 활성 에이전트를 설치하고 실행하면 하나의 에이전트가 실패하더라도 Microsoft Entra Cloud Sync가 계속 작동할 수 있습니다. Microsoft는 고가용성을 위해 3개의 활성 에이전트를 설치하는 것이 좋습니다.
온-프레미스 방화벽 구성.

Microsoft Entra 프로비저닝 에이전트 서버 강화

Microsoft Entra 프로비저닝 에이전트 서버를 강화하여 IT 환경의 이 중요한 구성 요소에 대한 보안 공격 노출 영역을 줄이는 것이 좋습니다. 이러한 권장 사항을 따르면 조직에 대한 몇 가지 보안 위험을 완화하는 데 도움이 됩니다.

Microsoft Entra 프로비전 에이전트 서버를 제어 평면(이전의 계층 0) 자산으로 강화하는 것이 좋습니다. 보안 권한 있는 액세스 및 Active Directory 관리 계층 모델에 제공된 지침을 따르십시오.
Microsoft Entra 프로비저닝 에이전트 서버에 대한 관리 액세스를 도메인 관리자 또는 기타 엄격하게 제어된 보안 그룹으로만 제한합니다.
권한 있는 액세스가 있는 모든 직원에 대한 전용 계정을 만듭니다. 관리자는 높은 권한이 있는 계정을 사용하여 웹을 탐색하거나, 메일을 확인하거나, 일상적인 생산성 작업을 수행하면 안 됩니다.
권한 있는 액세스 보안에 제공된 지침을 따릅니다.
Microsoft Entra 프로비저닝 에이전트 서버에서 NTLM 인증 사용을 거부합니다. 이 작업을 수행하는 몇 가지 방법은 Microsoft Entra 프로비저닝 에이전트 서버에서 NTLM 제한 및 도메인에서 NTLM 제한
모든 머신에 고유한 로컬 관리자 암호가 있는지 확인합니다. 자세한 내용은 Windows LAPS(로컬 관리자 암호 솔루션)을 참조하세요. 이 기능을 사용하여 각 워크스테이션과 서버에서 고유한 임의의 암호를 구성함으로써 ACL로 보호되는 Active Directory에 저장할 수 있습니다. 권한 있는 적격 사용자만이 이러한 로컬 관리자 계정 암호를 읽거나 재설정을 요청할 수 있습니다. Windows LAPS 및 PAW(Privileged Access Workstation)를 사용하여 환경을 운영하는 방법에 대한 추가 지침은 클린 원본 원칙을 기반으로 하는 운영 표준에서 찾을 수 있습니다.
조직의 정보 시스템에 대해 권한 있는 액세스가 있는 모든 직원에 대해 전용 권한 있는 액세스 워크스테이션을 구현합니다.
이러한 추가 지침에 따라 Active Directory 환경의 공격 표면을 줄입니다.
페더레이션 구성 변경 내용 모니터링에 따라 Idp와 Microsoft Entra ID 간에 설정된 신뢰 변경 내용을 모니터링하도록 경고를 설정합니다.
Microsoft Entra ID 또는 AD에서 권한 있는 액세스 권한이 있는 모든 사용자에 대해 다중 인증(MFA)을 활성화하세요. Microsoft Entra 프로비저닝 에이전트를 사용하는 한 가지 보안 문제는 공격자가 Microsoft Entra 프로비저닝 에이전트 서버를 제어할 수 있는 경우 Microsoft Entra ID의 사용자를 조작할 수 있다는 것입니다. 공격자가 이러한 기능을 사용하여 Microsoft Entra 계정을 인수하는 것을 방지하기 위해 MFA는 보호를 제공합니다. 예를 들어 공격자가 Microsoft Entra 프로비저닝 에이전트를 사용하여 사용자의 암호를 재설정하더라도 여전히 두 번째 요소를 우회할 수 없습니다.

그룹 관리 서비스 계정

그룹 관리 서비스 계정은 자동 암호 관리 및 간소화된 SPN(서비스 사용자 이름) 관리를 제공하는 관리되는 도메인 계정입니다. 또한 다른 관리자에게 관리를 위임할 수 있는 기능을 제공하고 이 기능을 여러 서버로 확장합니다. Microsoft Entra 클라우드 동기화는 에이전트 실행을 위해 gMSA를 지원하고 사용합니다. 이 계정을 만들기 위해 설정하는 동안 관리 자격 증명을 입력하라는 메시지가 표시됩니다. 계정은 로 ___domain\provAgentgMSA$표시됩니다. gMSA에 대한 자세한 내용은 그룹 관리 서비스 계정을 참조하세요.

gMSA에 대한 필수 구성 요소

gMSA 도메인 포리스트의 Active Directory 스키마를 Windows Server 2012 이상으로 업데이트해야 합니다.
도메인 컨트롤러의 PowerShell RSAT 모듈입니다.
도메인에 있는 하나 이상의 도메인 컨트롤러가 Windows Server 2012 이상을 실행 중이어야 합니다.
에이전트가 설치되는 도메인 조인 서버가 Windows Server 2016 이상이어야 합니다.

사용자 지정 gMSA 계정

사용자 지정 gMSA 계정을 만드는 경우 계정에 다음 권한이 있는지 확인해야 합니다.

유형	이름	액세스	적용 대상
허용하다	gMSA 계정	모든 속성 읽기	하위 디바이스 개체
허용하다	gMSA 계정	모든 속성 읽기	하위 InetOrgPerson 개체
허용하다	gMSA 계정	모든 속성 읽기	하위 컴퓨터 객체
허용하다	gMSA 계정	모든 속성 읽기	하위 foreignSecurityPrincipal 개체
허용하다	gMSA 계정	모든 권한	하위 그룹 개체
허용하다	gMSA 계정	모든 속성 읽기	하위 사용자 개체
허용하다	gMSA 계정	모든 속성 읽기	하위 연락처 개체
허용하다	gMSA 계정	사용자 개체 생성/삭제	이 개체 및 모든 하위 개체

gMSA 계정을 사용하도록 기존 에이전트를 업그레이드하는 방법에 대한 단계는 그룹 관리 서비스 계정을 참조하세요.

그룹 관리 서비스 계정에 대해 Active Directory를 준비하는 방법에 대한 자세한 내용은 그룹 관리 서비스 계정 개요 및 클라우드 동기화를 사용하는 그룹 관리 서비스 계정을 참조하세요.

Microsoft Entra 관리 센터에서

Microsoft Entra 테넌트에 클라우드 전용 하이브리드 ID 관리자 계정을 만듭니다. 이렇게 하면 온-프레미스 서비스가 실패하거나 사용할 수 없는 경우 테넌트 구성을 관리할 수 있습니다. 클라우드 전용 하이브리드 ID 관리자 계정을 추가하는 방법에 대해 알아보십시오. 이 단계를 완료하는 것은 테넌트가 잠기지 않도록 하는 데 중요합니다.
Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가합니다. 사용자는 이러한 도메인 이름 중 하나로 로그인할 수 있습니다.

Active Directory의 디렉터리에서

IdFix 도구를 실행하여 동기화를 위한 디렉터리 특성을 준비합니다.

귀하의 온-프레미스 환경에서

최소 4GB RAM 및 .NET 4.7.1 이상 런타임을 사용하여 Windows Server 2016 이상을 실행하는 도메인 가입 호스트 서버를 식별합니다.
로컬 서버의 PowerShell 실행 정책은 정의되지 않음 또는 RemoteSigned로 설정해야 합니다.
서버와 Microsoft Entra ID 사이에 방화벽이 있는 경우 방화벽 및 프록시 요구 사항을 참조하세요.

비고

Windows Server Core에 클라우드 프로비저닝 에이전트를 설치하는 것은 지원되지 않습니다.

Active Directory Domain Services에 Microsoft Entra ID 프로비전 - 필수 구성 요소

AD DS(Active Directory Domain Services)에 프로비저닝 그룹을 구현하려면 다음 필수 구성 요소가 필요합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 맞는 적절한 라이선스를 찾으려면 Microsoft Entra ID의 일반적으로 제공되는 기능을 비교한 을 참조하세요.

일반 요구 사항

최소한 하이브리드 ID 관리자 역할이 있는 Microsoft Entra 계정.
Windows Server 2016 운영 체제 이상이 있는 온-프레미스 AD DS 환경.
- AD DS 스키마 특성에 필요 - msDS-ExternalDirectoryObjectId
빌드 버전 1.1.3730.0 이상을 사용하여 에이전트를 프로비전합니다.

비고

서비스 계정에 대한 권한은 새로 설치하는 동안에만 할당됩니다. 이전 버전에서 업그레이드하는 경우 PowerShell을 사용하여 권한을 수동으로 할당해야 합니다.

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of ___domain" -EACredential $credential

사용 권한이 수동으로 설정된 경우 모든 하위 그룹 및 사용자 개체에 대한 모든 속성을 읽기, 쓰기, 만들기 및 삭제에 할당해야 합니다.

이러한 권한은 기본적으로 AdminSDHolder 개체에 적용되지 않습니다. 자세한 내용은 Microsoft Entra 프로비저닝 에이전트 gMSA PowerShell cmdlet을 참조하세요.

프로비전 에이전트는 포트 TCP/389(LDAP) 및 TCP/3268(글로벌 카탈로그)에서 하나 이상의 도메인 컨트롤러와 통신할 수 있어야 합니다.
- 잘못된 멤버 자격 참조를 필터링하려면 글로벌 카탈로그 조회에 필요
빌드 버전 2.22.8.0과 Microsoft Entra Connect 동기화
- Microsoft Entra Connect 동기화를 사용하여 동기화된 온-프레미스 사용자 멤버십을 지원하는 데 필요
- AD DS:user:objectGUID를 AAD DS:user:onPremisesObjectIdentifier에 동기화하는 데 필요합니다

지원되는 그룹 및 크기 조정 제한

다음과 같이 지원됩니다.

클라우드 네이티브 또는 SOA 변환(AD DS에서 Microsoft Entra ID로) 보안 그룹 만 지원됩니다.
이러한 그룹은 할당되거나 동적 멤버 자격 그룹을 가질 수 있습니다.
이러한 그룹에는 온-프레미스 동기화된 사용자 또는 추가 클라우드에서 만든 보안 그룹만 포함될 수 있습니다.
동기화되고 이 클라우드에서 만든 보안 그룹의 구성원인 온-프레미스 사용자 계정은 동일한 도메인 또는 교차 도메인에서일 수 있지만 모두 동일한 포리스트에 있어야 합니다.
이러한 그룹은 유니버설의 그룹 범위로 다시 작성됩니다. 온-프레미스 환경은 유니버설 그룹 범위를 지원해야 합니다.
멤버가 50,000명보다 많은 그룹은 지원되지 않습니다.
150,000개 이상의 개체를 가진 테넌트는 지원되지 않습니다. 즉, 150,000개 개체를 초과하는 사용자와 그룹의 조합이 있는 테넌트에 경우 이 테넌트는 지원되지 않습니다.
각 직계 자식 중첩 그룹은 참조 그룹의 한 멤버로 계산됩니다.
그룹이 AD DS에서 수동으로 업데이트되는 경우 Microsoft Entra ID와 AD DS 간의 그룹 조정은 지원되지 않습니다.

추가 정보

AD DS에 그룹을 프로비전할 때 고려해야 할 추가 사항은 다음과 같습니다.

클라우드 동기화를 사용하여 AD DS에 프로비전된 그룹은 온-프레미스 동기화된 사용자 또는 다른 클라우드에서 만든 보안 그룹만 포함할 수 있습니다.
이러한 사용자는 자신의 계정에 설정된 onPremisesObjectIdentifier 특성이 있어야 합니다.
onPremisesObjectIdentifier는 대상 AD DS 환경에서 해당 objectGUID와 일치해야 합니다.
온-프레미스 사용자 objectGUID 특성은 동기화 클라이언트를 사용하여 클라우드 사용자 onPremisesObjectIdentifier 특성에 동기화할 수 있습니다.
전역 Microsoft Entra ID 테넌트만 Microsoft Entra ID에서 AD DS로 프로비전할 수 있습니다. B2C와 같은 테넌트는 지원되지 않습니다.
그룹 프로비전 작업은 20분마다 실행되도록 예약되어 있습니다.

더 많은 요구 사항

최소 Microsoft .NET Framework 4.7.1

TLS 요구 사항

비고

TLS(전송 계층 보안)는 보안 통신을 제공하는 프로토콜입니다. TLS 설정을 변경하면 전체 포리스트에 영향을 줍니다. 자세한 내용은 Windows의 WinHTTP에서 기본 보안 프로토콜로 TLS 1.1 및 TLS 1.2를 사용하도록 업데이트를 참조하세요.

Microsoft Entra Connect 클라우드 프로비저닝 에이전트를 호스트하는 Windows 서버는 설치하기 전에 TLS 1.2를 사용하도록 설정해야 합니다.

TLS 1.2를 사용하도록 설정하려면 다음 단계를 수행합니다.

콘텐츠를 .reg 파일에 복사하여 다음 레지스트리 키를 설정한 다음 파일을 실행합니다(마우스 오른쪽 버튼을 선택하고 병합 선택).

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

서버를 다시 시작합니다.

방화벽 및 프록시 요구 사항

서버와 Microsoft Entra ID 사이에 방화벽이 있는 경우 다음 항목을 구성합니다.

에이전트가 다음 포트를 통해 Microsoft Entra ID에 대한 아웃바운드 요청을 할 수 있는지 확인합니다.

포트 번호	설명
80	TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록)을 다운로드합니다.
443	서비스와의 모든 아웃바운드 통신을 처리합니다.
8080(선택 사항)	443 포트를 사용할 수 없는 경우 에이전트는 8080 포트를 통해 10분마다 해당 상태를 보고합니다. 이 상태는 Microsoft Entra 관리 센터에 표시됩니다.

방화벽이 원래 사용자를 기준으로 규칙을 적용하는 경우, 네트워크 서비스로 실행되는 Windows 서비스의 트래픽을 위해 이러한 포트를 여십시오.
프록시가 HTTP 1.1 프로토콜 이상을 지원하고 청크 인코딩이 활성화되어 있는지 확인합니다.
방화벽 또는 프록시에서 safe 접미사를 지정할 수 있는 경우 연결을 추가합니다.

퍼블릭 클라우드
미국 정부 클라우드

URL	설명
`.msappproxy.net` `.servicebus.windows.net`	에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다.
`.microsoftonline.com` `.microsoft.com` `.msappproxy.com` `.windowsazure.com`	에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다.
`mscrl.microsoft.com:80` `crl.microsoft.com:80` `ocsp.msocsp.com:80` `www.microsoft.com:80`	에이전트는 이러한 URL을 사용하여 인증서를 확인합니다.
`login.windows.net`	에이전트는 등록 프로세스 중에 이러한 URL을 사용합니다.

URL	설명
`.msappproxy.us` `.servicebus.usgovcloudapi.net`	에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다.
`mscrl.microsoft.us:80` `crl.microsoft.us:80` `ocsp.msocsp.us:80` `www.microsoft.us:80`	에이전트는 이러한 URL을 사용하여 인증서를 확인합니다.
`login.windows.us` `secure.aadcdn.microsoftonline-p.com` `.microsoftonline.us` `.microsoftonline-p.us` `.msauth.net` `.msauthimages.net` `.msecnd.net` `.msftauth.net` `.msftauthimages.net` `.phonefactor.net` `enterpriseregistration.windows.net` `management.azure.com` `policykeyservice.dc.ad.msft.net` `ctldl.windowsupdate.us:80` `aadcdn.msftauthimages.us` `*.microsoft.us` `msauthimages.us` `msftauthimages.us`	에이전트는 등록 프로세스 중에 이러한 URL을 사용합니다.

연결을 추가할 수 없는 경우 매주 업데이트되는 Azure 데이터 센터 IP 범위에 대한 액세스를 허용합니다.

NTLM 요구 사항

Microsoft Entra 프로비저닝 에이전트를 실행하는 Windows 서버에서 NTLM을 활성화해서는 안 되며, 활성화되어 있는 경우 비활성화해야 합니다.

알려진 제한 사항

다음은 알려진 제한 사항입니다.

델타 동기화

델타 동기화에 대한 그룹 scope 필터링은 50,000명 이상의 멤버를 지원하지 않습니다.
그룹 범위 지정 필터의 일부로 사용되는 그룹을 삭제할 때 그룹의 구성원인 사용자는 삭제되지 않습니다.
범위에 있는 OU 또는 그룹의 이름을 바꾸면 델타 동기화는 사용자를 제거하지 않습니다.

프로비저닝 로그

프로비전 로그는 만들기 및 업데이트 작업을 명확하게 구분하지 않습니다. 업데이트에 대한 만들기 작업과 만들기에 대한 업데이트 작업을 볼 수 있습니다.

그룹 이름 바꾸기 또는 OU 이름 바꾸기

지정된 구성의 범위에 있는 AD의 그룹 또는 OU의 이름을 바꾸면 클라우드 동기화 작업이 AD의 이름 변경을 인식할 수 없습니다. 작업은 격리되지 않고 정상 상태로 유지됩니다.

범위 지정 필터

OU 범위 지정 필터를 사용하는 경우

범위 지정 구성에는 문자 길이가 4MB로 제한됩니다. 테스트된 표준 환경에서는 지정된 구성에 대해 필요한 메타데이터를 포함하여 약 50개의 개별 OU(조직 구성 단위) 또는 보안 그룹으로 변환됩니다.
중첩된 OU가 지원됩니다(즉, 130개의 중첩된 OU가 있는 OU를 동기화할 수 있지만 동일한 구성에서 60개의 개별 OU는 동기화할 수 없음 ).

암호 해시 동기화

InetOrgPerson에서 암호 해시 동기화를 사용하는 것은 지원되지 않습니다.