Microsoft Entra Connect: 기존 테넌트가 있는 경우

Microsoft Entra Connect를 사용하는 방법에 대한 대부분의 항목에서는 새 Microsoft Entra 테넌트로 시작하고 거기에 사용자 또는 다른 개체가 없다고 가정합니다. 그러나 Microsoft Entra 테넌트를 시작하고 사용자 및 기타 개체로 채우고 이제 Connect를 사용하려는 경우 이 항목이 적합합니다.

기본 사항

Microsoft Entra ID의 개체는 클라우드 또는 온-프레미스에서 관리됩니다. 단일 개체에 대해 일부 특성을 온-프레미스에서 관리하고 다른 특성을 Microsoft Entra ID에서 관리할 수는 없습니다. 각 개체에는 개체가 관리되는 위치를 나타내는 플래그가 있습니다.

온-프레미스에서 일부 사용자를 관리하고 다른 사용자는 클라우드에서 관리할 수 있습니다. 이 구성의 일반적인 시나리오는 회계 근로자와 영업 사원이 혼합된 조직입니다. 회계 근로자는 온-프레미스 AD 계정을 가지고 있지만 영업 사원은 그렇지 않지만 둘 다 Microsoft Entra ID에 계정이 있습니다. 일부 사용자는 온-프레미스로, 일부는 Microsoft Entra ID에서 관리합니다.

온-프레미스에도 있는 Microsoft Entra ID에서 사용자를 관리하기 시작하고 나중에 Microsoft Entra Connect를 사용하려는 경우 고려해야 할 몇 가지 추가 문제가 있습니다.

Microsoft Entra ID에서 기존 사용자와 동기화

Microsoft Entra Connect와 동기화를 시작하면 Microsoft Entra 서비스 API는 들어오는 모든 새 개체를 확인하고 일치시킬 기존 개체를 찾으려고 시도합니다. 이 프로세스에는 userPrincipalName, proxyAddresses및 sourceAnchor/immutableID세 가지 특성이 사용됩니다. userPrincipalName 또는 proxyAddresses 일치를 "소프트 일치"라고 합니다. sourceAnchor 일치를 "하드 매치"라고 합니다. proxyAddresses 특성의 경우 SMTP가 있는 값(기본 전자 메일 주소인)만 평가에 사용됩니다.

새 개체는 온-프레미스 AD에서 들어올 때만 일치 여부가 평가됩니다. 이러한 특성과 일치되도록 기존 개체를 변경하면 오류가 대신 표시됩니다.

Microsoft Entra ID에서 특성 값이 Microsoft Entra Connect에서 들어오는 새 개체와 동일한 개체를 찾은 경우 Microsoft Entra ID의 개체를 인수하고 이전에 클라우드 관리형 개체를 온-프레미스 관리 개체로 변환합니다. 온-프레미스 AD에 값이 있는 Microsoft Entra ID의 모든 특성은 해당 온-프레미스 값으로 덮어씁니다.

이전 섹션 및 경고는 계획에서 고려해야 합니다. 온-프레미스 AD DS에 반영되지 않은 Microsoft Entra ID를 많이 변경한 경우 데이터 손실을 방지하기 위해 개체를 Microsoft Entra Connect와 동기화하기 전에 Microsoft Entra ID의 업데이트된 값으로 AD DS를 채우는 방법을 계획해야 합니다.

개체를 소프트 매칭으로 일치시킨 경우, 나중에 하드 매칭을 사용할 수 있도록 Microsoft Entra ID의 개체에 sourceAnchor이 추가됩니다.

하드 매치 및 소프트 매치

기본적으로 개체의 SourceAnchor 값(예: "abcdefghijklmnopqrstuv==")은 온-프레미스 Active Directory 개체의 mS-Ds-ConsistencyGUID 특성(또는 구성에 따라 ObjectGUID)의 Base64 문자열 표현입니다. 이 값은 Microsoft Entra ID에서 해당 ImmutableId로 설정됩니다.

Microsoft Entra Connect 또는 클라우드 동기화에서 새 개체를 추가하면 Microsoft Entra ID 서비스는 Microsoft Entra ID에 있는 기존 개체의 ImmutableId 특성에 해당하는 sourceAnchor 값을 사용하여 들어오는 개체와 일치시키려고 합니다. 일치하는 항목이 있는 경우 Microsoft Entra Connect는 해당 개체의 SoA(원본 또는 권한)를 인수하여 "하드 일치" 라고 하는 들어오는 온-프레미스 Active Directory 개체의 속성으로 업데이트합니다. Microsoft Entra ID가 SourceAnchor 값과 일치하는 ImmutableId를 가진 개체를 찾을 수 없는 경우 들어오는 개체의 userPrincipalName 또는 기본 SMTP 주소를 사용하여 "소프트 일치"라고 하는 항목에서 일치 항목을 찾으려고 합니다.

하드 매치와 소프트 매치는 모두 Microsoft Entra ID에서 이미 존재하고 관리되고 있는 개체를 동일한 온프레미스 엔터티를 나타내는 새로운 수신 개체와 일치시키려고 합니다. Microsoft Entra ID가 들어오는 개체에 대해 하드 매치 또는 소프트 매치를 찾을 수 없는 경우, Microsoft Entra ID 디렉터리에 새 개체를 프로비저닝합니다.

Microsoft Entra ID가 기본 SMTP 주소를 기준으로 새로 유입된 개체를 기존 Microsoft Entra ID에서 관리 중인 개체와 "소프트 매치"할 수 있지만, 이 새 개체의 sourceAnchor 값이 다르다면, 새 개체를 프로비저닝하려고 시도할 때 일반적으로 Microsoft Entra ID가 새 개체를 생성할 수 없게 되는 충돌이 발생합니다. 이 충돌은 다음과 같은 상황에서 발생합니다.

• 이미 Entra ID에 동기화된 원래 온-프레미스 AD 사용자의 mS-Ds-ConsistencyGuid 특성에 다른 sourceAnchor 값이 설정되었습니다.

• 새 온-프레미스 AD 사용자가 동일한 UPN 및 기본 SMTP 주소로 만들어졌지만 sourceAnchor 및 SID가 다릅니다.

이러한 경우 Microsoft Entra Connect 또는 Cloud Sync에서 AttributeValueMustBeUnique 내보내기 오류가 발생합니다. 들어오는 사용자 속성에 따라 이 오류는 다음 특성 충돌 중 하나를 참조할 수 있습니다.

• AttributeConflictName = OnPremiseSecurityIdentifier: 새로 들어오는 개체는 다른 sourceAnchor를 가지고 있지만, OnPremiseSecurityIdentifier(SID) 및 주 SMTP 주소는 Entra ID 디렉터리의 기존 사용자와 동일합니다.

• AttributeConflictName = ProxyAddresses: 새 들어오는 개체에는 sourceAnchor 및 SID가 다르지만 Entra ID 디렉터리의 기존 사용자와 동일한 기본 SMTP 주소가 있습니다.

이러한 시나리오는 일반적으로 동일한 사용자를 다시 프로비전하려고 한다는 것을 의미합니다. 충돌을 해결하려면 온-프레미스 사용자의 mS-Ds-ConsistencyGuid 특성을 기존 클라우드 사용자의 ImmutableID와 동일한 값과 일치하도록 업데이트해야 합니다. 이렇게 변경하면 Microsoft Entra ID가 정확한 "하드 매치"를 만들 수 있습니다.

Microsoft Entra ID에서 강제 일치 차단

Microsoft Entra ID에서 하드 일치 기능을 사용하지 않도록 설정하는 구성 옵션을 추가했습니다. 고객이 클라우드 전용 계정을 인수해야 하는 경우가 아니면 하드 매칭을 사용하지 않도록 설정하는 것이 좋습니다.

하드 일치를 사용하지 않도록 설정하려면 Microsoft Graph PowerShell의 Update-MgDirectoryOnPremiseSynchronization cmdlet을 사용하십시오.

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Microsoft Entra ID에서 유사 일치 차단

마찬가지로 Microsoft Entra ID에서 소프트 일치 옵션을 사용하지 않도록 설정하는 구성 옵션을 추가했습니다. 고객이 클라우드 전용 계정을 인수해야 하는 경우가 아니면 소프트 매칭을 사용하지 않도록 설정하는 것이 좋습니다.

소프트 매칭을 사용하지 않으려면 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet을 사용하십시오.

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

사용자 이외의 다른 개체

메일 사용이 가능한 그룹 및 연락처의 경우 proxyAddresses에 따라 소프트 매치할 수 있습니다. 하드 매치는 사용자만 sourceAnchor/immutableID를 PowerShell을 사용하여 업데이트할 수 있으므로 적용되지 않습니다. 메일을 사용할 수 없는 그룹의 경우 현재 소프트 매치 또는 하드 매치가 지원되지 않습니다.

관리자 역할 고려 사항

신뢰할 수 없는 온-프레미스 사용자로부터 보호하기 위해 Microsoft Entra ID는 온-프레미스 사용자와 관리자 역할이 있는 클라우드 사용자와 일치하지 않습니다. 이 동작은 기본적으로 사용됩니다. 이 해결을 위해 다음 단계를 수행할 수 있습니다.

1. 클라우드 전용 사용자 개체에서 디렉터리 역할을 제거합니다.

2. 클라우드에서 만든 새 격리된 개체를 하드 삭제합니다.

3. 새 동기화 주기를 트리거합니다.

4. 필요에 따라 일치가 완료되면 디렉터리 역할을 클라우드의 사용자 개체에 다시 추가합니다.

Microsoft Entra ID의 데이터에서 새 온-프레미스 Active Directory 만들기

일부 고객은 Microsoft Entra ID를 사용하여 클라우드 전용 솔루션으로 시작하며 온-프레미스 AD가 없습니다. 나중에 온-프레미스 리소스를 사용하고 Microsoft Entra 데이터를 기반으로 온-프레미스 AD를 빌드하려고 합니다. Microsoft Entra Connect는 이 시나리오에 도움이 되지 않습니다. 온-프레미스에서 사용자를 만들지 않으며 온-프레미스 암호를 Microsoft Entra ID와 동일하게 설정할 수 없습니다.

온-프레미스 AD를 추가하려는 유일한 이유가 LOB(비즈니스 애플리케이션)를 지원하기 위한 것이라면, 대신 Microsoft Entra Domain Services 을 사용하는 것을 고려해보시기 바랍니다.

다음 단계

온-프레미스 ID를 Microsoft Entra ID로 통합하는 것에 대해 자세히 알아보세요.