Microsoft Entra Connect의 동기화 기능에는 두 가지 구성 요소가 있습니다.
- Microsoft Entra Connect 동기화라고 하는 온-프레미스 구성 요소(동기화 엔진이라고도 함)
- Microsoft Entra Connect Sync 서비스라고도 하는 Microsoft Entra ID에 있는 서비스
이 항목에서는 다음 Microsoft Entra Connect 동기화 서비스 기능 작동 방법 및 PowerShell을 사용하여 구성할 수 있는 방법에 대해 설명합니다.
Graph PowerShell을 사용하여 Microsoft Entra 디렉터리의 구성을 보려면 다음 명령을 사용합니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
결과는 다음과 같이 출력됩니다.
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
참고
2016년 8월 24일에서 중복 특성 복원력 기능은 새로운 Microsoft Entra 디렉터리에 대해 기본적으로 활성화됩니다. 이 기능이 이 날짜 이전에 생성된 디렉터리에서 배포되어 사용 가능하도록 설정되었습니다. 디렉터리가 이 기능을 사용하도록 설정하려고 할 때 이메일 알림을 받게 됩니다.
다음 설정은 Microsoft Entra Connect에서 구성됩니다.
| 디렉터리 동기화 기능 | 설명 |
|---|---|
| SoftMatchOnUpn | 개체가 기본 SMTP 주소뿐만 아니라 userPrincipalName에 대해 가입할 수 있습니다. |
| 관리되는 사용자를 위한 UPN 동기화 | 동기화 엔진은 관리/라이선스를 받은(비페더레이션) 사용자의 userPrincipalName 속성을 업데이트할 수 있습니다. |
| 장치쓰기반환 (DeviceWriteback) | Microsoft Entra 연결: 장치 쓰기 되돌리기 활성화 |
| 디렉터리확장자 | Microsoft Entra Connect 동기화: 디렉터리 확장 |
|
중복 프록시 주소 복원력 (DuplicateProxyAddressResiliency) 중복 UPN 회복력 |
객체 내보내기 중에 전체 객체가 실패하는 대신, 다른 객체의 중복된 속성인 경우 해당 속성을 격리할 수 있습니다. |
| 암호 해시 동기화 | Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화 구현 |
| 비밀번호 기록 반영 | 지원되지 않습니다. 이 서비스 기능은 지원되지 않습니다. 비밀번호 쓰기 저장을 구성하려면 Microsoft Entra Connect에서 비밀번호 쓰기 저장 사용 참조 |
| 패스스루 인증 | Microsoft Entra 통과 인증을 사용한 사용자 로그인 |
| 통합 그룹 다시 쓰기 | 그룹 쓰기 되돌리기 |
| 유저 쓰기 되돌리기 | 현재 지원되지 않습니다. |
중복 특성 복원력
개체 프로비전 실패를 방지하기 위해 중복된 UPN/proxyAddresses 특성은 "격리된 상태로 유지"되며, 임시 값이 할당됩니다. 충돌이 해결되면 임시 UPN은 적절한 값으로 자동으로 변경됩니다. 자세한 내용은 ID 동기화 및 중복 특성 복원력을 참조 하세요.
UserPrincipalName 느슨한 일치
이 기능을 사용하도록 설정하면 항상 사용하도록 설정된 기본 SMTP 주소 외에도 UPN에 대해 소프트 매치가 활성화됩니다. Microsoft Entra ID의 기존 클라우드 사용자를 온-프레미스 사용자와 일치시키기 위해 소프트 매치를 사용합니다.
온-프레미스 AD 계정이 클라우드에서 만든 기존 계정과 일치해야 하고 Exchange Online을 사용하지 않는 경우 이 기능은 특히 유용합니다. 이 시나리오에서는 일반적으로 클라우드에서 SMTP 특성을 설정할 이유가 없습니다.
이 기능은 새로 만든 Microsoft Entra 디렉터리에 기본적으로 설정되어 있습니다. 다음을 실행하여 이 기능을 사용하도록 설정했는지 확인할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Microsoft Entra 디렉터리에서 이 기능을 사용하도록 설정하지 않은 경우 다음을 실행하여 설정할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
블록소프트매치
이 기능을 사용하도록 설정하면 소프트 매치 기능을 차단합니다. 고객은 이 기능을 활성화하고, 테넌시에 소프트 매칭이 다시 필요해질 때까지 그대로 유지하도록 권장됩니다. 이 플래그는 소프트 일치가 완료되고 더 이상 필요하지 않은 후에 다시 사용하도록 설정해야 합니다.
예시 - 테넌트에서 소프트 매칭 차단:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
참고
BlockSoftMatch를 활성화하면, 새로 하이브리드로 조인된 디바이스가 소프트 매치를 시도할 때 InvalidSoftMatch 오류가 발생합니다. 이 문제는 온-프레미스 AD(Active Directory)에서 Entra로 동기화된 컴퓨터 개체가 클라우드에 등록된 새 디바이스와 병합될 때 발생합니다. 이 문제를 해결하려면 관리자가 일시적으로 BlockSoftMatch를 사용하지 않도록 설정하여 하이브리드 조인이 진행되도록 해야 합니다.
UserPrincipalName 업데이트 동기화
지금까지 온-프레미스의 동기화 서비스를 사용하여 UserPrincipalName 특성에 대한 업데이트는 다음 두 조건이 모두 충족되지 않는 한 차단되었습니다.
- 사용자가 관리하는 계정(독립형)입니다.
- 사용자에게 할당된 라이선스가 없습니다.
참고
2019년 3월부터 페더레이션된 사용자 계정에 대한 UPN 변경 내용을 동기화할 수 있습니다.
이 기능을 사용하도록 설정하면 온-프레미스에서 userPrincipalName이 변경될 때, 암호 해시 동기화 또는 통과 인증을 사용할 경우 동기화 엔진이 이를 업데이트할 수 있습니다.
이 기능은 새로 만든 Microsoft Entra 디렉터리에 기본적으로 설정되어 있습니다. 다음을 실행하여 이 기능을 사용하도록 설정했는지 확인할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Microsoft Entra 디렉터리에서 이 기능을 사용하도록 설정하지 않은 경우 다음을 실행하여 설정할 수 있습니다.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
이 기능을 사용하도록 설정한 후 기존 userPrincipalName 값은 as-is유지합니다. 다음에 userPrincipalName 특성이 온-프레미스에서 변경되면, 사용자에 대한 기본 델타 동기화가 사용자 주체 이름(UPN)을 업데이트합니다. 이 기능을 사용하도록 설정하면 사용하지 않도록 설정할 수 없습니다.
암호 해시 동기화
이 기능을 사용하면 동기화 엔진에서 암호 해시 동기화를 사용할 수 있으며 동기화 클라이언트에서 자동으로 사용하도록 설정됩니다.
다음을 실행하여 이 기능을 사용하도록 설정했는지 확인할 수 있습니다.
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
# Retrieve DirSync service features
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.PasswordSyncEnabled
예를 들어 온-프레미스 Active Directory에서 동기화를 해제한 후 암호 해시 동기화가 더 이상 필요하지 않은 경우 다음을 사용하여 사용하지 않도록 설정할 수 있습니다.
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
# Disable Password Hash Sync
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.PasswordSyncEnabled = $false
Update-MgDirectoryOnPremiseSynchronization -Features $DirectorySync.Features -OnPremisesDirectorySynchronizationId $DirectorySync.Id
비밀번호 기록 반영
이 속성은 Microsoft Entra ID에서 온-프레미스 Active Directory로의 비밀번호 쓰기 저장을 사용할 수 있는지 여부를 나타냅니다.
중요합니다
이 속성은 더 이상 사용되지 않으며 업데이트는 지원되지 않습니다.