조직은 Windows 컴퓨터와 사용자를 중앙에서 관리하기 위해 Active Directory를 사용합니다. Windows Server에서 Active Directory 도메인 컨트롤러(ADDC)를 구성하는 것은 편리하며, 관리자는 이 서버를 사용하여 사용자를 인증하고 권한을 구성하고 공유 리소스에 대한 액세스를 관리할 수 있습니다.
많은 기업은 이미 Windows를 사용하고 있으며 Microsoft 365(이전 Office 365) 또는 Azure와 같은 Microsoft 클라우드 플랫폼으로 전환했습니다. 이 경우 시스템 관리자는 Microsoft 365에 사용자 계정을 생성해야 합니다. 때로는 조직이 로컬 사용자 계정과 클라우드 사용자 계정에 동일한 자격 증명을 사용하는 것을 선호하기도 합니다. 관리자는 온프레미스 로컬 도메인의 사용자를 Office 365 및 Azure Active Directory(Azure AD)와 동기화하여 로컬 및 클라우드 인증에 동일한 사용자 계정을 사용할 수 있습니다. 이를 하이브리드 배포라고 하며, Microsoft 소프트웨어 제품을 사용하는 조직 사이에서 인기가 있습니다.
이 블로그 글에서는 Office 365 AD 동기화에 대해 다루고 있으며 Microsoft 제품을 위해 온프레미스 및 클라우드 사용자 계정을 동기화하는 방법을 설명합니다.
Office 365 및 Azure AD
Office 365은 Azure Active Directory의 테넌트이며 인증에 사용되는 데이터를 저장하고 Microsoft 클라우드 환경에 액세스하기 위한 권한을 구성하기 위해 포털을 사용합니다. Office 365 테넌트의 관리자는 Azure 포털에 액세스하여 권한을 관리하고 다른 설정을 구성할 수 있습니다. 온프레미스에서 실행 중인 ADDC(Active Directory Domain Controller)가 있는 경우에는 Office 365을 온프레미스 Active Directory와 Azure Active Directory를 동기화하여(온프레미스 Active Directory와 Azure Active Directory를 Office 365과 동기화) Office 365 Active Directory 통합을 달성할 수 있습니다.
이 접근 방식은 하이브리드 식별을 제공하며 사용자가 사무실/데이터 센터에서 로컬 리소스 및 Office 365 서비스에 액세스하기 위해 동일한 자격 증명을 사용할 수 있도록 합니다. 사용자, 그룹, 연락처와 같은 Active Directory 데이터가 이 경우에 동기화됩니다. 클라우드로 이동하는 중요한 단계 중 하나인 디렉터리 동기화는 하이브리드 환경을 원하는 경우에 중요합니다.
Azure AD Connect란 무엇인가요?
Azure AD Connect는 로컬 서버에 설치되는 가벼운 도구로서 ADDC 역할을 합니다. Azure AD Connect는 로컬 Active Directory 식별 데이터를 Office 365의 클라우드에서 사용하는 Azure Active Directory와 동기화합니다. 이 도구는 도메인 컨트롤러나 도메인의 구성원인 Windows Server에 설치할 수 있습니다. Azure AD Connect는 폐기된 디렉터리 동기화 도구(DirSync)를 대체하였습니다.
Azure AD Connect는 다음과 같은 기능을 지원합니다:
- 비밀번호 해시 동기화
- Pass-through 인증
- 연합 인증. 클라이언트 컴퓨터가 다른 식별 공급자에 대해 인증을 요청할 수 있습니다.
기본적으로 온프레미스 AD에서 Office 365에서 사용하는 Azure AD로 디렉터리 동기화가 수행됩니다. 그러나 Azure AD에서 온프레미스 AD로 변경을 동기화하고 역방향으로 Active Directory 동기화를 구성할 수 있습니다. 기본적으로 동기화는 매 30분마다 실행되도록 예약되어 있습니다. 예약 구성을 편집하고 PowerShell에서 Office 365 디렉터리 동기화를 강제로 실행할 수 있습니다. 델타 동기화를 구성하여 이전 Office 365 AD 동기화 이후에 변경된 데이터만 동기화할 수 있습니다. 권장 사항은 마지막 동기화 후 7일 이내에 델타 동기화를 수행하는 것입니다.
요구 사항
Azure AD Connect를 설치하고 실행하려면 다음 사항을 확인하세요:
- 온프레미스에 설치된 Windows Server 운영 체제를 실행하는 Active Directory 도메인 컨트롤러가 있어야 합니다.
- 온프레미스 Active Directory 기능 수준은 Windows Server 2003 이상이어야 합니다.
- 도메인 관리자 권한이 있거나 도메인 구성원인 컴퓨터의 로컬 관리자 권한이 있어야 합니다.
지원되는 운영 체제: GUI가 있는 Windows Server 2012, Windows Server 2016, Windows Server 2019. Windows Server Core는 지원되지 않습니다. Windows Server 에디션은 표준 이상이어야 합니다. Essentials 에디션은 지원되지 않습니다.
.NET Framework 4.5.1 이상이 설치되어 있어야 합니다. Azure AD Connect를 실행하는 Windows Server 컴퓨터에.
PowerShell 3.0 이상이어야 합니다. 스크립트 실행 정책을 스크립트 실행을 허용하도록 설정해야 합니다. 권장 정책은 RemoteSigned입니다.
Office 365 테넌트에 연결된 외부 도메인이 있어야 합니다.
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
네트워크 요구 사항:
- Microsoft 서버로의 아웃바운드 HTTPS 연결
- 포트 80의 TCP. HTTP 프로토콜은 TSL/SSL 인증서의 확인을 위해 인증서 폐기 목록을 다운로드하는 데 사용됩니다.
- 포트 443의 TCP. HTTPS는 Azure Active Directory와 데이터를 동기화하는 데 사용됩니다.
- Windows 기계에서 TLS 1.2가 활성화되어야 합니다.
환경 준비
온프레미스 활성 디렉터리에서 사용되는 로컬 도메인의 UPN(사용자 주요 이름) 접미사를 확인하십시오. 로컬 도메인은 라우터에 연결되어야하며, 로컬 도메인 접미사는 .local, .test, 등이 아니어야합니다. 이 유형의 접미사를 가진 도메인은 라우터에 연결할 수없는 것으로 분류되며, 이러한 도메인은 .onmicrosoft.com 도메인과만 동기화 할 수 있습니다. 예를 들어, 온프레미스 활성 디렉터리에 .nakivo.test 도메인이 있고 Azure Active Directory에 nakivo.onmicrosoft.com이있는 경우 [email protected]는 [email protected]로 동기화되어야합니다. 로컬 활성 디렉터리에 domain.net 이름이 있고 Office 365 및 Azure에서 사용되는 외부 도메인의 이름도 domain.net인 경우 온프레미스 활성 디렉터리의 [email protected]은 Office 365 및 구성 권한을 위해 Azure AD의 [email protected]과 동기화 될 수 있습니다. 따라서 도메인 이름은 유효하고 .com, .net, .uk, .us, .edu, 등과 같은 올바른 접미사를 가져야합니다. 로컬 Active Directory의 사용자의 UPN은 Azure AD 및 Office 365와 동기화될 수 있습니다.
참고: 이 블로그 게시물에서 사용된 도메인 이름은 예시로 사용됩니다. 환경 구성에 따라 올바른 도메인 이름을 사용하십시오.
Microsoft 365 관리 센터에서 您的 Office 365 도메인을 확인할 수 있습니다. Settings > Domains로 가시여 您的 Office 365 现在的에 연결할 수 있는 도메인을 확인할 수 있습니다.
도메인을 路由 가능하게 만들기
您的 现场域 설정을 수정하여 도메인을 路由 가능하게 만들 수 있습니다. 이를 통해 现场 사용자와 Microsoft 365 (Azure)의 사용자가 일치하는 이름을 사용자 properly named Protocol (UPN) 접미사를 추가합니다.
새 UPN 접미사를 추가하기
现场 도메인 컨트롤러에서 Active Directory Domains and Trusts로 가십시오. 이를 하려면 Server Manager를 개시하고, Tools를 클릭하여 열리는 메뉴에서 Active Directory Domains and Trusts를 클릭합니다. 또는 domain.msc을 Run 메뉴에서 (Win+R를 눌러 Run 메뉴를 여는) 또는 명령 프로그램 (CMD)에서 실행할 수 있습니다.
Active Directory Domains and Trusts 창이 열리ます. Active Directory Domains and Trusts을 우선 ight-click하고, кон텍스트 메뉴에서 Properties를 클릭합니다.
정확한 표준 도메인 이름과 correct 접미사를 입력하십시오. 예를 들어 id.com나 nakivo.com를 입력하십시오. Add를 클릭하고, OK를 클릭하여 설정을 저장하고 이 창을 닫습니다.
现存的 사용자의 UPN를 수정하기
이제 온프레미스 액티브 디렉토리 도메인 컨트롤러에서 기존 사용자의 UPN 접미사를 편집해야합니다.
서버 관리자를 열고 도구 메뉴로 이동하여 Active Directory 사용자 및 컴퓨터로 이동하십시오 (이전과 같은 방법으로). 대안으로 Win+R을 눌러 실행 창을 열고 실행 대화 상자에 dsa.msc를 입력 한 다음 Enter를 클릭하십시오.
Active Directory 사용자 및 컴퓨터 창에서 도메인을 확장하고 사용자 디렉토리를 클릭하십시오. 도메인 사용자를 선택하고 해당 도메인 사용자를 마우스 오른쪽 단추로 클릭 한 다음 컨텍스트 메뉴에서 속성을 클릭하십시오.
사용자 속성 창에서 계정 탭을 선택하십시오. 드롭 다운 메뉴에서 올바른 도메인 이름과 올바른 접미사를 선택하십시오. 설정을 저장하고 창을 닫으려면 OK를 클릭하십시오.
온프레미스 도메인의 모든 사용자 (Office 365 AD 동기화를 수행하려는 사용자)에 대해이 작업을 반복하십시오. 온프레미스 액티브 디렉토리에 많은 수의 사용자가있는 경우 각 사용자의 속성을 수동으로 편집하는 대신 PowerShell을 사용하여 대량 편집하십시오. 다음 명령을 사용하여이 목적을 위해 명령을 사용하십시오.
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
환경 구성에 따라 domain.local 및 domain.com에 올바른 도메인 이름을 설정하십시오.
MSOnline PowerShell 모듈(Azure AD PowerShell 모듈)을 사용하여 UPN과 주소를 변경할 수 있습니다.
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
UPN을 업데이트한 후에는 온프레미스 Active Directory 도메인 서비스를 Microsoft 365 및 Azure Active Directory와 동기화할 준비가 되어 있습니다.
이메일 프록시 속성 편집
각 사용자의 이메일 속성을 편집하고 SMTP 프록시 이메일 주소를 설정합니다.
SMTP 프록시를 설정할 수 있는 속성 편집기 탭을 표시하려면(사용자 속성 창에서), Active Directory 사용자 및 컴퓨터 창에서 보기 > 고급 기능을 클릭합니다.
이제 사용자를 선택하고 사용자 속성을 열고 속성 편집기 탭을 클릭한 다음 proxyAddresses 속성을 두 번 클릭합니다.
온프레미스 도메인 컨트롤러에서 Active Directory 사용자의 Office 365 이메일 주소는 다음과 같이 SMTP 프록시 주소로 정의되어야 합니다:
SMTP:[email protected]
기본 이메일 주소에는 대문자로 SMTP가 포함되어야 합니다. 이메일에 대한 다른 프록시 주소는 소문자로 시작하여 smtp일 수 있습니다.
추가를 눌러 값을 추가한 후, 설정을 저장하려면 확인을 누릅니다.
Office 365 동기화에 필요한 각 사용자에 대해 이 작업을 반복합니다.
Office 365 관리 센터에서 사용자 이름 확인
마이크로소프트 365 관리 센터를 열고 사용자 > 활성 사용자로 이동하여 사용자 이름과 그들의 이름에 사용된 도메인 접미사를 확인하십시오.
사용자의 경우 nakivo.com와 같은 사용자 정의 도메인이 있는 경우 nakivo.onmicrosoft.com 도메인을 사용하는 대신 이러한 사용자 주요 이름을 사용하십시오.적절한 사용자 옆의 세 개의 점을 클릭하고 열리는 메뉴에서 사용자 이름 및 이메일 관리를 눌러 사용자 이름에 필요한 도메인을 선택하십시오. Office 365에서 도메인 이름과 사용자 이름이 온-프레미스 활성 디렉터리의 사용자 이름과 일치하는 경우가 이상적입니다.
마이크로소프트 365 관리 센터에서 그룹을 열고 사용자 이메일 주소를 편집한 것과 마찬가지로 그룹의 주소를 편집하십시오.
Azure AD Connect 설치
마이크로소프트 웹 사이트에서 다음 링크를 사용하여 Azure AD Connect를 다운로드하십시오:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
마이크로소프트 Azure 포털의 Azure AD Connect 페이지에서 Azure Connect 상태를 확인하고 다운로드 링크를 받을 수 있습니다. 이를 위해 Azure 포털에서 Azure Active Directory > Azure AD Connect로 이동하십시오.
이 도구를 설치할 서버에 Azure AD Connect 설치 파일을 저장하십시오. 예를 들어 도메인 컨트롤러에 저장하십시오.
Azure AD Connect 설치 파일 (AzureADConnect.msi)을 실행하십시오. Azure AD Connect 마법사가 열립니다.
환영합니다. 환영 단계에서 “라이선스 약관 및 개인정보 안내에 동의합니다”를 선택하고 계속을 클릭하십시오.
표준 설정. 두 가지 옵션 중 하나를 선택하십시오 – 사용자 지정 또는 표준 설정 사용. 사용자 지정 옵션은 Office 365 Active Directory 동기화를 구성할 때 더 많은 제어를 제공합니다.
필수 구성 요소. 설치할 필수 구성 요소를 선택하고 선택한 옵션의 구성 설정을 정의하십시오.
- 사용자 정의 설치 위치 지정
- 기존 SQL Server 사용
- 기존 서비스 계정 사용
- 사용자 정의 동기화 그룹 지정
- 동기화 설정 가져오기
계속하려면 설치를 클릭하십시오.
사용자 로그인. 사용 가능한 로그인 방법 중 하나를 선택하십시오. 일부 옵션은 구성을 위해 추가 단계가 필요합니다.
- 비밀번호 해시 동기화. 온프레미스 Active Directory의 사용자 비밀번호 해시가 Azure Active Directory와 동기화됩니다.
- 통과 인증. 사용자는 온프레미스 AD 및 클라우드(Office 365, Azure)에서 동일한 비밀번호를 사용할 수 있지만 추가 인프라 및 연합 환경이 필요하지 않습니다.
- AD FS와 연합. 하이브리드 환경은 온프레미스에 배포된 Active Directory 및 Active Directory Federation 서비스를 사용하여 구성되어야 합니다. 인증서 갱신 및 추가 AD FS 서버 배포가 지원됩니다.
- 피더레이트와의 연합. 귀하의 인프라에 기업용 피더레이트 서버가 배치되어 사용자 인증을 위한 단일 로그인을 제공하는 경우에만이 옵션을 사용할 수 있습니다.
- 구성하지 마십시오. 연합 로그인을 위해이 마법사에서 관리되지 않는 솔루션을 사용할 수 있습니다. 기업 네트워크에 로그인한 사용자는 암호를 다시 입력할 필요없이 Office 365을 AD와 동기화 한 후 클라우드 리소스에 액세스 할 수 있습니다.
비밀번호 해시 동기화 또는 구성하지 마십시오를 선택하십시오. 무엇을 해야할지 확실하지 않은 경우 권장 옵션입니다.
Azure AD에 연결하십시오. Microsoft Azure/Office 365(office 365 관리자 자격 증명)의 글로벌 관리자 권한을 가진 Microsoft 365 사용자 계정의 사용자 이름과 암호를 입력하십시오. 이 관리자 계정은 Azure AD Connect를 구성하는 데 필요하며 Office 365 AD 동기화를 수행 할 수 있도록합니다. 계속 진행하려면 각 단계에서 다음을 클릭하십시오.
디렉터리 연결. 온-프레미스 도메인 환경에서 사용되는 현재 Active Directory에 대한 정보를 입력하십시오. 디렉터리 유형(Active Directory)을 선택하고 도메인 포레스트를 지정 한 다음 디렉터리 추가를 클릭하고 도메인 관리자 자격 증명을 입력하십시오. 도메인 포레스트를 동기화해야하는 경우 엔터프라이즈 관리자 자격 증명을 사용하십시오.
Azure AD 로그인. 도메인 및 Active Directory UPN 접미사를 확인하십시오. Azure AD 및 Office 365에서 사용자 이름으로 사용할 온-프레미스 속성을 선택하십시오. userPrincipalName을 선택합니다. 도메인이 확인되지 않았다면 확인된 도메인 없이 계속 진행 확인란을 선택하십시오. 나중에 확인 프로세스를 완료하여 사용자가 Azure AD 및 Office 365에 로그인할 수 있도록 할 수 있습니다.
도메인 및 OU 필터링. 전체 AD 데이터의 Active Directory 동기화를 수행하려면이 화면에서 기본 설정을 남겨두십시오. 설정을 사용자 정의해야하는 경우 사용자 정의 도메인 및 조직 단위를 선택하십시오. 동기화하지 않으려는 도메인이나 조직 단위를 선택 해제할 수 있습니다.
사용자 식별. Office 365와의 Active Directory 동기화의 기본 설정을 위해이 단계에서 기본 설정을 유지하는 것이 좋습니다 (하나의 Azure AD, 하나의 도메인 및 하나의 AD 포리스트). 더 복잡한 설정을 수행해야하는 경우 디렉터리 간 사용자 ID에 대한 사용자 정의 옵션을 선택하십시오. 소스 앵커 사용자 식별 옵션에서 기본 objectGUID 옵션을 선택하여 ID를 생성하고 사용자를 매핑하십시오.
필터링. 모든 사용자 및 장치를 동기화하거나 동기화 할 사용자 지정 개체를 선택하십시오. 그룹 기반 필터링을 사용할 수 있습니다.
옵션 기능. 필요한 경우 추가 기능을 선택하십시오. 각 기능 이름 옆의 ‘?’ 아이콘 위로 마우스를 올려 놓으면 올바른 결정을 도와주는 팁이 표시됩니다.
구성할 준비가 되었습니다. 이 마법사를 완료한 후에 즉시 동기화를 시작하려면 구성이 완료되면 동기화 프로세스를 시작 확인란을 선택하세요. 필요할 때 수동으로 동기화를 시작하려면이 확인란을 선택 해제하세요. 구성을 완료하려면 설치를 클릭하세요.
설치 및 구성이 완료 될 때까지 기다리세요. 구성 완료 메시지가 표시되면 응용 프로그램을 닫으려면 종료를 클릭할 수 있습니다. 완료된 Office 365 AD 동기화 프로세스에 대한 간단한 정보가 구성 완료 화면에 표시됩니다. 그런 다음 Microsoft 365 관리 센터를 열고 Office 365과의 Active Directory 동기화가 성공적으로 완료되었는지 확인하세요. Azure 포털의 Azure AD Connect Health 페이지에서 동기화 오류 섹션을 열어 오류에 대한 자세한 정보를 확인할 수 있습니다. 오류가있는 경우 제공된 권장 사항을 읽어 오류를 수정하는 데 도움이 될 수 있습니다.
Office 365 AD 동기화가 성공적으로 완료되었으면 Office 365과 온프레미스 Active Directory의 동기화 후에 추가된 새 Office 365 사용자에게 라이선스를 할당할 수 있습니다.
Azure AD Connect 구성 내보내기
Azure AD Connect를 가속 모드나 사용자 지정 모드로 部署할 수 있습니다. 같은 Azure AD Connect configurations을 사용하여 여러 배포를 수행하여 사이버 SecureActive Directory를 이전 하는 것과 마찬가지로 Office 365 / Azure와 동기화하고, 여러 Active Directory 숲을 동기화하는 것을 고려하여 Azure AD Connect 구성을 인쇄하거나 mport하십시오.
Azure AD Connect를 가속 모드로 GUI를 사용하여 위izard을 통해 구성하고 나면 %ProgramData%\AADConnect 폴더에 저장되는 JSON 파일에 구성이 저장됩니다. JSON 파일 이름은 Applied-SynchronizationPolicy-*.JSON 的样子이며, *는 날짜/시간 스탬프로 구성이 저장된 시점을 identifiy하기 위해 사용되ます. GUI에서의 변경은 자동으로 인쇄되ます. 그러나 PowerShell로 변경하면 필요한 때에 manuel로 인쇄해야 합니다.
설정을 가져올 때, Azure AD Connect를 실행하고 Customize 옵션을 선택하고 Install required components 화면에서 Import synchronization settings를 선택하고 Browse를 클릭하고 JSON 구성 파일을 선택합니다.
구성 인쇄는 사용자가 Azure AD Connect를 短时间内에 구성하고 여러 서버에 동일한 구성을 재현할 수 있도록 수동적인 데이터 입력의 최소 mount를 허용합니다.
Configuration migration 도구
Office 365 Active Directory 동기화를 수행할 때 하나의 서버에서 다른 서버로 Azure AD Connect의 구성을 export하고 import하기 위한 도구가 있습니다.
MigrateSettings.ps1 파일을 첫 번째 서버의 Azure AD Connect가 설치된 기본 위치인 C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ 또는 사용자 정의 폴더에서 사용자 정의 위치로 복사하십시오. 예를 들어 C:\Programs\.
첫 번째(기존) 서버에서 MigrateSettings.ps1 스크립트를 실행하십시오. “True” 인수를 허용하는 매개변수를 찾을 수 없다는 출력 메시지가 표시되면 스크립트를 편집하여 스크립트에서 $true를 제거하십시오.
스크립트를 실행하고 출력에서 디렉터리를 확인하십시오. Azure AD 동기화 구성이 이 폴더로 내보내집니다. 이 내보낸 서버 구성-* 폴더와 해당 내용을 두 번째(새로운) 서버로 복사하십시오.
두 번째 서버에서 Azure AD Connect를 실행하고 필요한 구성 요소 설치 화면에서 동기화 설정 가져오기를 선택하고 복사된 내보낸 서버 구성-* 폴더에 있는 MigratedPolicy.json 구성 파일(위에서 설명한 대로)을 선택하십시오.
기타 Office 365 AD 동기화 옵션
동기화 작업 간의 표준 간격인 30분을 기다릴 수 없는 경우 PowerShell 명령을 사용하여 Office 365 AD 동기화를 강제로 실행하십시오. Azure Active Directory PowerShell 모듈은 일반적으로 Azure AD Connect 도구와 함께 설치됩니다.
ADSync PowerShell 모듈을 가져오십시오:
Import-Module ADSync
현재 Office 365 AD 동기화 설정을 확인하십시오:
Get-ADSyncScheduler
이전에 성공한 동기화 이후에 수행된 변경 사항만 동기화하기 위해 델타 동기화를 강제로 실행하십시오:
Start-ADSyncSyncCycle -PolicyType Delta
모든 데이터를 동기화하기 위해 전체 동기화를 강제로 실행하십시오:
Start-ADSyncSyncCycle -PolicyType Initial
Office 365 AD 동기화 간격을 10분으로 변경하십시오:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
수동으로 Office 365 AD 동기화를 실행하더라도 사용자 암호는 동기화되지 않습니다. 이 경우에는 Azure AD Connect를 실행 중인 로컬 서버에서 AD 동기화 Office 365 서비스를 다시 시작하고 자격 증명이 올바른지 확인하십시오.
구성 권장 사항
Azure AD Connect가 설치된 서버를 보호하십시오. Azure AD Connect를 실행 중인 서버에는 관리자가 아닌 사용자의 접근을 제한하십시오. 이 Active Directory 동기화 도구에서 사용되는 서비스 계정을 보호하기 위해 강력한 암호를 사용하십시오. 이 도구의 강력한 기능을 고려할 때, 누군가가 AD 동기화를 실행 중인 서버에 액세스하는 경우 강력한 암호가 중요합니다. 편리한 액세스 관리를 위해 신뢰할 수 있는 사용자를 ADSyncAdmins 그룹에 추가할 수 있습니다.
온프레미스 AD에서 Azure AD 및 Office 365로 동기화할 그룹을 확인하십시오. 모든 그룹을 동기화할 필요는 없습니다. 클라우드에서 사용하지 않거나 보안이나 생산성적인 이유로 동기화할 필요가 없는 그룹이 있을 수 있습니다. Microsoft 365 및 Azure 클라우드 환경에서 관련이 없는 보안 그룹 및 분배 그룹을 필터링하십시오. Office 365 Active Directory 동기화에서 모든 관리자 그룹을 제외하십시오.
Office 365 Active Directory 동기화와 Azure AD 동기화를 백업 솔루션으로 간주하지 마십시오. 클라우드의 개체 속성 중 일부는 고유합니다. 예를 들어, Office 365 사용자에 대한 라이선스 정보입니다. 클라우드에서 이 특정 정보를 삭제하면 온-프레미스 Active Directory에서 Office 365 Active Directory 동기화를 실행하여 이 정보를 복구할 수 없습니다. 온-프레미스 Active Directory를 Azure로 동기화하는 것은 Active Directory 및 도메인 컨트롤러 백업과 동일하지 않습니다. 온-프레미스에서 실행 중인 Active Directory 도메인 컨트롤러와 클라우드의 Office 365 데이터를 보호하기 위해 특수 도구 및 백업 솔루션을 사용하십시오.
Office 365 백업 및 Active Directory 백업
Office 365 백업을 정기적으로 실행하고 이러한 백업을 안전한 장소에 저장해야 합니다. Office 365 백업에는 Exchange Online 이메일, OneDrive 및 SharePoint와 같은 Office 애플리케이션의 필요한 데이터가 포함되어야 합니다. Office 365 데이터는 클라우드에 저장되지만, 일부 데이터가 랜섬웨어로 손상되거나 실수로 삭제된 경우에는 백업이 해당 데이터를 복구하는 유일한 방법일 수 있습니다. 특히 데이터 손실을 알아차렸을 때 너무 늦은 경우입니다.
Active Directory는 Windows 네트워크에서 중앙 집중식 관리 시스템입니다. Active Directory 도메인 컨트롤러의 사용 불가능은 회사 전체의 작업을 중단시킬 수 있습니다. 재해가 발생한 경우 데이터를 복구할 수 있도록 온-프레미스에서 실행되는 Active Directory 도메인 컨트롤러를 백업하십시오. 실행 중인 애플리케이션을 가진 서버를 백업할 때 애플리케이션 인식 백업을 지원하는 전용 타사 백업 솔루션을 사용하는 것이 좋습니다.
NAKIVO Backup & Replication은 SMB 및 enterprise 데이터 보호 솔루션으로 오피스 365 클라우드 备份을 지원하며, Exchange Online, SharePoint Online, Microsoft Teams, 以及 OneDrive for Business과 같은 어플리케이션을 포함합니다. 여러 Office 365 리스 tenent를 备份하고, 모든 사용자 또는 사용자 지정 사용자를 선택하고, 필요한 항목을 분석 수준에서 恢复할 수 있습니다.
NAKIVO Backup & Replication은 Active Directory 도메인 컨트롤러로 동작하는 Windows 서버를 포함하여 물리적 서버 备份을 지원하며 Active Directory 备份를 수행할 수 있습니다. 응용 인지 备份 지원이 있으며, 도메인 컨트롤러를 备份하고 어플리케이션 일관성 있는 데이터가 备份에 있는지 확인할 수 있습니다. 물리적 서버 备份에도 분砾적 恢复이 지원됩니다.
결론
雲服务平台迁移하는 조직들은 지금까지 일부만 platform에 이동하고 있습니다. 그들은 雲服务平台과 함께 기존에 Active Directory 서비스를 사용하고 있습니다. 이것이 하이브리드 환경이라고 합니다. Office 365와 AD를 동기화하는 옵션을 사용하여 조직은 하이브리드 환경을 구성하고 사이트에서 AD와 Azure AD 사이에 사용자 계정과 인증 옵션을 동기화할 수 있습니다.
Office 365 Active Directory 동기화는 Microsoft에서 개발한 네이티브 도구인 Azure AD Connect를 사용하여 수행할 수 있습니다. 온프레미스 Active Directory를 준비하고, 온프레미스 도메인과 Office 365 테넌트에 연결된 외부 도메인의 도메인 설정을 구성하고, AD Connect에서 Office 365 디렉터리 동기화 옵션을 구성해야 합니다. Office 365 Active Directory 통합을 통해 사용자는 온프레미스 Windows 환경과 Office 365에서 동일한 자격 증명을 사용할 수 있습니다.
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/