Microsoft의 하이브리드 Azure AD Connect Cloud Sync 소프트웨어 사용하기

튜토리얼

많은 분들이 하이브리드 ID를 관리하고 사용자를 동기화하기 위해 Azure Active Directory Connect를 사용해 왔습니다. 이 기술은 Azure AD Connect 클라우드 동기화로 불립니다. 이 기사에서는 Azure AD Connect 클라우드 동기화의 설치 및 기본 구성을 안내하고, Active Directory/Azure AD 인프라에 구현하는 방법을 설명하겠습니다.

Azure Active Directory Connect 클라우드 동기화란 무엇인가요?

많은 IT 전문가들이 Azure AD Connect에 익숙합니다 – 온프레미스 활성 디렉터리에서 Azure 활성 디렉터리로 ID를 동기화하고 싱글 사인온을 제공하는 동기화 소프트웨어입니다. 다음 진화는 모든 것을 클라우드로 가져오는 것입니다.

그래서 마이크로소프트는 온프레미스 환경의 도메인에 조인된 서버에 설치된 소프트웨어 애플리케이션에서 간단한 프로비저닝 에이전트로 이동했습니다. 이제 ‘중량 들기’가 모두 Azure에서 이루어지므로 온프레미스에 데이터베이스가 필요하지 않습니다. 모든 것이 클라우드에서 처리됩니다.

최근에는 가벼운 에이전트가 가는 방향입니다. 최근에 합병이나 인수를 경험했거나 그에 대비 중이라면 이것은 큰 도움이 될 것입니다.

Azure AD Connect 클라우드 동기화는 사용자, 연락처, 그룹, 장치 등을 Azure AD로 동기화하여 하이브리드 ID 목표를 달성하도록 설계되었습니다. 중요한 점은 클라우드 동기화 프로비저닝 에이전트와 함께 Azure AD Connect를 병행하여 사용할 수 있다는 것입니다!

Azure AD Connect sync와 Azure AD Connect cloud sync의 차이점은 무엇인가요?

좋은 질문입니다! 마이크로소프트에서 제공하는 테이블을 통해 두 제품 간의 기능 비교를 보여드리겠습니다.

Feature	Azure AD Connect sync	Azure AD Connect cloud sync
Connect to a single on-premises AD forest	●	●
Connect to multiple on-premises AD forests	●	●
Connect to multiple disconnected on-premises AD forests		●
Lightweight agent installation model		●
Multiple active agents for high availability		●
Connect to LDAP directories	●
Support for user objects	●	●
Support for group objects	●	●
Support for contact objects	●	●
Support for device objects	●
Allow basic customization for attribute flows	●	●
Synchronize Exchange online attributes	●	●
Synchronize extension attributes 1-15	●	●
Synchronize customer-defined AD attributes (directory extensions)	●	●
Support for Password Hash Sync	●	●
Support for Pass-Through Authentication	●
Support for federation	●	●
Seamless Single Sign-on	●	●
Supports installation on a Domain Controller	●	●
Support for Windows Server 2016	●	●
Filter on Domains/OUs/groups	●	●
Filter on objects’ attribute values	●
Allow a minimal set of attributes to be synchronized (MinSync)	●	●
Allow removing attributes from flowing from AD to Azure AD	●	●
Allow advanced customization for attribute flows	●
Support for password writeback	●	●
Support for device writeback	●	Customers should use Cloud Kerberos trust for this moving forward
Support for group writeback	●
Support for merging user attributes from multiple domains	●
Azure AD Domain Services support	●
Exchange hybrid writeback	●
Unlimited number of objects per AD domain	●
Support for up to 150,000 objects per AD domain	●	●
Groups with up to 50,000 members	●	●
Large groups with up to 250,000 members	●
Cross-domain references	●	●
On-demand provisioning		●
Support for US Government	●	●

Azure AD Connect sync vs. Azure AD Connect cloud sync (source: Microsoft)

현재 Azure AD Connect cloud sync 기능에서는 Exchange 하이브리드라는 중요하고 보편적인 시나리오를 지원하지 않습니다. 마이크로소프트의 문서에서 현재 답변을 확인해보시면 다음과 같습니다:

Exchange 하이브리드 배포 기능은 온프레미스와 Microsoft 365의 Exchange 메일박스를 동시에 공존시킬 수 있도록 합니다. Azure AD Connect는 Azure AD에서 특정 속성 집합을 온프레미스 디렉터리로 동기화하고 있습니다. 하지만 클라우드 프로비저닝 에이전트는 현재 이러한 속성을 온프레미스 디렉터리로 다시 동기화하지 않으므로 Azure AD Connect의 대체 기능으로는 지원되지 않습니다.

Azure Active Directory Connect cloud sync 설치 전 요구 사항

설치를 시작하기 전에 마이크로소프트에서 몇 가지 사전 요구 사항을 언급하고 있습니다. 이를 여기에서 설명하겠습니다.

Azure 포털에서:
- 글로벌 관리자 계정에 独占 cloud 인증이 필요합니다.
- Active Directory의 UPN 도메인 이름과 일치하는 Azure에서 사용할 수 있는 사용자 정의 도메인 이름이 필요합니다. Azure AD Connect로 이전하면 이미 설정되어 있지만, 이를 확인할 것입니다.
사내 환경
- Windows Server 2016 또는 更新的 버전의 도메인 가입 가능한 기기가 필요합니다. 至少 4 GB의 RAM과 .NET Framework 4.7.1 또는 그 이상이 필요하며, 서버는 사내 AD 자원 forests 内에 적어도 하나의 도메인 컨트롤러에 대한 네트워크 액세스가 있어야 합니다.

Azure AD Connect를 설치한 경우에는 首次 uninstall 하는 것이 옵션적입니다. 이것이 필요하지 않습니다. 그러나 이 記事의 목적을 위해서는 다음과 같은 간단한 스텝들을 다룰 것입니다.

또한 이 구성을 사용하면 하igh availability를 용이하게 만들 수 있습니다. 네트워크에 여러 서버에 provisioning agent를 설치하시면 해결 가능합니다. 아래에서 이러한 스텝들을 보실 수 있습니다.

Azure AD Connect uninstall (optional)

Azure AD Connect 서버에 로그인하고 Control Panel을 오픈하십시오.
‘Uninstall a program’ 메뉴를 오픈하십시오.

Using Control Panel – Programs and Features to uninstall the older Azure AD Connect software (Image credit: Petri/Michael Reinders)

Microsoft Azure AD Connect 항목을 클릭하고 툴바 위의 Uninstall 按鈕을 클릭하십시오.

Uninstalling Azure AD Connect (Image credit: Petri/Michael Reinders)

내 제안은 모든 것을 제거하려면 확인란이 선택되어 있는지 확인하는 것입니다. 가능한 깨끗하게 소프트웨어를 제거하는 것을 항상 좋아합니다. 주변에 어떤 잔해도 남지 않도록 최선을 다하죠.

클릭 제거하고 완료되기를 기다립니다.

It is gone. Out with the old, in with the new… (Image credit: Petri/Michael Reinders)

이제 모두 사라졌습니다. 이제 새로운 설치 단계로 넘어갈 수 있습니다.

AD / AAD 인프라에 Azure AD Connect 클라우드 동기화 구현하는 방법

말했듯이 환경에 기존 Azure AD Connect 설치 여부에 관계없이 Azure AD Connect 클라우드 동기화 에이전트를 설치할 수 있습니다. 이 경우에는 기존 Azure AD Connect 소프트웨어를 제거했으므로 깨끗한 상태입니다. 시작해봅시다!

설치

우선, 내 Windows Server 2022 도메인 가입 서버 WS22-FS02에서 시작합니다.

먼저 Azure Portal에 로그인하고 Azure Active Directory (Azure AD) 사이트에 액세스합니다.

The Azure Active Directory portal (Image credit: Petri/Michael Reinders)

왼쪽 탐색 메뉴에서 아래로 스크롤하여 Azure AD Connect를 클릭합니다. 그런 다음 다시 왼쪽에서 클라우드 동기화를 클릭합니다.

The Azure AD Connect Cloud Sync overview (Image credit: Petri/Michael Reinders)

깨끗한 상태인 것은 놀라운 일이 아닙니다. 왼쪽의 에이전트 메뉴를 클릭한 다음 온프레미스 에이전트 다운로드를 클릭합니다.

Downloading the agent to install on our on-premises server (Image credit: Petri/Michael Reinders)

에이전트를 다운로드한 후 MSI 파일을 더블 클릭합니다. 설치가 시작됩니다.

Installing the bits for the provisioning agent (Image credit: Petri/Michael Reinders)

核取方块하고 설치를 눌러 주세요!

Installing…and waiting… (Image credit: Petri/Michael Reinders)

次に, 構정으로 이동합니다.

Active Directory 構정

初期のエージェントをインストールした後、Microsoft Azure Active Directory Connect プロビジョニングエージェント構정ウィザードが開始されます。これを5回素早く言ってみてください。よし、Microsoft。製品名はいつも家を飛び越えるのです!

welcomescreenで次へをクリックしてください。

Starting the very-long-titled wizard (Image credit: Petri/Michael Reinders)

‘エクステンションを選択する‘画面で、HR駆動のプロビジョニング (WorkdayとSuccessFactors) / Azure AD Connect Cloud Syncを選択してください。これは最も一般的なシーンです。Azureにon-premisesアプリケーションをプロビジョニングする予定であれば、2番目のオプションを選ぶことがあります。
次に次へをクリックしてください。

On the ‘Select Extension’ screen (Image credit: Petri/Michael Reinders)

次に、Azure ADに接続する画面が表示されます。ここで、Azure AD グローバル管理者の資格情報を入力してください。これらを入力し、MFAによる認証を準備してください。
次に、サービスアカウントを構成する画面が表示されます。ここで、デフォルトのgMSAを作成するを選択します。ADからAzure ADに同期するためにgMSAアカウントを管理するために選択しました。このアカウントにドメイン管理者の権限を持ったアカウントを入力し、次へをクリックしてください。

Configuring the Service Account (Image credit: Petri/Michael Reinders)

次に、「Active Directoryと接続する」画面になります。はい、正しいですね。これはAzure AD Connectのインストールウィザードに似ています。

Connecting to Active Directory (Image credit: Petri/Michael Reinders)

그럼 correct Active Directory domain이 제대로 지정되었는지 확인해 봐야 합니다. 에러가 나면 사용자 凭据을 잘못 입력했을 수 있습니다. 필요하면 수정하고 Next를 클릭하세요.

We are done. We’re on the Confirm screen (Image credit: Petri/Michael Reinders)

이제 마지막 확인 화면에 到达했습니다. 모두 제대로 보이는지 확인하고 Confirm 按钮을 클릭하세요.

We’re done! (Image credit: Petri/Michael Reinders)

Azure AD 구성

이제 Azure Active Directory로 이동합니다. Azure AD 云 동기화를 관리하기 위해 Azure Portal로 다시 浏览器에서 navigate하십시오.

Azure AD Connect를 클릭하고 Cloud sync를 클릭하세요.
New configuration 按钮을 클릭하여 云에서 시작하는 구성 과정을 시작하십시오.

Back at the Cloud Sync configuration page (Image credit: Petri/Michael Reinders)

여기에는 New cloud sync configuration가 있습니다. 기본값은 한 AD 도메인만 동기화하는 경우에는 ought to be OK – 在我的情况下 ‘reinders.local’. 我们将 ‘Enable password hash sync‘ 을 勾选하여 자동 비밀번호 관리를 허용합니다.

Our new configuration is all ready and verified. (Image credit: Petri/Michael Reinders)

Create 按钮을 하단에 클릭하세요.

어떻게 보겠어요? 我們는 끝났습니다. 너와 나 다르지 않나요, 하지만 저는 完全是云 기반 구성을 传统的 ‘thick’ 客户端软件와 비교하여 宝くじで 훨씬 preferably cloud-based configurations vs. 傾向이 있습니다. 이것이 더 干净. 또한 인터페이스에 대한 이 iterate를 허용하고 기능을 더욱 빨라게 할 수 있습니다. 그리고 云 기반이기 때문에 소프트웨어 업그레이드를 worry about, 서버가 다OWN되는 것과 같은 것을 해결할 필요가 없습니다. 그렇게 그렇게 하면 되는 것입니다. 完全是 100% of the time, right?

Testing – Verification

일단 구성을 활성화하자. 구성 활성化 후에는 범위 필터, 속성 맵핑 등을 나중에 다룰 수 있습니다.

상단에 있는 Review and enable configuration tab을 눌러 Enable Configuration 按钮을 클릭합니다.
이 完成后, 약 2분정도 기다렸다가 浏览器을 새로 고침하고 상단의 Overview tab을 클릭합니다.
まず, 的通知電子郵件 주소를 입력하고자 합니다. Properties tab을 클릭하고 Basics 旁边에 있는 铅笔 (Edit) 아이콘을 클릭하십시오.
Sync 인프RASTRUCTURE에 대한 警報이 도착할 관리자 電子郵件 주소를 입력하십시오. Apply 按钮을 하단에 있는 것을 클릭하십시오.

Setting up a notification email address (Image credit: Petri/Michael Reinders)

Validation 및 Advanced Customization에 대해서는, Azure AD portal에서 Users 보기로 돌아가고 모든 사용자를 보십시오. 사용자의 수가 31에서 32로 changed하는 것을 기록했습니다. 따라서 SOMETHING이 일어났다는 것을 알고 있습니다. 그리고 ATTENTION을 払는 것으로 기억하실 수 있습니다. 이전에 Azure AD Connect를 구성할 때 특정 OU에 사용자를 필터링하게 되었습니다. 따라서 아직 필터링을 하지 않았으므로 새로운 사용자가 동기화되었습니다. John Reinders입니다.

Maintenance 및 Adjustment of your synchronization settings을 사용하기 위해 사용할 세 가지 Core Configuration Screens을 describe하겠습니다. 첫째는 Scoping filters입니다.

Scoping Filters (Image credit: Petri/Michael Reinders)

기본 설정은 사용자를 모두 Active Directory에 동기화하는 것입니다. 특정 보안 그룹만 동기화하거나 조직 단위(OU)를 선택적으로 동기화할 수 있습니다. 네, 현재는 온프레미스 소프트웨어보다 클라우드 소프트웨어가 덜 구성 가능한 한 예입니다. 그러나 이는 계속 변화 중입니다. 결국 모든 기능과 옵션을 Azure AD Connect 클라우드 동기화에 통합할 것입니다.

Attribute Mapping Screen (Image credit: Petri/Michael Reinders)

그 다음으로 속성 매핑을 살펴보겠습니다. 여기서는 Active Directory에서 Azure AD로 동기화되는 기본 속성 목록을 편집하고 ‘+ 속성 매핑 추가’를 클릭하여 추가 항목을 추가할 수 있습니다.

Adding a new attribute mapping (Image credit: Petri/Michael Reinders)

여기에는 많은 옵션이 있습니다. 말했듯이 Microsoft는 이 기능에 계속해서 더 많은 기능을 추가하고 있습니다. 그러므로 이러한 화면 중 일부가 변경되거나 추가/제거되는 것을 눈치채는 것이 놀라지 마십시오. 이것이 클라우드입니다!

마지막으로 식 빌더를 살펴보겠습니다. 여기서는 특정 속성이 어떻게 동기화되고 다른 AD 도메인의 특정 사용자 속성과 일치시키기 위해 식을 사용하는 방법에 대해 실제로 사용자 정의를 추가할 수 있습니다. 다시 말씀드리지만 여기에는 많은 기능이 있으며, Azure AD Connect 소프트웨어에서 동기화 규칙과 같은 사용자 정의 기능을 사용한 적이 있다면 일반적인 설정에 익숙할 것입니다.

결론

요약하면 이것은 많은 정보입니다. 그리고 Azure AD Connect 클라우드 동기화의 가장 큰 단점을 지적하고 싶습니다 – Azure AD Connect보다 덜 많은 기능을 가지고 있으며 더 적은 시나리오를 지원할 수 있습니다.

이것은 일반적이며 designed-in 입니다. Azure AD Connect는 몇 년이 지나고 있고 Azure AD Connect 雲 동기화는 약 일年前에 发布되었습니다. 따라서 older software에는 더 많은 기능이 있음을 자연스럽게 얻을 수 있습니다.

제 忠告: Azure AD Connect 雲 동기화가 당신의 환경과 관련된 지원 사례에 일치하면 즉시 이를 migrievt할 수 있는 단계를 취할 것입니다. 저는 几年 ‘일规程’에서 Azure AD Connect를 사용해 왔으며, 雲 기능은 매우 좋으며 관리하고 모니터링하는 것이 많이 줄어들었습니다.

이하 의견 또는 질문을 Empire_Name_100하시고 감사합니다! 읽기 漱浣!

Source:
https://petri.com/install-azure-ad-connect-cloud-sync/