다운로드, 설치 및 Azure AD Connect V2 구성 방법

이 안내서에서는 Azure Active Directory(최근에 이름이 Microsoft Entra ID로 변경됨) Connect V2 다운로드 위치 및 설치 및 구성 방법에 대한 정보를 제공하겠습니다.

Microsoft는 가장 일반적인 토폴로지가 하나 또는 여러 개 도메인이 있는 단일 온프레미스 포리스트와 단일 Azure AD 테넌트인 것으로 명시하고 있습니다. 제 안내서는 이 토폴로지를 따라가며, 새로운 Windows Server 2019 포리스트 및 도메인, 프리미엄 P2 체험 라이선스를 사용하는 Azure AD 테넌트, 그리고 확인된 커스텀 도메인을 사용할 것입니다.

Azure AD Connect 다운로드 및 구성

자세히 들어가기 전에, Azure AD Connect V2를 설정하고 작동시키기 위해 필요한 6단계 고수준 개요가 있습니다:

1. Azure AD Connect 다운로드
2. 설치 프로그램 실행
3. 사용자 로그인 구성
4. 디렉터리 연결
5. 고급 옵션 구성
6. 디렉터리 동기화 시작

Azure AD Connect란?

간단히 말해서, Azure AD Connect는 동기화를 통해 여러분의 활성 디렉터리 (AD)를 Azure AD와 동기화하는 것을 가능하게 합니다. 이를 통해 옛날 방식이지만 여전히 중요한 Windows Server Active Directory를 마이크로소프트의 클라우드 호스팅인 Azure AD로 확장하여 하이브리드 신원을 만드는 목표를 달성할 수 있습니다.

이 용어가 익숙하지 않거나 상기시키는 것이 필요하다면 괜찮습니다. 더 나아가기 전에 저희의 활성 디렉터리와 Azure Active Directory 비교를 확인할 것을 권장합니다.

Azure AD Connect에는 비밀번호 해시 동기화 (PHS), 통과 인증 (PTA) 및 활성 디렉터리 연합 서비스 (AD FS)와의 통합과 같은 기능이 포함되어 있습니다. 이러한 기능 및 기타 기능에 대한 설명은 마이크로소프트의 Azure AD Connect 지원 페이지에서 설명되어 있습니다.

또한, Microsoft의 다른 서비스인 Azure Active Directory Domain Services (Azure AD DS)는 이 안내서에서 다루지 않습니다.

Azure AD Connect V2의 새로운 점

Azure AD Connect 2에는 몇 가지 중요한 변경 사항이 있습니다:

• SQL Server 2019 LocalDB
• MSAL 인증 라이브러리
• Visual C++ Redist 14
• TLS 1.2 (1.0과 1.1은 더 이상 지원되지 않음)
• SHA2로 서명된 모든 이진 파일
• Windows Server 2012와 Windows Server 2012 R2는 더 이상 지원되지 않음
• PowerShell 5.0

Microsoft는 모든 Azure AD Connect V1 버전이 2022년 8월 31일에 폐지될 예정임을 이미 발표했습니다. 이것만으로도 Azure AD Connect V2로 업그레이드하는 좋은 동기가 될 것입니다.

Petri의 Russel Smith의 Azure AD Connect V2의 새로운 기능에 대한 기사를 참조하여 Azure AD Connect V2의 주요 변경 사항에 대한 자세한 정보를 확인하십시오. 또한 Microsoft의 Azure AD Connect: 버전 릴리스 기록 지원 페이지에는 새로운 기능 및 기능에 대한 중요한 세부 정보가 더 많이 포함되어 있습니다.

Azure AD Connect V2의 사전 요구 사항

Azure AD Connect V2를 설치하기 전에 필요한 몇 가지 사항이 있습니다:

• 무료 또는 프리미엄(유료)인 Azure AD 테넌트
• 온프레미스 또는 인프라스트럭처 서비스 가상 머신으로 호스팅된 클라우드에서 실행 중인 Windows Server(AD 도메인 컨트롤러로 작동하는)가 필요합니다(이전 버전의 Windows Server도 작동하지만 패스워드 백업과 같은 일부 기능은 2016년 이후 버전이 필요합니다)
• 도메인 컨트롤러는 쓰기 가능해야 합니다, 읽기 전용 도메인 컨트롤러(RODC)는 지원되지 않습니다
• 이상적으로 Azure AD Connect은 전용 도메인 가입 서버에 설치되어야 하지만, 도메인 컨트롤러(Windows Server 2016 이상의 버전과 데스크톱 환경이 필요한 Azure AD Connect V2의 경우)에도 설치할 수 있습니다.
• AD 및 AAD 계정을 사용하여 Azure AD Connect 서버에 로그인해야 합니다. Microsoft는 Azure AD Connect 운영 및 설치 및 구성에 사용되는 계정을 구분합니다.

이 가이드에서는 글로벌 관리자 계정을 Azure AD 테넌트용으로 사용하고 AD 연결성을 위해 AD 엔터프라이즈 관리자 그룹의 구성원을 사용할 예정입니다. 제품 환경에서는 상황에 따라 필요한 권한만 포함하는 전용 계정을 사용하고, 비밀번호를 안전하게 보관해야 합니다. 자세한 내용은 Microsoft의 Azure AD Connect: 계정 및 권한 지원 페이지를 참조하십시오.

Azure AD Connect V2 설치 및 구성

첫 번째로 해야 할 일은 Azure AD Connect 설치 프로그램을 다운로드하는 것입니다. 다음은 진행 방법입니다.

Azure AD Connect 다운로드

• Azure 포털에 로그인합니다
• Azure Active Directory로 이동합니다
• 관리 섹션에서 Azure AD Connect를 선택하고 Azure AD Connect 다운로드를 클릭합니다.

Azure AD Connect 설치 프로그램 실행

다운로드한 후에는 이 설치 프로그램(AzureADConnect.msi)을 우리의 Azure AD Connect 서버(도메인 컨트롤러 또는 전용 서버)에서 실행합니다. 이를 위해 관리자 권한이 필요하므로 프롬프트가 나타나면 예를 선택해야 합니다.

설치 프로그램이 로드되면 Azure AD Connect에 오신 것을 환영합니다 화면이 표시됩니다. 라이선스 약관과 개인정보 공지를 수락한 후 계속을 클릭합니다.

사용자 정의 설정 선택

Express 설정 화면에서 페이지 하단에 있는 사용자 정의 설정을 선택해야 합니다. Express 설정은 많은 환경에 적합할 수 있지만 특정 설정은 사용자 정의 설정 설치를 통해서만 설정할 수 있습니다.

필요한 구성 요소 설치 화면에서는 Azure AD Connect에 영향을 미치는 설정을 사용자 정의할 수 있습니다:

• 사용자 정의 설치 위치 지정
• 기존 SQL Server 사용 (대규모 환경 및 고가용성 요구 사항에 대한)
• 기존 서비스 계정 사용 (환경에서 미리 생성된 계정을 사용해야 할 수 있음)
• 사용자 정의 동기화 그룹 지정 (기본 그룹 대신 자체 로컬 보안 그룹 설정 가능)
• 다른 Azure AD Connect 설치에서 내보낸 동기화 설정 가져오기

선택을 완료하면 설치를 클릭하십시오. 설치 프로그램은 동기화 서비스와 같은 필요한 구성 요소를 설치합니다.

사용자 로그인 구성

잠시 후, 사용자 로그인 화면이 표시됩니다. 다음 옵션 중 하나를 선택할 수 있습니다:

• 비밀번호 해시 동기화 (기본 선택)
• 통과 인증
• AD FS와 연합
• PingFederate와 연합
• 구성하지 않음

사용자를 위해 단일 로그인 활성화도 할 수 있습니다. 원하는 방법을 선택하고 (이 가이드에서는 비밀번호 해시 동기화를 사용합니다) 다음을 클릭하십시오.

Connect to Azure AD 화면에서 이전 섹션의 전제 조건을 확인한 후 Azure AD 계정 자격 증명을 입력하세요. 이 계정으로 이전에 로그인하지 않았다면 암호를 변경하라는 메시지가 표시될 수 있습니다. 또한 계정에 MFA가 활성화되어 있는 경우, 조직에서 설정한 요구 사항을 충족해야 할 수 있습니다.

계속하려면 다음을 클릭하세요.

디렉터리 연결

디렉터리 연결 화면에서 FOREST,  아래에서 디렉터리를 선택하고 디렉터리 추가를 클릭하세요

팝업 창에서 새 계정 만들기 또는 기존 계정 사용 중 하나를 선택하라는 메시지가 나타납니다. 이 계정은 디렉터리 동기화에 사용될 것입니다.

이미 이를 위해 계정을 만들었다면, 해당 계정이 Enterprise Admins 또는 Domain Admins 그룹의 구성원이 아닌지 확인하세요. 이 가이드에서는 새 계정을 만들 것입니다.

구성된 디렉터리 아래에 추가된 디렉터리가 표시됩니다. 요구 사항 또는 상황이 변경된 경우 하나 이상의 추가된 디렉터리를 제거할 수도 있습니다.

작업을 완료하면 다음을 클릭하세요.

Azure AD에서 사용자를 식별하는 방법 선택하기

화면에서 Azure AD 로그인 구성을(를) 보면 추가한 디렉터리의 모든 Active Directory UPN 접미사와 해당하는 Azure AD 도메인 상태를 볼 수 있습니다. 도메인 중 확인되지 않거나 추가되지 않은 것이 있는 경우 테이블 아래의 새로 고침 아이콘을 사용하여 이를 수정하고 화면을 새로 고칠 수 있습니다.

동일한 페이지에서는 사용자 주체 이름(UPN)을 사용자 정의할 수도 있습니다. 이는 Azure AD 사용자 이름으로 사용될 온-프레미스 속성입니다.

중대한 결정을 내려야 합니다. 사용자를 Azure AD에서 어떻게 식별할지에 대한 결정입니다. Active Directory와 달리 Azure AD에서는 중복을 허용하지 않습니다.

엄밀히 말하면 AD도 중복을 허용하지 않지만 이를 실제로 강제하지는 않습니다. AD에 중복된 UPN이 있어도 이를 용납할 수 있지만 Azure AD는 첫 번째 계정만 동기화하고 그 이후의 계정은 무시합니다. 또한 여러 디렉터리에 동일한 사용자 이름이 있을 수 있으며 동일한 제한이 적용됩니다.

만약 이가 해당될 수 있다고 걱정된다면 Azure AD Connect 설정을 시작하기 전에 AD를 idFix를 사용하여 확인할 수 있습니다. 자세한 정보는 Microsoft의 idFix에 관한 GitHub 페이지를 참조하십시오.

일반적으로 userPrincipalName 값을 기본값으로 유지하면 되지만, 특정 상황에 따라 다를 수 있습니다. 라우팅할 수 없는 도메인 이름(일반적으로 .local 또는 .internal)은 UPN을 변경하는 좋은 이유가 될 수 있지만, 대안 UPN 접미사(라우팅 가능함)를 추가함으로써도 이 문제를 해결할 수 있습니다. 이는 Active Directory 도메인 및 신뢰를 통해 처리할 수 있습니다. 

계속하려면 다음을 클릭하세요.

동기화하려는 도메인 및 조직 단위 선택

도메인 및 OU 필터링 화면에서 모든 도메인 및 조직 단위(OUs)를 동기화하거나 동기화할 대상을 직접 지정할 수 있습니다. 일부 OUs는 기능에 필수적이라고 마이크로소프트가 명시하므로 선택해 두는 것이 좋습니다. 마이크로소프트의 조직 단위 기반 필터링에는 해당 OUs에 대한 추가 정보가 포함되어 있습니다.

계속하려면 다음을 클릭하세요.

사용자를 고유하게 식별하는 화면에서 인프라와 가장 일치하는 옵션을 선택하십시오. 이전 섹션과 마찬가지로, 이 부분을 올바르게 설정하는 것이 중요합니다.

기본값이 많은 조직에게 적합할 수 있지만, 귀하의 환경에서는 귀하에게 가장 적합한 값을 식별하기 위해 시간과 노력을 투자해야 할 수도 있습니다. 추가 정보는 Microsoft의 사용자를 고유하게 식별 지원 페이지를 참조하십시오.

준비가 되면 다음을 클릭하여 계속하세요.

Azure AD에 동기화할 사용자 및 장치 선택

사용자 및 장치 필터링 화면에서 Azure AD에 동기화할 사용자 및 장치를 단일 그룹을 지정함으로써 제한할 수 있습니다. 이것은 초기 파일럿 배포를 제한하는 편리한 방법입니다.

이러한 설정은 파일럿을 완료하고 배포의 모든 문제를 해결한 후에 변경할 수 있습니다. 문제가 발생하면 단순히 파일럿 그룹의 이름을 입력하고 해결 버튼을 클릭하면 됩니다.

Microsoft는 이 기능이 제품 배포에 사용되어서는 안 된다고 경고하므로 실제 운영 전에 변경하도록 합니다.

본 안내서에서는 HybridUsers라는 그룹을 생성하고 모든 테스트 사용자를 추가했습니다.

다음을 클릭하여 계속하세요.

조직이 필요로 하는 선택적인 기능 선택

선택적 기능 화면에서는 조직 요구 사항에 고유한 추가 설정을 할 수 있습니다:

• Exchange 하이브리드 배포 (온프레미스 Exchange 및 Exchange Online과 동시 운용을 위함)
• Exchange 메일 퍼블릭 폴더 (온프레미스 Active Directory의 메일 활성화된 퍼블릭 폴더 개체를 Azure AD로 동기화하기 위함)
• Azure AD 앱 및 속성 필터링 (Azure AD로 동기화할 속성을 제한하기 위함)
• 암호 해시 동기화
• 암호 쓰기백 (사용자가 스스로 암호 재설정을 할 수 있게 하는 능력으로, 도움데스크 호출을 줄일 수 있게 함)
• 그룹 쓰기백 (지정된 Azure AD 그룹을 AD로 다시 쓰기 위함)
• 장치 쓰기백 (Azure AD 등록된 장치를 AD로 다시 쓰기 위함)
• 디렉터리 확장 속성 동기화 (사용자 정의 AD 속성을 Azure AD로 동기화하기 위함)

이 가이드에서는 기본값을 유지할 것입니다. 환경에 따라 가장 적합한 설정을 선택하고, 일부는 특정 요구 사항이 있음을 명심하세요. Microsoft는 Optional features support page에서 자세한 정보를 제공합니다.

계속하려면 다음을 클릭하세요.

동기화 프로세스를 시작하기 전에 옵션을 선택하세요

구성 준비 화면에 도착했습니다. 이 화면에서 선택한 내용을 간략하게 검토하고 다음 두 가지 옵션을 설정할 수 있습니다:

이제 Azure AD Connect에서 설정을 배포하고 여러 구성 요소를 설치한 후 AD 및 Azure AD 간의 초기 동기화를 시작합니다. AD의 크기에 따라 시간이 걸릴 수 있습니다.

Azure Active Directory의 관리 섹션에서 사용자를 선택합니다. 선택한 온프레미스(AD) 사용자가 Azure AD로 동기화된 것을 확인하실 수 있습니다. 동기화된 디렉터리 열을 확인하면 계정이 온프레미스 AD에서 동기화되었는지 또는 클라우드(Azure AD)에서 생성된 것인지 쉽게 확인할 수 있습니다.

Azure AD Connect는 하이브리드 ID 설정을 최대한 활용할 수 있도록 도와주는 추가 도구 및 포털을 설치하고 활성화합니다:

이제 Azure AD Connect V2를 설치했고 두 디렉터리가 서로 동기화되어 있는지 확인했으니, 싱글 사인온(SSO) 및 패스스루 인증과 같은 더 고급 사용 사례들을 확인할 시간이 될 수 있습니다. 또한, Microsoft는 새로운 기능을 출시하고 가끔 사용 중인 기능 중 일부를 제거하는 경향이 있으므로 Azure AD Connect의 새로운 버전을 최신 상태로 유지해야 합니다.

관련 기사:

• 현재 지원되는 Azure AD Connect 버전은 무엇인가요?
• 마이크로소프트의 하이브리드 Azure AD Connect 동기화 소프트웨어 사용 방법