디렉터리 동기화를 통해 Office 365에 사용자 프로비저닝 준비

디렉터리 동기화를 통해 사용자를 프로비전하려면 Office 365에서 직접 회사 또는 학교 계정을 단순하게 관리하는 것보다 더 많은 계획과 준비가 필요합니다. 온-프레미스 Active Directory를 Azure Active Directory에 제대로 동기화하려면 추가 계획 및 준비 작업이 필요합니다. 조직에 추가로 제공되는 이점은 다음과 같습니다.

  • 조직에서 관리 프로그램 감소

  • 선택적으로 SSO(Single Sign-On) 시나리오 사용 가능

  • Office 365에서 계정 변경 자동화

디렉터리 동기화의 이점에 대한 자세한 내용은 디렉터리 동기화 로드맵Office 365 ID 및 Azure Active Directory 이해를 참조하세요.

조직에 가장 적합한 시나리오가 무엇인지 확인하려면 디렉터리 통합 도구 비교를 검토하세요.

디렉터리 정리 작업

디렉터리 동기화를 시작하기 전에 디렉터리를 정리해야 합니다.

또한 Azure AD Connect에 의해 Azure Active Directory에 동기화된특성을 검토하세요.

경고: 동기화하기 전에 디렉터리를 정리하지 않으면 배포 프로세스에 상당히 부정적인 영향이 있을 수 있습니다. 디렉터리 동기화, 오류 식별, 재동기화 주기를 진행하려면 몇 일 또는 몇 주가 걸릴 수도 있습니다.

온-프레미스 디렉터리에서 다음 정리 작업을 수행합니다.

  • Office 365 서비스 제공에 할당되는 각 사용자에게 proxyAddresses 특성에서 유효하고 고유한 전자 메일 주소가 있는지 확인합니다.

  • proxyAddresses 특성에서 모든 중복 값을 제거합니다.

  • 가능하다면 Office 365 서비스 제공에 할당되는 각 사용자에게 사용자 user 개체의 userPrincipalName 특성에서 유효하고 고유한 값이 있는지 확인합니다. 최적의 동기화 환경을 위해 온-프레미스 Active Directory UPN이 클라우드 UPN과 일치하는지 확인합니다. 사용자에게 userPrincipalName 특성 값이 없는 경우 user 개체에 sAMAccountName 특성에 대한 유효하고 고유한 값이 있어야 합니다. userPrincipalName 특성에서 모든 중복 값을 제거합니다.

  • GAL(전체 주소 목록)을 가장 적합하게 사용하려면 다음 특성의 정보가 올바른지 확인해야 합니다.

    • givenName

    • surname

    • displayName

    • Job Title

    • 부서

    • Office

    • Office Phone

    • Mobile Phone

    • Fax Number

    • Street Address

    • City

    • State or Province

    • Zip or Postal Code

    • Country or Region

디렉터리 개체 및 특성 준비

온-프레미스 디렉터리와 Office 365 간에 성공적인 디렉터리 동기화를 위해서는 온-프레미스 디렉터리 특성을 올바르게 준비해야 합니다. 예를 들어 Office 365 환경과 동기화되는 특정 특성에 특정 문자를 사용하지 않아야 합니다. 예기치 않은 문자가 있으면 디렉터리 동기화가 실패하지는 않더라도 경고가 나타납니다. 잘못된 문자가 있으면 디렉터리 동기화가 실패할 수 있습니다.

일부 Active Directory 사용자에게 하나 이상의 중복 특성이 있는 경우에도 디렉터리 동기화가 실패합니다. 각 사용자에게는 고유한 특성이 있어야 합니다.

준비해야 할 특성은 다음과 같습니다.

참고: IdFix 도구를 사용해도 이 프로세스가 매우 편리해집니다.

  • displayName

    • 사용자 개체에 이 특성이 있으면 Office 365와 동기화됩니다.

    • 사용자 개체에 이 특성이 있으면 특성에 값이 필요합니다. 즉, 이 특성은 반드시 있어야 합니다.

    • 최대 문자 수: 256

  • givenName

    • 사용자 개체에 이 특성이 있으면 Office 365와 동기화되지만 Office 365에서는 필요하거나 사용하지 않는 특성입니다.

    • 최대 문자 수: 64

  • mail

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

      참고: 값이 중복되는 경우 이 값을 갖는 첫 번째 사용자가 동기화됩니다. 두 번째 사용자는 Office 365에 표시되지 않습니다. 두 사용자를 모두 Office 365에 표시하려면 Office 365에서 두 값 중 하나를 수정하거나 온-프레미스 디렉터리에서 두 값을 모두 수정해야 합니다.

  • mailNickname(Exchange 별칭)

    • 특성 값은 마침표(.)로 시작할 수 없습니다.

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

  • proxyAddresses

    • 여러 값 특성

    • 값당 최대 문자 수: 256

    • 특성 값에는 공백이 없어야 합니다.

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

    • 잘못된 문자: < > ( ) ; , [ ] “

      잘못된 문자는 형식 구분 기호 및 ":"문자 뒤에 적용됩니다. 예를 들어 SMTP:User@contso.com은 허용되지만 SMTP:user:M@contoso.com은 허용되지 않습니다.

      중요: 모든 SMTP(Simple Mail Transfer Protocol) 주소는 전자 메일 메시징 표준을 준수해야 합니다. 중복되거나 원치 않는 주소가 있는 경우 Exchange에서 중복 및 원치 않는 프록시 주소 제거 도움말 항목을 참조하세요.

  • sAMAccountName

    • 최대 문자 수: 20

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

    • 잘못된 문자: [ \ “ | , / : < > + = ; ? * ]

    • 사용자에게 잘못된 sAMAccountName 특성이지만 유효한 userPrincipalName 특성이 있는 경우 Office 365에서 사용자 계정이 만들어집니다.

    • sAMAccountNameuserPrincipalName 모두가 잘못된 경우 온-프레미스 Active DirectoryuserPrincipalName 특성을 업데이트해야 합니다.

  • sn(성)

    • 사용자 개체에 이 특성이 있으면 Office 365와 동기화되지만 Office 365에서는 필요하거나 사용하지 않는 특성입니다.

  • targetAddress

    사용자에 대해 미리 입력된 targetAddress 특성(예: SMTP: tom@contoso.com)이 Office 365 GAL에 표시되어야 합니다. 타사 메시징을 마이그레이션하는 경우에는 이를 위해 온-프레미스 디렉터리에 대한 Office 365 스키마 확장이 필요합니다. Office 365 스키마 확장을 통해 온-프레미스 디렉터리에서 디렉터리 동기화 도구를 사용하여 미리 입력된 Office 365 개체를 관리하는 데 유용한 특성도 추가됩니다. 예를 들어 숨겨진 사서함 또는 메일 그룹을 관리하는 데 사용되는 msExchHideFromAddressLists 특성이 추가됩니다.

    • 최대 문자 수: 256

    • 특성 값에는 공백이 없어야 합니다.

    • 특성 값은 디렉터리 내에서 고유해야 합니다.

    • 잘못된 문자: \ < > ( ) ; , [ ] “

      모든 SMTP(Simple Mail Transfer Protocol) 주소는 전자 메일 메시징 표준을 준수해야 합니다.

  • userPrincipalName

    • userPrincipalName 특성은 사용자 이름 뒤에 @ 기호 및 도메인 이름을 추가하는 인터넷식 로그인 서식이어야 합니다. 예를 들어 user@contoso.com입니다.

      모든 SMTP(Simple Mail Transfer Protocol) 주소는 전자 메일 메시징 표준을 준수해야 합니다.

    • userPrincipalName 특성에 대한 최대 문자 수는 113개입니다. @ 기호의 앞 뒤에는 다음과 같이 특정한 문자 수를 사용할 수 있습니다.

      • @ 기호 앞에 있는 사용자 이름의 최대 문자 수: 64

      • @ 기호 뒤에 오는 도메인 이름의 최대 문자 수: 48

    • 잘못된 문자: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      움라우트도 잘못된 문자입니다.

    • userPrincipalName 값에 @ 문자가 필요합니다.

    • @ 문자는 각 userPrincipalName 값의 첫 번째 문자로 사용될 수 없습니다.

    • 사용자 이름은 마침표(.), 앰퍼샌드(&), 공백 또는 @ 기호로 끝날 수 없습니다.

    • 사용자 이름에는 공백을 포함할 수 없습니다.

    • 라우팅할 수 있는 도메인이 사용되어야 합니다. 예를 들어, 로컬 또는 내부 도메인은 사용할 수 없습니다.

    • 유니코드는 밑줄 문자로 변환됩니다.

    • userPrincipalName은 디렉터리에서 중복 값을 포함할 수 없습니다.

userPrincipalName 특성 준비

Active Directory는 조직의 최종 사용자가 sAMAccountName 또는 userPrincipalName 중 하나를 사용하여 디렉터리에 로그인할 수 있도록 설계되었습니다. 이와 마찬가지로 최종 사용자는 회사 또는 학교 계정 UPN(사용자 계정 이름)을 사용하여 Office 365에 로그인할 수 있습니다. 디렉터리 동기화는 온-프레미스 디렉터리에 있는 동일한 UPN을 사용하여 Azure Active Directory에서 신규 사용자 생성을 시도합니다. UPN은 전자 메일 주소와 동일한 형식을 갖습니다. Office 365에서 UPN은 전자 메일 주소를 생성할 때 사용되는 기본 특성입니다. proxyAddresses에서 userPrincipalName(온-프레미스 및 Azure Active Directory)과 기본 전자 메일 주소가 다른 값으로 설정되는 경우가 많은데, 이 경우 관리자 및 최종 사용자에게 혼동을 줄 수 있습니다.

혼동되지 않도록 이러한 특성을 잘 맞추는 것이 좋습니다. AD FS(Active Directory Federation Services) 2.0와 SSO(Single Sign-On) 요구 사항을 충족하려면 Azure Active Directory 및 온-프레미스 Active Directory의 UPN이 일치하고 유효한 도메인 네임 스페이스를 사용하고 있는지 확인해야 합니다.

AD DS에 대체 UPN 접미사 추가

Office 365 환경과 사용자 기업의 자격 증명을 연결하기 위해 대체 UPN 접미사를 추가해야 할 수도 있습니다. UPN 접미사는 @ 문자의 오른쪽에 있는 UPN의 일부입니다. SSO(Single Sign-On)에 사용되는 UPN은 문자, 숫자, 마침표, 대시, 밑줄을 포함할 수 있지만 다른 형식의 문자를 포함할 수 없습니다.

Active Directory에 대체 UPN 접미사를 추가하는 방법에 대한 자세한 내용은 디렉터리 동기화 준비를 참조하세요.

온-프레미스 UPN과 Office 365 UPN 일치시키기

이미 디렉터리 동기화를 설정한 경우 Office 365용 사용자 UPN은 온프레미스 디렉터리 서비스에 정의한 사용자의 온-프레미스 UPN과 일치하지 않습니다. 이는 도메인을 확인하기 전에 사용자를 라이선스에 할당할 때 발생할 수 있습니다. 이 문제를 해결하려면 중복된 UPN을 수정하기 위해 PowerShell을 사용하여 Office 365 UPN이 회사 사용자 이름 및 도메인과 일치하도록 사용자 UPN을 업데이트합니다. 온-프레미스 디렉터리 서비스에서 UPN을 업데이트하고 Azure Active Directory ID와 동기화하려면 온-프레미스를 변경하기 전에 Office 365에서 사용자의 라이선스를 제거해야 합니다.

디렉터리 동기화를 위해 라우팅할 수 없는 도메인(예: .local 도메인)을 준비하는 방법도 참조하세요.

디렉터리 통합 도구

디렉터리 동기화는 온-프레미스 Active Directory 환경에서 Office 365 디렉터리 인프라인 Azure Active Directory로 디렉터리 개체(사용자, 그룹 및 연락처)를 동기화하는 작업입니다. 사용할 수 있는 도구 및 기능 목록은 디렉터리 통합 도구를 참조하세요. 권장되는 도구는 Microsoft Azure Active Directory Connect입니다. Azure Active Directory Connect에 대한 자세한 내용은 Azure Active Directory와 온-프레미스 디렉터리 통합을 참조하세요.

사용자 계정이 처음으로 Office 365 디렉터리와 동기화되는 경우 정품 인증이 되지 않은 것으로 표시됩니다. 그러면 전자 메일을 보내거나 받을 수 없으며 구독 라이선스를 사용하지 않습니다. 특정 사용자에 대해 Office 365 구독을 할당할 준비가 되면 유효한 라이선스 할당을 통해 구독을 선택하고 정품 인증을 해야 합니다.

또한 PowerShell을 사용하여 라이선스를 할당할 수 있습니다. 자동화된 솔루션에 대해 알아 보려면 PowerShell을 사용하여 Office 365 사용자에 라이선스를 자동으로 할당하는 방법을 참조하세요.

관련 항목

온-프레미스 환경과 Office 365 통합
Office 365의 디렉터리 동기화 문제 해결

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×