Microsoft Cloud Service/Identity

AADC Password WriteBack 설정하기

o959 2024. 7. 22. 14:44
반응형

AADC Password WriteBack 설정하기

 

AADC Password WriteBack 설정을 진행해보려고 해요

쉽게 생각하면 기존 On-Premise 에서 만든 AD 계정을 M365로 패스워드를 동기화 하는 것과 반대로

M365에서 패스워드를 변경해도 반대로 On-Premise AD로 동기화 된다고 생각하면 됩니다

 

설정해보니 설정방법은 어렵지 않습니다!

 

 

 

Password Writeback 라이선스 필요 사항

 

Microsoft Entra ID P1 이상의 라이선스가 필요해요

 

 

Microsoft Entra Connect에 대한 계정 권한 구성

 

Password WriteBack 기능을 제대로 사용하기 위해선 Microsoft Entra Connect에 사용한 계정의

권한을 구성해야 해요 저의 경우 AD Domain Admin 계정으로 진행했었습니다.

 

아래 4개의 권한을 구성해줘야 합니다

 

Reset password
Change password
Write permissions on lockoutTime
Write permissions on pwdLastSet

 

 

 

Active Directory 서버에 접속해주세요

 

AD 사용자 및 컴퓨터 실행

 

View 메뉴 - Advanced Features를 클릭해서 활성화 해주세요

 

 

권한 설정 진행

 

도메인 이름을 우 클릭하고 Properties를 클릭해주세요

Security 탭에서 Advanced를 클릭해주세요

 

 

 

권한 설정 진행

 

Principal에 AADC에 사용한 계정을 검색합니다

Apply to 상태를 "Descendant User objects" 로 변경해줍니다

그리고 Reset password, Write lockoutTime, Write pwdLastSet 3개의 권한을 추가해주세요

 

 

 

권한 설정 진행

 

 

 

 

 

 

 

 

 

 

 

 

동일하게 Principal에 AADC에 사용한 계정을 검색해서 입력하고

Apply to 상태는 "This object and all descendant objects"로 변경해줍니다

그리고 Unexpire Password 권한을 추가해주세요

 

 

그리고 Password Rewrite는 On-Premise의 암호 보안 정책을 준수하므로

효율적으로 사용하기 위해 최소 암호 사용기간을 0으로 변경하길 권장하고 있습니다

 

 

최소 패스워드 사용 기간 정책

 

최소 패스워드 사용 기간을 없애버렸어요

 

 

 

Microsoft Entra Connect Password Writeback 사용 설정

 

Microsoft Entra Connect 서버에 로그인하고 Microsoft Entra Connect 구성 마법사를 시작해주세요

 

 

Password Writeback 설정

 

 

 

이제 그럼 여기까지 해서 Password writeBack 의 기본 설정은 진행이 완료 되었어요

실제로 한번 테스트 해보려고 해요

 

 

Password writeback 테스트

 

테스트 할 계정

 

해당 계정을 테스트 용도로 사용하려고 해요

 

관리자 계정으로 EntraID 에서 사용자 패스워드를 초기화 후 변경하면 On-Premise AD에도 업데이트가 되는지

확인해보려고 합니다

 

On-Premise AD에서 패스워드가 잘 되었는지 확인하는 방법은 runas 명령어를 이용하면 될 것 같아요

 

 

 

Entra ID에서 패스워드 재설정

 

Entra ID에서 패스워드 재설정을 해줬어요

 

 

 

로그온 테스트

 

현재 임시패스워드로 로그인하여 비밀번호를 변경했어요

(해당 프로세스는 EntraID의 SSPR을 따릅니다, SSPR 기능이 설정되어야 합니다)

 

여담이지만, M365 관리센터에서 비밀번호 초기화는 SSPR 기능을 이용하지 않아

Password writeBack이 되지 않았었습니다

 

당연하게 Microsoft365 에서는 패스워드 변경이 잘 된것으로 볼 수 있겠죠?

 

그리고 On-Premise AD 서버에서 변경된 패스워드를 이용하여 Runas로 notepad.exe를 실행해보니

실행은 되지만 해당 계정이 관리자 계정이 아니라 권한이 없다는 내용이 나옵니다

즉, 정상적으로 패스워드가 동기화가 된것으로 보입니다!

(패스워드가 다르면 패스워드가 다르다는 메시지가 출력됩니다)

 

이렇게해서 테스트는 정상적으로 된것으로 보이네요

 

 

반응형