Taylor 365
[Microsoft365] CloudPasswordPolicyForPasswordSyncedUsersEnabled 활성화를 통해 동기화된 계정에 Entra 암호 만료 정책 적용 본문
[Microsoft365] CloudPasswordPolicyForPasswordSyncedUsersEnabled 활성화를 통해 동기화된 계정에 Entra 암호 만료 정책 적용
TaylorAn 2024. 8. 9. 17:09이번 포스팅은 CloudPasswordPolicyForPasswordSyncedUsersEnabled 활성화를 통해 PHS 방식으로 동기화된 계정들에 대해 Microsoft Entra 암호 만료 정책을 함께 적용하는 방법에 대해 안내합니다.
※ 관리자는 현 조직 환경에서 이 기능을 필수로 요구하는 상황이 존재하는지 충분히 검토 및 고려 후에 적용하는 것을 권합니다.
이 기능을 활성화 하려면 PHS 방식으로 계정을 동기화하는 환경이어야 합니다.
CloudPasswordPolicyForPasswordSyncedUsersEnabled 내용을 확인하기 전에, PHS(password hash synchronization) 암호 해시 동기화 작동 방식과 PHS 동기화 방식의 이점에 대해 필수로 이해해야 합니다.
Implement password hash synchronization with Microsoft Entra Connect Sync - Microsoft Entra ID
Provides information about how password hash synchronization works and how to set up.
learn.microsoft.com
- 암호 해시 동기화는 하이브리드 ID를 달성하는 데 사용되는 로그인 방법 중 하나입니다. Microsoft Entra Connect는 온프레미스 Active Directory 인스턴스의 사용자 비밀번호 해시를 클라우드 기반 Microsoft Entra 인스턴스와 동기화합니다.
- 온프레미스 비밀번호를 변경하면 업데이트된 비밀번호가 동기화되며, 대부분 몇 분 내에 동기화 됩니다.
- 암호 해시 동기화 프로세스는 2분마다 실행되며, 이 프로세스의 빈도는 수정할 수 없습니다.
- 비밀번호 동기화는 현재 로그인되어 있는 사용자에게 영향을 미치지 않습니다.
- 클라우드 서비스에 로그인되어 있는 동안 발생하는 동기화된 비밀번호 변경은 현재 로그인된 클라우드 서비스 세션에 즉시 영향을 주지 않습니다. 단, 클라우드 서비스에서 다시 인증을 요구하는 경우 새 비밀번호를 제공하도록 합니다.
- On-premise 환경에서 만료된 동기화된 암호를 사용하여 클라우드 서비스에 계속 로그인할 수 있습니다. 클라우드 암호는 온-프레미스 환경에서 다음에 암호를 변경할 때 업데이트됩니다. etc...
그럼 CloudPasswordPolicyForPasswordSyncedUsersEnabled는 뭘까요?
CloudPasswordPolicyForPasswordSyncedUsersEnabled 기능은 간단히 말해, 기본적으로 AD 암호 정책(정확히는 복잡성, 만료 정책)을 가져가는 PHS 방식으로 동기화된 계정에 Microsoft Entra 암호 만료 정책도 준수하도록 적용시키는 것입니다.
단순한 예로, AD 암호 만료 정책에 따라 암호가 만료된 계정으로 조인된 PC에서 로그인 시 암호가 만료되어 업데이트하라는 화면이 나타나며 즉시 로그인이 불가능해집니다.
하지만 PHS 동기화 방식으로 동기화된 계정은 클라우드에 암호 해시가 동기화되어 클라우드 상에서 기존 암호로 계속 로그인할 수 있습니다. 이러한 상황에서 AD 암호 만료 정책 기간과 동일하게 클라우드 서비스에서도 암호를 업데이트하도록 Microsoft Entra 암호 만료 정책을 적용하는 것입니다.
CloudPasswordPolicyForPasswordSyncedUsersEnabled 활성화에 앞서, 위 기능과 관련된 중요/주의 사항을 먼저 안내합니다.
|
위 내용 숙지 후 적용이 필요한 경우 아래 내용과 같이 진행합니다.
- PowerShell 관리자 권한으로 실행 후 아래 명령어 입력
- Install-Module Microsoft.Graph / 필요 시 Install-Module Microsoft.Graph.Beta
- Connect-MGGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
- 현 기능 상태 확인
- (Get-MgDirectoryOnPremiseSynchronization -Property Configuration).Configuration | FL
- (Get-MgDirectoryOnPremiseSynchronization -Property Configuration).Configuration.AccidentalDeletionPrevention | FL
- (Get-MgDirectoryOnPremiseSynchronization -Property Features).Features | FL
- 이 내용은 Graph Explorer에서도 확인 가능합니다.
2. CloudPasswordPolicyForPasswordSyncedUsersEnabled 기능 활성화
|
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
|
3. 기능 활성화 여부 확인 (True 상태)
4. CloudPasswordPolicyForPasswordSyncedUsersEnabled 기능 활성화 이후 다음 번에 AD 에서 암호를 변경한 사용자의 PasswordPolicies 속성 확인
Get-MgUser -UserId b4e2c8ea-a925-4d8f-bd6b-03b5bb7a8fe5 -Property PasswordPolicies).PasswordPolicies
-
- Only Cloud 사용자는 None
- 기능 활성화 이후 PHS 방식으로 동기화된 계정이 암호를 변경한 이력이 없으면 DisabledPasswordExpiration
- 기능 활성화 이후 PHS 방식으로 동기화된 계정이 암호를 변경한 이력이 있으면 None
5. 이후 암호 만료된 계정에 대한 동작 확인 시 클라우드 상에서도 PHS 방식으로 동기화된 계정으로 로그인 시 업데이트를 요구하는 것을 볼 수 있습니다.
위 기능을 활성화 하면 클라우드에서도 암호를 업데이트해야하는 요구 사항이 생길 수 있으니 Writeback 기능을 통한 SSPR 활성화도 함께 고려가 필요합니다.
마지막으로... 위 기능은 동기화 방식을 정 변경하지 못하는 환경이거나 운영 상 문제되는 부분이 없을지 충분히 고려 후 적용하는 것을 권합니다.
이상입니다.
