콘텐츠로 이동

Active Directory를 사용하여 동기화 설정

사용자, 장치, 그룹을 동기화할 수 있습니다. 공용 폴더 및 사서함을 동기화할 수도 있습니다.

동일한 포리스트에 있는 다른 도메인을 동기화할 수 있습니다. 단일 포리스트 내에서 여러 개의 자식 도메인을 선택할 수 있습니다.

또한 다음 작업을 수행할 수 있습니다.

  • Active Directory(AD)에서 장치 및 장치 그룹을 동기화하고 동일한 도메인에 대해 Microsoft Azure AD(Azure AD)에서 사용자 및 사용자 그룹을 동기화합니다.

    경고

    공유 사서함 및 공용 폴더를 동기화하려면 공유 사서함 및 공용 폴더와 동일한 도메인에 있는 사용자와 사용자 그룹도 AD를 사용하여 동기화해야 합니다.

  • 다른 도메인에 대해 AD 및 Azure AD에서 동기화합니다.

Active Directory 동기화 설정

AD와 동기화하려면 Active Directory 동기화 설정을 다운로드하고 설치해야 합니다(나중에 설치 및 다운로드하는 방법에 대해 설명). Active Directory Synchronization Setup은 다음과 같이 작동합니다.

  • 활성 사용자 및 사용자 그룹을 동기화합니다.

    기존 사용자 또는 그룹이 기존 Sophos Central 사용자 또는 그룹과 일치하면 이들을 복제하지 않습니다. 예를 들어, AD의 이메일 주소를 Sophos Central의 기존 사용자에게 추가할 수 있습니다.

  • 장치 및 장치 그룹을 동기화합니다. 장치 및 그룹과 다른 유용한 정보를 일치시키는 방법에 대한 정보는 장치 그룹 검색 FAQ에서 확인할 수 있습니다.

  • 공유 사서함과 공용 폴더를 동기화합니다.

설정된 시간에 자동으로 실행되도록 설정할 수 있습니다. AD 동기화 서비스만 지원합니다. 이는 사용자의 장치에 Sophos 에이전트 소프트웨어를 설치하는 데는 도움이 되지 않습니다. 다른 배포 방법을 사용합니다.

AD와의 동기화를 설정하기 전에 다음 섹션을 읽고 필요한 작업을 완료해야 합니다.

  • 요구 사항
  • 제한 사항
  • 비활성 사용자 및 장치 제거

이 작업을 이미 완료했으면 설치 소프트웨어 다운로드 및 자격 증명의 유효성 검사로 이동하십시오.

요구 사항

동기화를 설정하기 전에 다음을 확인해야 합니다.

  • 디렉터리 원본을 설정하려면 관리자여야 합니다.
  • Active Directory 동기화 설정을 실행할 컴퓨터에 .NET Framework 4.5.2가 설치되어 있어야 합니다.
  • AD와 동기화하려면 Sophos API 자격 증명이 있어야 합니다. 동기화를 설정하거나 기존 구성을 변경하거나 동기화하기 전에 이러한 항목이 있어야 합니다.

    서비스 주체 Active Directory 동기화 API 역할을 사용해야 합니다. 가능한 한 구체적인 액세스 권한을 항상 유지해야 합니다.

    API 자격 증명 관리을 참조하십시오.

  • 모든 Active Directory 사용자에게 이메일 주소가 있는지 확인해야 합니다.

    많은 수의 Sophos Central 워크플로를 사용할 때 사용자를 보호하려면 해당 사용자의 이메일 주소가 필요합니다.

    예를 들어 Sophos Email을 사용하여 사용자를 보호하는 경우 사용자와 연결되지 않은 이메일 주소로 전송되는 이메일은 배달되지 않습니다.

  • 일부 도메인을 허용하려면 방화벽이나 프록시를 설정해야 합니다. 허용할 도메인 및 포트을 참조하십시오.

제한 사항

다음 작업을 수행할 수 없습니다.

  • 동일한 도메인에서 AD 및 Azure AD를 둘 다 사용하여 사용자 및 사용자 그룹을 동기화합니다.
  • 여러 AD 포리스트를 Sophos Central Admin 계정과 동기화합니다.
  • Sophos Central Admin 계정에 대해 둘 이상의 Active Directory 동기화 설정의 복사본을 사용합니다.
  • Sophos Central Admin 계정에서 AD에 대해 둘 이상의 동기화 옵션 집합을 설정합니다.

비활성 사용자 및 장치 제거

AD 도메인에서 비활성 사용자와 장치를 제거하는 것이 좋습니다. 비활성 사용자 계정과 장치에는 보안 위험이 있습니다. 이렇게 하면 AD에서 Sophos Central로 전송되는 파일의 크기도 줄여 동기화 속도를 높입니다.

다음과 같이 비활성 사용자를 찾고 제거하는 방법에 대한 도움말을 찾을 수 있습니다.

AD 필터를 사용하여 비활성 사용자가 Sophos Central과 동기화되지 않도록 할 수 있습니다. 이렇게 하면 Sophos Central로 전송된 동기화 파일의 크기가 줄어들 수 있지만, AD 도메인의 비활성 사용자와 관련된 보안 위험은 완화되지 않습니다.

비활성 AD 사용자 필터링을 참조하십시오.

설치 소프트웨어 다운로드 및 자격 증명의 유효성 검사

AD와의 동기화 설정을 시작하려면 Active Directory 동기화 설정을 다운로드하고 자격 증명의 유효성을 확인해야 합니다.

이 지침에서는 AD와의 동기화를 설정하는 방법을 알려줍니다. 이렇게 하면 AD 디렉터리 원본이 추가됩니다. 디렉터리 원본 관리에 대한 도움말은 원본 관리를 참조하십시오.

설정을 시작하려면 다음과 같이 하십시오.

  1. 개요 > 전역 설정 > 디렉터리 서비스로 이동합니다.
  2. 링크를 클릭하여 Active Directory Synchronization Setup을 다운로드합니다. 그런 다음 실행합니다. Active Directory 동기화 설정이 시작됩니다.
  3. 클라이언트 ID클라이언트 암호를 입력하고 자격 증명 유효성 검사를 클릭합니다.
  4. 프록시를 사용하려면 수동으로 프록시 구성을 켜고 프록시 주소를 입력합니다.
  5. 프록시를 사용하는 경우 추가 인증을 켤 수 있습니다. 프록시 인증 활성화를 켜고 다음 정보를 입력합니다.

    • 프록시 사용자
    • 프록시 암호
  6. 자격 증명 유효성 검사를 클릭하여 프록시 설정을 확인합니다.

그런 다음, AD 구성 세부 정보를 입력해야 합니다.

이제 AD 구성 세부 정보를 입력할 수 있습니다. 동기화할 전체 Active Directory 포리스트에 대한 읽기 권한이 있는 사용자 계정에 자격 증명을 사용해야 합니다. 보안을 유지하려면 권한이 제한된 계정을 사용하십시오.

구성을 입력하려면 다음을 수행하십시오.

  1. AD 구성 페이지에서 Active Directory LDAP 서버 및 자격 증명에 대한 세부 정보를 입력합니다.

    SSL을 사용하여 암호화된 보안 LDAP 연결을 사용하고 SSL 연결을 통한 LDAP 사용(권장) 확인란을 켜진 상태로 두는 것이 좋습니다.

  2. 그러나 LDAP 환경이 SSL을 지원하지 않으면 SSL 연결을 통한 LDAP 사용(권장) 확인란을 끄고 포트 번호를 변경하십시오. 일반적으로 포트 번호는 SSL 연결의 경우 636, 비보안 연결의 경우 389입니다.

    Microsoft는 Active Directory에 대한 LDAP 채널 바인딩 및 LDAP 서명을 변경한 보안 업데이트를 릴리스했습니다. 포트 389의 보안되지 않은 연결은 Microsoft 보안 업데이트와 함께 작동하지 않습니다. Windows에 대한 2020 LDAP 채널 바인딩 및 LDAP 서명 요구 사항을 참조하십시오.

다음으로, 동기화 옵션을 설정해야 합니다. 이렇게 하려면 다음을 클릭하고 나머지 탭을 사용하여 동기화를 설정합니다.

설정을 마치면 아무 탭에서나 마침을 클릭할 수 있습니다.

동기화 옵션 설정

이제 AD에서 Sophos Central로 정보를 동기화하는 데 사용할 필터를 설정할 수 있습니다.

제한

일부 기능은 아직 모든 고객에게 제공되지 않을 수도 있습니다.

Active Directory 동기화 설정을 사용하여 동기화할 데이터 유형을 선택할 수 있습니다.

LDAP 필터를 구성하여 동기화할 데이터 형식을 선택합니다.

다양한 데이터 형식 동기화에 대한 구체적인 도움말은 다음을 참조하십시오.

  • 장치 및 장치 그룹
  • 사용자 및 사용자 그룹
  • 공용 폴더 데이터를 필터링하려면 다음과 같이 하십시오.
  • AD 필터 탭에서 LDAP 필터를 구성하여 동기화할 사용자, 장치 및 그룹을 선택합니다.

    각 도메인별로 추가 검색 옵션(예: 검색 기반 및 LDAP 쿼리 필터)을 입력할 수도 있습니다. 또한 사용자 및 사용자 그룹에 대해 별도의 옵션을 지정할 수 있습니다.

    참고

    동기화는 그룹 필터 설정에 관계없이 검색된 사용자 또는 장치가 있는 그룹만 생성합니다.

    옵션 설명
    검색 기반 검색 기반을 지정할 수 있습니다(“기본 고유 이름”이라고도 함). 예를 들어, OU(조직 단위)를 기준으로 필터링하려면 다음 형식으로 검색 기반을 지정하면 됩니다.

    OU=Finance,DC=myCompany,DC=com

    LDAP 쿼리 필터 사용자를 그룹 회원 자격 기준으로 필터링하기 위해 사용자 쿼리 필터를 다음 형식으로 정의할 수 있습니다.

    memberOf=CN=testGroup, DC=myCompany, DC=com

    이 쿼리는 사용자 검색을 “testGroup”에 속한 사용자로 제한합니다. 그룹 쿼리 필터를 지정하지 않으면 동기화에서 검색된 사용자가 속한 모든 그룹을 검색합니다. 그룹 검색도 “testGroup”으로 제한하려면 다음 그룹 쿼리 필터를 정의하면 됩니다.

    CN=testGroup

    이 필터를 사용하여 비활성 사용자가 Sophos Central과 동기화하지 못하도록 할 수도 있습니다.

    비활성화된 사용자 계정 제외 동기화는 기본적으로 비활성화된 사용자 계정을 제외합니다. 이를 포함하려면 이 옵션을 끄십시오.

    경고

    검색 옵션에 기본 고유 이름을 포함하거나 필터 설정을 변경하면 이전 동기화 중에 생성된 기존 Sophos Central 사용자 및 그룹의 일부가 검색 범위 밖으로 밀려날 수 있습니다. Sophos Central에서 삭제할 수 있습니다.

이제 동기화 일정을 설정할 수 있습니다. 동기화 일정을 참조하십시오.

장치 및 장치 그룹

장치 및 장치 그룹을 동기화하려면 다음과 같이 하십시오.

  1. AD 필터를 클릭합니다.
  2. 장치 동기화조직 구성 단위 동기화를 켭니다.
  3. 미리 그룹을 구성할 수 있도록 장치를 동기화하기 전에 조직 단위를 동기화하고자 할 수 있습니다. 이렇게 하려면 조직 단위 동기화만 켜십시오.

    처음으로 장치를 동기화하는 경우 그 전에 먼저 조직 단위를 동기화하는 것이 좋습니다. 이렇게 하면 정책을 설정하고 그룹에 적용할 수 있습니다. 그런 다음 장치를 동기화할 수 있으며 장치에 정책을 적용할 수 있습니다. 사용자가 그룹 및 장치에 정책을 적용하지 않으면 당사가 기본 정책을 적용합니다.

    장치를 동기화하기 전에 조직 단위를 동기화할 경우, 장치를 동기화할 때 장치 동기화조직 단위 동기화를 켜야 합니다. 이렇게 하면 조직 단위와 장치 간의 연결이 유지됩니다.

    조직 단위와 장치를 동기화한 후 이러한 설정을 변경하려면 다음 사항을 알아야 합니다.

    • 조직 단위 동기화를 끄고 장치 동기화를 켠 상태로 둔 후 동기화할 경우, 조직 단위가 Sophos Central에서 사용자 지정 그룹으로 표시됩니다.
    • 장치 동기화를 끄고 조직 단위 동기화를 켠 상태로 둔 후 동기화하면 장치가 Sophos Central의 그룹에 할당되지 않습니다.

사용자 및 사용자 그룹

사용자와 사용자 그룹을 동기화하려면 다음과 같이 하십시오.

  1. AD 필터를 클릭합니다.
  2. 사용자 및 사용자 그룹 동기화를 켭니다.

    이 옵션은 공유 사서함도 동기화합니다.

    대신 Azure AD를 사용하여 사용자 및 사용자 그룹을 동기화할 수 있습니다. 이렇게 하려면 이 옵션을 해제하면 됩니다.

    이 옵션을 해제하면 공유 사서함이나 공용 폴더를 동기화할 수 없습니다.

공용 폴더

공용 폴더를 동기화하려면 다음과 같이 하십시오.

  1. AD 필터를 클릭합니다.
  2. 사용자 및 사용자 그룹 동기화를 켭니다.

    공용 폴더는 사서함이므로 이 옵션을 켜야 합니다.

  3. 공용 폴더 동기화를 켭니다.

    Active Directory 동기화 옵션

동기화 일정

동기화 일정을 설정하려면 다음과 같이 하십시오.

  1. 동기화 일정 탭에서 동기화를 수행할 시간을 정의합니다.

    Active Directory 예약 옵션

    참고

    백그라운드 서비스는 예약된 동기화를 수행합니다.

  2. 수동으로 동기화하고 동기화가 자동 실행되지 않도록 하려면 안 함을 클릭합니다. 수동으로 시작한 경우에만 동기화하십시오.

이제 AD와 동기화할 수 있습니다.

동기화를 설정하거나 설정을 변경할 때 AD와 수동으로 동기화하는 것이 좋습니다. 그러면 동기화 중에 변경될 사항을 확인할 수 있습니다.

동기화하려면 다음과 같이 하십시오.

  1. 미리 보기 및 동기화를 클릭합니다.

    • LDAP 쿼리 필터를 사용하는 경우 이 필터를 적절하게 구성했는지 확인합니다.
  2. 동기화 중에 변경될 사항을 검토합니다. 변경 사항에 만족하면 변경 사항 승인 및 계속을 클릭합니다. 사용자, 장치 및 그룹을 AD에서 Sophos Central로 가져옵니다.

  3. Sophos Central에서 사용자, 장치 및 그룹을 검토합니다.

    • 사용자의 장치가 보호되고 있는지 확인합니다.
    • 사용자 및 사용자 그룹에 적용된 정책을 확인합니다.
    • 컴퓨터 및 서버에서 관리되지 않는 장치를 확인합니다. 이 항목은 별도의 탭에 표시됩니다. 관리되지 않는 장치를 보호합니다.
    • 장치 및 장치 그룹에 적용된 정책을 확인합니다. AD 장치 그룹에 정책을 적용할 수 있습니다.

Active Directory 동기화 서버 이동

사용 중인 서버를 이동하여 AD와 동기화하려면 다음과 같이 하십시오.

  1. 현재 서버에서 동기화를 중지합니다.
  2. Active Directory 동기화를 새 서버에 설정합니다.

    이에 대한 도움이 필요한 경우 이 페이지의 이전 섹션에 제공된 지침을 따르십시오.

  3. 필터를 변경할 필요가 없는지 확인합니다.

  4. 동기화 미리 보기를 통해 설정이 올바른지 확인합니다.
  5. 동기화하고 모든 것이 예상대로 작동하는지 확인합니다.
  6. 동기화 일정을 설정합니다.
  7. 원래 서버에서 Active Directory 동기화를 제거합니다.
맨위로