Configure cross-tenant synchronization
기업간의 M&A나 관계사, 그룹사와 같이 어떠한 이유에 의해서 하나의 테넌트는 사용하지 못하지만, 서로의 주소록(GAL)을 동기화하길 원하는 니즈는 항상 있었습니다.
Exchange Server와 같은 On-Premise를 기반으로 Microsoft Identity Manager(MIM)과 같은 서버를 구성하여 AD 간에 개체를 생성하여 주소록을 동기화할 수 있습니다. 혹은 인사 연동 솔루션으로 구현하기도 합니다.
MIM이나 인사연동 솔루션을 도입하기에는 사실 너무 비용이 많이 발생하고, 그것을 관리하기 위한 지식도 필요하기 때문에 매우 부담스럽습니다.
최근에 Cross-tenant Synchronization(테넌트간 동기화) 기능으로 주소록 동기화가 가능해 졌습니다. 정확하게는 Guest를 자동으로 초대하는 기능입니다.
아래의 기술자료를 기준으로 글을 작성하였습니다.
Configure cross-tenant synchronization - Microsoft Entra ID | Microsoft Learn
Source Tenant와 Target Tenant를 구분해서 설정을 진행합니다.
Step 1: Plan your provisioning deployment
우선 Source Tenant와 Target Tenant 정보를 수집합니다.
Source Tenant
Domain: Contoso.kr
Tenant ID: a0c898ca-2445-4e74-ab4b-afd7916549a6
Target Tenant
Domain: fabrikam.kr
Tenant ID: afab079d-1f08-4de3-881e-435e497f923f
Step 2: Enable user synchronization in the target tenant
Entra Admin Center -> External Identities -> Cross-tenant access settings -> Organizational settings -> Add organization
Source Tenant ID 정보를 입력합니다. -> Add
Inbound access -> Inherited from default
Allow users sync into this tenant -> Check
Step 3: Automatically redeem invitations in the target tenant
Trust settings -> Automatically redeem invitations with the tenant [Tenant Name] -> Check -> Save
Step 4: Automatically redeem invitations in the source tenant
Entra Admin Center -> External Identities -> Cross-tenant access settings
Add organization
Target Tenant ID 입력 -> Add
Outbound access -> Inherited from default
Trust settings -> Automatically redeem invitations with the tenant Fabrikam -> Check -> Save
Step 5: Create a configuration in the source tenant
Cross-tenant synchronization
Configurations -> New configuration
설정 이름 지정 -> Create
Step 6: Test the connection to the target tenant
Get started
Provisioning Mode: Automatic -> Admin Credentials -> Tenant Id: Target Tenant ID -> Test Connection -> Save
Step 7: Define who is in scope for provisioning (Source Tenant)
Provisioning -> Settings -> Scope 확인 -> Sync only assinged users and groups: 특정 사용자나 그룹만 지정하여 동기화는 것을 의미합니다.
Users and groups -> Add user/group
None Selected
대상 지정 -> Select -> Assign
Step 9: Review attribute mappings
만약 여러가지 이유로 인하여 특정 속성은 동기화되지 않기 원한다면 다음과 같이 진행합니다.
Provisioning -> Mappings -> Provision Microsoft Entra ID Users
필수 항목을 제외하면 일부항목은 제거할 수 있습니다.
Step 12: Start the provisioning job
기술자료 상에서 나머지 Step은 당장은 필요하지 않아서 바로 Step 12로 넘어왔습니다.
Start provisioning
Target Tenant -> Entra admin center -> Users -> All Users
게스트 형태로 아래와 같이 추가되는 것을 확인할 수 있습니다.
Exchange Admin Center에서도 아래와 같이 확인할 수 있습니다.
주소록에서도 아래와 같이 확인할 수 있습니다.
테넌트간 동기화 설정은 아래와 같이 Source Tenant에서 Outbound 설정, Target Tenant에서 Inbound 설정을 진행하여 Guest 계정 형태로 동기화 하는 방식으로 진행됩니다. Guest 계정은 Mail User 속성을 가지고 있기 때문에 주소록에서 확인할 수 있습니다.