Microsoft Entra Connect 동기화: 기본 구성 변경

아티클
11/30/2023

이 문서의 목적은 Microsoft Entra Connect 동기화에서 기본 구성 변경 방법을 안내하는 것입니다. 몇 가지 일반적인 시나리오를 위한 단계를 제공합니다. 이러한 지식을 바탕으로 사용자의 고유한 비즈니스 규칙에 따라 자체 구성에 대해 간단한 내용을 변경할 수 있습니다.

Warning

기본 동기화 규칙을 변경하는 경우 다음번에 Microsoft Entra Connect가 업데이트될 때 이러한 변경 내용이 덮어써지므로 예기치 않거나 원치 않은 동기화 결과가 발생하게 됩니다.

기본 동기화 규칙에는 지문이 포함되어 있습니다. 이들 규칙을 변경하면 지문이 더 이상 일치하지 않습니다. 나중에 Microsoft Entra Connect의 새 릴리스를 적용할 때 문제가 될 수 있습니다. 이 문서에 유일하게 변경하는 방법이 설명되어 있습니다.

동기화 규칙 편집기

동기화 규칙 편집기는 기본 구성을 확인하고 변경하는 데 사용됩니다. Microsoft Entra Connect 그룹 아래에 있는 시작 메뉴에서 찾을 수 있습니다.
Start menu with Sync Rule Editor

편집기를 열면 기본 규칙이 나타납니다.

Sync Rule Editor

편집기에서 탐색

편집기 맨 위에 있는 드롭다운 메뉴를 사용하여 특정 규칙을 빠르게 찾을 수 있습니다. 예를 들어 proxyAddresses 특성을 포함하는 규칙을 보려는 경우 드롭다운을 다음과 같이 변경할 수 있습니다.
SRE filtering
필터링을 다시 설정하고 새로운 구성을 로드하려면 키보드에서 F5를 누릅니다.

오른쪽 상단에 새 규칙 추가 단추가 있습니다. 이 단추를 사용하여 사용자 지정 규칙을 만듭니다.

아래에는 선택된 동기화 규칙에 대한 작업을 수행하는 단추가 있습니다. 편집 및 삭제 단추를 누르면 해당 작업이 수행됩니다. 내보내기는 동기화 규칙을 다시 만들기 위한 PowerShell 스크립트를 생성합니다. 이 절차를 통해 동기화 규칙을 한 서버에서 다른 서버로 이동할 수 있습니다.

첫 번째 사용자 지정 규칙 만들기

가장 일반적인 변경은 특성 흐름을 변경하는 것입니다. 원본 디렉터리의 데이터는 Microsoft Entra ID에서와 같지 않을 수도 있습니다. 이 섹션의 예제에서는 지정된 사용자의 이름이 항상 적절한 대/소문자로 표시되는지 확인합니다.

스케줄러 사용 안 함

스케줄러 는 기본적으로 30분마다 실행됩니다. 변경을 수행하고 새 규칙의 문제를 해결하는 동안 스케줄러가 시작되지 않도록 합니다. 스케줄러를 일시적으로 사용하지 않으려면 PowerShell을 시작하고 Set-ADSyncScheduler -SyncCycleEnabled $false를 실행합니다.

Disable the scheduler

규칙 만들기

새 규칙 추가를 클릭합니다.
설명 페이지에서 다음을 입력합니다.
- 이름: 규칙에 설명이 포함된 이름을 지정합니다.
- 설명: 다른 사용자가 어떤 규칙인지 이해할 수 있도록 하기 위한 간단한 설명을 입력합니다.
- 연결된 시스템: 개체를 찾을 수 있는 시스템입니다. 이 경우 Active Directory Connector를 선택합니다.
- 연결된 시스템/메타 버스 개체 유형: 사용자와 사람을 각각 선택합니다.
- 링크 형식:이 값을 조인으로 변경합니다.
- 우선 순위: 시스템에서 고유한 값을 제공합니다. 숫자 값이 낮을수록 높은 우선 순위를 나타냅니다.
- 태그: 이 항목은 비워 둡니다. Microsoft의 기본 규칙으로만 이 상자에 값을 채워야 합니다.
범위 지정 필터 페이지에서 givenName ISNOTNULL을 입력합니다.

이 섹션은 규칙을 적용해야 개체를 정의하는 데 사용됩니다. 비워 두면 규칙은 모든 사용자 개체에 적용됩니다. 하지만 여기에는 회의실, 서비스 계정 및 기타 사람이 아닌 사용자 개체가 포함됩니다.
조인 규칙 페이지에서는 필드를 비워 둡니다.
변환 페이지에서 FlowType을 식으로 변경합니다. 대상 특성에 givenName을 선택합니다. 또 원본에는 PCase([givenName])를 입력합니다.
동기화 엔진은 함수 이름과 특성 이름 모두에서 대/소문자를 구분합니다. 잘못 입력한 경우 규칙을 추가할 때 경고가 표시됩니다. 저장하고 계속할 수 있지만 다시 열어서 규칙을 수정해야 합니다.
추가 를 클릭하여 규칙을 저장합니다.

새 사용자 지정 규칙은 시스템의 다른 동기화 규칙과 함께 표시되어야 합니다.

변경 확인

이 새로운 변경으로 예상한 대로 작동하고 어떠한 오류도 발생하지 않는 확인해야 합니다. 개체 수에 따라 이 단계를 수행하는 두 가지 방식이 있습니다.

모든 개체에서 전체 동기화 실행
단일 개체에서 미리 보기 및 전체 동기화 실행

시작 메뉴에서 동기화 서비스를 엽니다. 이 섹션의 단계는 이 도구에 모두 있습니다.

모든 개체에서 전체 동기화

위쪽에 있는 커넥터를 선택합니다. 이전 섹션에서 변경한 커넥터(이 경우 Active Directory Domain Services)를 식별하여 선택합니다.
작업에서 실행을 선택합니다.
전체 동기화를 선택한 후 확인을 선택합니다.
개체는 이제 메타버스에 업데이트됩니다. 메타 버스의 개체를 보고 변경 내용을 확인합니다.

단일 개체에서 미리 보기 및 전체 동기화

위쪽에 있는 커넥터를 선택합니다. 이전 섹션에서 변경한 커넥터(이 경우 Active Directory Domain Services)를 식별하여 선택합니다.
커넥터 공간 검색을 선택합니다.
범위를 사용하여 변경 사항을 테스트하려는 개체를 찾습니다. 개체를 선택하고 미리 보기를 클릭합니다.
새 화면에서 커밋 미리 보기를 선택합니다.

이제 변경 사항이 메타버스에 커밋됩니다.

메타 버스의 개체 보기

값을 예상하고 규칙을 적용하기 위해 몇 가지 샘플 개체를 선택해야 합니다.
위쪽에서 메타 버스 검색 을 선택합니다. 관련 개체를 찾기 위해 필요한 모든 필터를 추가합니다.
검색 결과에서 개체를 엽니다. 특성 값을 살펴보고 동기화 규칙 열에서 규칙이 예상대로 적용되었는지 확인합니다.

스케줄러 사용

모든 것이 예상대로 적용된 경우 스케줄러를 다시 사용할 수 있습니다. PowerShell에서 Set-ADSyncScheduler -SyncCycleEnabled $true을(를) 실행합니다.

기타 일반적인 특성 흐름 변경

이전 섹션에서는 특성 흐름을 변경하는 방법을 설명하였습니다. 이 섹션에서는 몇 가지 추가 예제가 제공됩니다. 동기화 규칙을 만드는 방법에 대한 단계가 간략하게 설명되어 있지만 이전 섹션에서 전체 단계를 찾아볼 수 있습니다.

기본값이 아닌 특성 사용

이 Fabrikam 시나리오에는 지정된 이름, 성 및 표시 이름에 로컬 알파벳이 사용된 포리스트가 있습니다. 이러한 특성의 라틴 문자 표현은 확장 특성에서 찾을 수 있습니다. Microsoft Entra ID 및 Microsoft 365에서 전역 주소 목록을 빌드하기 위해 조직에서는 이러한 특성을 대신 사용하려 합니다.

기본 구성을 사용하면 로컬 포리스트의 개체는 다음과 같이 나타납니다.
Attribute flow 1

다른 특성 흐름으로 규칙을 만들려면 다음을 수행합니다.

시작 메뉴에서 동기화 규칙 편집기를 엽니다.
왼쪽에서 인바운드를 선택한 상태에서 새 규칙 추가 단추를 클릭합니다.
규칙에 이름 및 설명을 지정합니다. 온-프레미스 Active Directory 인스턴스 및 관련 개체 형식을 선택합니다. 링크 형식에서 조인을 선택합니다. 우선 순위에는 다른 규칙에서 사용하지 않은 숫자를 선택합니다. 기본 규칙이 100에서 시작하므로 값 50을 다음 예제에서 사용할 수 있습니다.
범위 지정 필터는 비워 둡니다. 즉, 포리스트의 모든 사용자 개체에 적용해야 합니다.
조인 규칙을 비워 둡니다. 즉, 기본 규칙이 모든 연결을 처리할 수 있도록 합니다.
변환에서 다음 흐름을 만듭니다.
추가 를 클릭하여 규칙을 저장합니다.
Synchronization Service Manager로 이동합니다. 커넥터에서 규칙을 추가한 커넥터를 선택합니다. 실행을 선택한 후 전체 동기화를 선택합니다. 전체 동기화는 현재 규칙을 사용하여 모든 개체를 다시 계산합니다.

이 사용자 지정 규칙이 있는 동일한 개체에 대한 결과는 다음과 같습니다.
Attribute flow 4

특성의 길이

문자열 특성은 기본적으로 인덱싱 가능하게 설정되고 최대 길이는 448자입니다. 더 길어질 수 있는 문자열 특성을 사용한다면 특성 흐름에 반드시 다음을 포함해야 합니다.
attributeName<, ,

userPrincipalSuffix 변경

Active Directory의 userPrincipalName 특성을 항상 사용자가 알 수 있는 것은 아니며 로그인 ID로 적절하지 않을 수도 있습니다. Microsoft Entra Connect 동기화 설치 마법사를 통해 다른 특성을 선택할 수 있습니다(예: mail). 하지만 일부 경우에는 특성을 계산해야 합니다.

예를 들어 회사 Contoso에는 2개의 Microsoft Entra 디렉터리가 있습니다. 하나는 프로덕션용이고 하나는 테스트용입니다. 테스트 테넌트의 사용자가 로그인 ID에 다른 접미사를 사용하도록 할 수 있습니다.
Word([userPrincipalName],1,"@") & "@contosotest.com";

이 식에서는 첫 번째 @ 기호 왼쪽의 모든 항목(Word)을 가져오고 고정 문자열과 연결합니다.

다중 값 특성을 단일 값으로 변환

Active Directory 내의 일부 특성은 Active Directory 사용자 및 컴퓨터에서 단일 값으로 보이더라도 스키마에서는 다중 값입니다. 설명 특성이 한 예입니다.
description<, ,

이 식에서 특성에 값이 있는 경우 해당 특성 내 첫 번째 항목(Item)에서 선행 및 후행 공백을 제거한 다음(트리밍), 문자열에 처음 448개의 문자(왼쪽)를 유지합니다.

특성을 전달하지 않습니다.

이 섹션에 대한 시나리오의 배경은 특성 흐름 프로세스 제어를 참조하세요.

특성을 전달하지 않는 방법에는 다음 두 가지가 있습니다. 첫 번째 방법은 설치 마법사를 사용하여 선택한 특성을 제거합니다. 이 옵션은 전에 특성을 동기화하지 않은 경우에만 작동합니다. 하지만 이 특성을 동기화한 다음 이후에 이 기능을 사용하여 제거한 경우 동기화 엔진은 이 특성을 관리하는 것을 중지하고 Microsoft Entra ID에 기존 값이 남아 있게 됩니다.

특성 값을 제거하고 나중에 이 값이 전달되지 않는지 확인하려면 사용자 지정 규칙을 생성해야 합니다.

이 Fabrikam 시나리오에서는 클라우드에 동기화된 특성 중 일부라도 클라우드에 남아 있지 않아야 합니다. Microsoft Entra ID에서 이들 특성이 제거되었는지 확인하려 합니다.
Bad extension attributes

새 인바운드 동기화 규칙 만들기 및 설명
FlowType이 Expression, Source가 AuthoritativeNull인 특성 흐름을 만듭니다. 리터럴 AuthoritativeNull은 우선 순위가 더 낮은 동기화 규칙이 그 값을 채우려고 해도 메타 버스에서 그 값이 비어 있어야 함을 나타냅니다.
동기화 규칙을 저장합니다. 동기화 서비스를 시작하여 커넥터를 찾고 실행을 선택한 다음, 전체 동기화를 선택합니다. 이 단계는 모든 특성 흐름을 다시 계산합니다.
의도한 변경 내용을 커넥터 공간을 검색하여 내보낼 수 있는지 확인합니다.

PowerShell로 규칙 만들기

동기화 규칙 편집기를 사용하면 몇 가지만 변경하는 경우에만 제대로 작동합니다. 많은 사항을 변경해야 할 경우 PowerShell 방법이 더 나을 수 있습니다. 일부 고급 기능은 PowerShell에서만 사용할 수 있습니다.

기본 규칙에 대한 PowerShell 스크립트 가져오기

기본 규칙을 만든 PowerShell 스크립트를 보려면 동기화 규칙 편집기에 규칙을 선택하고 내보내기를 클릭합니다. 이 작업으로 규칙을 만든 PowerShell 스크립트을 제공 받을 수 있습니다.

고급 우선 순위

기본 동기화 규칙의 우선 순위 값은 100에서 시작합니다. 포리스트가 많고 많은 사용자 지정 사항을 변경해야 할 경우 99가지 동기화 규칙이 충분하지 않을 수 있습니다.

기본 규칙 앞에 추가 규칙을 삽입하겠다고 동기화 엔진에 지시할 수 있습니다. 이 동작을 가져오려면 다음 단계를 따르십시오.

동기화 규칙 편집기에서 첫 번째 기본 동기화 규칙(In from AD-User Join)을 표시하고 내보내기를 선택합니다. SR 식별자 값을 복사합니다.
새 동기화 규칙을 만듭니다. 동기화 규칙 편집기를 사용하여 규칙을 만들 수 있습니다. 규칙을 PowerShell 스크립트로 내보냅니다.
PrecedenceBefore 속성에서 기본 규칙의 식별자 값을 삽입합니다. 우선 순위를 0으로 설정합니다. 식별자 특성은 고유한지 그리고 다른 규칙의 GUID를 다시 사용하고 있지 않은지 확인합니다. ImmutableTag 속성이 설정되지 않았는지도 확인합니다. 이 속성은 기본 규칙에 대해서만 설정해야 합니다.
PowerShell 스크립트를 저장하고 실행합니다. 그렇게 하면 사용자 지정 규칙이 우선 순위 값 100에 할당되고 다른 모든 기본 규칙이 증가합니다.

동일한 PrecedenceBefore 값을 사용하는 사용자 지정 동기화 규칙이 많이 있을 수 있습니다.

UserType의 동기화 사용

Microsoft Entra Connect는 1.1.524.0 이상 버전의 User 개체에 대한 UserType 특성의 동기화를 지원합니다. 구체적으로 다음과 같은 변경 내용이 도입되었습니다.

Microsoft Entra 커넥터의 User 개체 형식의 스키마가 문자열 형식의 단일 값인 UserType 특성을 포함하도록 확장되었습니다.
메타 버스의 Person 개체 형식의 스키마가 문자열 형식의 단일 값인 UserType 특성을 포함하도록 확장되었습니다.

기본적으로 해당하는 UserType 특성이 온-프레미스 Active Directory에 없기 때문에 동기화에 대해 UserType 특성을 사용하도록 설정되지 않습니다. 동기화를 사용하도록 수동으로 설정해야 합니다. 이에 앞서 Microsoft Entra ID가 시행하는 다음 동작에 유의합니다.

Microsoft Entra는 UserType 특성에 대해 멤버 및 게스트라는 두 값만 허용합니다.
Microsoft Entra Connect에서 UserType 특성이 동기화에 대해 사용하도록 설정되어 있지 않은 경우 디렉터리 동기화를 통해 만든 Microsoft Entra 사용자는 UserType 특성이 멤버로 설정되었을 것입니다.
버전 1.5.30.0 이전에는 Microsoft Entra ID에서 기존 Microsoft Entra 사용자의 UserType 특성을 Microsoft Entra Connect에서 변경할 수 없었습니다. 이전 버전에서는 Microsoft Entra 사용자를 만드는 동안에만 설정하고 PowerShell을 통해 변경할 수 있었습니다.

UserType 특성의 동기화를 사용하도록 설정하기 전에 먼저 이 특성이 온-프레미스 Active Directory에서 파생되는 방법을 결정해야 합니다. 다음은 가장 일반적인 방식입니다.

사용하지 않는 온-프레미스 AD 특성(예: extensionAttribute1)을 원본 속성으로 사용하도록 지정합니다. 지정된 온-프레미스 AD 특성은 문자열 형식이고 단일 값이고 값 멤버 또는 게스트를 포함해야 합니다.

이 방법을 선택한 경우 UserType 특성의 동기화를 사용하도록 설정하기 전에 지정된 특성이 Microsoft Entra ID에 동기화된 온-프레미스 Active Directory의 모든 기존 사용자 개체에 대해 올바른 값으로 채워져 있는지 확인해야 합니다.
또는 UserType 특성의 값을 다른 속성에서 파생할 수 있습니다. 예를 들어 온-프레미스 AD userPrincipalName 특성이 도메인 부분 @partners.fabrikam123.org로 끝나는 경우 모든 사용자를 게스트로 동기화하는 것이 좋습니다.

앞에서 설명한 대로 이전 버전의 Microsoft Entra Connect에서는 기존 Microsoft Entra 사용자의 UserType 특성을 Microsoft Entra Connect에서 변경할 수 없습니다. 그러므로 결정한 논리가 테넌트의 모든 기존 Microsoft Entra 사용자에 대해 UserType 특성이 구성되는 방법과 일치하도록 해야 합니다.

UserType 특성의 동기화를 사용하도록 설정하는 단계는 다음과 같이 요약할 수 있습니다.

동기화 스케줄러를 비활성화하고 진행 중인 동기화가 없는지 확인
온-프레미스 AD 커넥터 스키마에 원본 특성 추가
Microsoft Entra 커넥터 스키마에 UserType를 추가합니다.
온-프레미스 Active Directory에서 특성 값을 전달하는 인바운드 동기화 규칙 만들기
Microsoft Entra ID로 특성 값을 전달하는 아웃바운드 동기화 규칙을 만듭니다.
전체 동기화 주기 실행
동기화 스케줄러를 사용하도록 설정

참고 항목

이 섹션의 나머지 부분에서는 이러한 단계에 대해 설명하며, 단일 포리스트 토폴로지를 사용하고 사용자 지정 동기화 규칙이 없는 Microsoft Entra 배포와 관련됩니다. 다중 포리스트 토폴로지, 사용자 지정 동기화 규칙이 구성되어 있거나 스테이징 서버가 있으면 이에 따라 단계를 조정해야 합니다.

1단계: 동기화 스케줄러를 비활성화하고 진행 중인 동기화가 없는지 확인

Microsoft Entra ID로 의도하지 않은 변경 내용을 내보내지 않도록, 동기화 규칙을 업데이트하는 중에 동기화가 수행되지 않도록 합니다. 기본 제공 동기화 스케줄러를 비활성화하려면

Microsoft Entra Connect 서버에서 PowerShell 세션을 시작합니다.
Set-ADSyncScheduler -SyncCycleEnabled $false cmdlet을 실행하여 예약된 동기화를 사용하지 않게 설정합니다.
시작>동기화 서비스로 이동하여 Synchronization Service Manager를 시작합니다.
작업 탭으로 이동하고 상태가 진행 중인 작업이 없는지 확인합니다.

2단계: 온-프레미스 AD 커넥터 스키마에 원본 특성 추가

모든 Microsoft Entra 특성을 온-프레미스 AD 커넥터 공간으로 가져오지는 않습니다. 가져온 특성 목록에 원본 특성을 추가하려면 다음을 수행합니다.

Synchronization Service Manager에 있는 커넥터 탭으로 이동합니다.
온-프레미스 AD 커넥터를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
팝업 대화 상자에서 특성 선택 탭으로 이동합니다.
특성 목록에서 원본 특성이 선택되어 있는지 확인합니다.
확인을 클릭하여 저장합니다.

3단계: Microsoft Entra 커넥터 스키마에 UserType 특성 추가

기본적으로 UserType 특성은 Microsoft Entra Connect 공간으로 가져오지 않습니다. 가져온 특성 목록에 UserType 특성을 추가하려면 다음을 수행합니다.

Synchronization Service Manager에 있는 커넥터 탭으로 이동합니다.
Microsoft Entra 커넥터를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
팝업 대화 상자에서 특성 선택 탭으로 이동합니다.
특성 목록에서 UserType 특성이 선택되어 있는지 확인합니다.
확인을 클릭하여 저장합니다.

Add source attribute to Microsoft Entra Connector schema

4단계: 온-프레미스 Active Directory에서 특성 값을 전달하는 인바운드 동기화 규칙 만들기

인바운드 동기화 규칙은 온-프레미스 Active Directory의 원본 특성에서 메타 버스로 특성 값을 전달하도록 허용합니다.

시작>동기화 규칙 편집기로 이동하여 동기화 규칙 편집기를 엽니다.
방향 검색 필터를 인바운드로 설정합니다.
새 규칙 추가 단추를 클릭하여 새 인바운드 규칙을 만듭니다.

설명 탭 아래에서 다음 구성을 제공합니다.

attribute	값	세부 정보
이름	이름 제공	예: In from AD – User UserType
설명	설명 제공
연결된 시스템	온-프레미스 AD 커넥터 선택
연결된 시스템 개체 유형	사용자
메타버스 개체 유형	Person
연결 유형	Join
우선 순위	1-99 사이의 숫자 선택	1-99는 사용자 지정 동기화 규칙을 위해 예약되어 있습니다. 다른 동기화 규칙에서 사용하는 값은 선택하지 않습니다.

범위 지정 필터 탭으로 이동하여 다음 절이 있는 단일 범위 지정 필터 그룹을 추가합니다.

Attribute 연산자 값

adminDescription NOTSTARTWITH User_

범위 지정 필터는 이 인바운드 동기화 규칙이 적용되는 온-프레미스 AD 개체를 결정합니다. 이 예제에서는 In from AD – User Common 기본 동기화 규칙에서와 동일한 범위 지정 필터를 사용하며, Microsoft Entra 사용자 쓰기 저장 기능을 통해 만든 사용자 개체에 동기화 규칙이 적용되지 않도록 합니다. Microsoft Entra Connect 배포에 따라 범위 지정 필터를 조정해야 할 수도 있습니다.

Attribute	연산자	값
adminDescription	NOTSTARTWITH	User_

변환 탭으로 이동하여 원하는 변환 규칙을 구현합니다. 예를 들어 사용하지 않는 온-프레미스 AD 특성(예: extensionAttribute1)을 UserType에 대한 원본 특성으로 지정한 경우 직접 특성 흐름을 구현할 수 있습니다.

흐름 유형	대상 특성	원본	한 번 적용	병합 종류
Direct	UserType	extensionAttribute1	선택 취소	업데이트

또 다른 예로 UserType 특성의 값을 다른 속성에서 파생할 수 있습니다. 예를 들어 온-프레미스 AD userPrincipalName 특성이 도메인 부분 @partners.fabrikam123.org로 끝나는 경우 모든 사용자를 게스트로 동기화하는 것이 좋습니다. 다음과 같은 식을 구현할 수 있습니다.

흐름 유형	대상 특성	원본	한 번 적용	병합 종류
식	UserType	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType"))	선택 취소	업데이트

추가를 클릭하여 인바운드 규칙을 만듭니다.

Create inbound synchronization rule

5단계: Microsoft Entra ID로 특성 값을 전달하는 아웃바운드 동기화 규칙 만들기

아웃바운드 동기화 규칙은 메타버스에서 Microsoft Entra ID의 UserType 특성으로 특성 값이 흐르도록 허용합니다.

동기화 규칙 편집기로 이동합니다.
방향 검색 필터를 아웃바운드로 설정합니다.
새 규칙 추가 단추를 클릭합니다.