수명 주기 워크플로를 사용하여 Active Directory 도메인 Services에서 Microsoft Entra ID로 동기화된 사용자 관리
수명 주기 워크플로는 AD DS(Active Directory 도메인 Services)에서 Microsoft Entra ID로 동기화되는 사용자 계정의 ID 수명 주기 관리를 지원합니다. 수명 주기 워크플로의 경우 사용자 계정이 Microsoft Entra ID에 있어야 하지만 계정이 만들어진 방법 또는 계정에 대한 수명 주기 관련 변경이 수행되는 방식은 사용자 계정에 대한 워크플로 및 관련 작업을 처리하는 데 있어 사소한 역할을 합니다. 이 지원에는 HR 기반 프로비저닝, Microsoft Graph API, Microsoft Entra 관리 포털 및 Microsoft Entra Connect 및 Microsoft 클라우드 동기화에서 동기화한 변경 내용과 같은 옵션을 통해 수행된 계정 및 변경 내용이 포함됩니다.
다음 표에서는 Microsoft Entra ID 거버넌스를 사용하는 AD DS의 동기화된 사용자에 대한 일반적인 자동화 시나리오를 나열합니다.
| 시나리오 자동화 | Microsoft Entra ID 거버넌스 솔루션 |
|---|---|
| Active Directory 도메인 Services에서 사용자 계정 만들기 | HR 기반 프로비저닝 |
| 사용자 계정에 대한 초기 자격 증명 또는 암호 제공 | 임시 액세스 패스 생성 및 사용자의 관리자 작업으로 전자 메일을 통해 보내기를 사용하여 암호 없는 자격 증명을 설정할 수 있습니다. 일반 Active Directory 암호를 설정하려면 Microsoft Entra 셀프 서비스 암호 재설정을 사용할 수 있습니다. |
| 라이선스 할당 | 사용자 수명 주기 워크플로 작업에 라이선스 할당 작업을 사용하여 라이선스를 할당할 수 있습니다. 그룹을 통해 사용자에게 라이선스를 할당할 수도 있습니다. |
| 사용자에게 Active Directory 그룹 기반 애플리케이션에 대한 액세스 권한 부여 | Kerberos(온-프레미스 Active Directory) 애플리케이션 액세스 제어 |
| Active Directory에서 조직을 이동할 때 사용자 특성 업데이트 | 범위 지정 필터 및 특성 매핑 계획 |
| 조직을 이동할 때 사용자를 다른 OU로 이동 | Active Directory OU 컨테이너 할당 구성 |
| 마지막 날에 사용자 사용 안 함 | 사용자 계정 수명 주기 워크플로 사용 안 함 작업은 마지막 날에 사용자 계정을 사용하지 않도록 설정하는 데 사용할 수 있습니다. |
| 종료 후 설정된 일 수로 사용자 삭제 | 사용자 수명 주기 워크플로 삭제 작업은 워크플로 템플릿 내에서 사용자가 종료된 후 설정된 일 수를 삭제하는 데 사용할 수 있습니다. |
이 문서에서는 AD DS에서 Microsoft Entra ID로 동기화되는 사용자 계정에 수명 주기 워크플로를 사용하려는 경우 고려해야 할 사항에 대해 알아봅니다.
AD DS(Active Directory 도메인 Services)에서 Microsoft Entra ID로 동기화된 사용자와 워크플로 실행 조건
수명 주기 워크플로는 워크플로의 실행 조건을 충족할 때 사용자 계정에 대해 처리됩니다. 실행 조건은 트리거와 범위로 구성됩니다. 트리거는 사용자 계정에 대해 발생하는 이벤트를 설명합니다. 이 범위를 사용하면 이벤트가 발생할 때 워크플로가 실행되는 사용자를 추가로 정의할 수 있습니다.
워크플로 트리거
다음 표에서는 AD DS에서 동기화된 사용자와 함께 사용할 때 각 워크플로 트리거에 대해 고려해야 할 사항을 보여 줍니다.
| 워크플로 트리거 | 요구 사항 |
|---|---|
| 특성 변경 내용 | 특성이 동기화되는 한 추가 구성이 필요하지 않습니다. 동기화된 특성에 대한 자세한 내용은 Microsoft Entra 클라우드 동기화의 특성 매핑 및 Microsoft Entra Connect 동기화: 디렉터리 확장을 참조하세요. Active Directory에서 변경이 수행되면 수명 주기 워크플로에서 변경 내용을 선택하기 전에 Microsoft Entra Cloud Sync 또는 Microsoft Entra Connect Sync를 통한 동기화가 수행되어야 합니다. |
| 그룹 멤버 자격 기반 | 모든 형식의 그룹이 지원되므로 추가 구성이 필요하지 않습니다. 그룹이 Active Directory에서 시작된 경우 Microsoft Entra와 동기화되어야 합니다. Microsoft Entra 클라우드 동기화 또는 Microsoft Entra Connect 동기화, 동기화는 수명 주기 워크플로에서 변경 내용을 선택하기 전에 발생해야 합니다. |
| 주문형 | 추가 구성이 필요하지 않습니다. |
| 시간 기반 | employeeHireDate, employeeLeaveDateTime: 이러한 특성은 사용하기 전에 동기화되어야 합니다. 이 프로세스에 대한 자세한 내용은 수명 주기 워크플로의 특성을 동기화하는 방법을 참조하세요. createdDateTime: 추가 구성이 필요하지 않습니다. 이 날짜는 사용자 계정이 Active Directory 내에서 만들어진 날짜가 아니라 Microsoft Entra ID에 동기화된 날짜입니다. |
워크플로 범위 지정
워크플로 범위 지정 기능 내에서 사용되는 사용자 특성의 경우 선택한 특성이 이미 동기화되어 있으면 추가 구성이 필요하지 않습니다. 동기화된 특성에 대한 자세한 내용은 Microsoft Entra 클라우드 동기화의 특성 매핑 및 Microsoft Entra Connect 동기화: 디렉터리 확장을 참조하세요. Active Directory에서 변경이 수행되면 수명 주기 워크플로에서 변경 내용을 선택하기 전에 Microsoft Entra Cloud Sync 또는 Microsoft Entra Connect Sync를 통한 동기화가 수행되어야 합니다.
Active Directory 도메인 Services에서 Microsoft Entra ID로 동기화된 사용자에 대한 워크플로 작업
모든 수명 주기 워크플로 작업은 클라우드 둘 다에 대해 작동하며 Active Directory에서 동기화됩니다. 이 문서에서는 특정 작업에 나열된 제한 사항을 제외하고 사용자가 기본으로 사용할 수 있습니다. 모든 수명 주기 워크플로 작업에 대한 자세한 내용은 수명 주기 워크플로 기본 제공 작업을 참조하세요.
그룹 멤버 자격을 관리하는 작업
시나리오: AD DS에서 Microsoft Entra ID로 사용자를 동기화하는 경우 수명 주기 워크플로의 그룹 작업을 통해 클라우드 기반 보안 그룹에서 사용자를 추가하거나 제거할 수 있습니다. 이렇게 하면 클라우드에서 동기화된 사용자의 그룹 멤버 자격을 제어하고 Microsoft Entra Cloud Sync 그룹 쓰기 저장을 사용하여 이 그룹을 Active Directory에 다시 추가할 수 있습니다.
AD DS에서 Microsoft Entra ID로 동기화되는 그룹의 경우 시나리오에서 설명한 대로 수명 주기 워크플로 그룹 작업을 사용할 수 없습니다. 하지만 Microsoft Entra ID Governance를 사용하면 수명 주기 워크플로 내에서 지원되는 클라우드 그룹을 통해 온-프레미스 Active Directory(Kerberos) 애플리케이션 액세스를 관리할 수 있습니다.
사용자 계정 작업
AD DS에서 동기화된 사용자 계정을 사용하도록 설정, 사용 안 함 및 삭제하려면 수명 주기 워크플로 작업에 추가 구성이 필요합니다. Active Directory에서 작업을 수행하도록 작업을 구성하려면 먼저 다음 필수 조건을 완료해야 합니다.
- 사용자 환경에 Microsoft Entra 프로비전 에이전트가 설치되어 있어야 합니다. Microsoft Entra 프로비전 에이전트 설치에 대한 필수 조건은 클라우드 프로비전 에이전트 요구 사항을 참조하세요. Microsoft Entra 프로비전 에이전트 설치에 대한 단계별 안내는 Microsoft Entra 프로비전 에이전트 설치를 참조하세요. 설치 중에 "확장 구성"으로 "HR 기반 프로비전 / Microsoft Entra Connect 동기화"를 선택합니다. 클라우드 동기화 구성과 같은 프로비전 에이전트에 대한 다른 구성을 추가할 필요가 없으며 현재 사용자 동기화를 위해 Microsoft Entra Connect 동기화를 사용하고 있는 경우에도 프로비전 에이전트를 설치할 수 있습니다.
참고 항목
설치된 프로비전 에이전트는 2024년 5월 13일에 릴리스된 버전 1.1.1586.0 이상이어야 합니다.
프로비전 에이전트에서 사용하는 gMSA(그룹 관리 서비스 계정)에 사용자 계정에 대한 작업을 수행할 수 있는 적절한 권한이 있는지 확인합니다.
사용자 계정을 삭제하려면 Active Directory 휴지통을 사용하도록 설정해야 합니다. 휴지통을 사용하도록 설정하는 단계별 가이드는 Active Directory 휴지통 단계별 지침을 참조하세요.
Active Directory 도메인 Services에서 동기화된 사용자에 대해 사용자 계정 작업이 실행되도록 플래그를 설정하는 단계별 가이드는 다음을 참조하세요. 워크플로를 사용하여 AD DS(Active Directory 도메인 Services)에서 동기화된 관리.