시나리오 - Active Directory에 대한 그룹 프로비전과 함께 디렉터리 확장 사용

  • 아티클

시나리오: Microsoft Entra ID에 수백 개의 그룹이 있습니다. 이러한 그룹 중 일부를 프로비전하려고 하지만 모두 Active Directory로 다시 프로비전하는 것은 아닙니다. 좀 더 복잡한 범위 지정 필터를 만들지 않고도 그룹에 적용할 수 있는 빠른 필터를 사용하려고 합니다.

클라우드 동기화를 사용한 그룹 쓰기 저장을 보여 주는 다이어그램.

이 시나리오에서 만든 환경을 사용하여 테스트하거나 클라우드 동기화를 익숙하게 사용할 수 있습니다.

가정

  • 이 시나리오에서는 사용자를 Microsoft Entra ID와 동기화하는 작업 환경이 이미 있다고 가정합니다.
  • 동기화된 네 명의 사용자가 있습니다. 이들은 Britta Simon, Lola Jacobson, Anna Ringdahl, 그리고 John Smith입니다.
  • Active Directory에는 영업, 마케팅 및 그룹의 세 가지 조직 구성 단위가 만들어졌습니다.
  • Britta Simon 및 Anna Ringdahl 사용자 계정은 영업 조직 구성 단위에 상주합니다.
  • Lola Jacobson 및 John Smith 사용자 계정은 마케팅 조직 구성 단위에 상주합니다.
  • 그룹 조직 구성 단위는 Microsoft Entra ID의 그룹이 프로비전되는 위치입니다.

Microsoft Graph PowerShell SDK cmdlet을 실행하는 데 더 나은 환경을 위해 ISE 모드에서 ms-vscode.powershell 확장명을 가진 Visual Studio Code를 사용합니다.

Microsoft Entra ID에 두 개의 그룹 만들기

먼저 Microsoft Entra ID에 두 개의 그룹을 만듭니다. 한 그룹은 영업이고 다른 그룹은 마케팅입니다.

두 개의 그룹을 만들려면 다음 단계를 따릅니다.

  1. 최소한 하이브리드 ID 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>그룹>모든 그룹으로 이동합니다.
  3. 상단에서 새 그룹을 클릭합니다.
  4. 그룹 유형보안으로 설정되어 있는지 확인합니다.
  5. 그룹 이름Sales 입력
  6. 멤버 자격 형식의 경우 할당된 상태로 보관합니다.
  7. 만들기를 클릭합니다.
  8. 마케팅그룹 이름으로 사용하여 이 과정을 반복합니다.

새로 만들어진 그룹에 사용자 추가

  1. 최소한 하이브리드 ID 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>그룹>모든 그룹으로 이동합니다.
  3. 상단의 검색 상자에 Sales를 입력합니다.
  4. Sales 그룹을 클릭합니다.
  5. 왼쪽에서 멤버 클릭
  6. 상단에서 멤버 추가를 클릭합니다.
  7. 상단의 검색 상자에 Britta Simon을 입력합니다.
  8. Britta SimonAnna Ringdahl 옆에 확인 표시를 하고 선택을 클릭합니다.
  9. 그러면 그룹에 성공적으로 추가됩니다.
  10. 맨 왼쪽에서 모든 그룹을 클릭하고 마케팅 그룹을 사용하여 이 과정을 반복하고 해당 그룹에 Lola JacobsonJohn Smith를 추가합니다.

참고 항목

마케팅 그룹에 사용자를 추가할 때 개요 페이지에서 그룹 ID를 기록해 둡니다. 이 ID는 나중에 새로 만든 속성을 그룹에 추가하는 데 사용됩니다.

Microsoft Graph PowerShell SDK 설치 및 연결

  1. 아직 설치하지 않은 경우 Microsoft Graph PowerShell SDK 설명서에 따라 Microsoft Graph PowerShell SDK의 주요 모듈을 설치합니다. Microsoft.Graph.

  2. 관리자 권한으로 PowerShell을 엽니다.

  3. 실행 정책을 설정하려면 다음을 실행합니다(메시지가 표시되면 [A] 모두 예를 누름).

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. 테넌트에 연결(로그인할 때 대신 수락해야 함):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

CloudSyncCustomExtensionApp 애플리케이션과 서비스 주체를 만듭니다.

Important

Microsoft Entra 클라우드 동기화용 디렉터리 확장은 식별자 URI "api://<tenantId>/CloudSyncCustomExtensionsApp" 및 Microsoft Entra Connect에서 만들어진 Tenant Schema Extension App이 있는 애플리케이션에 대해서만 지원됩니다.

  1. 테넌트 ID 가져오기:

    $tenantId = (Get-MgOrganization).Id
$tenantId

참고 항목

현재 테넌트 ID가 출력됩니다. Microsoft Entra 관리 센터> ID > 개요로 이동하여 이 테넌트 ID를 확인할 수 있습니다.

  1. 이전 단계의 $tenantId 변수를 사용하여 CloudSyncCustomExtensionApp이 있는지 확인합니다.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. CloudSyncCustomExtensionApp이 있으면 다음 단계로 건너뜁니다. 그렇지 않은 경우 새 CloudSyncCustomExtensionApp 앱을 만듭니다.

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. CloudSyncCustomExtensionsApp 애플리케이션에 보안 주체가 연결되어 있는지 확인합니다. 방금 새로운 앱을 만든 경우 다음 단계로 건너뜁니다.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. 새 앱을 방금 만들었거나 보안 주체가 반환되지 않으면 CloudSyncCustomExtensionsApp에 대한 보안 주체를 만듭니다.

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

사용자 지정 확장 특성 만들기

이 시나리오에서는 Microsoft Entra 클라우드 동기화 범위 필터에서 사용될 WritebackEnabled라는 사용자 지정 확장 특성을 만들 것입니다. 이를 통해 WritebackEnabled가 True로 설정된 그룹만 온-프레미스 Active Directory에 다시 쓰이게 됩니다. 이는 Microsoft Entra 관리 센터의 쓰기 저장 사용 플래그와 유사합니다.

  1. CloudSyncCustomExtensionsApp 애플리케이션을 가져옵니다.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. 이제 CloudSyncCustomExtensionApp에서 "WritebackEnabled"라는 사용자 지정 확장 특성을 만들고 이를 그룹 개체에 할당합니다.

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. 이 cmdlet은 extension_<guid>_WritebackEnabled와 같은 확장 특성을 만듭니다.

클라우드 동기화 구성 만들기

  1. 최소한 하이브리드 ID 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

  3. 새 구성을 선택합니다.

  4. Microsoft Entra ID를 AD 동기화로를선택합니다.

구성 선택을 보여 주는 스크린샷

  1. 구성 화면에서 도메인을 선택하고 암호 해시 동기화를 사용하도록 설정할지 여부를 선택합니다. 만들기를 클릭합니다.

새 구성을 보여 주는 스크린샷.

  1. 시작 화면이 열립니다. 여기에서 클라우드 동기화를 계속 구성할 수 있습니다.

  2. 왼쪽에서 범위 지정 필터를 클릭하고 그룹 범위 - 모든 그룹을 선택합니다.

  3. 특성 매핑 편집을 클릭하고 대상 컨테이너OU=Groups,DC=Contoso,DC=com으로 변경합니다. 저장을 클릭합니다.

  4. 특성 범위 지정 필터 추가를 클릭합니다.

  5. 범위 필터의 이름을 입력합니다. Filter groups with Writeback Enabled

  6. 대상 특성에서 extension_<guid>_WritebackEnabled와 유사한 새로 만들어진 특성을 선택합니다.

Important

드롭다운 목록에 표시된 일부 대상 특성은 범위 필터로 사용하지 못할 수 있습니다. 예를 들어, extensionAttribute[1-15]와 같이 모든 속성을 Entra ID에서 관리할 수 있는 것은 아니기 때문입니다. 따라서 이 특정 목적에 맞는 사용자 지정 확장 속성을 만드는 것이 좋습니다. 사용 가능한 특성을 보여 주는 스크린샷.

  1. 연산자에서 IS TRUE를 선택합니다.
  2. 저장을 클릭합니다. 저장을 클릭합니다.
  3. 구성을 사용하지 않도록 설정한 상태로 두고 다시 돌아갑니다.

그룹 중 하나에 새 확장 속성 추가

이 부분에서는 기존 그룹 중 하나인 마케팅에 새로 만든 속성의 가치를 추가할 예정입니다.

Microsoft Graph PowerShell SDK를 사용하여 확장 속성 값 설정

  1. 이전 단계의 $cloudSyncCustomExtApp 변수를 사용하여 확장 속성을 가져옵니다.

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. 이제 Marketing 그룹을 가져옵니다.

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. 그런 다음 extension_<guid>_WritebackEnabled를 포함하는 변수 $gwbEnabledExtName을 사용하여 마케팅 그룹에 대한 값 True를 설정합니다.

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. 확인하려면 다음을 사용하여 extension_<guid>_WritebackEnabled 속성 값을 읽을 수 있습니다.

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Microsoft Graph 탐색기를 사용하여 확장 속성 값 설정

Group.ReadWrite.All에 동의했는지 확인해야 합니다. 이렇게 하려면 사용 권한 수정을 선택합니다.

  1. Microsoft Graph 탐색기로 이동합니다.

  2. 테넌트 관리자 계정을 사용하여 로그인합니다. 하이브리드 ID 관리자 계정이어야 할 수 있습니다. 이 시나리오를 만드는 데 하이브리드 ID 관리자 계정이 사용되었습니다. 하이브리드 ID 관리자 계정으로 충분할 수 있습니다.

  3. 위쪽에서 GETPATCH로 변경합니다.

  4. 주소 상자에 다음을 입력합니다. https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. 요청 본문에 다음을 입력합니다.

    {
 extension_<guid>_WritebackEnabled: true
}

  6. 쿼리 실행그래프 쿼리를 실행하는 스크린샷.을 클릭합니다.

  7. 올바르게 수행되면 []가 표시됩니다.

  8. 이제 맨 위에서 PATCHGET으로 변경하고 마케팅 그룹의 속성을 확인합니다.

  9. 쿼리 실행을 클릭합니다. 새로 만든 특성이 표시되어야 합니다. 그룹 속성을 보여 주는 스크린샷.

구성 테스트

참고 항목

주문형 프로비전을 사용할 때 멤버는 자동으로 프로비전되지 않습니다. 테스트할 멤버를 선택해야 하며 멤버 제한은 5명입니다.

  1. 최소한 하이브리드 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다. 클라우드 동기화 홈페이지의 스크린샷.
  1. 구성 아래에서 구성을 선택합니다.
  2. 왼쪽에서 주문형 프로비전을 선택합니다.
  3. 선택한 그룹 상자에 마케팅을 입력합니다.
  4. 선택한 사용자 섹션에서 테스트할 사용자를 선택합니다. Lola JacobsonJohn Smith를 선택합니다.
  5. 프로비전을 클릭합니다. 올바르게 프로비전되어야 합니다. 올바른 프로비전을 보여 주는 스크린샷.
  6. 이제 영업 그룹을 사용해 보고 Britta SimonAnna Ringdahl을 추가합니다. 이렇게 하면 프로비전되지 않아야 합니다. 차단된 프로비전을 보여 주는 스크린샷.
  7. Active Directory에 새로 만든 마케팅 그룹이 표시됩니다. Active Directory 사용자 및 컴퓨터의 새 그룹을 보여 주는 스크린샷.
  8. 이제 ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화 > 개요 페이지로 이동하여 구성을 검토하고 사용하도록 설정하여 동기화를 시작할 수 있습니다.

다음 단계