Microsoft Entra ID의 사용자 계정 이름 변경 계획 및 문제 해결
UPN(사용자 계정 이름) 특성은 사용자 계정에 대한 인터넷 통신 표준입니다. UPN은 다음으로 구성됩니다.
- 접두사: 사용자 계정 이름
- 접미사: DNS(도메인 이름 서버) 도메인 이름
접두사는 "@" 기호를 사용하여 접미사를 조인합니다. 예들 들어 someone@example.com입니다. 계획하는 동안 UPN이 디렉터리 포리스트의 보안 주체 개체 간에 고유한지 확인합니다.
참고 항목
이 문서에서는 UPN을 사용자 식별자로 가정합니다. 이 문서에서는 UPN 변경 계획 및 변경으로 인해 발생할 수 있는 문제의 복구를 다룹니다. 개발자는 UPN이나 이메일 주소 대신 사용자 objectID를 변경이 불가능한 식별자로 사용하는 것이 좋습니다.
UPN 변경 이유
값이 사용자 UPN인 경우 로그인 페이지에서 사용자에게 이메일 주소를 입력하라는 메시지를 표시하는 경우가 많습니다. 따라서 사용자의 기본 이메일 주소가 변경되면 사용자 UPN을 변경합니다. 일반적으로 사용자의 기본 이메일 주소는 다음과 같은 이유로 변경됩니다.
- 직원 이름 변경
- 직원 이동
- 접미사에 영향을 미치는 구조 조정 변경 내용
- 합병 및/또는 인수 변경
UPN 접두사 및 접미사 변경
기본 메일 주소가 변경되면 사용자 UPN을 변경하는 것이 좋습니다. Active Directory에서 Microsoft Entra ID로 초기 동기화하는 동안 사용자 이메일과 UPN이 동일한지 확인합니다. 다음 예 접두사 및 접미사 변경 내용을 참조하세요.
접두사 변경 예:
- BSimon@contoso.com에서 BJohnson@contoso.com으로
- Bsimon@contoso.com에서 Britta.Simon@contoso.com으로
접미사 변경 예:
- Britta.Simon@contoso.com에서 Britta.Simon@contosolabs.com으로
- Britta.Simon@corp.contoso.com에서 Britta.Simon@labs.contoso.com으로
Active Directory의 UPN
Active Directory에서 기본 UPN 접미사는 사용자 계정을 만든 DNS입니다. 대부분의 경우 이 도메인 이름을 엔터프라이즈 도메인으로 등록합니다. contoso.com 도메인에서 사용자 계정을 만들 경우 기본 UPN은 다음과 같습니다. username@contoso.com Active Directory 도메인 및 신뢰에 더 많은 UPN 접미사를 추가합니다. 예를 들어 labs.contoso.com을 추가하고 이를 반영하도록 사용자 UPN 및 메일을 변경하면 결과는 username@labs.contoso.com입니다.
테넌트에 사용자 지정 도메인 이름을 추가할 수 있습니다.
Important
Active Directory에서 접미사를 변경하는 경우 Microsoft Entra ID에서 일치하는 사용자 지정 도메인 이름을 추가하고 확인합니다.
Microsoft Entra ID의 UPN
사용자는 userPrincipalName 특성 값을 사용하여 Microsoft Entra ID에 로그인합니다.
온-프레미스 Active Directory에서 Microsoft Entra ID를 사용하는 경우 사용자 계정은 Microsoft Entra Connect 서비스를 사용하여 동기화됩니다. Microsoft Entra Connect 마법사는 온-프레미스 Active Directory의 userPrincipalName 특성을 Microsoft Entra ID의 UPN으로 사용합니다. 사용자 지정 설치에서 다른 특성으로 변경할 수 있습니다.
참고 항목
사용자 및 조직의 UPN(사용자 계정 이름)을 업데이트하는 프로세스를 정의합니다.
Active Directory의 사용자 계정을 Microsoft Entra ID로 동기화하는 경우 Active Directory의 UPN이 Microsoft Entra ID의 확인된 도메인에 매핑되는지 확인합니다. userPrincipalName 특성 값이 Microsoft Entra ID의 확인된 도메인과 일치하지 않는 경우 동기화는 접미사를 .onmicrosoft.com으로 바꿉니다.
대량 UPN 변경 롤아웃
대량 UPN 변경 내용을 테스트하려면 테스트된 롤백 계획을 만들어 UPN을 되돌립니다. 파일럿의 경우 조직 역할과 앱 또는 디바이스 집합이 있는 소규모 사용자 집합을 대상으로 합니다. 이 프로세스는 사용자 환경을 이해하는 데 도움이 됩니다. 관련자 및 사용자와의 변경 커뮤니케이션에 이 정보를 포함합니다.
Microsoft Entra 배포 계획에 대해 자세히 알아봅니다.
개별 사용자에 대한 UPN을 변경하는 절차를 만드는 것이 좋습니다. 알려진 문제 및 해결 방법에 대한 설명서를 포함합니다. 자세한 내용은 다음 섹션을 참조하세요.
SaaS 및 LoB 앱 문제
SaaS(Software as a service) 및 LoB(사업 부문) 애플리케이션은 종종 UPN을 사용하여 사용자를 찾고 역할을 비롯한 사용자 프로필 정보를 저장합니다. UPN 변경으로 영향을 받을 수 있는 애플리케이션은 JIT(Just-In-Time) 프로비전을 사용하여 사용자가 앱에 처음 로그인할 때 사용자 프로필을 만듭니다.
자세히 보기:
알려진 문제: 단절된 관계, 새 프로필
사용자 UPN을 변경하면 Microsoft Entra 사용자와 애플리케이션의 사용자 프로필 간의 관계가 끊어질 수 있습니다. 애플리케이션이 JIT 프로비전을 사용하는 경우 새 사용자 프로필을 만들 수 있습니다. 그런 다음, 애플리케이션 관리자가 수동으로 변경하여 관계를 수정합니다.
해결 방법: 자동 프로비전
지원되는 클라우드 애플리케이션에서 사용자 ID를 만들기, 유지 관리 및 제거하려면 Microsoft Entra ID에서 자동화된 앱 프로비전을 사용합니다. 애플리케이션의 UPN을 업데이트하려면 애플리케이션에 자동화된 사용자 프로비전을 구성합니다. 성공적인 UPN 변경 내용의 유효성을 검사하기 위해 애플리케이션을 테스트합니다. 자동 사용자 프로비전을 사용하도록 설정하기 위해 개발자는 SCIM(System for Cross-domain Identity Management) 지원을 애플리케이션에 추가할 수 있습니다.
자세히 보기:
관리 디바이스 문제
클라우드 및 온-프레미스 리소스 전반에서 SSO(Single Sign-On)를 통해 사용자 생산성을 최대화하려면 디바이스를 Microsoft Entra ID로 가져옵니다.
디바이스 ID란?에 대해 자세히 알아봅니다.
Microsoft Entra 조인 디바이스
규모나 업계에 관계없이 조직은 Microsoft Entra 조인 디바이스를 배포할 수 있습니다. Microsoft Entra 조인은 하이브리드 환경에서 작동하므로 클라우드 및 온-프레미스 앱과 리소스에 액세스할 수 있습니다. Microsoft Entra 조인 디바이스는 Microsoft Entra ID에 조인되어 있습니다. 사용자는 조직 ID를 사용하여 디바이스에 로그인합니다.
Microsoft Entra 조인 디바이스에 대해 자세히 알아봅니다.
알려진 문제: SSO
사용자는 인증을 위해 Microsoft Entra ID를 사용하는 애플리케이션에서 SSO 문제를 경험할 수 있습니다. 이 문제는 Windows 10 2020년 5월 업데이트에서 해결되었습니다.
해결 방법
UPN 변경 내용이 Microsoft Entra ID와 동기화될 때까지 기다립니다.
새 UPN이 Microsoft Entra 관리 센터에 나타나는지 확인합니다.
사용자에게 새 UPN으로 로그인하려면 다른 사용자를 선택하도록 안내합니다.
Microsoft Graph PowerShell에서 Get-MgUser를 사용하여 확인합니다.
참고 항목
사용자가 새 UPN으로 로그인하면 이전 UPN에 대한 참조가 회사 또는 학교 액세스 Windows 설정에 나타날 수 있습니다.
Microsoft Entra 하이브리드 조인 디바이스 문제
Microsoft Entra 하이브리드 조인 디바이스는 Active Directory 및 Microsoft Entra ID에 조인됩니다. 환경에 온-프레미스 Active Directory 공간이 있는 경우 Microsoft Entra 하이브리드 조인을 구현합니다.
Microsoft Entra 하이브리드 조인 디바이스에 대해 자세히 알아봅니다.
알려진 문제: Windows 10 Microsoft Entra Hybrid 조인 디바이스
Windows 10 Microsoft Entra 하이브리드 조인 디바이스에서 예기치 않은 다시 시작 및 액세스 문제가 발생합니다. 새 UPN이 Microsoft Entra ID와 동기화되기 전에 사용자가 Windows에 로그인하면 인증을 위해 Microsoft Entra ID를 사용하는 앱에서 SSO 문제가 발생할 수 있습니다. 이 시나리오는 사용자가 Windows 세션에 있는 경우 발생할 수 있습니다. 이 상황은 하이브리드 조인 디바이스를 사용하여 리소스에 액세스하도록 조건부 액세스를 구성한 경우에 발생합니다. 또한 다음 메시지는 1분 후에 강제로 다시 시작될 수 있습니다.
PC가 1분 안에 자동으로 다시 시작됩니다. Windows에 문제가 생겨 다시 시작해야 합니다. 이제 이 메시지를 닫고 작업을 저장해야 합니다.
이 문제는 Windows 10 2020년 5월 업데이트에서 해결되었습니다.
해결 방법
- Microsoft Entra ID에서 디바이스 조인을 해제합니다.
- 다시 시작.
- 디바이스가 Microsoft Entra ID에 조인합니다.
- 로그인하려면 사용자는 다른 사용자를 선택합니다.
Microsoft Entra ID에서 디바이스 조인을 해제하려면 명령 프롬프트에서 dsregcmd/leave 명령을 실행합니다.
참고 항목
비즈니스용 Windows Hello를 사용하는 경우 사용자는 비즈니스용 Windows Hello에 다시 등록합니다.
팁
Windows 7 및 8.1 디바이스는 이 문제의 영향을 받지 않습니다.
모바일 애플리케이션 관리 앱 보호 정책
알려진 문제: 끊어진 연결
조직에서 MAM(모바일 애플리케이션 관리)을 사용하여 회사 데이터를 보호하는 경우 UPN 변경 중에 MAM 앱 보호 정책이 복원되지 않습니다. 이 문제로 인해 MAM 통합 애플리케이션에서 MAM 등록과 활성 사용자 간의 연결이 끊어질 수 있습니다. 이 시나리오에서는 데이터가 보호되지 않은 상태로 남을 수 있습니다.
자세히 보기:
해결 방법
UPN이 변경된 후 관리자는 영향을 받는 디바이스에서 데이터를 삭제하여 사용자가 새 UPN을 사용하여 다시 인증하고 재등록하도록 합니다.
Intune 관리 앱에서 회사 데이터만 지우는 방법에 대해 알아봅니다.
Microsoft Authenticator 문제
조직에서 애플리케이션과 데이터에 로그인하고 액세스하기 위해 Authenticator가 필요한 경우 사용자 이름이 앱에 나타날 수 있습니다. 그러나 계정은 사용자가 등록을 완료할 때까지 확인 방법이 아닙니다.
Authenticator 사용 방법을 알아봅니다.
OTP 앱에는 네 가지 주요 함수가 있습니다.
- 푸시 알림 또는 확인 코드를 사용한 다단계 인증.
- 조정된 인증을 사용하는 애플리케이션의 SSO를 위한 iOS 및 Android 디바이스의 인증 브로커
- Intune 앱 보호 및 디바이스 등록/관리에 필요한 Microsoft Entra ID에 디바이스 등록 또는 작업 공간에 연결
- MFA 및 디바이스 등록이 필요한 휴대폰 로그인
Android 디바이스를 사용한 다단계 인증
대역 외 확인을 위해 Authenticator를 사용합니다. 다단계 인증은 사용자에게 자동 통화나 SMS(단문 메시지 서비스) 대신 사용자 디바이스의 Authenticator에게 알림을 푸시합니다.
- 사용자가 승인을 선택하거나 PIN을 입력하거나 생체 인식을 입력합니다.
- 사용자가 인증을 선택합니다.
작동 방식: Microsoft Entra 다단계 인증을 알아봅니다.
알려진 문제: 알림이 수신되지 않음
사용자 UPN을 변경하면 이전 UPN이 사용자 계정에 나타납니다. 알림이 수신되지 않을 수 있습니다. 대신 확인 코드를 사용합니다.
Authenticator에 관한 일반적인 질문 목록을 참조하세요.
해결 방법
- 알림이 나타나면 사용자에게 알림을 닫도록 지시합니다.
- Authenticator를 엽니다.
- 알림 확인을 선택합니다.
- MFA 프롬프트를 승인합니다.
- 계정의 UPN이 업데이트됩니다.
참고 항목
업데이트된 UPN이 새 계정으로 나타날 수 있습니다. 이 변경 내용은 다른 Authenticator 기능 때문입니다.
조정된 인증
Android 및 iOS에서 Authenticator와 같은 브로커는 다음을 사용하도록 설정합니다.
- SSO: 사용자가 각 애플리케이션에 로그인하지 않음
- 디바이스 식별: 브로커는 디바이스가 작업 공간에 조인되면 디바이스에서 만들어진 디바이스 인증서에 액세스합니다.
- 애플리케이션 식별 확인: 애플리케이션에서 브로커를 호출할 때 해당 리디렉션 URL을 전달하고 브로커는 이를 확인합니다.
자세히 보기:
알려진 문제: 사용자 프롬프트
애플리케이션에서 전달한 login_hint와 브로커의 UPN이 일치하지 않기 때문에 사용자는 브로커 지원 로그인 시 더 많은 인증 프롬프트를 경험하게 됩니다.
해결 방법
사용자는 Authenticator에서 계정을 수동으로 제거하고 브로커 지원 애플리케이션에서 새 로그인을 시작합니다. 최초 인증 후 계정이 추가됩니다.
장치 등록
Authenticator는 Microsoft Entra ID에 디바이스를 등록하므로 디바이스가 Microsoft Entra ID에 인증될 수 있습니다. 이 등록은 다음을 위한 요구 사항입니다.
- Intune 앱 보호
- Intune 디바이스 등록
- 전화 로그인
알려진 문제: 새 계정이 나타납니다.
UPN을 변경하면 새 UPN이 포함된 새 계정이 Authenticator에 나타납니다. 이전 UPN이 있는 계정은 그대로 유지됩니다. 또한 이전 UPN은 앱 설정의 디바이스 등록에 표시됩니다. 디바이스 등록 또는 종속 시나리오의 기능은 변경되지 않습니다.
해결 방법
Authenticator에서 이전 UPN에 대한 참조를 제거하려면 사용자는 Authenticator에서 이전 계정과 새 계정을 제거합니다. 사용자가 MFA에 다시 등록하고 디바이스에 다시 조인합니다.
전화 로그인
암호 없이 Microsoft Entra ID에 로그인하려면 휴대폰 로그인을 사용합니다. Authenticator를 사용하면 사용자가 MFA에 등록한 다음 휴대폰 로그인을 사용하도록 설정할 수 있습니다. 디바이스가 Microsoft Entra ID에 등록됩니다.
알려진 문제: 알림 없음
사용자는 알림을 받지 못하므로 휴대폰 로그인을 사용할 수 없습니다. 사용자가 알림 확인을 선택하면 오류가 나타납니다.
해결 방법
휴대폰 로그인이 사용하도록 설정된 계정의 드롭다운 메뉴에서 사용자는 휴대폰 로그인 사용 안 함을 선택합니다.
보안 키(FIDO2) 문제
알려진 문제: 계정 선택
동일한 키에 여러 사용자가 등록된 경우 이전 UPN이 표시된 위치에 계정 선택이 나타납니다. UPN 변경은 보안 키를 사용한 로그인에 영향을 주지 않습니다.
해결 방법
이전 UPN에 대한 참조를 제거하려면 사용자가 보안 키를 다시 설정하고 다시 등록합니다.
암호 없는 보안 키 로그인, 알려진 문제, UPN 변경을 사용하도록 설정할 수 있습니다.
OneDrive 문제
OneDrive 사용자는 UPN 변경 후 문제가 발생할 수 있습니다.
UPN 변경이 OneDrive URL 및 OneDrive 기능에 어떤 영향을 미치는지 알아봅니다.
Teams 모임 메모 문제
Teams 모임 메모를 사용하여 메모를 작성하고 공유합니다.
알려진 문제: 메모에 액세스할 수 없음
사용자 UPN이 변경되면 이전 UPN으로 만들어진 모임 메모는 Microsoft Teams 또는 모임 메모 URL을 통해 액세스할 수 없습니다.
해결 방법
UPN 변경 후 사용자는 OneDrive에서 노트를 다운로드할 수 있습니다.
- 내 파일로 이동합니다.
- Microsoft Teams 데이터를 선택합니다.
- Wiki를 선택합니다.
UPN 변경 후에 만든 새 모임 메모는 영향을 받지 않습니다.