다음을 통해 공유


Microsoft Entra ID의 사용자와 일치하지 않는 애플리케이션의 사용자 및 매핑 관리

기존 애플리케이션을 Microsoft Entra ID와 통합하는 경우 프로비전 또는 SSO(Single Sign-On)에 대해 Microsoft Entra ID의 사용자에 해당하지 않거나 Microsoft Entra ID의 사용자와 일치하지 않는 사용자가 애플리케이션의 데이터 저장소에 있는지 확인할 수 있습니다.

Microsoft Entra 프로비전 서비스는 구성 가능한 일치 규칙을 사용하여 Microsoft Entra ID의 사용자가 애플리케이션의 사용자에 해당하는지 여부를 확인하고, 애플리케이션에서 Microsoft Entra ID 사용자로부터 일치하는 속성을 가진 사용자를 검색합니다. 예를 들어 일치하는 규칙이 Microsoft Entra ID 사용자의 userPrincipalName 특성을 애플리케이션의 userName 속성과 비교하도록 가정합니다. alice.smith@contoso.comuserPrincipalName 값이 있는 Microsoft Entra ID의 사용자가 애플리케이션의 역할에 할당되면 Microsoft Entra 프로비전 서비스는 userName eq "alice.smith@contoso.com"과(와) 같은 쿼리를 사용하여 애플리케이션 검색을 수행합니다. 애플리케이션 검색에서 일치하는 사용자가 없음을 나타내는 경우 Microsoft Entra 프로비전 서비스는 애플리케이션에서 새 사용자를 만듭니다.

애플리케이션에 사용자가 아직 없는 경우 이 프로세스는 Microsoft Entra ID에 할당된 대로 애플리케이션의 데이터 저장소를 사용자로 채웁니다. 그러나 애플리케이션에 이미 사용자가 있는 경우 두 가지 상황이 발생할 수 있습니다. 첫째, 애플리케이션에 사용자 계정이 있는 사용자가 있을 수 있지만 일치 항목이 해당 사용자를 찾지 못합니다. 아마도 사용자가 alice.smith@contoso.com 아닌 asmith@contoso.com(으)로 애플리케이션에 표시되므로 Microsoft Entra 프로비전 서비스에서 수행하는 검색을 통해서는 찾을 수 없습니다. 이 경우 사용자는 애플리케이션에서 중복 사용자가 생길 수 있습니다. 둘째, Microsoft Entra ID 사용자가 없는 애플리케이션에 사용자 계정이 있는 사용자가 있을 수 있습니다. 이 경우 Microsoft Entra 프로비전 서비스는 애플리케이션의 해당 사용자와 상호 작용하지 않지만 애플리케이션이 Microsoft Entra ID를 유일한 ID 공급자로 사용하도록 구성된 경우 해당 사용자는 더 이상 로그인할 수 없습니다. 애플리케이션은 사용자를 Microsoft Entra ID로 로그인하도록 리디렉션합니다. 하지만 해당 사용자에게 Microsoft Entra ID의 사용자가 없습니다.

Microsoft Entra ID와 기존 애플리케이션 데이터 저장소 간의 이러한 불일치는 다음과 같은 여러 가지 이유로 발생할 수 있습니다.

  • 애플리케이션 관리자는 레코드 HR 원본 시스템에 표시되지 않지만 애플리케이션 액세스가 필요한 계약자 또는 공급업체와 같이 애플리케이션에서 직접 사용자를 만들기 때문에,
  • 이름을 변경하는 사람과 같은 ID 및 특성 변경 내용이 Microsoft Entra ID 또는 애플리케이션으로 전송되지 않았으므로 표현이 하나 또는 다른 시스템에서 만료되었기 때문에,
  • 또는 조직이 Windows Server AD와 애플리케이션을 서로 다른 커뮤니티에 독립적으로 프로비전하는 ID 관리 제품을 사용하고 있기 때문에. 예를 들어 매장 직원은 애플리케이션 액세스가 필요하지만 Exchange 사서함이 필요하지 않았으므로 매장 직원은 Windows Server AD 또는 Microsoft Entra ID에 표시되지 않았습니다.

기존 사용자가 있는 애플리케이션에 프로비전 또는 SSO를 사용하도록 설정하기 전에 사용자가 일치하는지 확인하고 일치하지 않는 애플리케이션에서 해당 사용자를 조사하고 해결해야 합니다. 이 문서에서는 사용자를 일치시킬 수 없는 다양한 상황을 해결하는 방법에 대한 옵션을 간략하게 설명합니다.

애플리케이션에 일치하지 않는 사용자가 있는지 확인

Microsoft Entra ID의 사용자와 일치하지 않는 애플리케이션의 사용자 목록을 이미 결정한 경우 다음 섹션에서 계속 진행합니다.

애플리케이션의 사용자가 Microsoft Entra ID의 사용자와 일치하지 않는지 확인하는 절차는 애플리케이션이 Microsoft Entra ID와 통합된 방식 또는 통합될 방식에 따라 달라집니다.

  • SAP Cloud Identity Services를 사용하는 경우 SAP Cloud Identity Services 프로비전 자습서의 단계에 따라 기존 SAP Cloud Identity Services 사용자에게 필요한 일치 특성이 있는지 확인합니다. 이 자습서에서는 SAP Cloud Identity Services의 사용자 목록을 CSV 파일로 내보낸 후 PowerShell을 사용하여 해당 사용자를 Microsoft Entra ID의 사용자와 일치시킬 수 있습니다.

  • 애플리케이션에서 LDAP 디렉터리를 사용하는 경우 LDAP 디렉터리 프로비전 자습서의 단계에 따라 LDAP 디렉터리에서 기존 사용자를 수집합니다. 이 자습서에서는 PowerShell을 사용하여 해당 사용자를 Microsoft Entra ID의 사용자와 일치시킬 수 있습니다.

  • SQL 데이터베이스가 있거나 애플리케이션 갤러리에서 프로비전 지원이 있는 애플리케이션을 비롯한 다른 애플리케이션의 경우 자습서의 단계에 따라 애플리케이션의 기존 사용자를 관리하고 Microsoft Entra ID에 애플리케이션의 사용자와 일치하는 사용자가 있는지 확인합니다.

  • 프로비전 인터페이스가 없는 다른 애플리케이션의 경우 자습서의 단계에 따라 프로비전을 지원하지 않는 애플리케이션의 사용자를 관리하고 Microsoft Entra ID에 애플리케이션의 사용자와 일치하는 사용자가 있는지 확인합니다.

이러한 자습서에 제공된 PowerShell 스크립트가 완료되면 애플리케이션의 레코드가 Microsoft Entra ID에 없는 경우 오류가 표시됩니다. 애플리케이션 데이터 저장소의 사용자에 대한 모든 레코드를 Microsoft Entra ID의 사용자로 찾을 수 없는 경우 일치하지 않는 레코드와 그 이유를 조사한 후 다음 섹션의 옵션 중 하나를 사용하여 일치하는 문제를 해결해야 합니다.

애플리케이션과 Microsoft Entra ID 간에 사용자를 일치시킬 수 있는 옵션

이 섹션에서는 애플리케이션에서 일치하지 않는 사용자를 처리하는 몇 가지 옵션을 제공합니다. 조직의 목표와 Microsoft Entra ID와 애플리케이션 간의 데이터 문제에 따라 각 사용자에 대한 적절한 옵션을 선택합니다. 특정 애플리케이션의 모든 사용자를 포괄하는 단일 옵션이 없을 수 있습니다.

옵션 프로비전하기 전에 필요한 업데이트
애플리케이션에서 테스트 사용자 삭제 애플리케이션의 사용자
더 이상 조직에 속하지 않는 사용자에 대한 애플리케이션에서 사용자 삭제 애플리케이션의 사용자
애플리케이션에서 사용자를 삭제하고 Microsoft Entra ID 다시 만들게 함 애플리케이션의 사용자
애플리케이션 사용자의 일치하는 속성 업데이트 애플리케이션의 사용자
새 속성이 있는 애플리케이션에서 사용자 업데이트 애플리케이션의 사용자
이메일 주소가 사용자 계정 이름과 일치하지 않는 경우 일치 규칙 또는 속성 변경 애플리케이션 사용자 또는 Microsoft Entra 애플리케이션 일치 규칙
Microsoft Entra ID 사용자의 일치 특성 업데이트 Microsoft Entra ID의 사용자
필요한 사용자 및 특성을 동기화하도록 Microsoft Entra Connect 동기화 또는 클라우드 동기화 프로비전 규칙 업데이트 Microsoft Entra ID의 사용자를 업데이트하는 Microsoft Entra Connect 동기화 또는 Microsoft Entra 클라우드 동기화
새 특성이 있는 Microsoft Entra ID의 사용자 업데이트 Microsoft Entra ID의 사용자
Microsoft Entra ID에 이미 채워진 다른 특성으로 일치 규칙 변경 Microsoft Entra 애플리케이션 일치 규칙
지속적인 애플리케이션 액세스가 필요한 애플리케이션의 사용자를 위해 Windows Server AD의 사용자 만들기 Microsoft Entra ID의 사용자를 업데이트하는 Windows Server AD의 사용자
지속적인 애플리케이션 액세스가 필요한 애플리케이션의 사용자를 위해 Microsoft Entra ID의 사용자 만들기 Microsoft Entra ID의 사용자
애플리케이션 및 Microsoft Entra ID에서 별도의 사용자와 일치하지 않는 사용자 유지 관리 None

애플리케이션에서 테스트 사용자 삭제

애플리케이션의 초기 배포에서 남은 테스트 사용자가 있을 수 있습니다. 더 이상 필요하지 않은 사용자가 있는 경우 애플리케이션에서 삭제할 수 있습니다.

더 이상 조직에 속하지 않는 사용자에 대한 애플리케이션에서 사용자 삭제

사용자는 더 이상 조직과 관련이 없으며 더 이상 애플리케이션에 액세스할 필요가 없지만 여전히 애플리케이션의 데이터 원본에 있는 사용자입니다. 이 문제는 애플리케이션 관리자가 사용자를 제거하지 않거나 변경이 필요하다는 정보를 받지 못한 경우에 발생할 수 있습니다. 사용자가 더 이상 필요하지 않은 경우 애플리케이션에서 삭제할 수 있습니다.

애플리케이션에서 사용자를 삭제하고 Microsoft Entra ID 다시 만들게 함

애플리케이션이 현재 광범위하게 사용되지 않거나 사용자별 상태를 유지하지 않는 경우 다른 옵션은 더 이상 일치하지 않는 사용자가 없도록 애플리케이션에서 사용자를 삭제하는 것입니다. 그런 다음 사용자가 Microsoft Entra ID에서 애플리케이션을 요청하거나 할당하면 액세스 권한이 프로비전됩니다.

애플리케이션 사용자의 일치하는 속성 업데이트

사용자가 애플리케이션 및 Microsoft Entra ID에 있을 수 있지만 애플리케이션의 사용자가 일치에 필요한 속성이 없거나 속성 값이 잘못되었습니다.

예를 들어 SAP 관리자가 해당 관리 콘솔을 사용하여 SAP Cloud Identity Services에서 사용자를 만들 때 사용자에게 userName 속성이 없을 수 있습니다. 그러나 해당 속성은 Microsoft Entra ID의 사용자와 일치시키는 데 사용될 수 있습니다. userName 속성이 일치하도록 의도된 속성인 경우 SAP 관리자가 기존 SAP Cloud Identity Services 사용자를 업데이트하여 userName 속성의 값을 갖도록 해야 합니다.

또 다른 예로, 애플리케이션 관리자는 사용자가 애플리케이션에 처음 추가되었을 때 사용자의 이메일 주소를 애플리케이션에서 사용자의 속성 mail(으)로 설정했습니다. 그러나 나중에 사용자의 이메일 주소 및 userPrincipalName이(가) Microsoft Entra ID에서 변경됩니다. 그러나 애플리케이션에 이메일 주소가 필요하지 않거나 이메일 공급자가 이전 이메일 주소를 계속 전달하도록 허용하는 리디렉션이 있는 경우 애플리케이션 관리자가 애플리케이션의 데이터 원본에서 업데이트되는 mail 속성이 필요하다는 것을 놓쳤을 수 있습니다. 이 불일치는 애플리케이션 관리자가 애플리케이션 사용자의 mail 속성을 현재 값으로 변경하거나 다음 섹션에 설명된 대로 일치 규칙을 변경하여 해결할 수 있습니다.

새 속성이 있는 애플리케이션에서 사용자 업데이트

조직의 이전 ID 관리 시스템에서 애플리케이션의 사용자를 로컬 사용자로 만들었을 수 있습니다. 당시 조직에 단일 ID 공급자가 없는 경우 애플리케이션의 해당 사용자는 다른 시스템과 상관 관계를 갖기 위해 속성을 필요로 하지 않았습니다. 예를 들어 이전 ID 관리 제품은 신뢰할 수 있는 HR 원본을 기반으로 애플리케이션에서 사용자를 만들었습니다. 해당 ID 관리 시스템은 애플리케이션에서 만든 사용자와 HR 원본 간의 상관 관계를 유지했으며 애플리케이션에 HR 원본 식별자를 제공하지 않았습니다. 나중에 동일한 HR 원본에서 채워진 Microsoft Entra ID 테넌트에 애플리케이션을 연결하려고 하면 Microsoft Entra ID에 애플리케이션에 있는 것과 동일한 모든 사용자에 대한 사용자가 있을 수 있지만 공통 속성이 없으므로 모든 사용자에 대한 일치가 실패합니다.

이 일치 문제를 해결하려면 다음 단계를 수행합니다.

  1. 애플리케이션에서 사용되지 않는 사용자의 기존 속성을 선택하거나 애플리케이션의 사용자 스키마에 새 속성을 추가합니다.
  2. Microsoft Entra ID의 사용자에게 이미 있는 직원 ID 번호 또는 이메일 주소와 같은 신뢰할 수 있는 원본의 데이터로 애플리케이션의 모든 사용자에 해당 속성을 채웁니다.
  3. 이 속성이 일치 규칙에 포함되도록 애플리케이션에 대한 Microsoft Entra 애플리케이션 프로비전 특성 매핑 구성을 업데이트합니다.

이메일 주소가 사용자 계정 이름과 일치하지 않는 경우 일치 규칙 또는 속성 변경

기본적으로 애플리케이션에 대한 Microsoft Entra 프로비전 서비스 매핑 중 일부는 애플리케이션 이메일 주소 속성과 일치하도록 userPrincipalName 특성을 보냅니다. 일부 조직에는 사용자 계정 이름과 구별되는 사용자의 기본 이메일 주소가 있습니다. 애플리케이션이 이메일 주소를 userPrincipalName이(가) 아닌 사용자의 속성으로 저장하는 경우 애플리케이션의 사용자 또는 일치하는 규칙을 변경해야 합니다.

  • Microsoft Entra ID에서 애플리케이션으로 Single Sign-On을 사용하려는 경우 userPrincipalName을 보유할 사용자에 속성을 추가하도록 애플리케이션을 변경할 수 있습니다. 그런 다음, 애플리케이션의 각 사용자에 대한 해당 속성을 Microsoft Entra ID의 사용자 userPrincipalName으로 채우고, 이 속성이 일치 규칙에 포함되도록 Microsoft Entra 애플리케이션 프로비전 구성을 업데이트합니다.
  • Microsoft Entra ID에서 Single Sign-On을 사용하지 않으려면 일치 규칙에서 Microsoft Entra 사용자의 이메일 주소 특성과 일치하도록 Microsoft Entra 애플리케이션 프로비전 특성 매핑 구성업데이트하는 것이 대안입니다.

Microsoft Entra ID 사용자의 일치 특성 업데이트

경우에 따라 일치에 사용되는 특성에 만료된 Microsoft Entra ID 사용자의 값이 있습니다. 예를 들어 사용자가 이름을 변경했지만 Microsoft Entra ID 사용자에서는 이름이 변경되지 않았습니다.

사용자가 Microsoft Entra ID에서만 만들어지고 유지 관리되는 경우 올바른 특성을 갖도록 사용자를 업데이트해야 합니다. 사용자 특성이 Windows Server AD 또는 HR 원본과 같은 업스트림 시스템에서 발생하는 경우 업스트림 원본의 값을 변경하고 변경 내용이 Microsoft Entra ID에 표시될 때까지 기다려야 합니다.

필요한 사용자 및 특성을 동기화하도록 Microsoft Entra Connect 동기화 또는 클라우드 동기화 프로비전 규칙 업데이트

경우에 따라 이전 ID 관리 시스템에서 다른 애플리케이션과 일치하는 특성으로 작동할 수 있는 적절한 특성으로 Windows Server AD 사용자를 채웠습니다. 예를 들어 이전 ID 관리 시스템이 HR 원본에 연결된 경우 AD 사용자에게는 이전 ID 관리 시스템에서 사용자의 직원 ID로 채워진 employeeId 특성이 있습니다. 또 다른 예로, 이전 ID 관리 시스템에서는 애플리케이션 고유 사용자 ID를 Windows Server AD 스키마의 확장 특성으로 작성했습니다. 그러나 이러한 특성 중 어느 것도 Microsoft Entra ID로 동기화하기 위해 선택되지 않았거나 사용자가 Microsoft Entra ID에 대한 동기화 범위를 벗어난 경우 사용자 커뮤니티의 Microsoft Entra ID 표현이 불완전할 수 있습니다.

이 문제를 해결하려면 Microsoft Entra Connect 동기화 또는 Microsoft Entra 클라우드 동기화 구성을 변경하여 애플리케이션에 있는 Windows Server AD의 모든 적절한 사용자가 Microsoft Entra ID로 프로비전되는 범위에 있고 해당 사용자의 동기화된 특성에 일치 용도로 사용할 특성이 포함되도록 해야 합니다. Microsoft Entra Connect 동기화를 사용하는 경우 Microsoft Entra Connect 동기화: 필터링 구성Microsoft Entra Connect 동기화: 디렉터리 확장을 참조하세요. Microsoft Entra 클라우드 동기화를 사용할 경우 Microsoft Entra 클라우드 동기화의 특성 매핑클라우드 동기화 디렉터리 확장 및 사용자 지정 특성 매핑을 참조하세요.

새 특성이 있는 Microsoft Entra ID의 사용자 업데이트

경우에 따라 애플리케이션은 현재 사용자의 Microsoft Entra ID 스키마에 저장되지 않은 사용자에 대한 고유 식별자를 보유할 수 있습니다. 예를 들어 SAP Cloud Identity Services를 사용하는 경우 SAP 사용자 ID가 일치하는 특성이 되도록 하거나 Linux 시스템을 사용하는 경우 Linux 사용자 ID가 일치하는 특성이 되도록 할 수 있습니다. 그러나 이러한 속성은 Microsoft Entra ID 사용자 스키마의 일부가 아니므로 Microsoft Entra ID의 사용자에게는 존재하지 않을 수 있습니다.

일치에 새 특성을 사용하려면 다음 단계를 수행합니다.

  1. Microsoft Entra ID에서 사용되지 않는 기존 확장 특성을 선택하거나 새 특성으로 Microsoft Entra 사용자 스키마를 확장합니다.
  2. Microsoft Entra ID의 모든 사용자에 대해 해당 특성을 애플리케이션 또는 HR 시스템과 같은 신뢰할 수 있는 원본의 데이터로 채웁니다. 사용자가 Windows Server AD에서 동기화되거나 HR 시스템에서 프로비전되는 경우 해당 업스트림 원본에서 변경해야 할 수 있습니다.
  3. Microsoft Entra 애플리케이션 프로비전 특성 매핑 구성을 업데이트하고 이 특성을 일치 규칙에 포함합니다.

Microsoft Entra ID에 이미 채워진 다른 특성으로 일치 규칙 변경

애플리케이션 갤러리의 애플리케이션에 대한 기본 일치 규칙은 userPrincipalName과(와) 같은 모든 Microsoft 고객의 모든 Microsoft Entra ID 사용자에게 일반적으로 존재하는 특성을 사용합니다. 이러한 규칙은 범용 테스트 또는 현재 사용자가 없는 새 애플리케이션으로 프로비전하는 데 적합합니다. 그러나 많은 조직에서 이미 Microsoft Entra ID 사용자를 직원 ID와 같은 조직과 관련된 다른 특성으로 채웠을 수 있습니다. 일치에 적합한 다른 특성이 있을 경우 Microsoft Entra 애플리케이션 프로비전 특성 매핑 구성을 업데이트하고 이 특성을 일치 규칙에 포함합니다.

HR 원본에서 Microsoft Entra ID로 인바운드 프로비전을 구성

사용자를 여러 애플리케이션에 독립적으로 프로비전한 조직은 HR 시스템과 같은 신뢰할 수 있는 원본에서 파생된 사용자에 대한 일반 식별자를 사용하는 것이 이상적입니다. 많은 HR 시스템에는 두 사람이 동일한 직원 ID를 갖지 않도록 고유하게 처리할 수 있는 employeeId과(와) 같은 식별자로도 작동하는 속성이 있습니다. Workday 또는 SuccessFactors와 같은 HR 원본이 있는 경우 해당 원본에서 employeeId와 같은 특성을 가져오는 것이 적절한 일치 규칙을 만들 수 있습니다.

일치를 위해 신뢰할 수 있는 원본에서 가져온 값이 있는 특성을 사용하려면 다음 단계를 수행합니다.

  1. 적절한 Microsoft Entra ID 사용자 스키마 특성을 선택하거나 새 특성이 있는 Microsoft Entra 사용자 스키마를 확장합니다. 해당 값은 애플리케이션에서 사용자의 동등한 속성에 해당합니다.
  2. Microsoft Entra ID 및 애플리케이션에 사용자가 있는 모든 사용자의 HR 원본에도 속성이 있는지 확인합니다.
  3. HR 원본에서 Microsoft Entra ID로 인바운드 프로비전을 구성합니다.
  4. Microsoft Entra ID의 사용자가 새 특성으로 업데이트될 때까지 기다립니다.
  5. Microsoft Entra 애플리케이션 프로비전 특성 매핑 구성을 업데이트하고 이 특성을 일치 규칙에 포함합니다.

지속적인 애플리케이션 액세스가 필요한 애플리케이션의 사용자를 위해 Windows Server AD의 사용자 만들기

신뢰할 수 있는 HR 원본의 사용자와 일치하지 않지만 나중에 Windows Server AD 기반 애플리케이션과 Microsoft Entra ID 통합 애플리케이션 모두에 액세스해야 하는 애플리케이션의 사용자가 있고 조직에서 Microsoft Entra Connect Sync 또는 Microsoft Entra Cloud Sync를 사용하여 Windows Server AD에서 Microsoft Entra ID로 사용자를 프로비전하는 경우 아직 없는 각 사용자에 대해 Windows Server AD에서 사용자를 만들 수 있습니다.

사용자가 Windows Server AD 기반 애플리케이션에 액세스할 필요가 없는 경우 다음 섹션에 설명된 대로 Microsoft Entra ID의 사용자를 만듭니다.

지속적인 애플리케이션 액세스가 필요한 애플리케이션의 사용자를 위해 Microsoft Entra ID의 사용자 만들기

신뢰할 수 있는 HR 원본의 사용자와 일치하지 않지만 지속적인 액세스가 필요하고 Microsoft Entra에서 관리되는 애플리케이션의 사용자가 있는 경우 해당 사용자를 위해 Microsoft Entra 사용자를 만들 수 있습니다. 다음 중 하나를 사용하여 사용자를 대량으로 만들 수 있습니다.

이러한 새 사용자가 나중에 애플리케이션의 기존 사용자와 일치하도록 Microsoft Entra ID에 필요한 특성과 userPrincipalName, mailNicknamedisplayName을 포함하여 Microsoft Entra ID에 필요한 특성으로 채워졌는지 확인합니다. userPrincipalName은 디렉터리의 모든 사용자 중에서 고유해야 합니다.

PowerShell을 사용하여 대량으로 사용자 만들기

이 섹션에서는 Microsoft Graph PowerShell cmdlet을 사용하여 Microsoft Entra ID와 상호 작용하는 방법을 보여 줍니다.

조직에서 이 시나리오에 이러한 cmdlet을 처음 사용하는 경우 테넌트에서 Microsoft Graph PowerShell을 사용할 수 있도록 허용하는 전역 관리자 역할이 필요합니다. 후속 상호 작용에서 사용자 관리자와 같은 낮은 권한 있는 역할을 사용할 수 있습니다.

  1. Microsoft Entra ID가 아닌 애플리케이션의 사용자를 식별한 PowerShell 세션이 이미 있는 경우 아래 6단계로 계속 진행합니다. 그렇지 않으면 PowerShell을 엽니다.

  2. Microsoft Graph PowerShell 모듈을 아직 설치하지 않았으면 이 명령을 사용하여 Microsoft.Graph.Users 모듈과 다른 모듈을 설치합니다.

    Install-Module Microsoft.Graph
    

    모듈이 이미 설치되어 있으면 최신 버전을 사용하고 있는지 확인합니다.

    Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
    
  3. Microsoft Entra ID에 연결합니다.

    $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
    
  4. 이 명령을 처음 사용하는 경우 Microsoft Graph 명령줄 도구에 이러한 사용 권한이 있도록 허용한다는 데 동의해야 합니다.

  5. 사용자 계정 이름, 별칭 및 사용자의 전체 이름 등 Microsoft Entra ID 필수 특성인 필드도 있는 애플리케이션의 사용자 배열을 PowerShell 환경으로 가져옵니다. 이 스크립트는 배열 $dbu_not_matched_list에 일치하지 않는 애플리케이션의 사용자가 포함되어 있다고 가정합니다.

    $filename = ".\Users-to-create.csv"
    $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
    
  6. PowerShell 세션에서, 만들 사용자 배열 내 Microsoft Entra ID 필수 속성에 해당하는 열을 지정합니다. 예를 들어, 데이터베이스에는 EMail이라는 열의 값이 Microsoft Entra 사용자 계정 이름으로 사용하려는 값이고, Alias 열의 값에 Microsoft Entra ID 메일 별명이 포함되어 있고 Full name 열의 값에는 사용자의 표시 이름이 포함됩니다.

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    
  7. 텍스트 편집기에서 다음 스크립트를 엽니다. 애플리케이션에 필요한 Microsoft Entra 특성을 추가하거나 $azuread_match_attr_namemailNickname도 아니고 userPrincipalName도 아닌 경우 해당 Microsoft Entra 특성을 제공하려면 이 스크립트를 수정해야 할 수도 있습니다.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    
  8. 텍스트 편집기의 결과 스크립트를 PowerShell 세션에 붙여넣습니다. 오류가 발생하는 경우 계속하기 전에 수정해야 합니다.

애플리케이션 및 Microsoft Entra ID에서 별도의 사용자와 일치하지 않는 사용자 유지 관리

Microsoft Entra ID의 특정 개인과 일치하지 않는 애플리케이션의 데이터 원본에 최고 관리자 사용자가 있을 수 있습니다. Microsoft Entra 사용자를 만들지 않으면 해당 사용자는 Microsoft Entra ID 또는 Microsoft Entra ID 거버넌스에서 관리할 수 없습니다. 이러한 사용자는 Microsoft Entra ID로 로그인할 수 없으므로 Microsoft Entra ID를 ID 공급자로 사용하도록 애플리케이션을 구성하는 경우 해당 사용자가 인증에 Microsoft Entra ID를 사용할 수 없는지 확인합니다.

사용자 다시 내보내기

Microsoft Entra 사용자, 애플리케이션의 사용자 또는 Microsoft Entra 애플리케이션 일치 규칙을 업데이트한 후에는 애플리케이션에 대한 일치 절차를 다시 내보내고 수행하여 모든 사용자의 상관 관계를 확인해야 합니다.

  • SAP Cloud Identity Services를 사용하는 경우 SAP Cloud Identity Services 프로비전 자습서의 단계부터 시작해 기존 SAP Cloud Identity Services 사용자에게 필요한 일치 특성이 있는지 확인합니다. 이 자습서에서는 SAP Cloud Identity Services의 사용자 목록을 CSV 파일로 내보낸 후 PowerShell을 사용하여 해당 사용자를 Microsoft Entra ID의 사용자와 일치시킬 수 있습니다.

  • 애플리케이션에서 LDAP 디렉터리를 사용하는 경우 LDAP 디렉터리 프로비전 자습서의 단계부터 시작해 LDAP 디렉터리에서 기존 사용자를 수집합니다.

  • SQL 데이터베이스가 있거나 애플리케이션 갤러리에서 프로비전 지원이 있는 애플리케이션을 비롯한 다른 애플리케이션의 경우 자습서의 단계부터 시작해 애플리케이션의 기존 사용자를 관리하고 애플리케이션에서 기존 사용자를 수집합니다.

애플리케이션 역할에 사용자 할당 및 프로비전 사용

필요한 업데이트를 완료하고 애플리케이션의 모든 사용자가 Microsoft Entra ID의 사용자와 일치하는지 확인한 후에는 애플리케이션에 액세스해야 하는 Microsoft Entra ID의 사용자를 Microsoft Entra 애플리케이션 앱 역할에 할당한 다음 애플리케이션으로의 프로비전을 사용하도록 설정해야 합니다.

다음 단계