Microsoft Entra Connect 그룹 쓰기 저장 기본 동작 수정
그룹 쓰기 저장은 Microsoft Entra Connect 동기화를 사용하여 클라우드 그룹을 온-프레미스 Active Directory 인스턴스에 다시 쓸 수 있는 기능입니다. 다음과 같은 방법으로 기본 동작을 변경할 수 있습니다.
- 새로 만든 Microsoft 365 그룹을 포함하여 쓰기 저장에 대해 구성된 그룹만 쓰기 저장됩니다.
- 쓰기 저장된 그룹은 Microsoft Entra ID에서 그룹 쓰기 저장, 일시 삭제 또는 영구 삭제에 대해 사용하지 않도록 설정된 경우 Active Directory에서 삭제됩니다.
- 최대 250,000명의 구성원이 있는 Microsoft 365 그룹은 온-프레미스에 쓰기 저장할 있습니다.
이 문서에서는 Microsoft Entra Connect 그룹 쓰기 저장의 기본 동작을 수정하는 옵션을 안내합니다.
기존 배포에 대한 고려 사항
원래 버전의 그룹 쓰기 저장이 이미 사용 설정되어 있고 환경에서 사용 중인 경우 모든 Microsoft 365 그룹이 이미 Active Directory에 쓰기 저장되어 있습니다. 모든 Microsoft 365 그룹을 사용하지 않도록 설정하는 대신 이전에 쓰기 저장된 그룹의 사용을 검토합니다. 온-프레미스 Active Directory에서 더 이상 필요하지 않은 항목만 사용하지 않도록 설정합니다.
새 Microsoft 365 그룹의 자동 쓰기 저장 사용 안 함
새로 만든 Microsoft 365 그룹의 자동 쓰기 저장을 사용하지 않도록 설정하도록 디렉터리 설정을 구성하려면 다음 방법 중 하나를 사용합니다.
PowerShell: Microsoft 베타 Graph PowerShell SDK를 사용합니다. 예시:
# Import Module Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Directory.ReadWrite.All # Verify if "Group.Unified" directory settings exist $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"} # If "Group.Unified" directory settings exist, update the value for new unified group writeback default if ($DirectorySetting) { $params = @{ Values = @( @{ Name = "NewUnifiedGroupWritebackDefault" Value = $false } ) } Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params } else { # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting # Import "Group.Unified" template values to a hashtable $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} $TemplateValues = @{} $Template.Values | ForEach-Object { $TemplateValues.Add($_.Name, $_.DefaultValue) } # Update the value for new unified group writeback default $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false # Create a directory setting using the Template values hashtable including the updated value $params = @{} $params.Add("TemplateId", $Template.Id) $params.Add("Values", @()) $TemplateValues.Keys | ForEach-Object { $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]}) } New-MgBetaDirectorySetting -BodyParameter $params }
참고 항목
PowerShell 7과 함께 Microsoft Graph PowerShell SDK를 사용하는 것이 좋습니다.
- Microsoft Graph: directorySetting 리소스 종류를 사용합니다.
모든 기존 Microsoft 365 그룹에 대한 쓰기 저장 사용 안 함
이러한 수정 전에 만든 모든 Microsoft 365 그룹의 쓰기 저장을 사용하지 않도록 설정하려면 다음 방법 중 하나를 사용합니다.
포털: Microsoft Entra 관리 센터를 사용합니다.
PowerShell: Microsoft 베타 Graph PowerShell SDK를 사용합니다. 예시:
#Import-module Import-Module Microsoft.Graph.Beta #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Group.ReadWrite.All #List all Microsoft 365 Groups $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"} #Disable Microsoft 365 Groups Foreach ($group in $Groups) { Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false} }Microsoft Graph Explorer: 그룹 개체를 사용합니다.
쓰기 저장 또는 일시 삭제에 대해 사용하지 않도록 설정된 경우 그룹 삭제
참고 항목
Active Directory에서 쓰기 저장 그룹을 삭제한 후 쓰기 저장을 다시 사용하도록 설정하거나 일시 삭제 상태에서 복원된 경우 Active Directory 휴지통 기능에서 자동으로 복원되지 않습니다. 새 그룹이 만들어집니다. 쓰기 저장을 다시 사용하도록 설정하기 전에 Active Directory 휴지통에서 복원되거나 Microsoft Entra ID의 일시 삭제 상태에서 복원된 삭제된 그룹은 해당 Microsoft Entra 그룹에 조인됩니다.
Microsoft Entra Connect 서버에서 관리자 권한으로 PowerShell 프롬프트를 엽니다.
Microsoft Entra Connect 동기화 스케줄러 비활성화:
Set-ADSyncScheduler -SyncCycleEnabled $falseMicrosoft Entra Connect에서 사용자 지정 동기화 규칙을 만들어 쓰기 저장 또는 일시 삭제에 사용하지 않도록 설정된 경우 쓰기 저장 그룹을 삭제합니다.
import-module ADSync $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' ` -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' ` -Direction 'Inbound' ` -Precedence $precedenceValue ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Destination 'reasonFiltered' ` -FlowType 'Expression' ` -ValueMergeType 'Update' ` -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' ` -ArgumentList 'cloudAnchor','cloudAnchor',$false ` -OutVariable condition0 Add-ADSyncJoinConditionGroup ` -SynchronizationRule $syncRule[0] ` -JoinConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'Microsoft Entra Connect 동기화 스케줄러 활성화:
Set-ADSyncScheduler -SyncCycleEnabled $true
참고 항목
동기화 규칙을 만들면 Microsoft Entra 커넥터에서 전체 동기화 플래그가 true로 설정됩니다. 이 변경으로 인해 규칙 변경 내용이 다음 동기화 주기에 전파됩니다.
최대 250,000명의 구성원이 있는 Microsoft 365 그룹 쓰기 저장
그룹 크기를 제한하는 기본 동기화 규칙은 그룹 쓰기 저장을 사용할 때 생성되므로 그룹 쓰기 저장을 사용하도록 설정한 후 다음 단계를 완료해야 합니다.
Microsoft Entra Connect 서버에서 관리자 권한으로 PowerShell 프롬프트를 엽니다.
Microsoft Entra Connect 동기화 스케줄러 비활성화:
Set-ADSyncScheduler -SyncCycleEnabled $false동기화 규칙 편집기를 엽니다.
방향을 아웃바운드로 설정합니다.
AD로 아웃 – 그룹 쓰기 저장 구성원 한계 동기화 규칙 찾기 및 사용하지 않도록 설정합니다.
Microsoft Entra Connect 동기화 스케줄러 활성화:
Set-ADSyncScheduler -SyncCycleEnabled $true
참고 항목
동기화 규칙을 비활성화하면 Microsoft Entra 커넥터에서 전체 동기화 플래그가 true로 설정됩니다. 이 변경으로 인해 규칙 변경 내용이 다음 동기화 주기에 전파됩니다.
Active Directory 휴지통에서 복원
쓰기 저장을 사용하지 않거나 일시 삭제할 때 그룹을 삭제하도록 기본 동작을 업데이트하는 경우, Active Directory의 온-프레미스 인스턴스에 대해 Active Directory 휴지통 기능을 사용하도록 설정하는 것이 좋습니다. 이 기능을 사용하여 이전에 삭제된 Active Directory 그룹을 수동으로 복원할 수 있으므로 실수로 사용하지 않도록 설정되어 쓰기 저장 또는 일시 삭제된 경우 각각의 Microsoft Entra 그룹에 다시 조인할 수 있습니다.
쓰기 저장을 다시 사용하도록 설정하거나 Microsoft Entra ID의 일시 삭제에서 복원하기 전에 먼저 Active Directory에서 그룹을 복원해야 합니다.