ID 동기화 및 중복 특성 복원력

Microsoft Entra ID의 중복 속성 탄력성 기능은 Microsoft의 동기화 도구를 실행할 때 발생할 수 있는 UserPrincipalName 및 SMTP ProxyAddress 충돌로 인한 문제를 해결하는 기능입니다.

이러한 두 특성은 지정된 Microsoft Entra 테넌트에서 모든 User, Group또는 Contact 개체에서 고유해야 합니다.

참고

사용자만 UPN을 가질 수 있습니다.

이 기능을 사용하도록 설정하는 새로운 동작은 동기화 파이프라인의 클라우드 부분에 있으므로 클라이언트에 구애받지 않으며 Microsoft Entra Connect, DirSync 및 MIM + Connector를 비롯한 모든 Microsoft 동기화 제품과 관련이 있습니다. 일반 용어인 "동기화 클라이언트"는 이 문서에서 이러한 제품 중 하나를 나타내는 데 사용됩니다.

현재 동작

이 고유성 제약 조건을 위반하는 UPN 또는 ProxyAddress 값을 사용하여 새 개체를 프로비전하려는 시도가 있는 경우 Microsoft Entra ID는 해당 개체가 만들어지지 않도록 차단합니다. 마찬가지로 개체가 고유하지 않은 UPN 또는 ProxyAddress로 업데이트되면 업데이트가 실패합니다. 동기화 클라이언트는 각 내보내기 주기마다 프로비전 시도 또는 업데이트를 다시 시도하며 충돌이 해결될 때까지 계속 실패합니다. 각 시도 시 오류 보고서가 발생되고 동기화 클라이언트에서 오류가 기록됩니다.

중복 특성에 대한 대응 능력

중복 특성이 있는 개체를 프로비전하거나 업데이트하는 데 완전히 실패하는 대신 Microsoft Entra ID는 고유성 제약 조건을 위반하는 중복 특성을 "격리"합니다. 이 특성이 UserPrincipalName과 같은 프로비전에 필요한 경우 서비스는 자리 표시자 값을 할당합니다. 이러한 임시 값의 형식은
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com입니다.

특성 복원력 프로세스는 UPN 및 SMTP ProxyAddress 값만 처리합니다.

ProxyAddress같은 특성이 필요하지 않은 경우 Microsoft Entra ID는 단순히 충돌 특성을 격리하고 개체 만들기 또는 업데이트를 진행합니다.

특성을 격리 시 충돌에 대한 정보는 이전 동작에 사용된 동일한 오류 보고서 전자 메일에 전송됩니다. 그러나 이 정보는 오류 보고서에 한 번만 표시됩니다. 격리가 발생하면 이후 전자 메일에 계속 기록되지 않습니다. 또한 이 개체에 대한 내보내기가 성공적이므로 동기화 클라이언트는 오류를 기록하지 않으며 후속 동기화 주기 시 만들기/업데이트 작업을 다시 시도하지 않습니다.

이 동작을 지원하기 위해 사용자, 그룹 및 연락처 개체 클래스에 새 특성이 추가됩니다.
DirSyncProvisioningError

정상적으로 추가해야 하는 고유성 제약 조건을 위반하는 충돌 특성을 저장하는 데 사용되는 다중값 특성입니다. Microsoft Entra ID에서는 매시간 해결된 중복 특성 충돌을 탐지하기 위해 백그라운드 타이머 작업이 활성화되어 있으며, 논란이 된 특성을 격리에서 자동으로 제거합니다.

중복 특성 복원력 활성화

중복 특성 복원력은 모든 Microsoft Entra 테넌트에서 새로운 기본 동작입니다. 기본적으로 2016년 8월 22일 이상에 처음으로 동기화를 사용하도록 설정한 모든 테넌트에 대해 설정됩니다. 이 날짜 이전에 동기화를 사용하도록 설정한 테넌트에는 일괄 처리로 기능이 활성화되어 있습니다. 이 롤아웃은 2016년 9월에 시작되었으며, 기능이 활성화된 특정 날짜와 함께 각 테넌트의 기술 알림 연락처에 이메일 알림이 전송됩니다.

참고

중복 특성 복원력을 설정하면 사용하지 않도록 설정할 수 없습니다.

이 기능이 테넌트에 사용되는지 확인하려면 Azure Active Directory PowerShell 모듈의 최신 버전을 다운로드하여 다음을 실행하면 됩니다.

Get-EntraDirSyncFeature -Feature DuplicateUPNResiliency

Get-EntraDirSyncFeature -Feature DuplicateProxyAddressResiliency

참고

Set-EntraDirSyncFeature cmdlet을 사용하여 테넌트에 대해 중복 특성 복원력 기능을 설정하기 전에 사전에 사용하도록 설정할 수 없습니다. 이 기능을 테스트하려면 새 Microsoft Entra 테넌트를 만들어야 합니다.

DirSyncProvisioningErrors로 개체 식별

현재 중복 속성 충돌로 인해 이러한 오류가 있는 개체를 식별하는 두 가지 방법이 있습니다. Microsoft Entra PowerShell 및 Microsoft 365 관리 센터. 추가적인 포털 기반 보고로 확장할 계획이 있습니다.

Microsoft Entra PowerShell

이 항목의 PowerShell cmdlet에 대해 다음 사항이 적용됩니다.

• 다음 cmdlet은 모두 대/소문자 구분입니다.

먼저 Connect-Entra 실행하고 테넌트 관리자에 대한 자격 증명을 입력하여 시작합니다.

그런 다음 다양한 방법으로 오류를 보려면 다음 cmdlet 및 연산자를 사용합니다.

1. 전체 보기
2. 속성 유형별로
3. 충돌 기준에 따라
4. 문자열 검색을 사용하여
5. 정렬
6. 제한된 수량으로

모두 표시

연결되면, 테넌트에서 속성 프로비저닝 오류의 일반 목록을 확인하려면 다음 명령을 실행하십시오.

Get-MsolDirSyncProvisioningError

속성 유형별로

속성 유형별 오류를 보려면 UserPrincipalName 또는 ProxyAddresses지정합니다.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName'

또는

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'ProxyAddresses'

충돌하는 가치에 의해

특정 속성과 관련된 오류를 보려면 다음 값을 추가합니다.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName' | Where-Object Value -eq 'User@domain.com'

문자열 검색을 사용하여

광범위한 문자열 검색을 수행하려면 다음을 수행합니다.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object 'User@domain.com'

제한된 수량으로

다음 명령을 사용하여 쿼리를 특정 수의 값으로 제한합니다.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object -First 10

Microsoft 365 관리 센터

Microsoft 365 관리 센터에서 디렉터리 동기화 오류를 볼 수 있습니다. Microsoft 365 관리 센터의 보고서는 이러한 오류가 있는 사용자 개체만을 표시합니다. 그룹 및 연락처간의 충돌에 대한 정보는 표시되지 않습니다.

Microsoft 365 관리 센터에서 디렉터리 동기화 오류를 보는 방법에 대한 지침은 365에서 디렉터리 동기화 오류 확인을 참조하세요.

ID 동기화 오류 보고서

중복 특성 충돌이 있는 개체가 이 새 동작으로 처리되면 테넌트에 대한 기술 알림 연락처로 전송되는 표준 ID 동기화 오류 보고서 이메일에 알림이 포함됩니다. 그러나 이 동작에서 중요한 변경 사항이 있습니다. 이전에 중복 특성 충돌에 대한 정보는 충돌이 해결될 때까지 모든 후속 오류 보고서에 포함됩니다. 이 새 동작으로 지정된 충돌에 대한 오류 알림이 충돌 특성이 격리되는 시간에 한 번만 나타납니다.

ProxyAddress 충돌에 대한 메일 알림의 예제는 다음과 같습니다.

충돌 해결

이러한 오류에 대한 문제 해결 전략 및 해결 방법은 중복 특성 오류가 과거에 처리된 방식과 달라서는 안 됩니다. 유일한 차이점은 타이머 작업은 서비스쪽 테넌트를 통해 스윕하여 충돌이 해결되면 적절한 개체에 문제의 특성을 자동으로 추가한다는 점입니다.

다음 문서에서는 다양한 문제 해결 및 해결 방법을 간략하게 설명합니다. Office 365에서 중복되거나 잘못된 특성이 디렉터리 동기화를 방해할 경우.

알려진 문제

이러한 알려진 문제로 인해 데이터 손실 또는 서비스 저하가 발생하지 않습니다. 그 중 일부는 심미적이며, 다른 것은 충돌 특성을 격리하는 대신 표준 “사전 복원력” 중복 특성 오류를 발생시키고, 또 다른 것은 수동으로 추가 수정을 필요로 하는 특정 오류를 발생시킵니다.

핵심 동작:

1. 특정 특성 구성이 있는 개체는 중복 특성이 격리되는 대신 계속 내보내기 오류가 발생합니다.
   예시:

   a. 새로운 사용자가 UPN Joe@contoso.com과 ProxyAddress smtp:Joe@contoso.com로 AD에서 만들어집니다.

   b. 이 개체의 속성이 ProxyAddress가 SMTP:Joe@contoso.com인 기존 그룹과 충돌합니다.

   c. 내보낼 때 충돌 속성이 격리되지 않고 ProxyAddress 충돌 오류가 발생합니다. 복구 기능이 활성화되기 전에 수행되므로 각 후속 동기화 주기 시 작업이 다시 시도됩니다.

2. 두 그룹이 동일한 SMTP 주소로 온-프레미스가 생성되는 경우 하나는 첫 번째 시도에서 표준 중복 ProxyAddress 오류로 프로비전하지 못합니다. 그러나 다음 동기화 주기 시 중복 값은 제대로 격리됩니다.

Office 포털 보고서:

1. UPN 충돌 집합에서 두 개체에 대한 자세한 오류 메시지는 같습니다. 이것은 실제로는 하나만 데이터가 변경되었는데도 불구하고, 두 사람 모두의 UPN이 변경되거나 격리되었음을 나타냅니다.

2. UPN 충돌에 대한 자세한 오류 메시지는 UPN이 변경되거나 격리된 사용자의 잘못된 이름을 표시합니다. 예시:

   a. 사용자 A는 먼저 UPN = User@contoso.com과 동기화합니다.

   b. 사용자 B는 UPN = User@contoso.com과 동기화하려고 시도합니다.

   c. 사용자 B의 UPN은 User1234@contoso.onmicrosoft.com으로 변경되며 User@contoso.com이 DirSyncProvisioningErrors에 추가됩니다.

   d. 사용자 B에 대한 오류 메시지는 사용자 A가 이미 User@contoso.com을(를) UPN으로 가지고 있음을 나타내야 하지만 사용자 B 고유의 displayName을 보여 줍니다.

ID 동기화 오류 보고서:

이 문제를 해결하는 방법에 대한 단계의 링크가 잘못되었습니다.

https://aka.ms/duplicateattributeresiliency을(를) 가리켜야 합니다.

참고하기

• Microsoft Entra Connect 동기화
• 온-프레미스 ID를 Microsoft Entra ID와 통합
• Microsoft 365에서 디렉터리 동기화 오류 확인