Microsoft Entra Connect Sync 서비스 쉐도우 속성
대부분의 특성은 온-프레미스 Active Directory와 동일한 방식으로 Microsoft Entra ID로 표시됩니다. 그러나 일부 특성에는 특별한 처리가 있으며 Microsoft Entra ID의 특성 값은 Microsoft Entra Connect가 동기화하는 것과 다를 수 있습니다.
섀도 특성 소개
일부 특성에는 Microsoft Entra ID에 두 가지 표현이 있습니다. 온-프레미스 값과 계산된 값이 모두 저장됩니다. 이러한 추가 특성을 섀도 특성이라고합니다. 이 동작이 나타나는 가장 일반적인 두 가지 속성은 userPrincipalName 및 proxyAddress입니다. Microsoft Entra Connect 및 클라우드 동기화의 동기화 엔진은 값을 섀도 특성으로 내보낸 다음 Microsoft Entra ID가 이 특성을 처리하여 최종 값을 계산합니다. 또한 동기화 엔진은 섀도 특성에서 값을 가져오므로 최종 계산 값이 다르더라도 동기화 엔진 관점에서 내보낸 원래 값을 확인할 수 있습니다. Microsoft Entra 관리 센터 또는 PowerShell을 사용하여 섀도 특성을 볼 수는 없지만 이 개념을 이해하면 특성이 온-프레미스 및 클라우드에서 서로 다른 값을 가지는 특정 시나리오를 해결하는 데 도움이 됩니다.
동작을 더 잘 이해하려면 Fabrikam에서 다음 예제를 살펴보세요.
온-프레미스 Active Directory에 UPN(UserPrincipalName) 접미사가 여러 개 있지만 Microsoft Entra ID에서는 하나만 확인됩니다.
사용자 주요 이름 (userPrincipalName)
사용자에게 확인되지 않은 도메인에 다음과 같은 속성 값이 있습니다.
| 속성 | 값 |
|---|---|
| 온프레미스 userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra 사용자 계정 이름 (userPrincipalName) | lee.sperry@fabrikam.onmicrosoft.com |
userPrincipalName 특성은 PowerShell을 사용할 때 표시되는 값입니다.
실제 온-프레미스 특성 값은 Microsoft Entra ID에 저장되므로 fabrikam.com 도메인을 확인하면 Microsoft Entra ID는 userPrincipalName 특성을 shadowUserPrincipalName의 값으로 업데이트합니다. 이러한 값을 업데이트하기 위해 Microsoft Entra Connect 또는 클라우드 동기화의 변경 내용을 동기화할 필요가 없습니다.
proxyAddresses (프록시 주소)
확인된 도메인만 포함하기 위한 동일한 프로세스는 proxyAddresses에 대해서도 발생하지만 몇 가지 추가 논리가 있습니다. 확인된 도메인에 대한 확인은 사서함 사용자에 대해서만 발생합니다. 메일 사용이 가능한 사용자 또는 연락처는 다른 Exchange 조직의 사용자를 나타내며 proxyAddresses의 모든 값을 이러한 개체에 추가할 수 있습니다.
사서함 사용자(온-프레미스 또는 Exchange Online)의 경우 확인된 도메인에 대한 값만 표시됩니다. 다음과 같이 보일 수 있습니다.
| 속성 | 값 |
|---|---|
| 사내 프록시 주소 | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Exchange Online 프록시 주소 | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
이 경우 smtp: 해당 도메인이 확인되지 않아abbie.spencer@fabrikam.com 제거되었습니다. 그러나 Exchange는 SIP:abbie.spencer@fabrikamonline.com도 추가했습니다. Fabrikam은 온-프레미스 Lync/비즈니스용 Skype를 사용하지 않을 수도 있지만, Microsoft Entra ID와 Exchange Online은 이를 대비하고 있습니다.
proxyAddresses에 대한 이 논리는 ProxyCalc라고 불린다. ProxyCalc는 다음과 같은 경우 사용자에 대한 모든 변경 내용으로 호출됩니다.
- 사용자는 Exchange 사서함에 대한 라이선스가 없는 경우에도 Exchange Online을 포함하는 서비스 계획을 할당받습니다. 예를 들어 사용자에게 Office E3 SKU가 할당되었지만 SharePoint Online 서비스만 선택된 경우입니다. 이 조건은 사용자의 사서함이 여전히 온-프레미스인 경우에도 마찬가지입니다.
- msExchRecipientTypeDetails 특성에는 값이 있습니다.
- proxyAddresses 또는 userPrincipalName을 변경합니다.
ProxyCalc 프로세스는 ShadowProxyAddresses에 확인되지 않은 도메인이 포함되어 있고 사용자에게 다음 속성 중 하나가 구성된 경우 주소를 삭제합니다.
- 사용자에게 EXO 서비스 유형 계획을 사용하도록 설정된 라이선스가 부여됨(MyAnalytics 제외)
- 사용자에게 MSExchRemoteRecipientType 집합이 있음(null 아님)
- 사용자는 공유 리소스로 간주됩니다.
CloudMSExchRecipientDisplayType 특성에 다음 값 중 하나가 있는 경우 사용자는 공유 리소스로 간주됩니다.
| 개체 표시 유형 | 값(10진수) |
|---|---|
| MailboxUser | 0 |
| 공용 폴더 | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| 중재 메일함 | 10 |
| 객실 목록 | 15 |
| TeamMailboxUser | 16 |
| 그룹 사서함 | 17 |
| 일정관리 사서함 | 18 |
| ACLableMailboxUser | 1073741824 |
| ACL 가능 팀 메일함 사용자 | 1073741840 |
메모
CloudMSExchRecipientDisplayType은 Microsoft Entra ID 쪽에서 볼 수 없으며 Exchange Online cmdlet Get-Recipient사용하여서만 볼 수 있습니다.
본보기:
Get-Recipient admin | fl *type*
ProxyCalc는 사용자에 대한 변경 내용을 처리하는 데 다소 시간이 걸릴 수 있으며 Microsoft Entra Connect 내보내기 프로세스와 동기되지 않습니다.
메모
ProxyCalc 논리에는 이 항목에 설명되지 않은 고급 시나리오에 대한 몇 가지 추가 동작이 있습니다. 이 항목은 모든 내부 논리를 문서화하지 않고 동작을 이해할 수 있도록 제공됩니다.
격리된 특성 값
중복 특성 값이 있는 경우에도 그림자 특성이 사용됩니다. 자세한 내용은 중복 특성의 복원력에 대해 을 참조하세요.