다음을 통해 공유

Microsoft Entra ID에서 동적 멤버 자격 그룹의 더 간단하고 효율적인 규칙 만들기

  • 아티클

Microsoft Entra의 일부인 Microsoft Entra ID 엔지니어링 팀은 동적 멤버 자격 그룹과 관련된 인시던트와 멤버 자격 규칙의 처리 시간에 대한 보고를 받습니다. 보고되는 정보는 이 문서에 제공됩니다. 또한 이 문서에서는 고객이 동적 멤버 자격 그룹에 대한 규칙을 간소화하는 데 도움이 되는 가장 일반적인 방법에 대해서도 설명합니다. 더 간단하고 효율적인 규칙은 더 나은 동적 그룹 처리 시간을 가져옵니다.

동적 멤버 자격 그룹에 대한 멤버 자격 규칙을 작성할 때는 이 문서의 단계에 따라 최대한 효율적으로 규칙을 작성하세요.

MATCH 사용 최소화

규칙에서 match 연산자의 사용을 최대한 최소화합니다. 대신 startswith 또는 -eq 연산자를 사용할 수 있는지 알아봅니다. -match 연산자를 사용하지 않고 그룹에 속할 사용자를 선택하는 규칙을 작성할 수 있는 다른 속성을 사용하는 것을 고려합니다. 예를 들어, 도시가 라고스인 모든 사용자에 대한 그룹에 대한 규칙을 원하는 경우 다음과 같은 규칙을 사용하는 대신

  • user.city -match "ago"
  • user.city -match ".*?ago.*"

다음과 같은 규칙을 사용하는 것이 좋습니다.

  • user.city -startswith "Lag"

또는 무엇보다도 다음을 수행합니다.

  • user.city -eq "Lagos"

CONTAINS 사용 최소화

MATCH의 사용과 유사합니다. 규칙에서 contains 연산자의 사용을 최대한 최소화합니다. 대신 startswith 또는 -eq 연산자를 사용할 수 있는지 알아봅니다. 특히 동적 멤버 자격 그룹이 많은 테넌트의 경우 CONTAIN을 활용하면 처리 시간이 늘어날 수 있습니다.

더 적은 OR 연산자 사용

규칙에서 -or 연산자와 함께 연결된 동일한 속성에 대해 다양한 값을 사용하는 경우를 식별합니다. 대신 -in 연산자를 사용하여 규칙을 더 쉽게 평가할 수 있도록 단일 기준으로 그룹화합니다. 예를 들어 다음과 같은 규칙 대신:

(user.department -eq "Accounts" -and user.city -eq "Lagos") -or 
(user.department -eq "Accounts" -and user.city -eq "Ibadan") -or 
(user.department -eq "Accounts" -and user.city -eq "Kaduna") -or 
(user.department -eq "Accounts" -and user.city -eq "Abuja") -or 
(user.department -eq "Accounts" -and user.city -eq "Port Harcourt")

다음과 같은 규칙을 사용하는 것이 좋습니다.

  • user.department -eq "Accounts" -and user.city -in ["Lagos", "Ibadan", "Kaduna", "Abuja", "Port Harcourt"]

반대로, 동일한 속성이 -and 연산자를 사용하여 연결된 다양한 값과 같지 않은 유사한 하위 조건을 식별합니다. 그런 다음 -notin 연산자를 사용하여 규칙을 더 쉽게 이해하고 평가할 수 있도록 단일 기준으로 그룹화합니다. 예를 들어 다음과 같은 규칙을 사용하는 대신:

  • (user.city -ne "Lagos") -and (user.city -ne "Ibadan") -and (user.city -ne "Kaduna") -and (user.city -ne "Abuja") -and (user.city -ne "Port Harcourt")

다음과 같은 규칙을 사용하는 것이 좋습니다.

  • user.city -notin ["Lagos", "Ibadan", "Kaduna", "Abuja", "Port Harcourt"]

중복 조건 방지

규칙에서 중복 기준을 사용하고 있지 않은지 확인합니다. 예를 들어 다음과 같은 규칙을 사용하는 대신:

  • user.city -eq "Lagos" or user.city -startswith "Lag"

다음과 같은 규칙을 사용하는 것이 좋습니다.

  • user.city -startswith "Lag"

다음 단계