다음을 통해 공유

필터링 구성

  • 아티클

업데이트: 2015년 7월 22일

중요

이 항목은 곧 보관될 예정입니다.
AADSync DirSync를 대체하는 "Azure Active Directory 커넥트"라는 새 제품이 있습니다.
Azure AD Connect는 이전에 DirSync 및 AAD 동기화로 릴리스된 구성 요소와 기능을 통합합니다.
향후 어느 시점에서 Dirsync 및 AAD Sync 대한 지원이 종료됩니다.
이러한 도구는 더 이상 기능 향상으로 개별적으로 업데이트되지 않으며 향후의 모든 개선 사항이 Azure AD 커넥트 업데이트에 포함됩니다.

Azure Active Directory 커넥트 대한 최신 정보는 온-프레미스 ID를 Azure Active Directory 통합을 참조하세요.

언제든 AADSync에서 필터링을 사용하도록 설정할 수 있습니다. 이미 디렉터리 동기화의 기본 구성을 실행하고 필터링을 구성한 경우에는 필터링된 개체가 더 이상 Azure AD로 동기화되지 않습니다. 따라서 이전에 동기화되었다가 필터링된 Azure AD의 개체는 Azure AD에서 삭제됩니다. 필터링 오류로 인해 개체를 잘못 삭제한 경우에는 필터링 구성을 제거한 다음 디렉터리를 다시 동기화하여 Azure AD에서 개체를 다시 만들 수 있습니다.

중요

Microsoft는 공식적으로 문서화된 작업 외에 AADSync 수정 또는 작업을 지원하지 않습니다. 이러한 작업으로 인해 AASync의 일관성이 없거나 지원되지 않는 상태가 발생할 수 있으므로 Microsoft는 이러한 배포에 대한 기술 지원을 제공할 수 없습니다.

최신 버전의 AADSync를 설치하거나 업그레이드할 때 아웃바운드 특성 기반 필터링을 제외하고는 구성이 유지됩니다. 언제나 가장 좋은 방법은 첫 번째 동기화 주기가 실행되기 전에 최신 버전으로 업그레이드한 후 구성이 의도치 않게 변경되지 않았는지 확인하는 것입니다.

필터링 옵션

경고

이 문서에서는 원본 AD가 Active Directory 도메인 서비스 커넥터의 이름으로 사용됩니다. 포리스트가 여럿인 경우 포리스트당 커넥터가 하나씩 있고 각 포리스트에 대해 구성을 반복해야 합니다.

디렉터리 동기화 도구에 적용할 수 있는 세 가지 필터링 구성 유형은 다음과 같습니다.

  • 도메인 기반: 이 필터링 형식을 사용하여 AADSync SourceAD 커넥터의 속성을 관리할 수 있습니다. 또한 Azure AD로 동기화할 수 있는 도메인을 선택할 수도 있습니다.

  • 조직 단위 기반 필터링 구성: 이 필터링 유형을 사용하여 AADSync SourceAD Connector의 속성을 관리할 수 있습니다. 또한 Azure AD로 동기화할 수 있는 OU를 선택할 수도 있습니다.

  • 특성 기반 : 이 필터링 방법을 사용하여 특성 기반 필터를 지정할 수 있습니다. 그러면 클라우드로 동기화해야 하는 개체를 제어할 수 있습니다.

도메인 기반 필터링 구성

이 섹션에서는 도메인 필터를 구성하기 위해 수행해야 하는 단계를 설명합니다.

참고

도메인 필터를 수정한 경우에는 실행 프로필도 업데이트해야 합니다.

도메인 필터를 설정하려면 다음 단계를 수행합니다.

  1. ADSyncAdmins 보안 그룹의 구성원인 계정을 사용하여 AADSync 실행 중인 컴퓨터에 로그온합니다.

  2. 시작할 때 동기화 서비스를 탭하거나 클릭하여 Synchronization Service Manager(동기화 서비스 관리자)를 엽니다.

    Synchronization Service

  3. 커넥터 뷰를 열려면 도구 메뉴에서 커넥터를 클릭합니다.

  4. 커넥터 목록에서 유형Active Directory 도메인 서비스인 커넥터를 선택합니다.

  5. 속성 대화 상자를 열려면 작업 메뉴에서 속성을 클릭합니다.

  6. 디렉터리 파티션 구성을 클릭합니다.

  7. 디렉터리 파티션 선택 목록에서 동기화할 파티션만 선택되어 있는지 확인합니다.

    경고

    동기화 프로세스에서 도메인을 제거하려면 해당 도메인의 확인란 선택을 취소합니다.

  8. 속성 대화 상자를 닫으려면 확인을 클릭합니다.

도메인 필터를 업데이트한 경우에는 다음 실행 프로필도 업데이트해야 합니다.

  • 전체 가져오기

  • 전체 동기화

  • 델타 가져오기

  • 델타 동기화

  • 내보내기

디렉터리 파티션 목록에서 파티션을 제거한 경우에는 해당 파티션을 참조하는 모든 실행 프로필 단계도 제거되었는지 확인해야 합니다.

실행 프로필에서 단계를 제거하려면 다음 단계를 수행하세요.

  1. 커넥터 목록에서 유형Active Directory 도메인 서비스인 커넥터를 선택합니다.

  2. 실행 프로필 구성 대상 대화 상자를 열려면 작업 메뉴에서 실행 프로필 구성을 클릭합니다.

  3. 커넥터 실행 프로필 목록에서 구성할 실행 프로필을 선택합니다.

  4. 각 단계의 단계 세부 정보 목록에서 다음 단계를 수행합니다.

    1. 필요한 경우 단계를 클릭하여 단계 세부 정보를 확장합니다.

    2. 파티션 특성의 이 GUID이면 단계 삭제를 클릭합니다.

  5. 실행 프로필 구성 대상 대화 상자를 닫으려면 확인을 클릭합니다.

디렉터리 파티션 목록에 파티션을 추가한 경우 위의 목록에서 각 실행 프로필에 대해 해당 파티션의 실행 프로필 단계를 사용할 수 있는지 확인해야 합니다.

실행 프로필에 단계를 추가하려면 다음 단계를 수행하세요.

  1. 커넥터 목록에서 유형Active Directory 도메인 서비스인 커넥터를 선택합니다.

  2. 실행 프로필 구성 대상 대화 상자를 열려면 작업 메뉴에서 실행 프로필 구성을 클릭합니다.

  3. 커넥터 실행 프로필 목록에서 구성할 실행 프로필을 선택합니다.

  4. 실행 프로필 구성 대화 상자를 열려면 새 단계를 클릭합니다.

  5. 단계 구성 페이지의 단계 유형 목록에서 단계 유형을 선택하고 다음을 클릭합니다.

  6. 커넥터 구성 페이지의 파티션 목록에서 도메인 필터에 추가한 파티션의 이름을 선택합니다.

  7. 실행 프로필 구성 대화 상자를 닫으려면 마침을 클릭합니다.

  8. 실행 프로필 구성 대상 대화 상자를 닫으려면 확인을 클릭합니다.

조직 구성 단위 기반 필터링 구성

조직 구성 단위 기반 필터링을 구성하려면

  1. ADSyncAdmins 보안 그룹의 구성원인 계정을 사용하여 AADSync를 실행 중인 컴퓨터에 로그온합니다.

  2. 시작할 때 동기화 서비스를 탭하거나 클릭하여 Synchronization Service Manager(동기화 서비스 관리자)를 엽니다.

    Synchronization Service

  3. Synchronization Service Manager(동기화 서비스 관리자)에서 커넥터를 클릭하고 SourceAD를 두 번 클릭합니다.

  4. 디렉터리 파티션 구성을 클릭하고 구성할 도메인을 선택한 다음 컨테이너를 클릭합니다.

  5. 메시지가 표시되면 온-프레미스 Active Directory 포리스트의 도메인 자격 증명을 입력합니다.

    참고

    자격 증명 대화 상자에 자격 증명을 입력하면 AD DS로 가져오고 내보낼 때 사용되는 계정이 표시됩니다. 계정의 암호를 모르는 경우 사용할 다른 계정을 입력할 수 있습니다. 사용하는 계정에는 현재 구성 중인 도메인에 대한 읽기 권한이 있어야 합니다.

  6. 컨테이너 선택 대화 상자에서 클라우드 디렉터리와 동기화하지 않을 OU를 지우고 확인을 클릭합니다.

  7. SourceAD 속성 페이지에서 확인을 클릭합니다.

  8. 다음 단계를 완료하여 전체 가져오기델타 동기화를 실행합니다.

    1. 커넥터 목록에서 SourceAD를 선택합니다.

    2. Run Connector(커넥터 실행) 대화 상자를 열려면 작업 메뉴에서 실행을 선택합니다.

    3. 실행 프로필 목록에서 전체 가져오기를 선택한 다음 프로필 실행이 완료될 때까지 기다립니다.

    4. Run Connector(커넥터 실행) 대화 상자를 열려면 작업 메뉴에서 실행을 선택합니다.

    5. 실행 프로필 목록에서 델타 동기화를 선택한 다음 프로필 실행이 완료될 때까지 기다립니다.

특성 기반 필터링 구성

특성 기반 필터링을 구성하는 방법은 여러 가지입니다. AD에서 인바운드 구성을 사용하는 것이 좋은데, 최신 버전으로 업그레이드 후에도 구성 설정이 유지되기 때문입니다. AAD로 아웃바운드 구성도 지원되지만, 이러한 설정은 최신 버전으로 업그레이드 후에는 유지되지 않으므로 필터링을 결정하기 위해 메타버스의 결합된 개체를 검토해야 하는 경우에만 사용해야 합니다.

인바운드 필터링

인바운드 기반 필터링은 AAD로 가는 개체의 메타버스 특성 cloudFiltered를 값으로 설정하지 않고 메타버스 특성 sourceObjectType을 “User” 또는 “Contact”로 설정해야 하는 기본 구성을 활용합니다.

개체를 Azure AD에 동기화하면 안 되는 경우 cloudFiltered 특성을 True로 설정하고 다른 경우에는 비워 두어야 합니다. 이 방법은 개체를 확인할 수 있는 경우 사용하며 개체를 동기화하지 않으려는 함을 의미합니다(부정 필터링).

이 예에서는 extensionAttribute15의 값이 NoSync인 사용자를 모두 필터링합니다.

  1. ADSyncAdmins 보안 그룹의 구성원인 계정을 사용하여 AADSync 실행 중인 컴퓨터에 로그온합니다.

  2. 시작 메뉴에서찾아 동기화 규칙 편집기를 엽니다.

  3. 인바운드가 선택되어 있는지 확인하고 새 규칙 추가를 클릭합니다.

  4. 규칙에 설명이 포함된 이름(예: In from AD – User DoNotSyncFilter)을 지정하고 올바른 포리스트, CS 개체 유형으로 사용자 및 MV 개체 유형으로 개인을 선택합니다. 링크 유형에서 조인을 선택하고 우선 순위에 다른 동기화 규칙에서 현재 사용하지 않는 값(예: 50)을 입력합니다. 다음을 클릭합니다.

  5. 범위 지정 필터에서 그룹 추가, 절 추가를 차례로 클릭하고 특성에서 ExtensionAttribute15를 선택합니다. 연산자가 EQUAL로 설정되어 있는지 확인하고 값 상자에 NoSync 값을 입력합니다. 다음을 클릭합니다.

  6. 조인 규칙을 비워 두고 다음을 클릭합니다.

  7. 변환 추가를 클릭하고 FlowType상수로 선택하고, 대상 특성 cloudFiltered를 선택하고 원본 텍스트 상자에 True를 입력합니다. 추가 를 클릭하여 규칙을 저장합니다.

  8. 전체 동기화를 수행합니다. 커넥터 탭에서 SourceAD를 마우스 오른쪽 단추로 클릭하고 실행을 클릭한 다음 전체 동기화를 클릭한 다음 확인을 클릭합니다.

sourceObjectType 특성은 값이 각각 User 또는 Contact인 경우 사용자 또는 연락처를 AAD에 프로비전합니다. 기본 제공 규칙보다 우선 순위가 높은 동기화 규칙을 만들어 기본 동작을 재정의할 수 있습니다. 또한 이 방법을 사용하면 긍정 및 부정 규칙을 모두 표현할 수 있습니다.

이 예에서는 부서 특성이 “Sales”이거나 비어 있는 사용자만 동기화합니다.

  1. ADSyncAdmins 보안 그룹의 구성원인 계정을 사용하여 AADSync를 실행 중인 컴퓨터에 로그온합니다.

  2. 시작 메뉴에서 찾아 동기화 규칙 편집기를 엽니다.

  3. 인바운드가 선택되어 있는지 확인하고 새 규칙 추가를 클릭합니다.

  4. 규칙에 설명이 포함된 이름(예: In from AD – User DoNotSyncFilter)을 지정하고 올바른 포리스트, CS 개체 유형으로 User 및 MV 개체 유형으로 Person을 선택합니다. 링크 유형에서 인을 선택하고 우선 순위에 다른 동기화 규칙에서 현재 사용하지 않는 값(예: 60)을 입력합니다. 다음을 클릭합니다.

  5. 범위 지정 필터와 조인 규칙을 비워 두고 다음을 두 번 클릭합니다.

  6. 변환 추가를 클릭하고 FlowType을 으로 선택하고 대상 특성을 sourceObjectType으로 선택합니다. 원본에 다음 식을 입력합니다.

    IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))

  7. 추가를 클릭하여 규칙을 저장합니다.

  8. 전체 동기화를 수행합니다. 커넥터 탭에서 SourceAD를 마우스 오른쪽 단추로 클릭하고 실행을 클릭한 다음 전체 동기화를 클릭한 다음 확인을 클릭합니다. 결과는 다음과 같습니다.

    cloudFiltered

    경고

    여기서는 cloudFilteredsourceObjectType을 함께 사용하여 AAD에 동기화할 개체를 지정합니다.

식을 사용하면 매우 강력한 필터링 옵션을 이용할 수 있습니다. 위 식에서는 부서가 없는 경우와 부서가 Sales였던 경우 리터럴 NULL을 제공했습니다. 이는 이 특성에서 값을 제공하지 않아 기본 규칙이 평가됨을 나타냅니다. 이를 통해 AAD에서 사용자를 만들지 연락처를 만들지 결정할 수 있습니다.

아웃바운드 기반 필터링

경우에 따라 개체가 메타버스에 조인된 후에만 필터링을 수행해야 합니다. 예를 들어 리소스 포리스트의 메일 특성과 계정 포리스트의 userPrincipalName 특성을 확인하여 개체를 동기화해야 하는지 결정하는 데 필요할 수 있습니다. 이 경우 아웃바운드 규칙 기반 필터링을 만듭니다.

참고

이 방법을 사용하려면 기본 제공 동기화 규칙을 변경해야 합니다. 동기화 규칙의 범위를 변경할 수는 있지만, 최신 버전의 AADSync로 업그레이드한 후에는 변경 사항이 유지되지 않을 수 있습니다. 아웃바운드 기반 필터링을 사용하는 경우에는 변경할 사항을 기록하고 업그레이드 후 필터링이 여전히 적용되는지 확인하고 필요한 경우 다시 적용합니다.

이 예에서는 메일userPrincipalName이 모두 @contoso.com으로 끝나는 사용자만 동기화하도록 필터링을 변경합니다.

  1. ADSyncAdmins 보안 그룹의 구성원인 계정을 사용하여 AADSync를 실행 중인 컴퓨터에 로그온합니다.

  2. 시작 메뉴에서 찾아 동기화 규칙 편집기를 엽니다.

  3. 규칙 유형에서 아웃바운드를 클릭합니다.

  4. Out to AAD – User Join(AAD로 보내기 – 사용자 조인)이라는 규칙을 찾습니다. 편집을 클릭합니다.

  5. 왼쪽 탐색 창에서 범위 지정 필터를 클릭합니다. 절 추가를 클릭하고 특성에서 mail을 선택하고 연산자에서 ENDSWITH를 선택하고 값에 @contoso.com을 입력합니다. 절 추가를 클릭하고 특성에서 userPrincipalName을 선택하고, 연산자에서 ENDSWITH를 선택하고, 값에 @contoso.com을 입력합니다.

  6. 저장을 클릭합니다.

  7. 전체 동기화를 수행합니다. 커넥터 탭에서 SourceAD를 마우스 오른쪽 단추로 클릭하고 실행을 클릭한 다음 전체 동기화를 클릭한 다음 확인을 클릭합니다.

암호 동기화(필터링 포함)

참고 항목

개념

Azure Active Directory 동기화