중복된 특성 동기화 오류 진단 및 수정
개요
Microsoft Entra Connect Health는 동기화 오류를 강조 표시하기 위해 한 단계 더 나아가 셀프 서비스 수정 기능을 도입했습니다. 중복된 특성 동기화 오류 문제를 해결하고 Microsoft Entra ID에서 분리된 개체를 수정합니다. 이 진단 기능은 다음과 같은 장점이 있습니다.
- 중복된 특성 동기화 오류의 범위를 좁히는 진단 프로시저를 제공합니다. 관련 픽스를 제공합니다.
- Microsoft Entra ID의 전용 시나리오에 대한 수정 사항을 적용하여 단일 단계로 오류를 해결합니다.
- 이 기능을 사용하기위 해 업그레이드 또는 구성이 필요하지 않습니다. Microsoft Entra ID에 대한 자세한 내용은 ID 동기화 및 중복 특성 복원력을 참조하세요.
문제
일반적인 시나리오
QuarantinedAttributeValueMustBeUnique 및 AttributeValueMustBeUnique 동기화 오류가 발생하면 Microsoft Entra ID에서 UserPrincipalName 또는 프록시 주소 충돌이 발생하는 것이 일반적입니다. 온-프레미스 쪽에서 충돌하는 원본 개체를 업데이트하여 동기화 오류를 해결할 수 있습니다. 동기화 오류는 다음 동기화 이후에 해결됩니다. 예를 들면 다음 이미지는 두 사용자의 UserPrincipalName이 충돌함을 나타냅니다. 두 사용자 모두 Joe.J@contoso.com입니다. 충돌하는 개체는 Microsoft Entra ID에 격리됩니다.
분리된 개체 시나리오
때때로 기존 사용자가 원본 앵커를 잃을 수 있습니다. 원본 개체 삭제는 온-프레미스 Active Directory에서 발생했습니다. 하지만 삭제 신호 변경이 Microsoft Entra ID에 동기화되지 않았습니다. 동기화 엔진 문제 또는 도메인 마이그레이션 같은 이유로 이 손실이 발생합니다. 동일한 개체가 복원되거나 다시 생성되는 경우 논리적으로 기존 사용자는 원본 앵커로부터 동기화하는 사용자여야 합니다.
기존 사용자가 클라우드 전용 개체인 경우 Microsoft Entra ID에 동기화된 충돌 사용자도 확인할 수 있습니다. 이 사용자는 기존 개체와 동기화할 수 없습니다. 원본 앵커를 다시 매핑하는 직접적인 방법은 없습니다. 자세한 내용은 기존 기술 자료를 참조하세요.
예를 들어, Microsoft Entra ID의 기존 개체에는 Joe의 라이선스가 유지됩니다. 다른 원본 앵커를 사용하여 새로 동기화된 개체는 Microsoft Entra ID의 중복된 특성 상태에서 발생합니다. 온-프레미스 Active Directory에서 Joe에 대한 변경 내용은 Microsoft Entra ID에 있는 Joe의 원래 사용자(기존 개체)에 적용되지 않습니다.
Connect Health의 진단 및 문제 해결 단계
진단 기능은 다음과 같은 중복 특성이 있는 사용자 개체를 지원합니다.
| 특성 이름 | 동기화 오류 유형 |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique 또는 AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique 또는 AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Important
이 기능에 액세스하려면 Azure RBAC의 전역 관리자 권한 또는 기여자 권한이 필요합니다.
Microsoft Entra 관리 센터의 단계에 따라 동기화 오류 세부 정보 범위를 좁히고 좀 더 구체적인 솔루션을 제공하세요.
Microsoft Entra 관리 센터에서 몇 가지 단계를 수행하여 수정 가능한 시나리오를 식별합니다.
- 상태 진단 열을 확인합니다. Microsoft Entra ID에서 직접 동기화 오류를 수정할 수 있는 방법이 있는지 상태가 표시됩니다. 즉, 오류 사례 범위를 좁히고 오류를 해결할 수 있는 문제 해결 흐름이 있습니다.
| 상태 | 무엇을 의미하나요? |
|---|---|
| 시작 안함 | 이 진단 프로세스를 방문하지 않았습니다. 진단 결과에 따라 포털에서 바로 동기화 오류를 해결하는 방법이 있습니다. |
| 수동 수정 필요 | 이 오류는 포털에서 사용할 수 있는 수정 기준에 맞지 않습니다. 충돌하는 개체 형식이 사용자가 아니거나, 이미 진단 단계를 진행했지만 포털에서 사용할 수 있는 해결 방법이 없습니다. 후자에 속하는 경우 온-프레미스 쪽에서의 수정은 여전히 솔루션 중 하나입니다. 온-프레미스 수정에 대해 자세히 알아보세요. |
| 동기화 보류 중 | 수정이 적용되었습니다. 그 다음 동기화 주기에서 오류가 수정될 때까지 포털이 대기 중입니다. |
Important
진단 상태 열은 각 동기화 주기 후에 재설정됩니다.
오류 세부 정보 아래에서 진단 단추를 선택하세요. 그리고 몇 가지 질문에 답변하고 동기화 오류 세부 정보를 식별합니다. 질문에 답하여 분리된 개체 사례를 식별할 수 있습니다.
진단 마지막에 닫기 단추가 표시되면 사용자의 답변에 따라 포털에서 사용할 수 있는 빠른 수정이 없습니다. 마지막 단계에 표시된 솔루션을 참조하세요. 여전히 온-프레미스에서 수정할 수 있습니다. 닫기 단추를 선택하세요. 현재 동기화 오류 상태가 수동 수정 필요로 전환됩니다. 현재 동기화 주기가 끝날 때까지 상태가 유지됩니다.
분리된 개체 사례가 식별되면 포털에서 바로 중복된 특성 동기화 오류를 해결할 수 있습니다. 프로세스를 트리거하려면 해결 적용 단추를 클릭합니다. 현재 동기화 오류 상태가 동기화 보류 중으로 업데이트됩니다.
그 다음 동기화 주기가 완료되면 목록에서 오류가 제거됩니다.
진단 질문에 답변하는 방법
온-프레미스 Active Directory에 사용자가 있나요?
이 질문의 목적은 온-프레미스 Active Directory에서 기존 사용자의 원본 개체를 식별하는 것입니다.
- Microsoft Entra ID에 제공된 UserPrincipalName이 포함된 개체가 있는지 확인합니다. 없으면 아니요를 선택합니다.
- 있으면 해당 개체가 여전히 동기화 범위 내에 있는지 확인합니다.
- DN을 사용하여 Microsoft Entra 커넥터 공간에서 검색합니다.
- 개체 상태가 추가 보류 중이면 아니요를 선택합니다. Microsoft Entra Connect는 개체를 올바른 Microsoft Entra 개체에 연결할 수 없습니다.
- 개체를 찾을 수 없는 경우 예를 선택합니다.
이 예제에서 질문의 목적은 Joe Jackson이 여전히 온-프레미스 Active Directory에 있는지 확인하는 것입니다. 일반적인 시나리오에서는 두 사용자 Joe Johnson 및 Joe Jackson이 온-프레미스 Active Directory에 있습니다. 격리된 개체는 두 명의 다른 사용자입니다.
분리된 개체 시나리오에서는 사용자 Joe Johnson만이 온-프레미스 Active Directory에 있습니다.
두 계정이 동일한 사용자에게 속해 있나요?
이 질문은 들어오는 충돌 사용자와 Microsoft Entra ID의 기존 사용자 개체를 확인하여 동일한 사용자에 속해 있는지 확인합니다.
- 충돌하는 개체가 Microsoft Entra ID에 새로 동기화되었습니다. 개체의 특성을 비교합니다.
- 표시 이름
- UserPrincipalName 또는 SignInName
- ObjectID
- Microsoft Entra ID가 비교에 실패하면 Active Directory에 제공된 UserPrincipalNames가 포함된 개체가 있는지 확인합니다. 둘 다 있으면 아니요를 선택합니다.
다음 예에서 두 개체는 동일한 사용자 Joe Johnson에게 속합니다.
분리된 개체 시나리오에서 수정이 적용되면 발생하는 일
이전 질문에 대한 답변을 바탕으로 Microsoft Entra ID에서 사용 가능한 수정 사항이 있으면 수정 적용 단추가 표시됩니다. 이 경우 온-프레미스 개체는 예기치 못한 Microsoft Entra 개체와 동기화됩니다. 두 개체는 원본 앵커를 사용하여 매핑됩니다. 수정 적용 변경은 다음과 비슷한 단계를 수행합니다.
- 원본 앵커를 Microsoft Entra ID의 올바른 개체로 업데이트합니다.
- Microsoft Entra ID에 충돌하는 개체가 있으면 삭제합니다.
Important
수정 적용 변경은 분리된 개체 사례에만 적용됩니다.
위의 단계를 수행한 후에는 사용자가 기존 개체에 대 한 링크인 원래 리소스에 액세스할 수 있습니다. 목록 보기의 진단 상태 값이 동기화 보류 중으로 업데이트됩니다. 다음 동기화 이후에 동기화 오류가 해결됩니다. Connect Health는 해결된 동기화 오류를 더 이상 목록 보기에 표시하지 않습니다.
오류 및 오류 메시지
충돌하는 특성이 있는 사용자는 Microsoft Entra ID에서 일시 삭제됩니다. 다시 시도하기 전에 사용자가 영구 삭제되었는지 확인합니다.
수정 사항을 적용하기 전에 Microsoft Entra ID에 충돌하는 특성이 있는 사용자를 치료해야 합니다. 수정을 다시 시도하기 전에 Microsoft Entra ID에서 사용자를 영구적으로 삭제하는 방법을 확인합니다. 사용자는 일시 삭제된 상태에서 30일이 지나면 자동으로 영구 삭제됩니다.
원본 앵커에서 테넌트의 클라우드 기반 사용자로 업데이트하는 것은 지원되지 않습니다.
Microsoft Entra ID의 클라우드 기반 사용자는 원본 앵커가 없어야 합니다. 이 경우에 원본 앵커의 업데이트는 지원되지 않습니다. 온-프레미스에서 수동 수정이 필요합니다.
수정 프로세스가 값을 업데이트하지 못했습니다. Microsoft Entra Connect의 UserWriteback과 같은 특정 설정은 지원되지 않습니다. 설정에서 사용 안 함으로 설정하세요.
FAQ
17. 수정 적용 실행이 실패하면 어떻게 되나요?
A. 실행이 실패할 경우 Microsoft Entra Connect에서 내보내기 오류가 발생했을 가능성이 있습니다. 포털 페이지를 새로 고치고 그 다음 동기화 후에 다시 시도하세요. 기본 동기화 주기는 30분입니다.
17. 기존 개체가 삭제할 개체여야 하는 경우 어떻게 하나요?
A. 기존 개체를 삭제해야 하는 경우 프로세스에 원본 앵커의 변경이 포함되지 않습니다. 일반적으로 온-프레미스 Active Directory에서 수정할 수 있습니다.
17. 수정을 적용하려면 사용자에게 어떤 권한이 필요한가요?
A.Azure RBAC에서 전역 관리자 또는 기여자는 진단 및 문제 해결 프로세스에 액세스할 수 있는 권한이 있습니다.
17. 이 기능을 사용하려면 Microsoft Entra Connect를 구성하거나 Microsoft Entra Connect Health 에이전트를 업데이트해야 하나요?
A. 아니요, 진단 프로세스는 완전한 클라우드 기반 기능입니다.
17. 기존 개체가 일시 삭제되면 진단 프로세스에서 개체를 다시 활성 상태로 만드나요?
A. 아니요, 수정은 원본 앵커 이외의 개체 특성을 업데이트하지 않습니다.