다음을 통해 공유


Microsoft Entra Connect Sync: 필터링 구성

필터링을 사용하면 온-프레미스 디렉터리의 Microsoft Entra ID에 표시되는 개체를 제어할 수 있습니다. 기본 구성은 구성된 포리스트의 모든 도메인에 있는 대부분의 개체를 사용합니다. 일반적으로 권장되는 구성입니다. Exchange Online 및 비즈니스용 Skype 등의 Microsoft 365 워크로드를 사용하면 완전한 전체 주소 목록이 유용하므로 모든 사람에게 이메일을 보내거나 호출할 수 있습니다. 기본 구성을 사용하여 Exchange 또는 Lync의 온-프레미스 구현과 같은 환경을 가져올 수 있습니다.

참고 항목

Microsoft Entra 클라우드 동기화 및 Microsoft Entra Connect 동기화는 isCriticalSystemObject 특성이 True로 설정된 모든 Active Directory 개체를 필터링합니다. 이렇게 하면 Administrator, DomainAdmins, EnterpriseAdmins와 같은 기본 제공 AD 높은 권한 개체가 필터링됩니다.  이 필터링은 마지막 두 그룹이 기본적으로 Entra ID와 동기화되지 않는 것을 의미합니다.

그러나 이러한 높은 권한 그룹(DomainAdmins, EnterpriseAdmins)에 추가된 다른 개체는 클라우드 동기화에서 필터링되지 않습니다. 예를 들어, 로컬 AD 사용자를 EnterpriseAdmins 그룹에 추가하면 해당 사용자는 계속해서 Microsoft Entra ID와 동기화됩니다.

그러나 경우에 따라 기본 구성을 일부 변경해야 합니다. 몇 가지 예제는 다음과 같습니다.

  • Azure 또는 Microsoft 365에 대한 파일럿을 실행하고 Microsoft Entra ID의 사용자 하위 집합만 원합니다. 작은 파일럿에서는 해당 기능을 보여 주기 위해 완전한 전체 주소 목록이 필요하지 않습니다.
  • 많은 서비스 계정과 Microsoft Entra ID에서 필요 없는 다른 비개인용 계정이 있습니다.
  • 규정 준수를 위해 모든 사용자 계정 온-프레미스를 삭제하지 않습니다. 사용하지 않도록 설정하기만 합니다. 하지만 Microsoft Entra ID에는 활성 계정만 있도록 하고 싶습니다.

이 문서에서는 다양한 필터링 방법을 구성하는 방법을 설명합니다.

Important

Microsoft는 공식적으로 문서화된 작업 외의 Microsoft Entra Connect 동기화에 대한 수정 또는 작업을 지원하지 않습니다. 이러한 작업으로 인해 Microsoft Entra Connect Sync가 일관되지 않거나 지원되지 않는 상태가 될 수 있습니다. 따라서 Microsoft는 이러한 배포에 대한 기술 지원을 제공할 수 없습니다.

기본 사항 및 중요 참고 사항

Microsoft Entra Connect 동기화에서 언제든지 필터링을 사용할 수 있습니다. 디렉터리 동기화의 기본 구성으로 시작하고 필터링을 구성하는 경우 필터링된 개체는 Microsoft Entra ID에 더 이상 동기화되지 않습니다. 이 변경으로 인해 Microsoft Entra ID에서 이전에 동기화되었지만 그 후에 필터링된 개체는 Microsoft Entra ID에서 삭제됩니다.

필터링 변경을 시작하기 전에 기본 제공 스케줄러를 사용하지 않도록 설정하여 아직 올바른 것으로 확인되지 않은 변경 내용을 실수로 내보내지 않도록 합니다.

필터링은 동시에 많은 개체를 제거할 수 있으므로 모든 변경 사항을 Microsoft Entra ID로 내보내기 전에 새 필터가 올바른지 확인하려고 합니다. 구성 단계를 완료한 후 변경 사항을 Microsoft Entra ID로 내보내 적용하기 전에 확인 단계를 수행하는 것이 좋습니다.

실수로 많은 개체를 삭제하는 것을 방지하기 위해 “실수로 인한 삭제 방지” 기능이 기본적으로 설정되어 있습니다. 필터링으로 인해 많은 개체를 삭제하는 경우(기본적으로 500개) 이 문서의 단계를 따라 삭제 작업을 Microsoft Entra ID에 진행해야 합니다.

2015년 11월(1.0.9125) 전 빌드를 사용하고, 필터 구성을 변경하고, 암호 해시 동기화를 사용하려면 구성을 완료한 다음, 모든 암호를 전체 동기화 트리거해야 합니다. 암호 전체 동기화 트리거하는 방법에 대한 단계는 모든 암호의 전체 동기화 트리거를 참조하세요. 빌드 1.0.9125 이상일 경우 정기적인 전체 동기화 작업이 암호가 동기화되어야 하는지, 이 추가 단계가 더 이상 필요하지 않은지도 계산합니다.

필터링 오류로 인해 사용자 개체가 Microsoft Entra ID에서 의도치 않게 삭제된 경우에 필터링 구성을 제거하고 Microsoft Entra ID에 사용자 개체를 다시 만들 수 있습니다. 그런 다음 디렉터리를 다시 동기화할 수 있습니다. 이 작업을 통해 사용자가 Microsoft Entra ID의 휴지통에서 복원됩니다. 그러나 다른 개체 형식을 삭제 취소할 수 없습니다. 예를 들어 보안 그룹을 실수로 삭제하고 ACL에 리소스로 사용한 경우 그룹 및 해당 ACL은 복구할 수 없습니다.

Microsoft Entra는 범위 내로 간주되었던 개체만 삭제합니다. Microsoft Entra ID의 개체가 다른 동기화 엔진으로 만들어졌으며 이러한 개체가 범위에 없는 경우 필터링을 추가해도 제거되지 않습니다. 예를 들어, Microsoft Entra ID에서 전체 디렉터리의 전체 복사본을 만든 DirSync 서버로 시작하고 처음부터 필터링을 사용하도록 설정한 상태에서 새로운 Microsoft Entra Connect Sync 서버를 병렬로 설치하는 경우 Microsoft Entra Connect는 DirSync에서 만들어진 추가 개체를 제거하지 않습니다.

Microsoft Entra Connect를 설치하거나 최신 버전으로 업그레이드할 때 필터링 구성은 유지됩니다. 언제나 가장 좋은 방법은 첫 번째 동기화 주기가 실행되기 전에 최신 버전으로 업그레이드한 후 구성이 의도치 않게 변경되지 않았는지 확인하는 것입니다.

둘 이상의 포리스트가 있는 경우 이 항목에서 설명한 필터링 구성이 모든 포리스트에 적용되어야 합니다(모든 포리스트에 동일하게 구성하려는 경우).

동기화 스케줄러를 사용하지 않도록 설정합니다.

30분 마다 동기화 주기를 트리거하는 기본 제공 스케줄러를 사용하지 않으려면 다음 단계를 수행합니다.

  1. Windows Powershell을 열고 ADSync 모듈을 가져온 후 다음 명령을 사용하여 스케줄러를 사용하지 않도록 설정합니다.
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. 이 문서의 설명대로 변경합니다. 그런 후 다음 명령을 사용하여 스케줄러를 다시 사용하도록 설정합니다.
Set-ADSyncScheduler -SyncCycleEnabled $True

필터링 옵션

다음 필터링 구성 형식을 디렉터리 동기화 도구에 적용할 수 있습니다.

  • 그룹 기반: 단일 그룹 기반의 필터링은 설치 마법사를 사용하여 초기 설치 시에만 구성할 수 있습니다.
  • 도메인 기반: 이 옵션을 사용하면 Microsoft Entra ID로 동기화할 도메인을 선택할 수 있습니다. 또한 Microsoft Entra Connect 동기화를 설치한 후 온-프레미스 인프라를 변경하는 경우 동기화 엔진 구성에서 도메인을 추가하고 제거할 수 있습니다.
  • 조직 구성 단위(OU) 기반: 이 옵션을 사용하면 Microsoft Entra ID로 동기화하는 OU를 선택할 수 있습니다. 이 옵션은 선택된 OU의 모든 개체 형식에 대해 설정됩니다.
  • 특성 기반: 이 옵션을 사용하면 개체의 특성 값을 기반으로 개체를 필터링할 수 있습니다. 또한 다른 개체 형식별로 다르게 필터링할 수 있습니다.

동시에 여러 필터링 옵션을 사용할 수 있습니다. 예를 들어 OU 기반 필터링을 사용하여 하나의 OU에 개체만 포함시킬 수 있습니다. 동시에 특성 기반 필터링을 사용하여 추가로 개체를 필터링할 수 있습니다. 여러 필터링 메서드를 사용하면 필터는 필터 간 논리적 “AND”를 사용합니다.

도메인 기반 필터링

이 섹션에서는 도메인 필터를 구성하는 단계를 제공합니다. Microsoft Entra Connect를 설치한 후 포리스트 내에 도메인을 추가 또는 삭제했다면 필터링 구성도 업데이트해야 합니다.

도메인 기반 필터링을 변경하려면 도메인 및 OU 필터링 설치 마법사를 실행합니다. 설치 마법사는 이 항목에 설명된 모든 작업을 자동화합니다.

조직 구성 단위 기반 필터링

OU 기반 필터링을 변경하려면 도메인 및 OU 필터링 설치 마법사를 실행합니다. 설치 마법사는 이 항목에 설명된 모든 작업을 자동화합니다.

Important

동기화를 위해 OU를 명시적으로 선택하면 Microsoft Entra Connect는 도메인의 동기화 범위에 대한 포함 목록에 해당 OU의 DistinguishedName을 추가합니다. 그러나 나중에 Active Directory에서 해당 OU의 이름을 바꾸면 OU의 DistinguishedName이 변경되므로 Microsoft Entra Connect는 동기화 범위에서 해당 OU를 더 이상 고려하지 않습니다. 이로 인해 즉각적인 문제가 발생하지는 않지만 전체 가져오기 단계에서 Microsoft Entra Connect는 동기화 범위를 다시 평가하고 동기화 범위를 벗어난 개체를 삭제합니다(즉, 사용되지 않음). 이로 인해 Microsoft Entra에서 개체가 예기치 않게 대량 삭제될 수 있습니다. 이 문제를 방지하려면 OU 이름을 변경한 후 Microsoft Entra Connect 마법사를 실행하고 동기화 범위에 다시 포함할 OU를 다시 선택합니다.

특성 기반 필터링

다음 단계 작업을 위해 2015년 11월 (1.0.9125) 이상 빌드를 사용하고 있는지 확인합니다.

Important

Microsoft Entra Connect에서 만든 기본 규칙을 수정하지 않는 것이 좋습니다. 규칙을 수정하려면 규칙을 복제한 다음, 원래 규칙을 사용하지 않도록 설정합니다. 복제된 규칙을 변경합니다. 이렇게 하면(원래 규칙을 사용하지 않도록 설정) 해당 규칙을 통해 제공되는 버그 수정 또는 기능을 놓칠 수 있습니다.

특성 기반 필터링은 개체를 필터링하는 가장 유연한 방법입니다. 선언적 프로비전 기능을 사용하여 개체를 Microsoft Entra ID에 동기화하는 경우의 거의 모든 측면을 제어할 수 있습니다.

Active Directory에서 메타버스로의 인바운드 및 메타버스에서 Microsoft Entra ID로의 아웃바운드에 적용될 수 있습니다. 가장 쉽게 유지 관리할 수 있어서 인바운드 필터링을 적용하는 것이 좋습니다. 평가가 수행되기 전 둘 이상의 포리스트에서 개체를 연결해야 하는 경우에는 아웃바운드 필터링만 사용해야 합니다.

인바운드 필터링

인바운드 필터링은 기본 구성을 사용합니다. 여기서 Microsoft Entra ID로 이동하는 개체에는 동기화할 값으로 설정되지 않은 메타버스 특성 cloudFiltered가 있어야 합니다. 이 특성 값이 True로 설정되면 개체가 동기화되지 않습니다. 의도적으로 False로 설정되지 않아야 합니다. 다른 규칙에 값을 적용할 수 있는지 확인하려면 이 특성에 True 또는 NULL(없는 경우) 값만 있어야 합니다.

Microsoft Entra Connect는 Microsoft Entra ID에서 프로비전을 담당한 개체를 정리하도록 설계되었습니다. 시스템이 과거에 Microsoft Entra ID에 개체를 프로비전하지 않았지만 가져오기 단계 중에 Microsoft Entra 개체를 가져오는 경우 이 개체가 다른 시스템에 의해 Microsoft Entra ID에 만들어졌다고 올바르게 가정합니다. Microsoft Entra Connect는 메타버스 특성 cloudFilteredTrue로 설정된 경우에도 이러한 형식의 Microsoft Entra 개체를 정리하지 않습니다.

인바운드 필터링에서 범위 기능을 사용하여 개체를 동기화할지 여부를 확인합니다. 여기서 해당 조직의 요구 사항에 맞게 조정합니다. 범위 모듈에 동기화 규칙이 범위에 있는지 확인하는 그룹이 있습니다. 그룹에 하나 이상의 절이 포함됩니다. 여러 절 간에는 논리적 “AND”가 있으며 여러 그룹 간에는 논리적 “OR”이 있습니다.

예:
범위 지정 필터를 추가하는 예제를 보여 주는 스크린샷
(department = IT) OR (department = Sales AND c = US)로 표시됩니다.

다음 샘플 및 단계에서 사용자 개체를 예로 사용하지만 모든 개체 형식에 대해서 사용할 수 있습니다.

다음 샘플에서 우선 순위 값은 50부터 시작합니다. 사용되지 않은 모든 숫자를 사용할 수 있지만 100보다는 작아야 합니다.

부정 필터링: "다음을 동기화 안 함"

다음 예제에서는 extensionAttribute15NoSync 값을 가진 모든 사용자를 필터링(동기화 안 함)합니다.

  1. ADSyncAdmins 보안 그룹의 멤버인 계정을 사용하여 Microsoft Entra Connect Sync를 실행하는 서버에 로그인합니다.
  2. 시작 메뉴에서 동기화 규칙 편집기를 시작합니다.
  3. 인바운드가 선택되어 있는지 확인하고 새 규칙 추가를 클릭합니다.
  4. "In from AD – User DoNotSyncFilter"와 같이 설명이 포함된 이름을 규칙에 지정합니다. 올바른 포리스트를 선택하고, CS 개체 형식으로 사용자를 선택하고 MV 개체 형식으로 개인을 선택합니다. 링크 형식에서 조인을 선택합니다. 우선 순위에서 현재 다른 동기화 규칙에서 사용하지 않는 값(예: 50)을 입력한 후 다음을 클릭합니다.
    인바운드 1 설명
  5. 범위 지정 필터에서 그룹 추가를 클릭하고 절 추가를 클릭합니다. 특성에서 ExtensionAttribute15를 선택합니다. 연산자EQUAL로 설정되어 있는지 확인하고 상자에 값 NoSync를 입력합니다. 다음을 클릭합니다.
    인바운드 2 범위
  6. 조인을 비워두고 다음을 클릭합니다.
  7. 변환 추가를 클릭하고 상수FlowType을 선택하고 대상 특성으로 cloudFiltered로 선택합니다. 소스 텍스트 상자에서 True를 입력합니다. 추가 를 클릭하여 규칙을 저장합니다.
    인바운드 3 변환
  8. 구성을 완료하려면 전체 동기화를 실행해야 합니다. 변경 내용 적용 및 확인섹션을 계속 읽어주세요.

긍정 필터링: "다음만 동기화"

긍정 필터링을 표현하는 것은 회의실과 같이 동기화가 명확하지 않은 개체도 고려해야 하므로 더 어려울 수 있습니다. 또한 기본 규칙 AD에서 - 사용자 참가의 기본 필터도 재정의됩니다. 사용자 지정 필터를 만들 때 중요한 시스템 개체, 복제 충돌 개체, 특수 사서함 및 Microsoft Entra Connect용 서비스 계정을 포함하지 않도록 해야 합니다.

양수 필터링 옵션에는 두 가지 동기화 규칙이 필요합니다. 하나는 동기화할 올바른 개체 범위가 포함된 하나 이상의 동기화 규칙이고, 다른 하나는 동기화해서는 안 되는 나머지 개체를 필터링하는 포괄적인 동기화 규칙입니다.

다음 예제에서는 department 특성에 Sales값이 있는 사용자 개체만 동기화합니다.

  1. ADSyncAdmins 보안 그룹의 멤버인 계정을 사용하여 Microsoft Entra Connect Sync를 실행하는 서버에 로그인합니다.
  2. 시작 메뉴에서 동기화 규칙 편집기를 시작합니다.
  3. 인바운드가 선택되어 있는지 확인하고 새 규칙 추가를 클릭합니다.
  4. "In from AD – User Sales sync"와 같이 설명이 포함된 이름을 규칙에 지정합니다. 올바른 포리스트를 선택하고, CS 개체 형식으로 사용자를 선택하고 MV 개체 형식으로 개인을 선택합니다. 링크 형식에서 조인을 선택합니다. 우선 순위에서 현재 다른 동기화 규칙에서 사용하지 않는 값(예: 51)을 입력한 후 다음을 클릭합니다.
    인바운드 4 설명
  5. 범위 지정 필터에서 그룹 추가를 클릭하고 절 추가를 클릭합니다. 특성에서 부서를 선택합니다. 연산자가 EQUAL로 설정되어 있는지 확인하고 상자에 값 Sales를 입력합니다. 다음을 클릭합니다.
    인바운드 5 범위
  6. 조인을 비워두고 다음을 클릭합니다.
  7. 변환 추가를 클릭하고 FlowType으로 상수를 선택하고 대상 특성으로 cloudFiltered를 선택합니다. 소스 상자에 False를 입력합니다. 추가 를 클릭하여 규칙을 저장합니다.
    인바운드 6 변환
    이는 cloudFiltered를 명시적으로 False로 설정하는 특수한 경우입니다.
  8. 이제 범용 동기화 규칙을 만들어야 합니다. “In from AD – User Catch-all filter”와 같이 설명이 포함된 이름을 규칙에 지정합니다. 올바른 포리스트를 선택하고, CS 개체 형식으로 사용자를 선택하고 MV 개체 형식으로 개인을 선택합니다. 링크 형식에서 조인을 선택합니다. 우선 순위에서 현재 다른 동기화 규칙에서 사용하지 않는 값(예: 99)을 입력합니다. 이전 동기화 규칙보다 더 높은 우선 순위(더 낮은 우선 순위) 값을 선택했습니다. 하지만 추가 부서 동기화를 시작하려는 경우 더 많은 필터링 동기화 규칙을 나중에 추가할 수 있도록 약간의 공간도 남겨두었습니다. 다음을 클릭합니다.
    인바운드 7 설명
  9. 범위 지정 필터를 비워 두고 다음을 클릭합니다. 빈 필터는 규칙이 모든 개체에 적용되어야 한다는 것을 나타냅니다.
  10. 조인을 비워두고 다음을 클릭합니다.
  11. 변환 추가를 클릭하고 FlowType으로 상수를 선택하고 대상 특성으로 cloudFiltered를 선택합니다. 소스 상자에 True를 입력합니다. 추가 를 클릭하여 규칙을 저장합니다.
    인바운드 3 변환
  12. 구성을 완료하려면 전체 동기화를 실행해야 합니다. 변경 내용 적용 및 확인섹션을 계속 읽어주세요.

필요에 따라 동기화에 더 많은 개체를 포함하는 첫 번째 형식의 규칙을 더 많이 만들 수 있습니다.

아웃바운드 필터링

일부 경우는 개체가 메타버스에 연결한 후에만 필터링을 할 필요가 있습니다. 예를 들어 개체가 동기화되었는지 확인하기 위해 리소스 포리스트에서 메일 특성을 살펴보아야 하거나 계정 포리스트에서 userPrincipalName 특성을 살펴보아야 할 경우가 있습니다. 이러한 경우 아웃바운드 규칙에서 필터를 만듭니다.

이 예제에서는 메일과 userPrincipalName이 @contoso.com으로 끝나는 사용자만 동기화하도록 필터링을 변경합니다.

  1. ADSyncAdmins 보안 그룹의 멤버인 계정을 사용하여 Microsoft Entra Connect Sync를 실행하는 서버에 로그인합니다.
  2. 시작 메뉴에서 동기화 규칙 편집기를 시작합니다.
  3. 규칙 형식에서 아웃바운드를 클릭합니다.
  4. 사용하는 Connect 버전에 따라 Microsoft Entra ID로 나가기 – 사용자 조인 또는 Microsoft Entra ID로 나가기 - 사용자 조인 SOAInAD라는 규칙을 찾고 편집을 클릭합니다.
  5. 팝업에서 를 선택하여 규칙의 복사본을 만듭니다.
  6. 설명 페이지에서 50과 같은 사용하지 않는 값으로 우선 순위를 변경합니다.
  7. 왼쪽 탐색에서 범위 지정 필터를 클릭한 다음 절 추가를 클릭합니다. 특성에서 메일을 선택합니다. 연산자에서 ENDSWITH를 선택합니다. @contoso.com을 입력한 다음 절 추가를 클릭합니다. 특성에서 userPrincipalName을 선택합니다. 연산자에서 ENDSWITH를 선택합니다. @contoso.com을 입력합니다.
  8. 저장을 클릭합니다.
  9. 구성을 완료하려면 전체 동기화를 실행해야 합니다. 변경 내용 적용 및 확인섹션을 계속 읽어주세요.

변경 사항을 적용하고 확인합니다

구성을 변경한 후 이 변경 사항을 시스템에 이미 있는 개체에 적용해야 합니다. 또한 현재 동기화 엔진에 없는 개체를 처리할 수 있어야 합니다(동기화 엔진은 원본 시스템을 다시 읽어 해당 콘텐츠를 확인해야 합니다).

도메인 또는 조직 구성 단위 필터링을 사용하여 구성을 변경한 경우 전체 가져오기를 수행하고, 이어서 델타 동기화를 수행합니다.

특성 필터링을 사용하여 구성을 변경한 경우 전체 동기화를 수행해야 합니다.

다음 단계를 수행합니다.

  1. 시작 메뉴에서 동기화 서비스를 시작합니다.
  2. 커넥터를 선택합니다. 커넥터 목록에서 이전에 구성을 변경한 커넥터를 선택합니다. 작업에서 실행을 선택합니다.
    커넥터 실행
  3. 실행 프로필에서 이전 섹션에서 언급된 작업을 선택합니다. 두 작업을 실행해야 할 경우 첫 번째 작업이 완료된 후 두 번째 작업을 실행합니다. (선택한 커넥터의 경우 상태 열은 Idle입니다.)

동기화 후 모든 변경 사항을 내보낼 준비가 됩니다. 실제로 Microsoft Entra ID를 변경하기 전에 이러한 변경 내용이 모두 올바른지 확인하려고 합니다.

  1. 명령 프롬프트를 시작하고 %ProgramFiles%\Microsoft Azure AD Sync\bin로 이동합니다.
  2. csexport "Name of Connector" %temp%\export.xml /f:x을 실행합니다.
    동기화 서비스에 커넥터의 이름이 있습니다. Microsoft Entra ID의 경우 "contoso.com – Microsoft Entra ID"와 유사한 이름을 갖습니다.
  3. CSExportAnalyzer %temp%\export.xml > %temp%\export.csv을 실행합니다.
  4. 이제 %temp%에 Microsoft Excel에서 검사할 수 있는 export.csv 라는 파일이 있습니다. 이 파일은 내보낼 수 있는 모든 변경 내용을 포함합니다.
  5. 내보내려는 변경 사항이 예정될 때까지 데이터 또는 구성에 필요한 변경을 수행하고 이러한 단계(가져오기, 동기화 및 확인)를 다시 실행합니다.

성공적으로 작업을 마친 후 변경 사항을 Microsoft Entra ID로 내보냅니다.

  1. 커넥터를 선택합니다. 커넥터 목록에서 Microsoft Entra 커넥터를 선택합니다. 작업에서 실행을 선택합니다.
  2. 실행 프로필에서 내보내기를 선택합니다.
  3. 구성 변경으로 인해 많은 개체가 삭제되는 경우 그 숫자가 구성된 임계값(기본적으로 500)보다 클 때 내보내기에 오류가 표시됩니다. 이 오류가 표시되면 일시적으로 “실수로 인한 삭제 방지” 기능을 사용하지 않도록 설정해야 합니다.

이제 다시 스케줄러를 사용하도록 설정합니다.

  1. 시작 메뉴에서 작업 Scheduler를 시작합니다.
  2. 작업 Scheduler 라이브러리 바로 아래에서 Azure AD Sync Scheduler라는 작업을 찾아 마우스 오른쪽 단추로 클릭하고 사용을 선택합니다.

그룹 기반 필터링

사용자 지정 설치를 사용하여 Microsoft Entra Connect를 처음 설치하면 그룹 기반 필터링을 구성할 수 있습니다. 이 방식은 소수의 개체만 동기화되는 파일럿 배포를 위해 사용됩니다. 그룹 기반 필터링을 사용하지 않도록 설정하면 다시 사용하도록 설정할 수 없습니다. 사용자 지정 구성에서 그룹 기반 필터링을 사용하는 것은 지원되지 않습니다. 설치 마법사를 통해 이 기능을 구성하는 것만 지원됩니다. 파일럿을 완료한 다음 이 항목의 다른 필터링 옵션 중 하나를 사용하는 것이 좋습니다. 그룹 기반 필터링과 함께 OU 기반 필터링을 사용하는 경우 그룹 및 멤버 개체가 있는 OU가 포함되어야 합니다.

여러 AD 포리스트를 동기화할 경우 각 AD 커넥터에 서로 다른 그룹을 지정하여 그룹 기반 필터링을 구성할 수 있습니다. 하나의 AD 포리스트에서 사용자를 동기화하려고 하는데 이 사용자가 다른 AD 포리스트에 해당 개체를 하나 이상 갖고 있는 경우, 사용자 개체와 해당하는 모든 개체가 그룹 기반 필터링 범위 내에 있는지 확인해야 합니다. 예:

  • 하나의 포리스트에 있는 사용자가 다른 포리스트에서 해당 FSP(외부 보안 주체) 개체를 갖는 경우, 두 가지 개체 모두 그룹 기반 필터링 범위 내에 있어야 합니다. 그렇지 않으면 사용자가 Microsoft Entra ID에 동기화되지 않습니다.

  • 한 포리스트에는 다른 포리스트에 해당 리소스 계정(예: 연결된 사서함)이 있는 사용자가 있습니다. 또한 사용자를 리소스 계정과 연결하도록 Microsoft Entra Connect를 구성했습니다. 두 가지 개체 모두 그룹 기반 필터링 범위 내에 있어야 합니다. 그렇지 않으면 사용자가 Microsoft Entra ID에 동기화되지 않습니다.

  • 하나의 포리스트에 있는 사용자가 다른 포리스트에서 해당 메일 연락처를 갖고 있고, 또한 사용자를 메일 연락처와 연결하도록 Microsoft Entra Connect를 구성했습니다. 두 가지 개체 모두 그룹 기반 필터링 범위 내에 있어야 합니다. 그렇지 않으면 사용자가 Microsoft Entra ID에 동기화되지 않습니다.

다음 단계