다음을 통해 공유

Microsoft Entra ID의 동적 그룹의 그룹 멤버 자격

  • 아티클

Microsoft Entra ID의 이 기능 미리 보기를 통해 관리자는 memberOf 특성을 사용하여 다른 그룹의 멤버를 추가하여 채우는 동적 그룹 및 관리 장치를 만들 수 있습니다. 이전에 Microsoft Entra ID에서 그룹 기반 멤버 자격을 읽을 수 없었던 앱은 이제 이러한 새 memberOf 그룹의 전체 멤버 자격을 읽을 수 있습니다. 이러한 그룹은 앱에 사용할 수 있을 뿐만 아니라 라이선스 할당에도 사용할 수 있습니다.

다음 다이어그램에서는 Security-Group-X 및 Security-Group-Y의 멤버를 사용하여 Dynamic-Group-A를 만드는 방법을 보여 줍니다. Security-Group-X 및 Security-Group-Y 내의 그룹 멤버는 Dynamic-Group-A의 멤버가 되지 않습니다.

memberOf 특성의 작동 방식을 보여 주는 다이어그램.

이 미리 보기를 사용하는 경우 관리자는 Azure Portal, Microsoft Graph 및 PowerShell에서 memberOf 특성을 사용하여 동적 그룹을 구성할 수 있습니다. 보안 그룹, Microsoft 365 그룹 ​​및 온-프레미스 Active Directory에서 동기화되는 그룹은 모두 이러한 동적 그룹의 멤버로 추가될 수 있습니다. 또한 모두 단일 그룹에 추가할 수도 있습니다. 예를 들어 동적 그룹은 보안 그룹일 수 있지만, 온-프레미스에서 동기화되는 Microsoft 365 그룹, 보안 그룹 및 그룹을 사용하여 해당 멤버 자격을 정의할 수 있습니다.

필수 조건

memberOf 특성을 사용하여 Microsoft Entra 동적 그룹을 만들려면 최소한 사용자 관리자여야 합니다. Microsoft Entra 테넌트에 대한 Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다.

미리 보기 제한 사항

  • 각 Microsoft Entra 테넌트는 memberOf 특성을 사용하여 500개의 동적 그룹으로 제한됩니다. memberOf 그룹은 총 동적 그룹 멤버 할당량 15,000개에 포함됩니다.
  • 각 동적 그룹에는 최대 50개의 멤버 그룹이 있을 수 있습니다.
  • 보안 그룹의 멤버를 memberOf 동적 그룹에 추가하면 보안 그룹의 직접 멤버만 동적 그룹의 멤버가 됩니다.
  • 하나의 memberOf 동적 그룹을 사용하여 다른 memberOf 동적 그룹의 멤버 자격을 정의할 수 없습니다. 예를 들어 그룹 B와 C의 멤버가 있는 동적 그룹 A는 동적 그룹 D의 멤버가 될 수 없습니다.
  • memberOf 특성은 다른 규칙과 함께 사용할 수 없습니다. 예를 들어 동적 그룹 A는 그룹 B의 멤버를 포함해야 하고 레드먼드에 있는 사용자만 포함해야 한다는 규칙은 실패합니다.
  • 현재는 memberOf에 대해 동적 그룹 규칙 작성기 및 유효성 검사 기능을 사용할 수 없습니다.
  • memberOf 특성은 다른 연산자와 함께 사용할 수 없습니다. 예를 들어 "그룹 A의 멤버는 동적 그룹 B에 있을 수 없습니다."라는 규칙을 만들 수 없습니다.

시작하기

이 기능은 Azure Portal, Microsoft Graph 및 PowerShell에서 사용할 수 있습니다. memberOf는 아직 규칙 작성기에서 지원되지 않으므로 규칙 편집기에 규칙을 입력해야 합니다.

memberOf 동적 그룹 만들기

  1. 최소한 사용자 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>그룹>모든 그룹으로 이동합니다.
  3. + 새 그룹을 선택합니다.
  4. 그룹 세부 정보를 입력합니다. 그룹 유형은 보안 또는 Microsoft 365일 수 있으며, 멤버 자격 유형은 동적 사용자 또는 동적 디바이스로 설정할 수 있습니다.
  5. 동적 쿼리 추가를 선택합니다.
  6. memberOf는 규칙 작성기에서 아직 지원되지 않습니다. 편집을 선택하여 규칙 구문 상자에서 규칙을 작성합니다.
    1. 사용자 규칙 예제: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. 디바이스 규칙 예제: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. 확인을 선택합니다.
  8. 그룹 만들기를 선택합니다.