동적 멤버 관리 규칙을 사용하여 관리 단위의 사용자 또는 디바이스 관리(미리 보기)

  • 아티클

중요

관리 단위에 대한 동적 멤버 관리 규칙은 현재 미리 보기 상태입니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

관리 단위에 대한 사용자 또는 디바이스를 수동으로 추가하거나 제거할 수 있습니다. 이 미리 보기에서는 규칙을 사용하여 관리 단위에 대한 사용자 또는 디바이스를 동적으로 추가하거나 제거할 수 있습니다. 이 문서에서는 Azure Portal, PowerShell 또는 Microsoft Graph API를 사용하여 동적 멤버 관리 규칙으로 관리 단위를 만드는 방법을 설명합니다.

참고

관리 단위에 대한 동적 멤버 관리 규칙은 동적 그룹에 사용할 수 있는 것과 동일한 특성을 사용하여 만들 수 있습니다. 사용 가능한 구체적인 특성 및 사용 방법 예에 대한 자세한 내용은 Azure Active Directory의 그룹에 대한 동적 멤버 관리 규칙을 참조하세요.

멤버 자격이 할당된 관리 단위는 사용자, 그룹 및 디바이스와 같은 여러 개체 형식을 수동으로 지원하지만 현재는 둘 이상의 개체 형식을 포함하는 동적 멤버 관리 규칙으로 관리 단위를 만들 수 없습니다. 예를 들어 사용자 또는 디바이스에 대한 동적 멤버 관리 규칙을 사용하여 관리 단위를 만들 수 있지만 둘 다 만들 수는 없습니다. 그룹에 대한 동적 멤버 관리 규칙이 있는 관리 단위는 현재 지원되지 않습니다.

필수 조건

  • 각 관리 단위 관리자에 대한 Azure AD Premium P1 또는 P2 라이선스
  • 각 관리 단위 멤버에 대한 Azure AD Premium P1 또는 P2 라이선스
  • 권한 있는 역할 관리자 또는 전역 관리자
  • PowerShell 사용 시 AzureADPreview 모듈
  • Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의
  • 글로벌 Azure 클라우드(Azure Government 또는 Azure China와 같은 특수 클라우드에서는 사용할 수 없음)

참고

관리 단위에 대한 동적 멤버 관리 규칙에는 하나 이상의 동적 관리 단위의 멤버 자격인 각 고유 사용자에 대해 Azure AD Premium P1 라이선스가 필요합니다. 동적 관리 단위의 멤버가 되기 위해 사용자에게 라이선스를 할당할 필요는 없지만 이러한 모든 사용자를 포함하려면 Azure AD 조직에 최소 라이선스 수가 있어야 합니다. 예를 들어 조직의 모든 동적 관리 단위에 총 1,000명의 고유 사용자가 있는 경우 라이선스 요구 사항을 충족하려면 Azure AD Premium P1에 대해 최소 1,000개의 라이선스가 필요합니다. 동적 디바이스 관리 단위의 멤버인 디바이스에는 라이선스가 필요하지 않습니다.

자세한 내용은 PowerShell 또는 Graph 탐색기를 사용하기 위한 필수 구성 요소를 참조하세요.

동적 멤버 자격 규칙 추가

사용자 또는 디바이스에 대한 동적 멤버 관리 규칙을 사용하여 관리 단위를 만들려면 다음 단계를 따릅니다.

Azure portal

  1. Azure Portal에 로그인합니다.

  2. Azure Active Directory를 선택합니다.

  3. 관리 단위를 선택한 다음 사용자 또는 디바이스를 추가할 관리 단위를 선택합니다.

  4. 속성을 선택합니다.

  5. 멤버 자격 형식 목록에서 추가하려는 규칙 형식에 따라 동적 사용자 또는 동적 디바이스를 선택합니다.

    멤버 자격 유형 목록이 표시된 관리 단위 속성 페이지의 스크린샷

  6. 동적 쿼리 추가를 선택합니다.

  7. 규칙 작성기를 사용하여 동적 멤버 관리 규칙을 지정합니다. 자세한 내용은 Azure Portal의 규칙 작성기를 참조하세요.

    속성, 연산자 및 값이 있는 규칙 작성기가 표시된 동적 멤버 자격 규칙 페이지의 스크린샷

  8. 완료되면 저장을 선택하여 동적 멤버 관리 규칙을 저장합니다.

  9. 속성 페이지에서 저장을 선택하여 멤버 자격 형식과 쿼리를 저장합니다.

    다음 메시지가 표시됩니다.

    관리 단위 형식을 변경한 후 사용자가 제공하는 동적 멤버 관리 규칙에 따라 기존 멤버 자격이 변경될 수 있습니다.

  10. 계속하려면 를 선택합니다.

규칙을 편집하는 방법에 대한 단계는 다음 동적 멤버 관리 규칙 편집 섹션을 참조하세요.

PowerShell

  1. 동적 멤버 관리 규칙을 만듭니다. 자세한 내용은 Azure Active Directory의 그룹에 대한 동적 멤버 자격 규칙을 참조하세요.

  2. Connect-AzureAD 명령을 사용하여 권한 있는 역할 관리자 또는 전역 관리자 역할이 할당된 사용자로 Azure Active Directory에 연결합니다.

    # Connect to Azure AD
Connect-AzureAD

  3. New-AzureADMSAdministrativeUnit 명령을 사용하여 다음 매개 변수를 사용하는 동적 멤버 관리 규칙이 있는 새 관리 단위를 만듭니다.

    • MembershipType: Dynamic 또는 Assigned
    • MembershipRule: 이전 단계에서 만든 동적 멤버 관리 규칙
    • MembershipRuleProcessingState: On 또는 Paused
    # Create an administrative unit for users in the United States
$adminUnit = New-AzureADMSAdministrativeUnit -DisplayName "Example Admin Unit" -Description "Example Dynamic Membership Admin Unit" -MembershipType "Dynamic" -MembershipRuleProcessingState "On" -MembershipRule '(user.country -eq "United States")'

Microsoft Graph API

  1. 동적 멤버 관리 규칙을 만듭니다. 자세한 내용은 Azure Active Directory의 그룹에 대한 동적 멤버 자격 규칙을 참조하세요.

  2. Create managementUnit API를 사용하여 동적 멤버 관리 규칙이 있는 새 관리 단위를 만듭니다.

    다음은 Windows 디바이스에 적용되는 동적 멤버 관리 규칙의 예를 보여 줍니다.

    요청

    POST https://graph.microsoft.com/beta/administrativeUnits

    본문

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(device.deviceOSType -eq \"Windows\")",
  "membershipRuleProcessingState": "On"
}

동적 멤버 관리 규칙 편집

관리 단위가 동적 멤버십에 대해 구성된 경우 동적 멤버십 엔진이 멤버 자격 추가 또는 제거에 대한 단독 소유권을 유지하므로 관리 단위의 멤버 자격을 추가하거나 제거하는 일반적인 명령은 사용하지 않도록 설정됩니다. 멤버 자격을 변경하기 위해 동적 멤버 관리 규칙을 편집할 수 있습니다.

Azure portal

  1. Azure Portal에 로그인합니다.

  2. Azure Active Directory를 선택합니다.

  3. 관리 단위를 선택한 다음 편집할 동적 멤버 관리 규칙이 있는 관리 단위를 선택합니다.

  4. 규칙 작성기를 사용하여 동적 멤버 관리 규칙을 편집하려면 멤버 관리 규칙을 선택합니다.

    규칙 작성기를 여는 멤버 자격 규칙 및 동적 멤버 자격 규칙 옵션이 있는 관리 단위의 스크린샷

    왼쪽 탐색 메뉴에서 동적 멤버 관리 규칙을 선택하여 규칙 작성기를 열 수도 있습니다.

  5. 완료되면 저장을 선택하여 동적 멤버 관리 규칙 변경 내용을 저장합니다.

PowerShell

Set-AzureADMSAdministrativeUnit 명령을 사용하여 동적 멤버 관리 규칙을 편집합니다.

# Set a new dynamic membership rule for an administrative unit
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipRule '(user.country -eq "Germany")'

Microsoft Graph API

Update managementUnit API를 사용하여 동적 멤버 관리 규칙을 편집합니다.

요청

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

본문

{
  "membershipRule": "(user.country -eq "Germany")"
}

동적 관리 단위를 할당으로 변경

동적 멤버 관리 규칙이 있는 관리 단위를 멤버 자격이 수동으로 할당되는 관리 단위로 변경하려면 다음 단계를 따릅니다.

Azure portal

  1. Azure Portal에 로그인합니다.

  2. Azure Active Directory를 선택합니다.

  3. 관리 단위를 선택한 다음 할당할 관리 단위를 선택합니다.

  4. 속성을 선택합니다.

  5. 멤버 자격 형식 목록에서 할당됨을 선택합니다.

    멤버 자격 유형 목록이 표시되고 할당됨이 선택된 관리 단위 속성 페이지의 스크린샷

  6. 저장을 선택하여 멤버 자격 형식을 저장합니다.

    다음 메시지가 표시됩니다.

    관리 단위 형식을 변경한 후에는 동적 규칙이 더 이상 처리되지 않습니다. 현재 관리 단위 멤버 자격은 관리 단위에 남아 있고 관리 단위에는 멤버 자격이 할당됩니다.

  7. 계속하려면 를 선택합니다.

    멤버 자격 형식 설정이 동적에서 할당으로 변경되면 현재 멤버 자격은 관리 단위에 그대로 유지됩니다. 또한 관리 단위에 그룹을 추가하는 기능이 사용하도록 설정됩니다.

PowerShell

Set-AzureADMSAdministrativeUnit 명령을 사용하여 멤버 자격 형식 설정을 변경합니다.

# Change an administrative unit to assigned
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipType "Assigned" -MembershipRuleProcessingState "Paused"

Microsoft Graph API

Update managementUnit API를 사용하여 멤버 자격 형식 설정을 변경합니다.

요청

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

본문

{
  "membershipType": "Assigned"
}

다음 단계