Microsoft Entra ID에서 정적 그룹을 동적 멤버 자격 그룹으로 변경
Microsoft Entra의 일부인 Microsoft Entra ID에서 그룹의 멤버 자격을 정적에서 동적으로(또는 그 반대로) 변경할 수 있습니다. Microsoft Entra ID는 시스템에서 동일한 그룹 이름과 ID를 유지하므로 그룹에 대한 모든 기존 참조가 여전히 유효합니다. 대신 새 그룹을 만들면 해당 참조를 업데이트해야 합니다. 동적 멤버 자격 그룹을 만들면 사용자를 추가하고 제거하는 데 드는 관리 오버헤드가 없습니다. 이 문서에서는 포털 또는 PowerShell cmdlet을 사용하여 기존 그룹을 정적 멤버 자격 그룹에서 동적 멤버 자격 그룹으로 변환하는 방법에 대해 설명합니다. Microsoft Entra에서는 단일 테넌트가 최대 15,000개의 동적 멤버 자격 그룹을 보유할 수 있습니다.
Warning
기존 정적 그룹을 동적 그룹으로 변경하면 기존의 모든 멤버가 그룹에서 제거된 다음, 새 멤버를 추가하도록 멤버 자격 규칙이 처리됩니다. 그룹이 앱 또는 리소스에 대한 액세스를 제어하는 데 사용되는 경우 멤버 자격 규칙이 완전히 처리될 때까지 원래 멤버가 액세스 권한을 잃을 수 있습니다.
그룹의 새 멤버 자격이 예상대로 유지되는지 확인하기 위해 새 멤버 자격 규칙을 미리 테스트하는 것이 좋습니다. 테스트 중에 오류가 발생하면 그룹 라이선스 문제 해결을 참조하세요.
그룹에 대한 멤버 자격 유형 변경
다음 단계는 적어도 그룹 관리자 역할이 할당된 계정을 사용하여 수행할 수 있습니다.
- 최소한 그룹 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- Microsoft Entra ID를 선택합니다.
- 그룹 -
- 모든 그룹 목록에서 변경하려는 그룹을 엽니다.
- 속성을 선택합니다.
- 해당 그룹의 속성에서, 원하는 멤버 자격 종류에 따라 멤버 자격 유형을 할당됨(정적), 동적 사용자 또는 동적 디바이스 중에 선택합니다. 동적 멤버 자격 그룹의 경우 규칙 작성기를 사용하여 간단한 규칙에 대한 옵션을 선택하거나 멤버 자격 규칙을 직접 작성할 수 있습니다.
다음 단계는 사용자 그룹을 정적 멤버 자격 그룹에서 동적 멤버 자격 그룹으로 변경하는 예제입니다.
선택한 그룹의 속성 페이지에서 멤버 자격 유형 중 동적 사용자를 선택한 다음 동적 멤버 자격 그룹 변경 사항을 설명하는 대화 상자에서 예를 선택하여 계속 진행합니다.
동적 쿼리 추가를 선택하고 규칙을 입력합니다.
규칙을 만든 후 페이지 맨 아래에서 쿼리 추가를 선택합니다.
해당 그룹의 속성 페이지에서 저장을 선택하여 변경 내용을 저장합니다. 그룹 목록에서 해당 그룹의 멤버 자격 유형이 즉시 업데이트됩니다.
팁
입력한 멤버 자격 규칙이 올바르지 않으면 그룹 변환이 실패할 수 있습니다. 포털의 오른쪽 상단 구석에 알림이 표시됩니다. 알림에는 시스템에서 규칙을 수락할 수 없는 이유에 대한 설명이 포함되어 있습니다. 이 알림을 신중하게 읽고 규칙을 올바르게 수정하는 방법을 이해하세요. 규칙 구문의 예와 멤버 자격 규칙에 지원되는 속성, 연산자 및 값의 전체 목록은 Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 규칙 관리를 참조하세요.
그룹에 대한 멤버 자격 유형 변경(PowerShell)
참고 항목
동적 그룹 속성을 변경하려면 Microsoft Graph PowerShell 모듈의 cmdlet을 사용해야 합니다. 자세한 내용은 Microsoft Graph PowerShell SDK 설치를 참조하세요.
기존 그룹에서 멤버 자격 관리를 전환하는 기능의 예는 다음과 같습니다. 이 예제에서는 GroupTypes 속성을 정확하게 조작하고 동적 멤버 자격 그룹과 무관한 다른 기존 값을 그대로 유지하기 위해 주의가 필요합니다.
#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
그룹을 고정으로 지정하려면:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
그룹을 동적으로 지정하려면:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
다음 단계
이러한 문서는 Microsoft Entra ID의 그룹에 대한 추가 정보를 제공합니다.