규칙을 사용하여 Microsoft Entra ID의 사용자 또는 디바이스 속성에 따라 동적 멤버 자격 그룹을 결정할 수 있습니다. 이 문서에서는 Azure Portal에서 동적 멤버 자격 그룹에 대한 규칙을 설정하는 방법을 설명합니다.
사용자 또는 디바이스 속성에 따른 그룹 멤버 자격은 보안 그룹 및 Microsoft 365 그룹에 대해 지원됩니다. 동적 멤버 자격 규칙을 적용하는 경우 사용자 및 디바이스 특성을 평가하여 멤버 자격 규칙과 일치하는지 확인합니다. 사용자 또는 디바이스의 특성이 변경되면 변경에 대비하여 조직의 모든 동적 멤버 자격 그룹 규칙이 처리됩니다. 사용자 및 디바이스는 동적 멤버 자격 그룹에 대한 조건을 충족하는 경우 추가되거나 제거됩니다. Microsoft Entra ID에서 단일 테넌트는 최대 15,000개의 동적 멤버 자격 그룹을 가질 수 있습니다.
참고
보안 그룹에는 디바이스 또는 사용자가 포함될 수 있지만 Microsoft 365 그룹에는 사용자만 포함될 수 있습니다.
동적 멤버 자격 그룹을 사용하려면 Microsoft Entra ID P1 라이선스 또는 Intune for Education 라이선스가 필요합니다. 자세한 내용은 Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 규칙 관리를 참조하세요.
Azure Portal의 규칙 작성기
Microsoft Entra ID는 중요한 규칙을 더 신속하게 만들고 업데이트하는 규칙 작성기를 제공합니다. 규칙 작성기는 최대 5개의 식을 생성하는 작업을 지원합니다.
규칙 작성기를 사용하면 몇 가지 간단한 식을 사용하여 규칙을 쉽게 구성할 수 있습니다. 그러나 모든 규칙을 재현하는 데 사용할 수는 없습니다. 규칙 작성기에서 만들려는 규칙을 지원하지 않는 경우 텍스트 상자를 사용할 수 있습니다.
다음은 텍스트 상자를 사용하는 것이 좋습니다. 고급 규칙 또는 구문의 몇 가지 예입니다.
- 6개 이상의 식이 있는 규칙
- 직접 보고서에 대한 규칙
- 연산자 선행 규칙 설정
-
복소수 식이 있는 규칙 예를 들어
(user.proxyAddresses -any (_ -contains "contoso"))
참고
규칙 작성기가 텍스트 상자에 생성된 일부 규칙을 표시하지 못할 수도 있습니다. 규칙 작성기에서 규칙을 표시할 수 없는 경우 메시지가 표시될 수 있습니다. 규칙 작성기는 지원되는 구문, 유효성 검사 또는 동적 멤버 자격 그룹에 대한 규칙의 처리를 어떤 식으로든 변경하지 않습니다.
멤버 자격 규칙에 대한 구문 및 지원되는 속성, 연산자 및 값의 예는 Microsoft Entra ID의 동적 멤버 자격 그룹에 대한 규칙 관리를 참조하세요.
동적 멤버 자격 그룹에 대한 규칙 만들기
최소한 그룹 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Microsoft Entra ID>그룹을 선택합니다.
모든 그룹을 선택한 다음 새 그룹을 선택합니다.
그룹 창에서 새 그룹의 이름과 설명을 입력합니다. 사용자 또는 디바이스에 대한 멤버 자격 유형 값을 선택한 다음 동적 쿼리 추가를 선택합니다.
규칙 작성기에서 최대 5개의 식을 추가합니다. 식을 5개 넘게 추가하려면 텍스트 상자를 사용해야 합니다.
멤버 자격 쿼리에 사용할 수 있는 사용자 지정 확장 속성을 보려면 다음을 수행합니다.
- 사용자 지정 확장 속성 가져오기를 선택합니다.
- 애플리케이션 ID를 입력하고 속성 새로 고침을 선택합니다.
규칙 만들기를 마친 후 저장을 선택합니다.
새 그룹 페이지에서 만들기를 선택하여 그룹을 만듭니다.
입력한 규칙이 유효하지 않으면 포털에 규칙을 처리할 수 없는 이유에 대한 설명이 표시됩니다. 이를 주의해서 읽고 규칙 수정 방법을 파악합니다.
기존 규칙 업데이트
최소한 그룹 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Microsoft Entra ID를 선택합니다.
그룹>모든 그룹을 선택합니다.
프로필을 열 그룹을 선택합니다.
그룹에 대한 프로필 페이지에서 동적 멤버 자격 규칙을 선택합니다. 규칙 작성기는 최대 5개의 식을 지원합니다. 식을 5개 넘게 추가하려면 텍스트 상자를 사용해야 합니다.
멤버 자격 규칙에 사용할 수 있는 사용자 지정 확장 속성을 보려면 다음을 수행합니다.
- 사용자 지정 확장 속성 가져오기를 선택합니다.
- 애플리케이션 ID를 입력하고 속성 새로 고침을 선택합니다.
규칙 업데이트를 완료한 후 저장을 선택합니다.
환영 전자 메일 켜기 또는 끄기
관리자가 새 Microsoft 365 그룹을 만들면 그룹에 추가된 사용자는 환영 전자 메일 알림을 받습니다. 나중에 사용자 또는 디바이스의 특성(보안 그룹만 해당)이 변경되면 조직의 동적 멤버 자격 그룹에 대한 모든 규칙이 변경에 대해 처리됩니다. 그런 다음, 추가된 사용자도 환영 알림을 받습니다.
Exchange PowerShell에서 이 동작을 켜거나 끌 수 있습니다.
규칙의 처리 상태 확인
동적 멤버 자격 그룹의 개요 페이지에서 규칙 처리 상태 및 마지막 멤버 자격 변경 날짜를 볼 수 있습니다.
동적 규칙 처리 상태에 대해 다음과 같은 상태 메시지가 나타날 수 있습니다.
- 평가: 그룹 변경이 수신되었고 업데이트가 평가되고 있습니다.
- 처리 중: 업데이트가 처리 중입니다.
- 업데이트 완료: 처리가 완료되었으며 적용 가능한 모든 업데이트가 수행되었습니다.
- 처리 오류: 멤버 자격 규칙 평가 오류로 인해 처리를 완료할 수 없습니다.
-
업데이트 일시 중지됨: 관리자가 동적 멤버 자격 그룹을 업데이트하기 위해 규칙을 일시 중지했습니다.
MembershipRuleProcessingState이Paused로 설정됩니다. - 시작되지 않음: 처리가 시작되지 않았습니다.
참고
이제 이 페이지에는 처리 일시 중지 옵션이 있습니다. 이전에는 이 옵션을 속성 수정 membershipRuleProcessingState 을 통해서만 사용할 수 있었습니다. 적어도 그룹 관리자 역할이 있는 사용자는 이 설정을 관리할 수 있으며 동적 멤버 자격 그룹의 처리를 일시 중지하고 다시 시작할 수 있습니다. 올바른 역할이 없는 그룹 소유자는 이 설정을 편집하는 데 필요한 권한이 없습니다.
마지막 멤버 자격 변경에 대해 다음과 같은 상태 메시지가 표시됩니다.
- <날짜 및 시간>: 멤버 자격이 이 날짜 및 시간에 마지막으로 업데이트되었습니다.
- 진행 중: 업데이트가 현재 진행 중입니다.
- 알 수 없음: 마지막 업데이트 시간을 검색할 수 없습니다. 새 그룹일 수 있습니다.
중요
동적 구성원 그룹의 처리를 일시 중지했다가 다시 시작하면 마지막 구성원 변경 날짜에 자리 표시자 값이 표시됩니다. 이 값은 처리가 완료된 후에 업데이트됩니다.
특정 그룹에 대한 멤버 자격 규칙을 처리하는 동안 오류가 발생하면 그룹의 개요 페이지 맨 위에 경고가 표시됩니다. 24시간 이상 조직 내의 모든 그룹에 대해 동적 멤버 자격 그룹에 대한 보류 중인 업데이트를 처리할 수 없는 경우 모든 그룹 위에 경고가 표시됩니다.
