수명 주기 워크플로를 사용하여 동기화된 온-프레미스 사용자 관리
수명 주기 워크플로는 온-프레미스 AD-DS(Active Directory Domain Services)에서 Microsoft Entra로 동기화되는 사용자 계정의 ID 수명 주기 관리를 지원합니다. 수명 주기 워크플로의 경우 Microsoft Entra에 사용자 계정이 존재하는 것이 중요하지만, 계정이 만들어진 방식 또는 계정에 대한 수명 주기 관련 변경 내용이 적용되는 방식은 사용자 계정에 대한 워크플로 및 관련 작업을 처리할 때 작은 역할을 합니다. 지원에는 HR 중심 프로비전, Microsoft Graph API, Microsoft Entra 관리 포털과 같은 경로를 통해 이루어진 계정 및 변경 내용은 물론 Microsoft Entra Connect 및 Microsoft 클라우드 동기화에 의해 동기화된 변경 내용도 포함됩니다.
이 문서에서는 온-프레미스 AD-DS(Active Directory Domain Services)에서 Microsoft Entra로 동기화되는 사용자 계정에 대해 수명 주기 워크플로를 사용하려는 경우 고려해야 할 사항('동기화 온-프레미스 사용자'이라고 함)에 대해 알아봅니다.
동기화된 온-프레미스 사용자의 워크플로 실행 조건
수명 주기 워크플로는 워크플로 실행 조건을 충족할 때 사용자 계정에 대해 처리됩니다. 실행 조건은 트리거와 범위로 구성됩니다. 트리거는 사용자 계정에 대해 발생하는 이벤트를 설명합니다. 범위를 사용하면 이벤트가 발생할 때 워크플로가 시작되는 대상을 추가로 정의할 수 있습니다.
워크플로 트리거
다음 표에서는 동기화된 온-프레미스 사용자와 함께 사용할 때 각 워크플로 트리거에 대해 고려해야 할 사항을 보여 줍니다.
| 워크플로 트리거 | 요구 사항 |
|---|---|
| 특성 변경(미리 보기) | 특성이 동기화되는 한 추가 구성이 필요하지 않습니다. 동기화된 특성에 대한 자세한 내용은 Microsoft Entra 클라우드 동기화의 특성 매핑 및 Microsoft Entra Connect 동기화: 디렉터리 확장을 참조하세요. 온-프레미스 Active Directory에 변경 내용이 있는 경우 Microsoft Entra 클라우드 동기화 또는 Microsoft Entra Connect 동기화를 통한 동기화가 이루어져야 수명 주기 워크플로에서 변경 내용을 선택할 수 있습니다. |
| 그룹 멤버 자격 기반(미리 보기) | 모든 형식의 그룹이 지원되므로 추가 구성이 필요하지 않습니다. 그룹이 온-프레미스 Active Directory에서 시작된 경우 Microsoft Entra와 동기화되어야 합니다. Microsoft Entra 클라우드 동기화 또는 Microsoft Entra Connect 동기화, 동기화는 수명 주기 워크플로에서 변경 내용을 선택하기 전에 발생해야 합니다. |
| 주문형 | 추가 구성이 필요하지 않습니다. |
| 시간 기반 | employeeHireDate, employeeLeaveDateTime: 이러한 특성은 사용하기 전에 동기화되어야 합니다. 이 프로세스에 대한 자세한 내용은 수명 주기 워크플로의 특성을 동기화하는 방법을 참조하세요. createdDateTime: 추가 요구 사항이 필요하지 않습니다. 이 날짜는 사용자 계정이 Active Directory 내에서 만들어진 날짜가 아니라 Microsoft Entra ID에 동기화된 날짜입니다. |
워크플로 범위 지정
워크플로 범위 지정 기능 내에서 사용되는 사용자 특성의 경우 선택한 특성이 이미 동기화되어 있으면 추가 구성이 필요하지 않습니다. 동기화된 특성에 대한 자세한 내용은 Microsoft Entra 클라우드 동기화의 특성 매핑 및 Microsoft Entra Connect 동기화: 디렉터리 확장을 참조하세요. 온-프레미스 Active Directory에 변경 내용이 있는 경우 Microsoft Entra 클라우드 동기화 또는 Microsoft Entra Connect 동기화를 통한 동기화가 이루어져야 수명 주기 워크플로에서 변경 내용을 선택할 수 있습니다.
워크플로 작업 및 동기화된 온-프레미스 기능
모든 수명 주기 워크플로 작업은 이 문서에 자세히 설명된 특정 작업에 나열된 제한 사항을 제외하고 기본 제공 가능한 클라우드 및 동기화된 온-프레미스 사용자 모두에게 작동합니다. 모든 수명 주기 워크플로 작업에 대한 자세한 내용은 수명 주기 워크플로 기본 제공 작업을 참조하세요.
그룹 멤버 자격을 관리하는 작업
그룹 멤버 자격을 관리하는 수명 주기 워크플로 작업은 온-프레미스 Active Directory에서 Microsoft Entra로 동기화되는 그룹에 사용할 수 없습니다. 하지만 Microsoft Entra ID Governance를 사용하면 수명 주기 워크플로 내에서 지원되는 클라우드 그룹을 통해 온-프레미스 Active Directory(Kerberos) 애플리케이션 액세스를 관리할 수 있습니다.
사용자 계정 작업(미리 보기)
동기화된 온-프레미스 사용자와 작업하기 위해 사용자 계정을 사용하도록 설정, 사용하지 않도록 설정 및 삭제하려면 수명 주기 워크플로 작업에 대한 추가 구성이 필요합니다. 온-프레미스 Active Directory에서 작업을 수행하도록 작업을 구성하려면 먼저 다음 필수 구성 요소를 완료해야 합니다.
- 사용자 환경에 Microsoft Entra 프로비전 에이전트가 설치되어 있어야 합니다. Microsoft Entra 프로비전 에이전트 설치에 대한 필수 조건은 클라우드 프로비전 에이전트 요구 사항을 참조하세요. Microsoft Entra 프로비전 에이전트 설치에 대한 단계별 안내는 Microsoft Entra 프로비전 에이전트 설치를 참조하세요. 설치 중에 "확장 구성"으로 "HR 기반 프로비전 / Microsoft Entra Connect 동기화"를 선택합니다. 클라우드 동기화 구성과 같은 프로비전 에이전트에 대한 다른 구성을 추가할 필요가 없으며 현재 사용자 동기화를 위해 Microsoft Entra Connect 동기화를 사용하고 있는 경우에도 프로비전 에이전트를 설치할 수 있습니다.
참고 항목
설치된 프로비전 에이전트는 2024년 5월 13일에 릴리스된 버전 1.1.1586.0 이상이어야 합니다.
프로비전 에이전트에서 사용하는 gMSA(그룹 관리 서비스 계정)에 사용자 계정에 대한 작업을 수행할 수 있는 적절한 권한이 있는지 확인합니다.
사용자 계정을 삭제하려면 Active Directory 휴지통을 사용하도록 설정해야 합니다. 휴지통을 사용하도록 설정하는 단계별 가이드는 Active Directory 휴지통 단계별 지침을 참조하세요.
동기화된 온-프레미스 사용자에 대해 사용자 계정 작업이 실행되도록 플래그를 설정하는 방법에 대한 단계별 가이드는 워크플로를 사용하여 동기화된 온-프레미스 사용자 관리(미리 보기)를 참조하세요.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기