다음을 통해 공유


Microsoft Entra 프로비전 서비스에서 실수로 인한 삭제 방지 사용

Microsoft Entra 프로비전 서비스에는 실수로 인한 삭제를 방지하는 기능이 포함되어 있습니다. 이 기능은 사용자가 애플리케이션에서 예기치 않게 사용하지 않도록 설정되거나 삭제되지 않도록 합니다.

Microsoft Entra 프로비전 서비스에는 실수로 인한 삭제를 방지하는 기능이 포함되어 있습니다. 이 기능은 사용자가 대상 테넌트에서 예기치 않게 사용하지 않도록 설정되거나 삭제되지 않도록 합니다.

실수로 인한 삭제를 사용하여 삭제 임계값을 지정합니다. 설정한 임계값을 초과하는 항목이 있으면 관리자가 삭제 처리를 명시적으로 허용해야 합니다.

실수로 인한 삭제 방지 구성

실수로 인한 삭제 방지를 사용하도록 설정하려면 다음을 수행합니다.

  1. 최소한 응용 프로그램 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
  3. 애플리케이션을 선택합니다.
  4. 프로비전을 선택한 다음, 프로비전 페이지에서 프로비전 편집을 선택합니다.
  1. 최소한 응용 프로그램 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>External Identities>테넌트 간 동기화>구성으로 이동하고 구성을 선택합니다.
  3. 프로비저닝을 선택합니다.
  1. 설정 아래에서 실수로 인한 삭제 방지 확인란을 선택하고, 삭제 임계값을 지정합니다.
  2. 알림 메일 주소가 완료되었는지 확인합니다. 삭제 임계값이 충족되면 이메일이 전송됩니다.
  3. 저장을 선택하여 변경 내용을 저장합니다.

삭제 임계값이 충족되면 작업이 격리되고 알림 이메일이 전송됩니다. 그런 다음, 격리된 작업을 허용하거나 거부할 수 있습니다. 격리 동작에 대한 자세한 내용은 격리 상태의 애플리케이션 프로비전을 참조하세요.

실수로 인한 삭제에서 복구

실수로 삭제된 경우 프로비전 상태 페이지에 표시됩니다. Provisioning has been quarantined. See quarantine details for more information라고 합니다.

삭제 허용 또는 프로비저닝 로그 보기를 클릭할 수 있습니다.

삭제 허용

삭제 허용 작업은 실수로 삭제 임계값을 트리거한 개체를 삭제합니다. 절차를 사용하여 삭제를 수락합니다.

  1. 삭제 허용을 선택합니다.
  2. 확인 메시지에서 를 클릭하여 삭제를 허용합니다.
  3. 삭제가 승인되었다는 확인을 봅니다. 다음 주기부터 상태가 정상으로 돌아갑니다.

삭제 거부

필요에 따라 삭제를 조사하고 거부합니다.

  • 삭제 원본을 조사합니다. 프로비저닝 로그를 사용하여 자세한 내용을 확인할 수 있습니다.
  • 사용자/그룹을 애플리케이션(또는 구성)에 다시 할당하거나, 사용자/그룹을 복원하거나, 프로비전 구성을 업데이트하여 삭제를 방지합니다.
  • 사용자/그룹이 삭제되지 않도록 방지하기 위해 필요한 변경을 수행했으면 프로비전을 다시 시작합니다. 사용자/그룹이 삭제되지 않도록 방지하기 위해 필요한 변경을 완료할 때까지 프로비전을 다시 시작하지 마세요.

삭제 방지 테스트

이 기능은 사용 안 함/삭제 이벤트를 트리거하여 테스트할 수 있습니다. 즉, 임계값을 낮은 숫자(예: 3)로 설정한 다음, 범위 할당 필터를 변경하고, 사용자를 할당 취소하고, 디렉터리에서 사용자를 삭제합니다(다음 섹션의 일반적인 시나리오 참조).

프로비전 작업을 실행하고(20~40분), 프로비전 페이지로 다시 이동합니다. 격리된 프로비전 작업을 확인하고 삭제를 허용하도록 선택하거나 프로비전 로그를 검토하여 삭제가 발생한 이유를 파악합니다.

테스트할 일반적인 프로비전 해제 시나리오

  • 사용자를 삭제하고 휴지통에 넣습니다.
  • 사용자의 로그인을 차단합니다.
  • 애플리케이션(또는 구성)에서 사용자 또는 그룹의 할당을 취소합니다.
  • 애플리케이션(또는 구성)에 대한 액세스 권한을 제공하는 그룹에서 사용자를 제거합니다.

프로비전 해제 시나리오에 대한 자세한 내용은 애플리케이션 프로비전이 작동하는 방식을 참조하세요.

자주 묻는 질문

삭제 임계값에 포함할 수 있는 시나리오는 무엇인가요?

사용자가 대상 애플리케이션(또는 대상 테넌트)에서 제거되도록 설정되면 삭제 임계값에 포함됩니다. 대상 애플리케이션(또는 대상 테넌트)에서 사용자를 제거할 수 있는 시나리오에는 애플리케이션(또는 구성)에서 사용자의 할당 취소 및 디렉터리에서 사용자의 일시 삭제/영구 삭제가 포함될 수 있습니다. 삭제 임계값에 대한 삭제 횟수가 계산된 그룹이 포함됩니다. 삭제 외에도 동일한 기능이 사용 안 함에도 작동합니다.

삭제 임계값이 평가되는 간격은 어떻게 되나요?

주기마다 평가됩니다. 단일 주기 동안 삭제 횟수가 임계값을 초과하지 않으면 "회로 차단기"가 트리거되지 않습니다. 안정된 상태에 도달하기 위해 여러 주기가 필요한 경우 삭제 임계값은 주기별로 평가됩니다.

이러한 삭제 이벤트는 어떻게 기록하나요?

사용하지 않도록 설정되거나 삭제되어야 하지만 삭제 임계값으로 인해 이렇게 되지 않은 사용자를 확인할 수 있습니다. 프로비저닝 로그로 이동한 다음, StagedAction 또는 StagedDelete를 사용하여 작업을 필터링합니다.

다음 단계