범위 지정 필터 및 특성 매핑 - Microsoft Entra ID에서 Active Directory로
비즈니스 요구 사항에 따라 기본 특성 매핑을 사용자 지정할 수 있습니다. 따라서 기존의 특성 매핑을 변경 또는 삭제하거나 새 특성 매핑을 만들 수 있습니다.
다음 문서는 Microsoft Entra ID에서 Active Directory로 프로비전하기 위해 Microsoft Entra 클라우드 동기화를 사용한 특성 범위 지정을 안내합니다. AD에서 Microsoft Entra ID로의 특성 매핑에 대한 정보를 찾으려면 특성 매핑 - Active Directory에서 Microsoft Entra ID로를 참조하세요.
Microsoft Entra ID에서 Active Directory로 구성을 위한 스키마
현재 AD 스키마는 검색할 수 없으며 고정된 매핑 집합이 있습니다. 다음 표에서는 Microsoft Entra ID에서 Active Directory로 구성에 대한 기본 매핑과 스키마를 제공합니다.
| 대상 특성 | 원본 특성 | 매핑 유형 | 주의 |
|---|---|---|---|
| adminDescription | Append("Group_",[objectId]) | 식 | UI에서 업데이트할 수 없음 - 업데이트하지 않음 클라우드 동기화에서 AD를 필터링하는 데 사용됨 UI에 표시되지 않음 |
| cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | 식 | |
| description | Left(Trim([description]),448) | 식 | |
| displayName | displayName | Direct | |
| isSecurityGroup | True | 상수 | UI에서 업데이트할 수 없음 - 업데이트 안 함 UI에 표시되지 않음 |
| 구성원 | 구성원 | Direct | UI에서 업데이트할 수 없음 - 업데이트 안 함 UI에 표시되지 않음 |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | 식 | UI에서 업데이트할 수 없음 - 업데이트하지 않음 조인에 사용됨 - AD에서 일치 UI에 표시되지 않음 |
| ObjectGUID | UI에서 업데이트할 수 없음 - 업데이트하지 않음 읽기 전용 - AD에 고정 UI에 표시되지 않음 |
||
| parentDistinguishedName | OU=Users,DC=<구성 시작에 선택된 도메인>,DC=com | 상수 | UI의 기본값 |
| UniversalScope | True | 상수 | UI에서 업데이트할 수 없음 - 업데이트 안 함 UI에 표시되지 않음 |
위의 모든 매핑이 포털에 표시되는 것은 아닙니다. 특성 매핑을 추가하는 방법에 대한 자세한 내용은 특성 매핑을 참조하세요.
범위 지정 필터 대상 컨테이너
기본 대상 컨테이너는 OU=User,DC=<구성 시작 시 선택된 도메인>,DC=com입니다. 이를 사용자 지정 컨테이너로 변경할 수 있습니다.
또한 Switch() 함수와 함께 특성 매핑 식을 사용하여 여러 대상 컨테이너를 구성할 수 있습니다. 이 식을 사용하면 displayName 값이 Marketing 또는 Sales이면 해당 OU에서 그룹이 만들어집니다. 일치하는 항목이 없으면 그룹이 기본 OU에 만들어집니다.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
이에 대한 또 다른 예가 아래에 나와 있습니다. 다음과 같은 3개 그룹이 있고 해당 그룹에 다음과 같은 displayName 특성 값이 있다고 가정해 보겠습니다.
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
다음 스위치 문을 사용하여 그룹을 필터링하고 프로비전할 수 있습니다.
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
이 문은 기본적으로 Active Directory의 OU=Groups,DC=contoso,DC=com 컨테이너에 모든 그룹을 프로비전합니다. 그러나 그룹이 NA로 시작하는 경우 그룹은 OU=NorthAmerica,DC=contoso,DC=com으로 프로비전됩니다. 마찬가지로 그룹이 SA로 시작하는 경우 OU=SouthAmerica,DC=contoso,DC=com으로 프로비전되고, EU로 시작하는 경우 OU=Europe,DC=contoso,DC=com으로 프로비전됩니다.
자세한 내용은 Microsoft Entra ID의 특성 매핑 식 작성 참조를 확인합니다.
특성 범위 필터링
특성 기반 범위 필터링이 지원됩니다. 특정 특성을 기반으로 그룹의 범위를 지정할 수 있습니다. 그러나 Microsoft Entra ID에서 Active Directory로 구성에 대한 특성 매핑 섹션은 기존 특성 매핑 섹션과 약간 다릅니다.
지원되는 절
범위 지정 필터는 하나 이상의 절로 구성됩니다. 절은 각 그룹의 특성을 평가하여 어떤 그룹이 범위 지정 필터를 통과할 수 있는지를 파악합니다. 예를 들어 그룹 "displayName" 특성이 "Marketing"이어야 하는 절이 하나 있을 수 있으므로 Marketing 그룹만 프로비전됩니다.
기본 보안 그룹화
기본 보안 그룹화는 생성된 모든 절 위에 적용되며 "AND" 논리를 사용합니다. 여기에는 다음 조건이 포함됩니다.
- securityEnabled IS True AND
- dirSyncEnabled IS FALSE AND
- mailEnabled IS FALSE
기본 보안 그룹화는 항상 먼저 적용되며 단일 절로 작업할 때 AND 논리를 사용합니다. 절은 아래에 설명된 논리를 따릅니다.
단일 절은 단일 특성 값에 대한 단일 조건을 정의합니다. 단일 범위 지정 필터에서 여러 절이 생성될 경우 "AND" 논리를 사용하여 함께 평가됩니다. "AND" 논리는 사용자가 프로비저닝되기 위해 모든 절이 "true"로 평가되어야 함을 의미합니다.
마지막으로 그룹에 대해 여러 범위 지정 필터를 만들 수 있습니다. 범위 지정 필터가 여러 개 있으면 "OR" 논리를 사용하여 함께 평가됩니다. "OR" 논리는 구성된 범위 지정 필터의 절 중 하나가 "true"로 평가되면 그룹이 프로비전된다는 의미입니다.
지원되는 연산자
다음과 같은 연산자가 지원됩니다.
| 연산자 | 설명 |
|---|---|
| & | |
| ENDS_WITH | |
| EQUALS | 평가된 특성이 입력 문자열 값과 정확히 일치하면(대소문자 구분) "true"를 반환합니다. |
| GREATER_THAN | 평가된 특성이 값보다 크면 절은 "true"를 반환합니다. 범위 지정 필터에 지정된 값은 정수여야 하며 사용자의 특성은 [0, 1, 2,...]의 정수여야 합니다. |
| GREATER_THAN_OR_EQUALS | 평가된 특성이 값보다 크거나 같으면 "true"를 반환합니다. 범위 지정 필터에 지정된 값은 정수여야 하며 사용자의 특성은 [0, 1, 2,...]의 정수여야 합니다. |
| INCLUDES | |
| IS FALSE | 평가된 특성이 부울 값 false를 포함하면 "true"를 반환합니다. |
| IS_MEMBER_OF | |
| IS NOT NULL | 평가된 특성이 비어 있지 않으면 "true"를 반환합니다. |
| IS NULL | 평가된 특성이 비어 있으면 "true"를 반환합니다. |
| IS TRUE | 평가된 특성이 부울 값 true를 포함하면 "true"를 반환합니다. |
| !&L | |
| NOT EQUALS | 평가된 특성이 입력 문자열 값과 정확히 일치하면(대소문자 구분) "true"를 반환합니다. |
| NOT REGEX MATCH | 평가된 특성이 정규식 패턴과 일치하지 않으면 "true"를 반환합니다. 특성이 null이거나 비어 있으면 “false”를 반환합니다. |
| PRESENT | |
| REGEX MATCH | 평가된 특성이 정규식 패턴과 일치하면 "true"를 반환합니다. 예:([1-9][0-9])는 10에서 99 사이의 숫자와 일치합니다(대/소문자 구분). |
| VALID CERT MATCH |
정규식을 사용하여 필터링
고급 필터는 REGEX MATCH를 사용할 수 있습니다. 이를 통해 해당 특성의 하위 문자열에 대한 문자열로 특성을 검색할 수 있습니다. 예를 들어, 여러 그룹이 있고 모두 다음과 같은 설명이 있다고 가정해 보겠습니다.
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
이제 영업, 마케팅 및 운영 그룹만 Active Directory에 프로비전하려고 합니다. 이를 달성하기 위해 REGEX MATCH를 사용할 수 있습니다.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
이 REGEX MATCH는 제공된 다음 단어에 대한 설명을 검색하고 해당 그룹만 프로비전합니다.
특성 기반 필터 만들기
특성 기반 필터를 만들려면 다음 단계를 사용합니다.
- 특성 필터 추가를 클릭합니다.
- 이름 상자에서 필터의 이름을 입력합니다.
- 드롭다운의 대상 특성에서 대상 특성을 선택합니다.
- 연산자에서 연산자를 선택합니다.
- 값에서 값을 지정합니다.
- 저장을 클릭합니다.
자세한 내용은 특성 매핑 및 Microsoft Entra ID의 특성 매핑 식 작성 참조를 참조하세요.