Microsoft Entra Connect 동기화 서비스 섀도 특성
대부분의 특성은 온-프레미스 Active Directory에서와 마찬가지로 Microsoft Entra ID에서도 동일한 방식으로 표시됩니다. 그러나 일부 특성에는 특별한 처리가 있으며 Microsoft Entra ID의 특성 값은 Microsoft Entra Connect가 동기화하는 것과 다를 수 있습니다.
섀도 특성 소개
일부 특성은 Microsoft Entra ID에서 두 가지로 표현됩니다. 온-프레미스 값과 계산된 값이 모두 저장됩니다. 이러한 추가 특성을 섀도 특성이라고 합니다. 이 동작을 볼 수 있는 가장 일반적인 특성 두 개는 userPrincipalName 및 proxyAddress입니다. Microsoft Entra Connect 및 클라우드 동기화의 동기화 엔진이 값을 섀도 특성으로 내보내면 Microsoft Entra ID가 이 특성을 처리하여 최종 값을 계산합니다. 또한, 동기화 엔진은 섀도 특성에서 값을 가져오므로 최종적으로 계산한 값이 다르더라도 동기화 엔진 큐브 뷰에서 내보낸 원래 값을 확인할 수 있습니다. Microsoft Entra 관리 센터 또는 PowerShell을 사용하여 섀도 특성을 볼 수는 없지만 이 개념을 이해하면 어떤 특성이 온-프레미스 및 클라우드에서 서로 다른 값을 가지는 특정 시나리오의 문제를 해결하는 데 도움이 됩니다.
이 동작을 보다 정확하게 이해하려면 Fabrikam의 예를 살펴보세요.
온-프레미스 Active Directory에는 UPN(UserPrincipalName) 접미사가 여러 개 있지만 Microsoft Entra ID에서는 하나만 확인됩니다.
userPrincipalName
유효성이 확인되지 않은 도메인에서 사용자에게 주어지는 특성 값은 다음과 같습니다.
| attribute | 값 |
|---|---|
| 온-프레미스 userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
userPrincipalName 특성은 PowerShell을 사용할 때 표시되는 값입니다.
실제 온-프레미스 특성 값은 Microsoft Entra ID에 저장되므로 fabrikam.com 도메인을 확인하면 Microsoft Entra ID는 userPrincipalName 특성을 shadowUserPrincipalName의 값으로 업데이트합니다. 이 값을 업데이트하기 위해 Microsoft Entra Connect 또는 클라우드 동기화의 변경 내용을 동기화할 필요는 없습니다.
proxyAddresses
proxyAddresses에서도 확인된 도메인만 포함하기 위한 동일한 프로세스가 발생하지만 몇 가지 추가 논리가 있습니다. 확인된 도메인 검사가 사서함 사용자에 대해서만 발생합니다. 메일이 활성화된 사용자 또는 연락처는 다른 Exchange 조직의 사용자를 나타내며 고객은 proxyAddresses의 값을 이러한 개체에 추가할 수 있습니다.
사서함 사용자의 경우 온-프레미스 또는 Exchange Online에서 확인된 도메인의 값만 표시됩니다. 다음과 같이 표시될 수 있습니다.
| attribute | 값 |
|---|---|
| 온-프레미스 proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Exchange Online proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
이 경우 도메인 smtp:abbie.spencer@fabrikam.com이 확인되지 않았기 때문에 제거되었습니다. 하지만 Exchange가 SIP:abbie.spencer@fabrikamonline.com을 추가했습니다. Fabrikam은 온-프레미스 Lync/비즈니스용 Skype를 사용하지 않을 수 있지만, Microsoft Entra ID 및 Exchange Online에서 준비합니다.
proxyAddresses에 대한 이 논리를 ProxyCalc라고 합니다. 다음과 같은 경우 사용자에 대한 모든 변경 내용과 함께 ProxyCalc가 호출됩니다.
- 사용자는 Exchange 사서함에 대한 라이선스가 없는 경우에도 Exchange Online이 포함된 서비스 계획을 할당받습니다. 사용자에게 Office E3 SKU가 할당되었지만 SharePoint Online 서비스만 선택된 경우를 예로 들 수 있습니다. 이 조건은 사용자의 사서함이 계속 온-프레미스에 있는 경우에도 마찬가지입니다.
- msExchRecipientTypeDetails 특성에는 값이 있습니다.
- 사용자가 proxyAddresses 또는 userPrincipalName을 변경합니다.
ShadowProxyAddresses에 확인되지 않은 도메인이 포함되어 있고 사용자에게 다음 속성 중 하나가 구성된 경우 ProxyCalc 프로세스에서 주소를 지울 수 있습니다.
- 사용자에게 EXO 서비스 유형 플랜이 활성화된 상태로 라이선스가 부여됩니다(MyAnalytics 제외).
- 사용자에게 MSExchRemoteRecipientType이 설정되어 있습니다(null이 아님).
- 사용자는 공유 리소스로 간주됩니다.
CloudMSExchRecipientDisplayType 특성 값이 다음 중 하나에 해당하는 경우 사용자는 공유 리소스로 간주됩니다.
| 개체 표시 유형 | 값(10진수) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
참고 항목
CloudMSExchRecipientDisplayType은 Microsoft Entra ID 측에 표시되지 않으며 Exchange Online cmdlet Get-Recipient를 통해서만 볼 수 있습니다.
예시:
Get-Recipient admin | fl *type*
ProxyCalc는 사용자의 변경 내용을 처리하는 데 다소 시간이 걸릴 수 있으며 Microsoft Entra Connect 내보내기 프로세스와 동기화되지 않습니다.
참고 항목
ProxyCalc 논리에는 이 토픽에서 설명하지 않은 고급 시나리오를 위한 몇 가지 추가 동작이 있습니다. 이 토픽은 동작의 이해를 돕기 위해 제공되었을 뿐, 모든 내부 논리를 설명하지는 않습니다.
격리된 특성 값
중복된 특성 값이 있는 경우에도 섀도 특성이 사용됩니다. 자세한 내용은 참조 중복 특성 복원력을 참조하세요.