다음을 통해 공유


확인된 도메인 변경 중 대량 사용자 업데이트 이해

이 문서에서는 확인된 도메인 변경으로 트리거된 많은 UserPrincipalName 업데이트가 감사 로그에 표시되는 일반적인 시나리오를 설명합니다. 이 문서에서는 확인된 도메인 변경 중에 발생하는 감사 로그의 UserManagement 업데이트의 원인 및 이와 관련된 고려 사항을 설명합니다. 이 문서에서는 Microsoft Entra ID에서 대량 개체 변경을 트리거하는 백 엔드 작업에 대해 자세히 살펴 봅니다.

증상

Microsoft Entra 감사 로그에는 Microsoft Entra 테넌트에서 발생한 여러 사용자 업데이트가 표시됩니다. 이러한 이벤트의 행위자 정보는 비어 있거나 해당 없음으로 표시됩니다.

대량 업데이트에는 조직의 기본 도메인에서 기본 *.onmicrosoft.com 도메인 접미사로 변경된 UserPrincipalName에 대한 도메인 변경이 포함됩니다.

샘플 감사 로그 세부 정보

작업 날짜(UTC): 2022-01-27 07:44:05

작업: 사용자 업데이트

행위자 유형: 기타

행위자 UPN: 해당 없음

상태: 성공

범주: UserManagement

서비스: 핵심 디렉터리

대상 ID: aaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb

대상 이름: user@contoso.com

대상 유형: 사용자

감사 로그 항목의 전체 세부 정보 내에서 modifiedProperties 섹션을 찾습니다. 이 섹션에는 사용자 개체에 대한 변경 내용이 표시됩니다. oldValuenewValue 필드에는 도메인 변경 내용이 표시됩니다.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

원인

대량 개체 변경의 한 가지 일반적인 원인은 비동기 백 엔드 작업입니다. 이 작업은 Microsoft Entra 사용자, 그룹 또는 연락처에서 업데이트되는 적절한 UserPrincipalNameproxyAddresses를 결정합니다.

이 백 엔드 작업의 목적은 언제든지 Microsoft Entra ID에서 UserPrincipalName 및 proxyAddresses가 일관되는지 확인하는 것입니다. 확인된 도메인 변경과 같은 명시적 변경으로 이 작업이 트리거됩니다.

예를 들어 확인된 도메인 Fabrikam.com을 Contoso.onmicrosoft.com 테넌트에 추가하는 경우 테넌트의 모든 개체에서 백 엔드 작업이 트리거됩니다. 이 이벤트는 Microsoft Entra 감사 로그에 사용자 업데이트 이벤트로 캡처되며 앞에는 확인된 도메인 추가 이벤트가 옵니다.

Fabrikam.com이 Contoso.onmicrosoft.com 테넌트에서 제거된 경우에는 모든 사용자 업데이트 이벤트 앞에 확인된 도메인 제거 이벤트가 옵니다.

해결

이 문제가 발생한 경우 Microsoft Entra Connect를 사용하여 온-프레미스 디렉터리와 Microsoft Entra ID 간에 데이터를 동기화하면 도움이 될 수 있습니다. 이 작업을 수행하면 UserPrincipalNameproxyAddresses가 두 환경 모두에서 일관되게 됩니다.

이러한 개체를 수동으로 추가하거나 유지 관리하려고 하는 경우 다른 백 엔드 작업으로 인해 대량 변경이 트리거될 위험이 있습니다.

다음 문서를 참조하여 이러한 개념에 익숙해지세요.

고려 사항

이 백 엔드 작업은 다음과 같은 특정 개체는 변경하지 않습니다.

  • 활성 Microsoft Exchange 라이선스가 없는 개체
  • MSExchRemoteRecipientType이 Null로 설정된 개체
  • 공유 리소스로 간주되지 않는 개체

공유 리소스는 CloudMSExchRecipientDisplayType에 다음 값 중 하나가 포함된 경우입니다.

  • MailboxUser(공유됨)
  • PublicFolder
  • ConferenceRoomMailbox
  • EquipmentMailbox
  • ArbitrationMailbox
  • RoomList
  • TeamMailboxUser
  • GroupMailbox
  • SchedulingMailbox
  • ACLableMailboxUser
  • ACLableTeamMailboxUser

이러한 두 가지 이벤트 간에 추가 상관 관계를 구축하기 위해 Microsoft에서는 확인된 도메인 변경에 의해 트리거되는 변경 사항을 확인할 감사 로그의 행위자 정보를 업데이트하는 작업을 진행하고 있습니다. 이 작업은 확인된 도메인 변경 이벤트가 발생한 시기와 테넌트의 개체를 대량 업데이트하기 시작한 시기를 확인하는 데 도움이 됩니다.

대부분의 경우 UserPrincipalNameproxyAddresses가 일관되어 사용자에 대한 변경 사항이 없으므로 감사 로그에 개체에 대한 실제 변경이 발생한 업데이트만 표시하도록 작업하고 있습니다. 이 작업은 감사 로그에 노이즈가 발생하는 것을 방지하며 관리자가 나머지 사용자 변경 사항을 확인된 도메인 변경 이벤트와 상호 연결하는 데 도움을 줍니다.

자세히 알아보기

백그라운드에서 발생하는 상황을 자세히 알고 싶으신가요? 다음에서는 Microsoft Entra ID에서 대량 개체 변경을 트리거하는 백 엔드 작업에 대해 자세히 살펴 봅니다. 자세히 알아보기 전에 Microsoft Entra Connect 동기화 서비스 섀도 특성 문서를 확인하여 섀도 특성에 대해 알아보세요.

UserPrincipalName

클라우드 전용 사용자의 경우 UserPrincipalName이 확인된 도메인 접미사로 설정되어 있습니다. 일관되지 않은 UserPrincipalName을 처리하는 경우 이 작업은 기본 onmicrosoft.com 접미사(예: username@Contoso.onmicrosoft.com)로 변환합니다.

동기화된 사용자의 경우 UserPrincipalName은 확인된 도메인 접미사로 설정되며 온-프레미스 값 ShadowUserPrincipalName과 일치합니다. 일관되지 않은 UserPrincipalName을 처리하는 경우 이 작업은 ShadowUserPrincipalName과 동일한 값으로 되돌립니다. 도메인 접미사가 테넌트에서 제거된 경우에는 기본 *.onmicrosoft.com 도메인 접미사로 변환합니다.

ProxyAddresses

클라우드 전용 사용자의 경우 일관성은 proxyAddresses가 확인된 도메인 접미사와 일치하는 것을 의미합니다. 일관되지 않은 proxyAddresses를 처리하는 경우 백 엔드 작업은 기본 *.onmicrosoft.com 도메인 접미사(예: SMTP:username@Contoso.onmicrosoft.com)로 변환합니다.

동기화된 사용자의 경우 일관성은 proxyAddresses가 온-프레미스 proxyAddresses 값(즉, ShadowProxyAddresses)과 일치하는 것을 의미합니다. ProxyAddresses는 ShadowProxyAddresses와 동기화되어야 합니다. 동기화된 사용자에게 Exchange 라이선스가 할당된 경우 클라우드 및 온-프레미스 값이 일치해야 합니다. 이러한 값은 확인된 도메인 접미사와도 일치해야 합니다.

이 시나리오에서 백 엔드 작업은 확인되지 않은 도메인 접미사를 사용하는 일관되지 않은 proxyAddresses를 삭제하며 Microsoft Entra ID의 개체에서 제거됩니다. 확인되지 않은 도메인을 나중에 확인하는 경우 백 엔드 작업은 다시 계산하여 ShadowProxyAddresses의 proxyAddresses를 Microsoft Entra ID의 개체에 다시 추가합니다.

참고 항목

동기화된 개체의 경우 백 엔드 작업 논리에서 예기치 않은 결과가 계산되지 않도록 하려면 proxyAddresses를 온-프레미스 개체에 있는 Microsoft Entra의 확인된 도메인으로 설정하는 것이 가장 좋습니다.

다음 단계

Microsoft Entra Connect 동기화 서비스 섀도 특성