요약
이 문서에서는 Microsoft Entra ID에서 디렉터리 동기화를 통해 만든 개체를 관리하거나 제거할 수 없는 문제를 설명합니다. 다른 이유에 따라 이 문제에 대한 두 가지 해결 방법을 제공합니다.
원본 제품 버전: Cloud Services(웹 역할/작업자 역할), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
원래 KB 번호: 2619062
증상
Microsoft Entra ID에서 디렉터리 동기화를 통해 만든 개체를 수동으로 관리하거나 제거하려고 합니다.
예를 들어 AD DS(온-프레미스 Active Directory Domain Services)에서 Microsoft Entra ID와 동기화된 분리된 사용자 계정을 제거하려고 합니다.
이 시나리오에서는 Office 365, Azure 또는 Microsoft Intune에서 Microsoft 클라우드 서비스 포털을 사용하거나 Windows PowerShell을 사용하여 분리된 사용자 계정을 제거할 수 없습니다.
원인
다음 조건 중 하나 이상에 해당하는 경우 이 문제가 발생할 수 있습니다.
- 온-프레미스 AD DS를 더 이상 사용할 수 없습니다. 따라서 온-프레미스 환경에서 개체를 관리하거나 삭제할 수 없습니다.
- 온-프레미스 AD DS에서 개체를 삭제했습니다. 그러나 개체는 클라우드 서비스 조직에서 삭제되지 않았습니다. 이 동작은 예기치 않은 동작입니다.
해결
온-프레미스 AD DS를 더 이상 사용할 수 없습니다. 따라서 온-프레미스 환경에서 개체를 관리하거나 삭제할 수 없습니다.
Office 365, Azure 또는 Intune에서 개체를 관리하려고 하며 더 이상 디렉터리 동기화를 사용하지 않습니다.
Microsoft Graph PowerShell이 설치되어 있는지 확인합니다.
Connect-MgGraph명령을 사용하여 다음과 같은Organization.ReadWrite.All필수 범위로 로그인합니다. 자세한 내용은 Microsoft Graph PowerShell SDK 시작하기를 참조하세요.Update-MgOrganization 명령을 실행하여 디렉터리 동기화를 사용하지 않도록 설정합니다.
$organizationId = (Get-MgOrganization).Id $params = @{ onPremisesSyncEnabled = $False } Update-MgOrganization -OrganizationId $organizationId -BodyParameter $params디렉터리 동기화가 완전히 비활성화되었는지 확인합니다. 이렇게 하려면 다음 명령을 실행합니다.
Get-MgOrganization | Select OnPremisesSyncEnabled이 명령은 True 또는 False를 반환합니다. False를 반환할 때까지 이 명령을 주기적으로 계속 실행한 다음, 다음 단계로 이동합니다.
비활성화를 완료하는 데 72시간이 걸릴 수 있습니다. 시간은 클라우드 서비스 구독 계정에 있는 개체의 수에 따라 달라집니다.
Windows PowerShell을 사용하거나 클라우드 서비스 포털을 사용하여 개체를 업데이트해 봅니다.
3단계를 완료하는 데 시간이 걸릴 수 있습니다. 클라우드 서비스 환경에는 특성 값을 계산하는 프로세스가 있습니다. Windows PowerShell을 사용하거나 클라우드 서비스 포털을 사용하여 개체를 변경하려면 먼저 프로세스를 완료해야 합니다.
온-프레미스 AD DS에서 개체를 삭제합니다. 그러나 개체는 클라우드 서비스 구독 계정에서 삭제되지 않습니다.
이 문서의 단계를 사용하여 디렉터리 동기화 강제 적용: Scheduler 시작
일부 업데이트 및 삭제가 전파되지만 일부 삭제가 클라우드 서비스에 동기화되지 않는 경우 일반적인 디렉터리 동기화 문제 해결 절차를 따릅니다.
모든 업데이트 및 삭제가 클라우드 서비스와 동기화되지 않는 경우 지원에 문의하세요.
참고 항목
이 시나리오에 대한 대안으로 클라우드 서비스에서 개체를 수동으로 삭제할 수 있습니다. 그러나 클라우드 서비스에서는 개체를 업데이트할 수 없습니다. 이 문제를 해결하는 방법에 대한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요. Azure Active Directory 동기화 도구를 사용할 때는 개체 삭제가 Microsoft Entra ID와 동기화되지 않습니다.
자세한 정보
디렉터리 동기화를 다시 사용하도록 설정하려면 다음 명령을 실행합니다.
$organizationId = (Get-MgOrganization).Id
$params = @{
onPremisesSyncEnabled = $True
}
Update-MgOrganization -OrganizationId $organizationId -BodyParameter $params
디렉터리 동기화를 다시 사용하도록 설정할 때는 신중하게 계획해야 합니다. 클라우드 서비스 포털 또는 Windows PowerShell을 사용하여 원래 온-프레미스 AD DS에서 동기화된 개체를 직접 변경한 경우 디렉터리 동기화를 다시 사용하도록 설정한 후 처음으로 동기화가 수행될 때 온-프레미스 특성 및 설정에서 변경 내용을 덮어씁니다.