Azure AD Connect 특정 사용자만 동기화하는 방법 (필터링 구성)

안녕하세요!

 

 

이번 포스팅에서는 "Azure AD Connect 특정 사용자만 동기화하는 방법 (필터링 구성)" 에 대해 알아보겠습니다.

 

 

 

 

Azure AD Connect는 도메인 및 OU 필터링 기능을 제공합니다.

 

다음 스샷은 'hope.pe.kr' 도메인의 'Hope' OU 하위의 모든 개체들을 Microsoft Entra ID 와 동기화 하겠다는 의미 입니다.

 

하지만 이때 조직 요구사항으로 Hope OU 안에서도 특정 개체만을 동기화 하고 싶은 경우가 발생할 수 있습니다.

 

이럴 때 'Synchronization Rules Editor' 를 사용하여 Microsoft Entra ID 에 특정 사용자만 동기화하는 방법에 대해 자세하게 알아보겠습니다.

 

 

먼저 Azure AD Connect 서버에서 PowerShell을 관리자 권한으로 실행 후, 다음 cmdlet 명령어를 실행하여 동기화 스케줄링을 중지 합니다.

Set-ADSyncScheduler -SyncCycleEnabled $False

 

다음으로 'AD 서버로 이동 > Active Directory 사용자 및 컴퓨터 콘솔 실행 > 동기화 하고자 하는 사용자에서 우클릭 > 속성' 을 클릭 합니다.

 

사용자 속성 창에서, '특성 편집기 > 사용하지 않는 특성 > 편집' 을 클릭 합니다.

cf) 저는 'msDS-cloudExtensionAttribute7' 특성을 사용 했습니다.

 

문자열 특성 편집기 창에서, '개체를 구분하기 위한 문자열 값' 입력 후 '확인' 을 클릭 합니다.

cf) 저는 'sync' 값을 사용했습니다.

 

'확인' 을 클릭 합니다.

 

cf) 동기화를 원하는 추가 사용자가 있을 경우 동일한 방법으로 특성값을 입력하면 됩니다.

 

'시작 > Synchronization Rules Editor' 를 클릭 합니다.

 

Synchronization Rules Editor 창에서, 'Add new rule' 을 클릭하여 특정 사용자만 동기화 하는 규칙을 생성 하겠습니다.

 

Description 메뉴 에서, 'Name' 에 '규칙 이름' 입력 > 'Connected System' 에 '도메인' 선택 > 'Connected System Object Type' 에 'user' 선택 > 'Metaverse Object Type' 에 'person' 선택 > 'Precedence' 에 '규칙 우선순위' 를 입력 후 'Next' 를 클릭 합니다.

 

Scoping filter 메뉴에서, 'Add group' 를 클릭 합니다.

 

'Add clause' 를 클릭 합니다.

 

 

 

 

'Attribute' 에서 AD 서버에서 지정한 특성인 'msDS-cloudExtensionAttribute7' 특성을 클릭 합니다.

'Operator' 에 'NOTEQUAL' 선택 > 'Value' 에 'msDS-cloudExtensionAttribute7 특성에 입력한 문자열 Sync' 입력 후 'Next' 를 클릭 합니다.

 

Join rules 메뉴에서, 'Next' 를 클릭 합니다.

 

Transformations 메뉴에서, 'Add transformation' 을 클릭 합니다.

 

'FlowType' 에 'Constant' 선택 > 'Target Attribute' 에 'CloudFilteres' 선택 > 'Source' 에 'true' 입력 > 'Add' 를 클릭 합니다.

 

Warning 창에서, '확인' 을 클릭 합니다.

 

규칙이 정상적으로 생성 되었는지 확인 합니다.

 

PowerShell에서 다음 cmdlet 명령어를 실행하여 전체 동기화를 실행 합니다.

Start-ADSyncSyncCycle -PolicyType Initial

 

Synchronization Service Manager 에서 일정 시간 경과 후 동기화 설정을 한 사용자 개체들이 정상적으로 동기화 되었음을 확인할 수 있습니다.

 

Microsoft 365 관리 센터 에서도 해당 사용자가 정상적으로 동기화 되었음을 확인할 수 있습니다.

 

마지막으로 PowerShell에서 다음 cmdlet 명령어를 실행하여 동기화 스케줄링을 시작 합니다.

Set-ADSyncScheduler -SyncCycleEnabled $True

 

 

참고로 MS Learn 사이트 내용과 같이, Microsoft는 공식적으로 문서화된 작업 외의 사용자 임의로 진행한 Azure AD Connect 동기화에 대한 수정 또는 작업은 지원하지 않습니다.

 

즉, 공식적인 필터링 구성 작업외 사용자 임의로 필터링 구성 작업을 진행하다 동기화 이슈가 발생하면 MS 프리미어 케이스를 오픈하더라도 지원 받으실 수 없습니다.

 

이에 필터링 작업은 주의를 하셔서 작업을 진행하셔야 됨을 반드시 유의하셔야 합니다.

 

참고: Microsoft Entra Connect Sync: 필터링 구성

Microsoft Entra Connect Sync: 필터링 구성 - Microsoft Entra ID

 

 

 

 

이상으로 "Azure AD Connect 특정 사용자만 동기화하는 방법 (필터링 구성)" 에 대해 알아보았습니다.

 

 

감사합니다.