디렉터리 확장을 사용하면 온-프레미스 Active Directory의 사용자 고유 특성을 사용하여 Microsoft Entra ID에서 스키마를 확장할 수 있습니다. 온-프레미스에서 계속 관리하는 특성을 활용하여 LOB 앱을 구축할 수 있는 이 기능을 제공합니다. 해당 특성은 확장을 통해 사용할 수 있습니다. Microsoft Graph Explorer, Microsoft GraphPowerShell SDK 또는 Microsoft Entra PowerShell을 사용하여 사용 가능한 특성을 볼 수 있습니다. 현재 이러한 특성을 사용하는 Microsoft 365 워크로드는 없지만 Microsoft Entra ID의 동적 그룹 멤버 자격과 함께 이 기능을 사용할 수 있습니다.
Microsoft Entra ID와 동기화할 특성 선택
사용자 지정 설정에서 Microsoft Entra Connect 구성 마법사를 사용하여 동기화할 확장 특성을 구성합니다.
마법사는 디렉터리 확장과 함께 사용할 유효한 후보 특성을 보여 줍니다.
- 사용자 및 그룹 개체 유형
- 단일 값 특성: 문자열, 부울, 정수, 이진
- 다중 값 특성: 문자열, 이진
디렉터리 확장을 사용할 때 중요한 고려 사항
특성 목록은 Microsoft Entra Connect를 처음 설치하는 동안 Active Directory 스키마에서 읽습니다. 더 많은 사용자 지정 특성으로 Active Directory 스키마를 확장하는 경우 이러한 새 특성이 표시되기 전에 스키마를 새로 고쳐 야 합니다.
디렉터리 확장 특성을 동기화하는 데 사용되는 사용자 지정 규칙이 포함된 구성을 내보낸 경우 이 규칙을 Microsoft Entra Connect의 새 설치 또는 기존 설치로 가져오려고 하면 가져오기 중에 규칙이 만들어지지만 디렉터리 확장 특성은 매핑되지 않습니다. 디렉터리 확장 특성을 다시 선택하고 규칙과 다시 연결하거나 이 문제를 해결하려면 규칙을 완전히 다시 만들어야 합니다.
Microsoft Entra ID의 모든 기능이 다중값 확장 특성을 지원하는 것은 아닙니다. 이러한 특성을 사용하여 지원되는지 확인하려는 기능의 설명서를 참조하세요.
Microsoft Entra ID의 개체는 디렉터리 확장에 대해 최대 100개의 특성을 가질 수 있습니다. 최대 길이는 250자입니다. 특성 값이 더 길면 동기화 엔진이 이를 잘라냅니다.
msDS-UserPasswordExpiryTimeComputed와 같은 생성된 특성을 동기화하는 것은 지원되지 않습니다. 이전 버전의 Microsoft Entra Connect에서 업그레이드하는 경우 이러한 특성이 설치 마법사에 계속 표시되면 해당 값이 Microsoft Entra ID와 동기화되지 않으므로 사용하도록 설정하면 안 됩니다. 학습 모드입니다.
값이 Microsoft Entra ID와 동기화되지 않으므로 badPwdCount, Last-Logon 및 Last-Logoff와 같은 복제되지 않은 특성을 동기화하는 것은 지원되지 않습니다.
Microsoft Entra Connect 마법사 외부에서 온-프레미스 디렉터리 확장을 관리하는 것은 지원되지 않습니다. 디렉터리 확장에 대한 동기화 규칙을 수동으로 편집하거나 복제하면 동기화 문제가 발생할 수 있습니다.
Microsoft Entra Connect의 특성 값을 Microsoft Entra Connect에서 만들지 않은 확장 특성과 동기화하는 것은 지원되지 않습니다. 이렇게 하면 성능 문제와 예기치 않은 결과가 발생할 수 있습니다.
마법사에 의해 수행된 Microsoft Entra ID의 구성 변경
Microsoft Entra Connect를 설치하는 동안 이러한 특성이 구성된 애플리케이션이 등록됩니다. Microsoft Entra 관리 센터에서 테넌트 스키마 확장 앱이라는 이름으로 이 애플리케이션을 볼 수 있습니다. 이 앱을 보려면 모든 애플리케이션을 선택해야 합니다.
비고
테넌트 스키마 확장 앱 삭제할 수 없는 시스템 전용 애플리케이션입니다. 테넌트 스키마 확장 앱과 연결된 서비스 주체를 삭제하면 동기화가 중단됩니다. 디렉터리 확장 동기화를 복구하려면 일시 삭제된 서비스 주체를 복원하거나 새 서비스 주체를 다시 만듭니다.
Microsoft Entra ID에서 확장 특성 보기
확장 특성의 형식은 extension_{ApplicationId}_<attributeName>ApplicationId가 테넌트 스키마 확장 앱의 애플리케이션 식별자입니다. 이 항목의 다른 모든 시나리오에는 이 값이 필요합니다.
Microsoft Graph API 사용
이러한 특성은 Microsoft Graph 탐색기를 사용하여 Microsoft Graph API를 통해 사용할 수 있습니다.
Microsoft Graph API에서 반환할 특성을 요청해야 합니다. 다음과 같은 특성을 명시적으로 선택합니다.
https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
자세한 내용은 Microsoft Graph: 쿼리 매개 변수 사용을 참조하세요.
Microsoft Graph PowerShell SDK 사용
- 테넌트 스키마 확장 앱 애플리케이션을 가져옵니다.
Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"
- 테넌트 스키마 확장 앱에 대한 모든 확장 특성을 나열합니다.
Get-MgDirectoryObjectAvailableExtensionProperty
- 사용자 개체의 모든 확장 특성을 나열합니다.
(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties
Microsoft Entra PowerShell 사용
- 테넌트 스키마 확장 앱 애플리케이션 식별자를 가져옵니다.
Get-EntraApplication -SearchString "Tenant Schema Extension App"
- 테넌트 스키마 확장 앱 애플리케이션에 대한 모든 확장 특성을 나열합니다.
Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}
- 사용자 개체의 모든 확장 특성을 나열합니다.
Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"
동적 멤버 자격 그룹의 특성 사용
가장 유용한 시나리오 중 하나는 동적 보안 또는 Microsoft 365 그룹에서 확장 특성을 사용하는 것입니다.
Microsoft Entra ID에서 새 그룹을 만듭니다. 이름을 지정하고 멤버 자격 유형 이 동적 사용자인지 확인합니다.
동적 쿼리 추가를 선택합니다. 속성을 볼 때 이러한 확장된 특성은 먼저 추가해야 하므로 누락됩니다. 사용자 지정 확장 속성 가져오기를 클릭하고 애플리케이션 ID를 입력한 다음, 속성 새로 고침을 클릭합니다.
속성 드롭다운을 열고 추가한 특성이 이제 표시되는지 확인합니다.
요구 사항에 맞춰 식을 완성하세요. 이 예제에서 규칙은 다음으로 설정됩니다.
(user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")그룹을 만든 후 Microsoft Entra에 구성원을 채웁니다. 그런 다음 멤버를 검토할 시간을 줍니다.
다음 단계
Microsoft Entra Connect 동기화 구성에 대해 자세히 알아봅니다.
Microsoft Entra ID와 온-프레미스 ID 통합에 대해 자세히 알아봅니다.