Azure AD Connect. User Type 을 Guest로 동기화
기업에서는 모든 사용자에게 라이선스를 발급하지 못하는 시나리오가 있습니다.
예를 들면 임시로 협력사에게 AD 계정을 발급하는 경우가 대표적인 예입니다
Office 365 페이지에서는 라이선스를 몇 개월 단위로 구입하는 것 자체는 가능하지만, 현실적으로 비용에 대한 결제를 받는 절차는 매우 까다롭습니다.
이러한 경우에는 Azure AD Connect로 이미 동기화되어 있더라도, 사용자의 UserPrincipalname(UPN) 을 기준으로 User Type을 Guest로 동기화 할 수 있습니다. (다른 속성값으로도 가능하지만, 공식 기술자료는 UPN 을 기준으로 작성되어 있습니다.) Guest User로 설정되면, 라이선스가 없더라도 Teams에서 제한적 기능을 이용할 수 있습니다.
기술자료
Azure AD Connect sync: Make a change to the default configuration | Microsoft Docs
주의사항: Azure AD Connector를 설정하는 부분은 테넌트 전체 사용자에게 영향을 주므로 반드시 테스트 테넌트에서 확인후 진행하는 것을 권장드립니다.
먼저 UPN기준을 설정합니다. 제 테스트 환경에서는 UPN의 값에 Onprem- 이 있는 경우로 설정하였습니다.
Synchronization Service 를 실행합니다.
Connectors Tab 을 클릭합니다.
AD Connector 를 선택한 뒤, Properties 를 클릭합니다.
Select Attributes - userPrincipalName 확인
Azure AD Connector 선택 - Properties
Select Attributes - UserType 체크 - OK
Synchronization Rules Editor 실행
Inbound - Add new rule
아래와 같이 설정 - Next
Add group
Add clause
아래와 같이 설정 후 Next - Next
adminDescription - NOTSTARTSWITH - User_
Add transformation
Expression - User Type 선택
Source에 아래의 예제와 같이 입력
IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"onprem-")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType")) |
입력 후 Add
Direction 을 Outbound 로 변경 후 Add new rule
아래와 같이 입력 후 Next
Scoping filter에서 다음과 같이 추가 합니다.
sourceObjectType - EQAUL - User
cloudMastered - NOTEQUAL - True
Transformations
Direct - userType - userType - Add
Powershell 에서 아래의 명령어를 입력하여 Full Sync 를 진행합니다.
Start-ADSyncSyncCycle -PolicyType Initial
로그를 보면 아래와 같이 변경된 내용이 확인되며,
Teams 에서 라이선스 없이 게스트로 참여할 수 있습니다.