Microsoft 365/Office 365

Azure AD Connect. User Type 을 Guest로 동기화

Pepuri 2021. 9. 5. 18:23
반응형

기업에서는 모든 사용자에게 라이선스를 발급하지 못하는 시나리오가 있습니다.

예를 들면 임시로 협력사에게 AD 계정을 발급하는 경우가 대표적인 예입니다

Office 365 페이지에서는 라이선스를 개월 단위로 구입하는 자체는 가능하지만, 현실적으로 비용에 대한 결제를 받는 절차는 매우 까다롭습니다.

 

이러한 경우에는 Azure AD Connect 이미 동기화되어 있더라도, 사용자의 UserPrincipalname(UPN) 기준으로 User Type Guest 동기화 있습니다. (다른 속성값으로도 가능하지만, 공식 기술자료는 UPN 기준으로 작성되어 있습니다.) Guest User 설정되면, 라이선스가 없더라도 Teams에서 제한적 기능을 이용할 있습니다.

 

기술자료

Azure AD Connect sync: Make a change to the default configuration | Microsoft Docs

 

주의사항: Azure AD Connector를 설정하는 부분은 테넌트 전체 사용자에게 영향을 주므로 반드시 테스트 테넌트에서 확인후 진행하는 것을 권장드립니다.

 

먼저 UPN기준을 설정합니다. 테스트 환경에서는 UPN 값에 Onprem- 있는 경우로 설정하였습니다.

Synchronization Service 실행합니다.

Connectors Tab 클릭합니다.

AD Connector 선택한 , Properties 클릭합니다.

 

Select Attributes - userPrincipalName 확인

 

Azure AD Connector 선택 - Properties

 

Select Attributes - UserType 체크 - OK

 

Synchronization Rules Editor 실행

 

Inbound - Add new rule

 

아래와 같이 설정 - Next

 

Add group

 

Add clause

 

아래와 같이 설정 Next - Next

adminDescription - NOTSTARTSWITH - User_

 

Add transformation

Expression - User Type 선택

 

Source 아래의 예제와 같이 입력

IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"onprem-")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType"))

 

 

입력 Add

 

Direction Outbound 변경 Add new rule

 

아래와 같이 입력 Next

 

Scoping filter에서 다음과 같이 추가 합니다.

sourceObjectType - EQAUL - User

cloudMastered - NOTEQUAL - True

 

Transformations

Direct - userType - userType - Add

 

Powershell 에서 아래의 명령어를 입력하여 Full Sync 진행합니다.

Start-ADSyncSyncCycle -PolicyType Initial

 

로그를 보면 아래와 같이 변경된 내용이 확인되며,

 

Teams 에서 라이선스 없이 게스트로 참여할 있습니다.

반응형