Microsoft Entra 테넌트의 BypassDirSyncOverridesEnabled 기능을 사용하는 방법.

이 문서에서는 BypassDirSyncOverridesEnabled 기능과 Microsoft Entra ID에서 온-프레미스 Active Directory로 Mobile 및 OtherMobile 기능의 동기화를 복원하는 방법을 설명합니다.

일반적으로 동기화된 사용자는 Azure 또는 Microsoft 365 관리 포털에서 변경할 수 없으며 Microsoft Entra ID 또는 Microsoft Graph PowerShell 모듈을 사용하는 PowerShell을 통해서도 변경할 수 없습니다. 이에 대한 예외는 MobilePhone 및 AlternateMobilePhones라는 Microsoft Entra 사용자의 특성입니다. 이러한 특성은 온-프레미스 Active Directory의 Mobile 및 OtherMobile 특성에서 각각 동기화되지만 최종 사용자는 프로필 페이지를 통해 Microsoft Entra ID의 MobilePhone 특성에서 자신의 전화 번호를 업데이트할 수 있습니다. 관리자는 Microsoft Graph PowerShell 모듈을 사용하여 Microsoft Entra ID에서 동기화된 사용자의 MobilePhone 및 AlternateMobilePhones 값을 업데이트할 수도 있습니다.

사용자와 관리자에게 전화 번호를 Microsoft Entra ID에서 직접 업데이트할 수 있는 기능을 제공하면 전화 번호는 자주 변경될 수 있기 때문에 기업은 로컬 Active Directory에서 사용자의 전화 번호를 관리하는 관리 오버헤드를 줄일 수 있습니다.

그러나 주의할 점은 동기화된 사용자의 MobilePhone 또는 AlternateMobilePhones 번호가 관리자 포털 또는 PowerShell을 통해 업데이트되면 동기화 API는 온-프레미스 Active Directory에서 시작될 때 이러한 속성에 대한 업데이트를 더 이상 적용하지 않는다는 것입니다. 이를 일반적으로 "DirSyncOverrides" 기능이라고 합니다. 관리자는 Active Directory에서 Mobile 또는 OtherMobile 특성을 업데이트할 때 이 동작을 감지하고 그에 따라 해당 사용자의 MobilePhone 또는 Microsoft Entra ID의 AlternateMobilePhone을 업데이트하지 않습니다. 개체는 Microsoft Entra Connect의 엔진을 통해 성공적으로 동기화됩니다.

다른 Mobile 및 OtherMobile 값을 가진 사용자 식별

ADSyncTools PowerShell에서 ‘Compare-ADSyncToolsDirSyncOverrides’ 모듈를 사용하여 Active Directory와 Microsoft Entra ID 간에 서로 다른 Mobile 및 OtherMobile 값을 가진 사용자 목록을 내보낼 수 있습니다. 이를 통해 온-프레미스 Active Directory와 Microsoft Entra ID 간에 서로 다른 사용자 및 각각의 값을 확인할 수 있습니다. BypassDirSyncOverrides 기능을 사용하도록 설정하면 Microsoft Entra ID의 모든 다른 값을 온-프레미스 Active Directory에서 가져온 값으로 덮어쓰므로 이를 아는 것이 중요합니다.

Compare-ADSyncToolsDirSyncOverrides 사용

필수 구성 요소로 Microsoft Entra Connect 버전 2 이상을 실행하고 다음 명령을 사용하여 PowerShell 갤러리에서 최신 ADSyncTools 모듈을 설치해야 합니다.

Install-Module ADSyncTools 

동기화된 모든 사용자의 Mobile 및 otherMobile 값을 비교하려면 다음 명령을 실행합니다.

Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential) 

이 함수는 온-프레미스 Active Directory의 Mobile 또는 OtherMobile 값이 Microsoft Entra ID의 각 MobilePhone 또는 AlternateMobilePhone과 다른 사용자 목록이 포함된 CSV 파일을 내보냅니다.

이 단계에서는 이 데이터를 사용하여 온-프레미스 Active Directory Mobile 및 OtherMobile 속성값을 Microsoft Entra ID에 있는 값으로 다시 설정할 수 있습니다. 이렇게 하면 BypassDirSyncOverrides 기능을 사용하도록 설정하기 전에 Microsoft Entra ID에서 가장 최근에 업데이트된 전화 번호를 캡처하고 온-프레미스 Active Directory에 이 데이터를 유지할 수 있습니다. 이렇게 하려면 결과 CSV 파일에서 데이터를 가져온 다음, ADSyncTools 모듈에서 'Set-ADSyncToolsDirSyncOverrides'를 사용하여 온-프레미스 Active Directory에 값을 유지합니다.

예를 들어 CSV 파일에서 데이터를 가져오고 Microsoft Entra ID에서 지정된 UserPrincipalName에 대한 값을 추출하려면 다음 명령을 사용합니다.

$upn = '<UserPrincipalName>' 
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' | 
where UserPrincipalName -eq $upn | 
select UserPrincipalName,*InAAD  
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD

BypassDirSyncOverridesEnabled 기능 사용

기본적으로 BypassDirSyncOverridesEnabled 기능은 꺼져 있습니다. BypassDirSyncOverridesEnabled를 사용하도록 설정하면 테넌트가 Microsoft Entra ID에서 직접 사용자 또는 관리자가 MobilePhone 또는 AlternateMobilePhone에서 변경한 내용을 건너뛰고 항상 온-프레미스 Active Directory Mobile 또는 OtherMobile에 있는 값을 적용할 수 있습니다.

최종 사용자가 자신의 휴대폰 번호를 업데이트하는 것을 원하지 않거나 관리자가 PowerShell을 사용하여 휴대폰 또는 재정의 휴대폰 번호를 업데이트하도록 요구하지 않는 경우, 테넌트에서 BypassDirSyncOverridesEnabled 기능을 사용 상태로 유지해야 합니다.

이 기능 설정을 켜면 최종 사용자 또는 관리자가 Microsoft Entra ID에서 MobilePhone 또는 AlternateMobilePhones를 업데이트하더라도 온-프레미스 Active Directory에서 동기화된 값이 다음 동기화 시 유지됩니다. 즉, 이러한 값에 대한 업데이트는 업데이트가 온-프레미스 Active Directory에서 수행된 후 Microsoft Entra ID와 동기화될 때만 지속됩니다.

BypassDirSyncOverridesEnabled 기능을 사용하도록 설정합니다.

BypassDirSyncOverridesEnabled 기능을 사용하도록 설정하려면 Microsoft Graph PowerShell 모듈을 사용합니다.

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

기능이 사용하도록 설정되면 다음 명령을 사용하여 Microsoft Entra Connect에서 전체 동기화 주기를 시작합니다.

Start-ADSyncSyncCycle -PolicyType Initial

BypassDirSyncOverridesEnabled 기능의 상태를 확인합니다.

(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled

BypassDirSyncOverridesEnabled 기능 사용 안 함

포털 또는 PowerShell에서 휴대폰 번호를 업데이트하는 기능을 복원하려면 다음 Microsoft Graph PowerShell 모듈 명령을 사용하여 BypassDirSyncOverridesEnabled 기능을 사용하지 않도록 설정할 수 있습니다.

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

이 기능이 꺼져 있으면 사용자나 관리자가 Microsoft Entra ID에서 직접 MobilePhone 또는 AlternateMobilePhone을 업데이트할 때마다 DirSyncOverrides가 생성되어 향후 업데이트를 방지하여 이러한 특성을 온-프레미스 Active Directory에서 가져올 수 있습니다. 이 시점부터 사용자 또는 관리자는 온-프레미스 Mobile 또는 OtherMobile의 새 업데이트가 해제되므로 Microsoft Entra ID에서 이러한 특성만 관리할 수 있습니다.

Microsoft Entra ID 및 온-프레미스 Active Directory에서 휴대폰 번호 관리

사용자의 전화 번호를 관리하기 위해 관리자는 ADSyncTools 모듈의 다음 기능 집합을 사용하여 Microsoft Entra ID 또는 온-프레미스 Active Directory에서 값을 읽고 쓰고 지울 수 있습니다.

온-프레미스 Active Directory에서 Mobile 및 OtherMobile 속성을 가져옵니다.

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD

Microsoft Entra ID에서 MobilePhone 및 AlternateMobilePhones 속성을 가져옵니다.

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD

Microsoft Entra ID에 MobilePhone 및 AlternateMobilePhones 속성을 설정합니다.

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'

온-프레미스 Active Directory에서 Mobile 및 OtherMobile 속성을 설정합니다.

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'

Microsoft Entra ID에 MobilePhone 및 AlternateMobilePhones 속성을 제거합니다.

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD

온-프레미스 Active Directory에서 Mobile 및 OtherMobile 속성을 지웁니다.

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD

다음 단계

Microsoft Entra Connect: ADSyncTools PowerShell 모듈에 대해 자세히 알아봅니다.