테넌트 간 동기화 구성
이 문서에서는 Microsoft Entra 관리 센터를 사용하여 테넌트 간 동기화를 구성하는 단계를 설명합니다. 구성되면 Microsoft Entra ID는 대상 테넌트에서 B2B 사용자를 자동으로 프로비전 및 프로비전 해제합니다. 이 서비스의 기능, 사용법, 자주 묻는 질문과 답변 등 중요 세부 정보는 Microsoft Entra ID를 사용한 SaaS 애플리케이션으로의 사용자 자동 프로비전 및 프로비전 해제를 참조하세요.
학습 목표
이 문서를 마치면 다음을 수행할 수 있습니다.
- 대상 테넌트에서 B2B 사용자 만들기
- 대상 테넌트에서 B2B 사용자 제거
- 원본 테넌트와 대상 테넌트 간에 사용자 특성을 동기화된 상태로 유지
필수 조건
원본 테넌트
- Microsoft Entra ID P1 또는 P2 라이선스. 자세한 내용은 라이선스 요구 사항을 참조하세요.
- 테넌트 간 액세스 설정을 구성하는 보안 관리자 역할
- 테넌트 간 동기화를 구성하는 하이브리드 ID 관리자 역할
- 구성에 사용자를 할당하고 구성을 삭제하는 클라우드 애플리케이션 관리자 또는 애플리케이션 관리자 역할
대상 테넌트
- Microsoft Entra ID P1 또는 P2 라이선스. 자세한 내용은 라이선스 요구 사항을 참조하세요.
- 테넌트 간 액세스 설정을 구성하는 보안 관리자 역할
1단계: 프로비저닝 배포 계획
조직에서 테넌트를 구성하는 방법을 정의합니다.
프로비저닝 서비스의 작동 방식에 대해 알아봅니다.
프로비전 범위에 포함될 사용자를 결정합니다.
테넌트 간에 매핑할 데이터를 결정합니다.
2단계: 대상 테넌트에서 사용자 동기화 사용
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
대상 테넌트
대상 테넌트의 Microsoft Entra 관리 센터에 로그인합니다.
ID>External Identities>테넌트 간 액세스 설정으로 이동합니다.
조직 설정 탭에서 조직 추가를 선택합니다.
테넌트 ID 또는 도메인 이름을 입력하고 추가를 선택하여 원본 테넌트를 추가합니다.
추가된 조직의 인바운드 액세스에서 기본값에서 상속됨을 선택합니다.
테넌트 간 동기화 탭을 선택합니다.
사용자가 이 테넌트에 동기화되도록 허용 확인란을 선택합니다.
저장을 선택합니다.
자동 상환을 사용하도록 설정할지 묻는 테넌트 간 동기화 및 자동 상환 사용 대화 상자가 표시되면 예를 선택합니다.
예를 선택하면 대상 테넌트의 초대가 자동으로 사용됩니다.
3단계: 대상 테넌트에서 초대 자동 사용
대상 테넌트
이 단계에서는 원본 테넌트의 사용자가 동의 프롬프트를 수락할 필요가 없도록 초대를 자동으로 사용합니다. 이 설정은 원본 테넌트(아웃바운드) 및 대상 테넌트(인바운드)에서 모두 확인해야 합니다. 자세한 내용은 자동 사용 설정을 참조하세요.
대상 테넌트의 동일한 인바운드 액세스 설정 페이지에서 신뢰 설정 탭을 선택합니다.
테넌트에서 초대 자동 사용<테넌트> 확인란을 선택합니다.
이전에 테넌트 간 동기화 및 자동 상환 사용 대화 상자에서 예를 선택한 경우 이 상자가 이미 선택되어 있을 수 있습니다.
저장을 선택합니다.
4단계: 원본 테넌트에서 초대 자동 사용
원본 테넌트
이 단계에서는 원본 테넌트에서 초대를 자동으로 사용합니다.
원본 테넌트의 Microsoft Entra 관리 센터에 로그인합니다.
ID>External Identities>테넌트 간 액세스 설정으로 이동합니다.
조직 설정 탭에서 조직 추가를 선택합니다.
테넌트 ID 또는 도메인 이름을 입력하고 추가를 선택하여 대상 테넌트를 추가합니다.
대상 조직에 대한 아웃바운드 액세스에서 기본값에서 상속됨을 선택합니다.
신뢰 설정 탭을 선택합니다.
테넌트에서 초대 자동 사용<테넌트> 확인란을 선택합니다.
저장을 선택합니다.
5단계: 원본 테넌트에서 구성 만들기
원본 테넌트
원본 테넌트에서 ID>External Identities>테넌트 간 동기화로 이동합니다.
Azure Portal을 사용하는 경우 Microsoft Entra ID>로 이동하여 테넌트 간 동기화를 관리>합니다.
구성을 선택합니다.
페이지 위쪽에서 새 구성을 선택합니다.
구성 이름을 입력하고 만들기를 선택합니다.
방금 만든 구성이 목록에 표시되려면 최대 15초가 걸릴 수 있습니다.
6단계: 대상 테넌트에 대한 연결 테스트
원본 테넌트
원본 테넌트에 새 구성이 표시되어야 합니다. 그렇지 않은 경우 구성 목록에서 구성을 선택합니다.
시작하기를 선택합니다.
프로비전 모드를 자동으로 설정합니다.
관리 자격 증명 섹션에서 인증 방법을 테넌트 간 동기화 정책으로 변경합니다.
테넌트 ID 상자에 대상 테넌트의 테넌트 ID를 입력합니다.
연결 테스트를 선택하여 연결을 테스트합니다.
제공된 자격 증명에 프로비전을 사용하도록 설정할 권한이 있다는 메시지가 표시됩니다. 연결 테스트가 실패하면 이 문서의 뒷부분에 있는 문제 해결 팁을 참조하세요.
저장을 선택합니다.
매핑 및 설정 섹션이 나타납니다.
프로비전 페이지를 닫습니다.
7단계: 프로비전 범위에 있는 사용자 정의
원본 테넌트
Microsoft Entra 프로비전 서비스를 사용하면 다음 방법 중 하나 또는 둘 다에서 프로비전될 사용자를 정의할 수 있습니다.
- 구성 할당에 따라
- 사용자의 특성에 따라
소규모로 시작합니다. 모든 사용자에게 배포하기 전에 소수의 사용자 집합으로 테스트합니다. 프로비전 범위가 할당된 사용자 및 그룹으로 설정된 경우 구성에 하나 또는 두 명의 사용자를 할당하여 범위를 제어할 수 있습니다. 다음 단계에서 설명하는 특성 기반 범위 지정 필터를 만들어 프로비전 범위에 있는 사용자를 좀 더 구체화할 수 있습니다.
원본 테넌트에서 프로비전을 선택하고 설정 섹션을 확장합니다.
범위 목록에서 원본 테넌트의 모든 사용자를 동기화할지 아니면 구성에 할당된 사용자만 동기화할지 선택합니다.
모든 사용자 및 그룹 동기화 대신 할당된 사용자 및 그룹만 동기화를 선택하는 것이 좋습니다. 범위 내의 사용자 수를 줄이면 성능이 향상됩니다.
변경한 경우 저장을 선택합니다.
구성 페이지에서 사용자 및 그룹을 선택합니다.
테넌트 간 동기화가 작동하려면 구성에 하나 이상의 내부 사용자를 할당해야 합니다.
사용자/그룹 추가를 선택합니다.
할당 추가 페이지의 사용자 및 그룹에서 선택된 항목 없음을 선택합니다.
사용자 및 그룹 창에서 구성에 할당할 하나 이상의 내부 사용자 또는 그룹을 검색하여 선택합니다.
구성에 할당할 그룹을 선택하면 그룹의 직접 멤버인 사용자만 프로비전 범위에 속합니다. 정적 그룹 또는 동적 그룹을 선택할 수 있습니다. 할당은 중첩된 그룹으로 연속되지 않습니다.
선택을 선택합니다.
할당을 선택합니다.
자세한 내용은 애플리케이션에 사용자 및 그룹 할당을 참조하세요.
8단계: (선택 사항) 범위 지정 필터를 사용하여 프로비전 범위에 있는 사용자를 정의합니다.
원본 테넌트
이전 단계에서 범위로 선택한 값에 관계없이 특성 기반 범위 지정 필터를 만들어 동기화되는 사용자를 추가로 제한할 수 있습니다.
원본 테넌트에서 프로비전을 선택하고 매핑 섹션을 확장합니다.
Microsoft Entra ID 사용자 프로비전을 선택하여 특성 매핑 페이지를 엽니다.
원본 개체 범위에서 모든 레코드를 선택합니다.
원본 개체 범위 페이지에서 범위 지정 필터 추가를 선택합니다.
범위 지정 필터를 추가하여 프로비전 범위에 속하는 사용자를 정의합니다.
범위 지정 필터를 구성하려면 범위 지정 필터로 프로비전할 사용자 또는 그룹 범위 지정에 제공된 지침을 참조하세요.
확인 및 저장을 선택하여 변경 내용을 저장합니다.
필터를 추가한 경우 변경 내용을 저장하면 할당된 모든 사용자 및 그룹이 다시 동기화된다는 메시지가 표시됩니다. 이 작업은 디렉터리 크기에 따라 시간이 오래 걸릴 수 있습니다.
예를 선택하고 특성 매핑 페이지를 닫습니다.
9단계: 특성 매핑 검토
원본 테넌트
특성 매핑을 사용하면 원본 테넌트와 대상 테넌트 간에 데이터가 흐르는 방법을 정의할 수 있습니다. 기본 특성 매핑을 사용자 지정하는 방법에 대한 내용은 자습서 - Microsoft Entra ID에서 SaaS 애플리케이션에 대한 사용자 프로비전 특성 매핑 사용자 지정을 참조하세요.
원본 테넌트에서 프로비전을 선택하고 매핑 섹션을 확장합니다.
Microsoft Entra ID 사용자 프로비전을 선택합니다.
특성 매핑 페이지에서 아래로 스크롤하여 특성 매핑 섹션에서 테넌트 간에 동기화되는 사용자 특성을 검토합니다.
첫 번째 특성인 alternativeSecurityIdentifier는 테넌트 전체에서 사용자를 고유하게 식별하고, 원본 테넌트의 사용자를 대상 테넌트의 기존 사용자와 일치시키며, 각 사용자에게 계정이 하나만 있는지 확인하는 데 사용되는 내부 특성입니다. 일치하는 특성은 변경할 수 없습니다. 일치하는 특성을 변경하려고 하거나 일치하는 다른 특성을 추가하면
schemaInvalid
오류가 발생합니다.멤버(userType) 특성을 선택하여 특성 편집 페이지를 엽니다.
userType 특성에 대한 상수 값 설정을 검토합니다.
이 설정은 대상 테넌트에서 만들 사용자 유형을 정의하며 다음 표의 값 중 하나일 수 있습니다. 기본적으로 사용자는 외부 멤버(B2B 협업 사용자)로 만들어집니다. 자세한 내용은 Microsoft Entra B2B 협업 사용자의 속성을 참조하세요.
상수 값 설명 Member 기본값. 사용자는 대상 테넌트에서 외부 멤버(B2B 협업 사용자)로 만들어집니다. 사용자는 대상 테넌트의 내부 멤버 역할을 할 수 있습니다. 게스트 사용자는 대상 테넌트에서 외부 게스트(B2B 협업 사용자)로 만들어집니다. 참고 항목
B2B 사용자가 이미 대상 테넌트에 있는 경우 이 매핑 적용 설정이 항상으로 설정되어 있지 않는 한 Member(userType)는 구성원으로 변경되지 않습니다.
선택한 사용자 유형에는 앱 또는 서비스에 대해 다음과 같은 제한 사항이 있지만 제한되지는 않습니다.
앱 또는 서비스 제한 사항 Power BI - Power BI에서 UserType 구성원에 대한 지원은 현재 미리 보기로 제공됩니다. 자세한 내용은 Microsoft Entra B2B에서 외부 게스트 사용자에게 Power BI 콘텐츠 배포를 참조하세요. Azure Virtual Desktop - 외부 멤버 및 외부 게스트는 Azure Virtual Desktop에서 지원되지 않습니다. 변환을 정의하려면 특성 매핑 페이지에서 displayName과 같이 변환할 특성을 선택합니다.
매핑 유형을 식으로 설정합니다.
식 상자에 변환 식을 입력합니다. 예를 들어 표시 이름을 사용하여 다음을 수행할 수 있습니다.
- 이름과 성을 대칭 이동하고 사이에 쉼표를 추가합니다.
- 표시 이름 끝에 괄호로 묶은 도메인 이름을 추가합니다.
에제는 Microsoft Entra ID의 특성 매핑에 대한 식 작성 참고자료를 참조하세요.
팁
테넌트 간 동기화의 스키마를 업데이트하여 디렉터리 확장을 매핑할 수 있습니다. 자세한 내용은 테넌트 간 동기화에서 디렉터리 확장 매핑을 참조하세요.
10단계: 추가 프로비전 설정 지정
원본 테넌트
원본 테넌트에서 프로비전을 선택하고 설정 섹션을 확장합니다.
오류가 발생할 경우 이메일 알림 보내기 확인란을 선택합니다.
알림 메일 상자에서 프로비전 오류 알림을 받을 사용자 또는 그룹의 메일 주소를 입력합니다.
메일 알림은 작업이 격리 상태가 된 후 24시간 이내에 전송됩니다. 사용자 지정 경고는 프로비전이 Azure Monitor 로그와 통합되는 방식 이해를 참조하세요.
실수로 인한 삭제를 방지하려면 실수로 인한 삭제 방지를 선택하고 임계값을 지정합니다. 기본적으로 임계값은 500으로 설정됩니다.
자세한 내용은 Microsoft Entra 프로비전 서비스에서 실수로 인한 삭제 방지 사용을 참조하세요.
저장을 선택하여 변경 내용을 저장합니다.
11단계: 요청 시 프로비전 테스트
원본 테넌트
이제 구성이 있으므로 사용자 중 한 명으로 요청 시 프로비전을 테스트할 수 있습니다.
원본 테넌트에서 ID>External Identities>테넌트 간 동기화로 이동합니다.
구성을 선택한 다음, 구성을 선택합니다.
주문형 프로비전을 선택합니다.
사용자 또는 그룹 선택 상자에서 테스트 사용자 중 하나를 검색하여 선택합니다.
프로비전을 선택합니다.
잠시 후 대상 테넌트에서 테스트 사용자의 프로비전에 대한 정보가 포함된 작업 수행 페이지가 나타납니다.
사용자가 범위에 없는 경우 테스트 사용자를 건너뛴 이유에 대한 정보가 포함된 페이지가 표시됩니다.
요청 시 프로비전 페이지에서 프로비전에 대한 세부 정보를 보고, 다시 시도할 수 있는 옵션을 사용할 수 있습니다.
대상 테넌트에서 테스트 사용자가 프로비전되었는지 확인합니다.
모두 예상대로 작동하는 경우 구성에 추가 사용자를 할당합니다.
자세한 내용은 Microsoft Entra ID의 주문형 프로비전을 참조하세요.
12단계: 프로비전 작업 시작
원본 테넌트
프로비전 작업은 설정 섹션의 범위에 정의된 모든 사용자의 초기 동기화 주기를 시작합니다. 초기 주기는 Microsoft Entra 프로비전 서비스가 실행되는 동안 약 40분마다 발생하는 후속 주기보다 수행하는 데 더 오랜 시간이 걸립니다.
원본 테넌트에서 ID>External Identities>테넌트 간 동기화로 이동합니다.
구성을 선택한 다음, 구성을 선택합니다.
개요 페이지에서 프로비전 세부 정보를 검토합니다.
프로비전 시작을 선택하여 프로비전 작업을 시작합니다.
13단계: 프로비전 모니터링
원본 및 대상 테넌트
프로비전 작업을 시작한 후에는 상태를 모니터링할 수 있습니다.
원본 테넌트의 개요 페이지에서 진행률 표시줄을 확인하여 프로비전 주기의 상태와 완료에 얼마나 근접했는지 확인합니다. 자세한 내용은 사용자 프로비저닝 상태 확인을 참조하세요.
프로비전이 비정상 상태로 보이면 구성이 격리됩니다. 자세한 내용은 격리 상태에서의 애플리케이션 프로비저닝을 참조하세요.
프로비전 로그를 선택하여 성공적으로 프로비전된 사용자와 프로비전되지 못한 사용자를 확인합니다. 기본적으로 로그는 구성의 서비스 주체 ID를 기준으로 필터링됩니다. 자세한 내용은 Microsoft Entra ID의 프로비전 로그를 참조하세요.
감사 로그를 선택하여 Microsoft Entra ID의 기록된 모든 이벤트를 봅니다. 자세한 내용은 Microsoft Entra ID의 감사 로그를 참조하세요.
대상 테넌트에서 감사 로그를 볼 수도 있습니다.
대상 테넌트에서 사용자>감사 로그를 선택하여 사용자 관리를 위해 기록된 이벤트를 봅니다.
14단계: 나가기 설정 구성
대상 테넌트
사용자가 대상 테넌트에서 프로비전되더라도 여전히 자신을 제거할 수 있습니다. 사용자가 자신을 제거하고 범위 내에 있는 경우 다음 프로비전 주기 동안 다시 프로비전됩니다. 사용자가 조직에서 자신을 제거하는 것을 허용하지 않으려면 외부 사용자 나가기 설정을 구성해야 합니다.
대상 테넌트에서 ID>External Identities>외부 협업 설정으로 이동합니다.
외부 사용자 나가기 설정에서 외부 사용자가 직접 조직을 나갈 수 있도록 허용할지 여부를 선택합니다.
이 설정은 B2B 협업 및 B2B 직접 연결에도 적용되므로 외부 사용자 나가기 설정을 아니요로 설정하면 B2B 협업 사용자 및 B2B 직접 연결 사용자가 조직에서 직접 나갈 수 없습니다. 자세한 내용은 외부 사용자로서 조직 나가기를 참조하세요.
문제 해결 팁
구성 삭제
구성 페이지에서 구성을 삭제하려면 다음 단계를 수행합니다.
원본 테넌트에서 ID>External Identities>테넌트 간 동기화로 이동합니다.
구성 페이지에서 삭제하려는 구성 옆에 확인 표시를 추가합니다.
삭제를 선택한 다음, 확인을 선택하여 구성을 삭제합니다.
일반적인 시나리오 및 솔루션
증상 - AzureDirectoryB2BManagementPolicyCheckFailure를 나타내며 연결 테스트 실패
원본 테넌트에서 테넌트 간 동기화를 구성하고 연결을 테스트할 때 다음 오류 메시지를 나타내며 실패합니다.
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.
원인
이 오류는 원본 테넌트와 대상 테넌트 모두에서 초대를 자동으로 사용하는 정책이 설정되지 않았음을 나타냅니다.
솔루션
3단계: 대상 테넌트에서 초대 자동 사용 및 4단계: 원본 테넌트에서 초대 자동 사용의 단계를 따릅니다.
증상 - 자동 상환 확인란이 사용하지 않도록 설정됨
테넌트 간 동기화를 구성할 때 자동 사용 확인란을 사용할 수 없습니다.
원인
테넌트에게 Microsoft Entra ID P1 또는 P2 라이선스가 없습니다.
솔루션
신뢰 설정을 구성하려면 Microsoft Entra ID P1 또는 P2가 있어야 합니다.
증상 - 대상 테넌트에서 최근에 삭제된 사용자가 복원되지 않음
대상 테넌트에서 동기화된 사용자를 일시 삭제한 후에는 다음 동기화 주기 동안 사용자가 복원되지 않습니다. 요청 시 프로비전을 사용하여 사용자를 일시 삭제한 다음, 사용자를 복원하려고 하면 중복 사용자가 생성될 수 있습니다.
원인
대상 테넌트에서 이전에 일시 삭제된 사용자를 복원하는 것은 지원되지 않습니다.
솔루션
대상 테넌트에서 일시 삭제된 사용자를 수동으로 복원합니다. 자세한 내용은 Microsoft Entra ID를 사용하여 최근에 삭제된 사용자 복원 또는 제거를 참조하세요.
증상 - 사용자에 대해 SMS 로그인을 사용하도록 설정했기 때문에 사용자를 건너뜁니다.
사용자를 동기화하지 않고 건너뜁니다. 범위 지정 단계에는 상태가 false인 "Filter external users.alternativeSecurityIds EQUALS 'None'" 필터가 포함됩니다.
원인
사용자에 대해 SMS 로그인을 사용하도록 설정한 경우 프로비전 서비스에서 해당 사용자를 건너뜁니다.
솔루션
사용자에 대한 SMS 로그인을 사용하지 않도록 설정합니다. 아래 스크립트는 PowerShell을 사용하여 SMS 로그인을 사용하지 않도록 설정하는 방법을 보여 줍니다.
##### Disable SMS Sign-in options for the users
#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"
##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7
$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"
#### Get the User Details
$userId = "objectid_of_the_user_in_Entra_ID"
#### validate the value for SmsSignInState
$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId
if($smssignin.SmsSignInState -eq "ready"){
#### Disable Sms Sign-In for the user is set to ready
Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
}
else{
Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
}
##### End the script
증상 - AzureActiveDirectoryForbidden 오류가 발생하여 사용자가 프로비전하지 못함
범위 내의 사용자가 프로비전에 실패합니다. 프로비전 로그 세부 정보에 포함되는 오류 메시지는 다음과 같습니다.
Guest invitations not allowed for your company. Contact your company administrator for more details.
원인
이 오류는 대상 테넌트의 게스트 초대 설정이 가장 제한적인 설정, 즉 "조직 내에서 누구도 관리자를 비롯하여 게스트 사용자를 초대할 수 없음(가장 제한적)"으로 구성되어 있음을 나타냅니다.
솔루션
대상 테넌트에서 게스트 초대 설정을 덜 제한적인 설정으로 변경합니다. 자세한 내용은 외부 협업 설정 구성을 참조하세요.
증상 - 수락 보류 상태에 있는 기존 B2B 사용자에 대해 사용자 계정 이름이 업데이트되지 않습니다.
수동 B2B 초대를 통해 사용자가 처음 초대되면 원본 사용자 메일 주소로 초대가 전송됩니다. 결과적으로 대상 테넌트의 게스트 사용자는 원본 메일 값 속성을 사용하여 UPN(사용자 계정 이름) 접두사로 만들어집니다. 원본 사용자 개체 속성인 UPN과 메일이 서로 다른 값을 갖는 환경이 있습니다(예: 메일 == user.mail@domain.com 및 UPN == user.upn@otherdomain.com). 이 경우 대상 테넌트의 게스트 사용자는 UPN을 사용하여 user.mail_domain.com#EXT#@contoso.onmicrosoft.com으로 만들어집니다.
원본 개체가 테넌트 간 동기화 범위에 포함될 때 문제가 발생하며 다른 속성 외에도 대상 게스트 사용자의 UPN 접두사가 원본 사용자의 UPN과 일치하도록 업데이트될 것으로 예상됩니다(위의 예를 사용하면 값은 user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com이 됨). 그러나 증분 동기화 주기 중에는 이러한 일이 발생하지 않으며 변경 내용이 무시됩니다.
원인
이 문제는 대상 테넌트에 수동으로 초대된 B2B 사용자가 초대를 수락하지 않거나 사용하지 않아 상태가 수락 보류 중일 때 발생합니다. 사용자가 이메일을 통해 초대되면 메일에서 채워진 특성 집합을 사용하여 개체가 만들어집니다. 그중 하나는 원본 사용자의 메일 값을 가리키는 UPN입니다. 나중에 테넌트 간 동기화 범위에 사용자를 추가하기로 결정한 경우 시스템은 AlternativeSecurityIdentifier 특성을 기반으로 대상 테넌트의 B2B 사용자와 원본 사용자를 조인하려고 시도하지만 초대가 상환되지 않았기 때문에 이전에 생성된 사용자에게는 alternativeSecurityIdentifier 속성이 채워져 있지 않습니다. 따라서 시스템은 이를 새 사용자 개체로 간주하지 않으며 UPN 값을 업데이트하지 않습니다. 다음 시나리오에서는 사용자 계정 이름이 업데이트되지 않습니다.
- 수동으로 초대된 사용자의 UPN과 메일은 다릅니다.
- 테넌트 간 동기화를 사용하도록 설정하기 전에 사용자가 초대되었습니다.
- 사용자가 초대를 수락하지 않았으므로 "보류 중" 상태입니다.
- 사용자는 테넌트 간 동기화 범위에 포함됩니다.
솔루션
이 문제를 해결하려면 영향을 받는 사용자에 대해 주문형 프로비전을 실행하여 UPN을 업데이트합니다. 영향을 받는 모든 사용자의 UPN을 업데이트하기 위해 프로비전을 다시 시작할 수도 있습니다. 이로 인해 초기 주기가 트리거되므로 대규모 테넌트의 경우 시간이 오래 걸릴 수 있습니다. 수락 보류 상태에 있는 수동으로 초대된 사용자 목록을 가져오려면 스크립트를 사용할 수 있습니다. 아래 샘플을 참조하세요.
Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'"
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"
그런 다음 각 사용자에 대해 PowerShell을 통한 ProvisionOnDemand를 사용할 수 있습니다. 이 API의 속도 제한은 10초당 요청 5개입니다. 자세한 내용은 주문형 프로비전의 알려진 제한 사항을 참조하세요.