Microsoft Entra ID의 동적 멤버 자격 그룹은 관리자가 그룹 멤버 자격 관리를 자동화할 수 있는 강력한 기능입니다. 멤버 자격 변경은 일반적으로 몇 시간 내에 처리됩니다.
그러나 특정 조건에서 고객은 멤버 자격 업데이트가 지연될 수 있습니다. 처리에는 24시간 이상 걸릴 수 있습니다. 기본 원인을 이해하면 관리자가 구성을 최적화하고 불필요한 처리 병목 상태를 방지할 수 있습니다.
동적 그룹 처리 작동 방식
동적 그룹 처리는 순차적으로 작동합니다. 단일 테넌트에 대한 변경 내용은 한 번에 평가되고 적용되는 것이 아니라 순서대로 적용됩니다. 특히 많은 사용자 또는 디바이스에 영향을 미치는 경우 많은 양의 변경 내용이 긴 처리 큐로 이어질 수 있습니다. 긴 큐는 업데이트를 완료하는 데 필요한 시간을 연장할 수 있습니다.
처리 시간에 영향을 주는 주요 요소
처리에 영향을 미치고 멤버 자격 업데이트가 더 오래 걸릴 수 있는 세 가지 가장 큰 요인은 다음과 같습니다.
동적 그룹 수: 많은 수의 동적 그룹이 있는 테넌트에는 더 많은 평가가 필요하므로 처리 시간이 늘어나야 합니다.
개체 변경 횟수: 사용자 또는 디바이스 변경의 양이 많을 경우 긴 처리 큐를 만들고 처리 시간을 연장할 수 있습니다. 예를 들어 확장 특성 변경, 디바이스 추가 또는 제거, 대량 사용자 업데이트 등이 있습니다.
규칙 구성: 특정 규칙 구성은 처리 시간에 영향을 줄 수 있습니다. 예를 들어
Match,Contains, 또는memberOf와 같은 비효율적인 연산자를 선택하면 처리 시간이 증가할 수 있습니다. 규칙 복잡성도 기여 요인입니다.
테넌트에서 동적 멤버 자격 그룹을 관리하기 위한 모범 사례
효율적인 처리를 보장하고 지연을 최소화하려면 다음 모범 사례를 고려하세요.
테넌트에서 동적 멤버 자격 그룹의 수를 모니터링하기
테넌트에서 그룹 수를 정기적으로 검토하십시오. 비활성 또는 오래된 그룹을 삭제합니다.
중요하지 않은 그룹 일시 중지
중요하지 않은 그룹을 일시 중지하여 처리 성능을 향상시킬 수 있습니다. 다음과 같은 상황에서 그룹 처리를 일시 중지하는 것이 좋습니다.
- 계획된 대규모 업데이트: 그룹 멤버 자격을 많이 변경할 것으로 예상합니다. 예를 들어 500개 이상의 그룹을 변경하거나 20,000개 이상의 멤버 자격을 변경할 계획입니다.
- 예기치 않은 지연: 그룹 멤버 자격이 변경되지 않았으며 예기치 않은 지연이 발생하는 것을 알 수 있습니다.
처리를 일시적으로 중지하려면 모든 그룹 일시 중지 스크립트를 사용합니다. 다시 시작하기 전에 서비스가 복구되도록 허용합니다.
그룹을 즉시 일시 중지하지 마세요. 그룹 처리를 따라잡을 수 있도록 최소 24시간을 기다리는 것이 좋습니다. 그런 다음 감사 로그를 확인하여 다시 기준선으로 돌아왔는지 확인합니다. 필요한 경우 그룹을 한 번에 모두 해제하지 않고 단계별로 일시 중지 해제합니다.
규칙 효율성 최적화
규칙에서 연산자를
Match최대한 사용하지 않도록 합니다. 대신StartsWith,Equals또는EndsWith연산자를 사용하세요.규칙에서 연산자를
Contains최대한 사용하지 않도록 합니다. 이로 인해 처리 시간이 늘어나게 될 수 있습니다.더 적은
-or연산자를 사용합니다. 대신 연산자를-in사용하여 규칙을 단일 기준으로 그룹화합니다. 규칙을 그룹화하면 더 쉽게 평가할 수 있습니다.가능하면 연산자를
memberOf사용하지 마세요. 현재 미리 보기로 제공되며 버그 및 제한 사항이 함께 제공됩니다. 특히 테넌트에 많은 수의 그룹 또는 빈번한 업데이트가 있는 경우 더욱 복잡할 수 있습니다. 기존memberOf그룹을 테넌트에서 삭제하는 것이 좋습니다.
동적 그룹 처리 최적화에 대한 자세한 도움말은 Microsoft Entra ID의 동적 멤버 자격 그룹에 대한 보다 간단하고 효율적인 규칙 만들기를 검토하세요.
요약
동적 그룹 처리 지연은 주로 많은 양의 변경 내용과 많은 수의 그룹으로 인해 발생합니다. 규칙 효율성 최적화, 변경 모니터링 및 필요한 경우 불필요한 그룹 일시 중지와 같은 모범 사례를 따르면 IT 관리자는 처리 성능을 개선하고 불필요한 지연을 방지할 수 있습니다.