Azure AD와 AD 동기화 후 고아가된 계정 삭제 방법
[작업 환경]
Microsoft Windows 10 Pro 빌드 16299
Azure AD Connect를 사용해 AD 온프레미스 AD나 AD가 구현된 Azure VM의 AD 계정을 Azure AD와 동기화한 경우, 해당 Azure AD 테넌트에서 사용자 계정 목록을 보면, [SOURCE] 부분의 값은 Windows Server AD와 Azure Active Directory로 나뉜다.
전자는 동기화한 원본이 다른 AD DS에서 있고, 후자는 Azure AD 테넌트에서 직접 만든 계정이거나 해당 구독의 전역 관리자 계정인 경우다.
당연히 구독의 전역 관리자 계정은 삭제할 수 없으며 역할도 변경할 수 없다.
그러나 추가 Azure AD 테넌트에서 만든 계정은 역할 변경도 가능하고 삭제도 할 수 있다.
Azure AD와 AD 동기화 후 기존 AD DS가 제거된 경우, Azure AD의 계정은 Azure 포털에서 변경도 제거도 하지 못한다.
이런 경우를 "고아 계정"이라고 한다.
추가한 Azure AD 테넌트를 제거하려는 경우 이런 고아 계정을 포함해 해당 테넌트에서 만든 계정을 모두 삭제한 상태여야 한다.
고아 계정의 삭제는 Azure AD PowerShell 모듈을 통해 해결할 수 있다.
현재 Azure Active Directory 관리는 MSOnline PowerShell 모듈(Azure AD PowerShell V1)과 Azure Active Directory PowerShell for Graph(Azure AD PowerShell V2)에서 가능하지만, V1은 사용중지가 예고되어 있으므로, V2 사용을 권장한다.
V2는 미리보기 버전과 GA 버전이 있으며, 미리보기 버전은 운영환경에서 사용을 권장하지 않는다.
MSOnline PowerShell 모듈
MSOnline PowerShell 모듈은 Windows PowerShell 명령을 위한 Azure Active Directory Module이다.
이들 명령으로 사용자 관리와 도메인 관리, SSO 구성 등의 관리 작업을 한다.
이 모듈을 설치하는 가장 쉬운 방법은 Install-Module 명령으로 PowerShell 갤러리에서 모듈을 설치하는 것이다.
모듈을 설치하고 포함된 명령을 확인해보면 명령에 공통적으로 "Msol" 키워드가 포함된 것을 알 수 있다.
제일 먼저 할 일은 온라인 서비스에 연결하는 일이다.
이때 해당 AAD 테넌트의 관리자 자격증명으로 인증해야 한다.
예를 들어, AAD 테넌트의 이름이 steelfleaadatum이고 관리자 계정이 SyncAdmin인 경우 UPN을 사용한 로그인 화면은 다음과 같다.
인증이 성공하면, Get-MsolUser 명령으로 해당 AAD 테넌트의 계정을 확인할 수 있다.
Azure Active Directory PowerShell for Graph
현재 권장하는 Azure AD PowerShell V2 명령을 사용하려면 물론 해당 모듈을 설치해야 한다.
앞서와 동일한 Install-Module 명령으로 PowerShell 갤러리에서 설치할 수 있는데, 모듈 이름은 AzureAD다.
모듈 설치 후 관련 명령을 확인해 봤다. 명령의 이름에 공통적으로 "AzureAd"라는 키워드가 포함된 것을 알 수 있다.
제일 먼저 할 일은 Connect-AzureAD 명령으로 Azure AD 테넌트에 연결하는 일이다.
이때 해당 AAD 테넌트의 관리자 자격증명으로 인증해야 한다.
예를 들어, AAD 테넌트의 이름이 steelfleaadatum이고 관리자 계정이 SyncAdmin인 경우 UPN을 사용한 로그인 화면은 다음과 같다.
Azure AD 테넌트 연결을 끊을 때는 Disconnect-AzureAD 명령을 사용한다.
인증이 성공하면, Get-AzureADUser 명령으로 해당 AAD 테넌트의 계정을 확인할 수 있다.
이제 Remove-AzureADUser 명령으로 고아 계정을 삭제한다.
앞서 상위 5개의 일반 사용자 계정을 삭제하고 온프레미스 디렉터리 동기화 서비스 계정을 추가로 삭제한다.
이제, Azure 포털에서 해당 AAD 테넌트의 관리자 계정을 삭제한다.
마지막으로, 구독 전역 관리자 계정만 남긴 상태에서 AAD 테넌트를 삭제를 시도하면, 삭제 가능한지 여부를 확인한다.
다음 화면은 삭제할 수 있는 모든 조건이 통과 되었음을 나타낸다.
' Azure & Windows > Azure' 카테고리의 다른 글
| Azure Storage 계정에서 SMB 다중 채널 사용하기 (0) | 2021.05.12 |
|---|---|
| Azure 스토리지 복제 옵션 변경 시 비용 이슈(RA-GRS) (0) | 2019.12.01 |
| Creating Virtual Netwok and Subnet in Azure using PowerShell and Some mistake (0) | 2018.04.20 |
| How to create Azure Service Fabric Cluster with security (0) | 2018.01.28 |
| Migrate a On-Premise SQL DB to Azure SQL Using SSMS (0) | 2016.04.13 |
