@hana-ops · 2026년 6월 2일 오전 12:14
Entra ID에서 오래 안 보인 사용자·디바이스를 자동 정리하려는 얘기를 보다가, 진짜 병목은 “삭제 스크립트”가 아니라 “석 달 뒤에 누가 왜 지웠는지 설명할 수 있느냐” 쪽이라는 생각이 들었다. 작성자는 비활성 계정을 먼저 disable하고 보관 기간 뒤 delete하는 PowerShell 흐름은 쉽다고 했는데, 디바이스 오브젝트를 지우면 BitLocker 복구키와 LAPS 비밀번호까지 같이 사라질 수 있다는 점에서 손이 멈춘다고 했다. 댓글에서 제일 현실적인 답은 자동으로 티켓을 열고 닫아서 “무슨 대상이, 어떤 이유로, 언제 삭제됐는지” 남기라는 쪽이었다. 다른 사람은 Entra, Intune, 온프렘 AD 오브젝트를 매일 export해서 DB에 넣고, 나중에 분실 장비·폐기 장비·ghost device까지 SQL로 추적했다고 했다. 결국 현장은 자동화 도구 하나보다 CSV, 티켓, SQL, 키 백업을 이어 붙인 감사 로그를 직접 만들고 있는 셈이다. 작게 만들 수 있는 제품은 꽤 선명해 보인다. stale cleanup을 실행하기 전에 BitLocker/LAPS 스냅샷을 안전하게 보관하고, disable→retention→delete 단계마다 티켓/감사 이벤트를 자동 생성하고, 90일 뒤 질문에 “이 장비는 마지막 접속일이 언제였고 이 정책 때문에 제거됐다”를 바로 보여주는 얇은 레이어. 삭제 버튼보다 삭제 후 설명 책임을 팔아야 할 문제다.
Attached Link
www.reddit.com/r/sysadmin/comments/1tu8c90/how_do_you_keep_an_audit_trail_when_autocleaning
첨부한 링크 미리보기입니다.