Microsoft Entra 조인 디바이스에서 온-프레미스 리소스에 대한 SSO가 작동하는 방식
Microsoft Entra 조인 디바이스는 사용자에게 테넌트의 클라우드 앱에 대한 SSO(Single Sign-On) 환경을 제공합니다. 환경에 온-프레미스 AD DS(Active Directory Domain Services)가 있는 경우 사용자는 온-프레미스 Active Directory Domain Services에 의존하는 리소스 및 애플리케이션에 SSO를 수행할 수도 있습니다.
이 문서에서는 이러한 작동 방식에 대해 설명합니다.
필수 조건
- Microsoft Entra 조인 디바이스.
- 온-프레미스 SSO에는 온-프레미스 AD DS 도메인 컨트롤러와의 가시 거리 내 통신이 필요합니다. Microsoft Entra 조인 디바이스가 조직의 네트워크에 조인되어 있지 않은 경우 VPN 또는 기타 네트워크 인프라가 필요합니다.
- Microsoft Entra Connect 또는 Microsoft Entra Connect 클라우드 동기화: SAM 계정 이름, 도메인 이름 및 UPN과 같은 기본 사용자 특성을 동기화합니다. 자세한 내용은 Microsoft Entra Connect로 동기화된 특성 문서를 참조하세요.
작동 원리
Microsoft Entra 조인 디바이스를 사용하면 사용자는 이미 환경의 클라우드 앱에 대한 SSO 환경을 갖고 있습니다. 사용자의 환경에 Microsoft Entra ID 및 온-프레미스 AD DS가 있는 경우 SSO 환경의 범위를 온-프레미스 LOB(사업 부문) 앱, 파일 공유, 프린터로 확장할 수 있습니다.
Microsoft Entra 조인 디바이스는 조인되지 않았기 때문에 온-프레미스 AD DS 환경에 대해 알지 못합니다. 그러나 Microsoft Entra Connect를 사용하면 온-프레미스 AD에 대한 추가 정보를 이러한 디바이스에 제공할 수 있습니다.
Microsoft Entra Connect 또는 Microsoft Entra Connect 클라우드 동기화는 온-프레미스 ID 정보를 클라우드에 동기화합니다. 동기화 프로세스의 일부로 온-프레미스 사용자 및 도메인 정보가 Microsoft Entra ID와 동기화됩니다. 사용자가 하이브리드 환경에서 Microsoft Entra 조인 디바이스에 로그인하는 경우:
- Microsoft Entra ID는 기본 새로 고침 토큰과 함께 사용자의 온-프레미스 도메인 세부 정보를 디바이스로 다시 보냅니다.
- LSA(로컬 보안 기관) 서비스를 통해 디바이스에서 Kerberos 및 NTLM 인증을 사용할 수 있습니다.
참고 항목
Microsoft Entra 조인 디바이스에 대한 암호 없는 인증을 사용하는 경우 추가 구성이 필요합니다.
FIDO2 보안 키 기반 암호 없는 인증 및 비즈니스용 Windows Hello 하이브리드 클라우드 트러스트에 대해서는 Microsoft Entra ID를 사용하여 온-프레미스 리소스에 암호 없는 보안 키 로그인 사용을 참조하세요.
비즈니스용 Windows Hello Cloud Kerberos Trust에 대해서는 비즈니스용 Windows Hello - 클라우드 Kerberos 신뢰 구성 및 프로비전을 참조하세요.
비즈니스용 Windows Hello 하이브리드 키 트러스트에 대해서는 비즈니스용 Windows Hello를 사용하여 온-프레미스 Single-Sign On을 위한 Microsoft Entra 조인 디바이스 구성을 참조하세요.
비즈니스용 Windows Hello 하이브리드 인증서 트러스트는 AADJ 온-프레미스 Single Sign-On용 인증서 사용을 참조하세요.
Kerberos 또는 NTLM을 요청하는 온-프레미스 리소스에 대한 액세스 시도 중에 디바이스는 다음을 수행합니다.
- 온-프레미스 도메인 정보와 사용자 자격 증명을 찾아낸 DC로 보내 사용자를 인증합니다.
- 온-프레미스 리소스 또는 애플리케이션이 지원하는 프로토콜을 기반으로 하는 Kerberos TGT(허용 티켓) 또는 NTLM 토큰을 받습니다. 도메인에 대한 Kerberos TGT 또는 NTLM 토큰을 가져오려는 시도가 실패하면 자격 증명 관리자 항목이 시도되거나 사용자가 대상 리소스에 대한 자격 증명을 요청하는 인증 팝업을 가져올 수 있습니다. 이 오류는 DCLocator 시간 제한으로 인한 지연과 관련이 있을 수 있습니다.
사용자가 액세스하려고 시도하면 Windows 통합 인증에 구성된 모든 앱에서 SSO를 원활하게 받습니다.
결과
SSO를 사용하면 Microsoft Entra 조인 디바이스에서 다음을 수행할 수 있습니다.
- AD 멤버 서버의 UNC 경로에 액세스
- Windows 통합 보안에 구성된 AD DS 멤버 웹 서버에 액세스
Windows 디바이스에서 온-프레미스 AD를 관리하려면 원격 서버 관리 도구를 설치하세요.
다음을 사용할 수 있습니다.
- ADUC(Active Directory 사용자 및 컴퓨터) 스냅인을 사용하여 모든 AD 개체를 관리합니다. 그러나 수동으로 연결하려는 도메인을 지정해야 합니다.
- DHCP 스냅인을 사용하여 AD 조인 DHCP 서버를 관리합니다. 그러나 DHCP 서버 이름 또는 주소를 지정해야 할 수 있습니다.
알아야 할 사항
- 여러 도메인이 있는 경우 필수 도메인에 대한 데이터가 동기화되도록 Microsoft Entra Connect에서 도메인 기반 필터링을 조정해야 할 수도 있습니다.
- Microsoft Entra 조인 디바이스에는 AD DS에 컴퓨터 개체가 없기 때문에 Active Directory 컴퓨터 인증에 의존하는 앱 및 리소스가 작동하지 않습니다.
- Microsoft Entra 조인 디바이스에서는 다른 사용자와 파일을 공유할 수 없습니다.
- Microsoft Entra 조인 디바이스에서 실행되는 애플리케이션은 사용자를 인증할 수 있습니다. 암시적 UPN 또는 NT4 형식 구문과 도메인 FQDN 이름을 도메인 부분으로 사용해야 합니다(예: user@contoso.corp.com 또는 contoso.corp.com\user).
- 애플리케이션이 NETBIOS 또는 contoso\user와 같은 레거시 이름을 사용하는 경우 애플리케이션에서 가져오는 오류는 NT 오류 STATUS_BAD_VALIDATION_CLASS( 0xc00000a7 또는 Windows 오류 ERROR_BAD_VALIDATION_CLASS - 1348 "요청된 유효성 검사 정보 클래스가 잘못되었습니다.")입니다. 이 오류는 레거시 도메인 이름을 확인할 수 있는 경우에도 발생합니다.
다음 단계
자세한 내용은 Microsoft Entra ID의 디바이스 관리란?를 참조하세요.