Exchange 및 Exchange Online 조직 간의 OAuth 인증 구성

하이브리드 구성 마법사는 Exchange Server 온-프레미스 조직과 Exchange Online 조직 간에 OAuth 인증을 자동으로 구성합니다. Exchange 조직에 Exchange 2010 또는 Exchange 2007 서버가 포함된 경우 하이브리드 구성 마법사는 온-프레미스와 온라인 Exchange 조직 간에 OAuth 인증을 구성하지 않습니다. 이러한 배포에는 기본적으로 페더레이션 트러스트 프로세스가 계속 사용됩니다. 그러나 특정 기능은 새 Exchange OAuth 인증 프로토콜을 사용하여 조직 전체에서만 완전히 사용할 수 있습니다.

새 Exchange OAuth 인증 프로세스를 통해 현재 다음 Exchange 기능을 사용할 수 있습니다.

• MRM(메시지 레코드 관리)
• Exchange 원본 위치 eDiscovery
• Exchange 내부 보관

하이브리드 구성 마법사를 실행한 후 모든 혼합 Exchange 2013 조직에서 Exchange OAuth 인증을 구성하는 것이 좋습니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

• 이 작업의 예상 완료 시간: 15분.

• 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange 및 Shell 인프라 권한 항목의 "페더레이션 및 인증서" 권한 항목을 참조하세요.

• 하이브리드 구성 마법사를 사용하여 하이브리드 배포의 구성을 완료했습니다. 자세한 내용은 Exchange Server 하이브리드 배포를 참조하세요.

• 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.

온-프레미스 Exchange 및 Exchange Online 조직 간에 OAuth 인증을 구성하는 방법

용어집

초기 도메인: 테넌트에서 프로비전된 첫 번째 도메인입니다. 예를 들면 contoso.onmicrosoft.com와 같습니다. 이 설명서에서 테넌트 초기 도메인>이라고< 합니다.

하이브리드 라우팅 도메인: 과 같은 contoso.mail.onmicrosoft.comExchange 하이브리드 환경의 하이브리드 라우팅 도메인은 온-프레미스 Exchange 서버와 Exchange Online 간의 메일 흐름을 관리하는 데 사용됩니다. 두 환경에서 원활한 통신 및 메시지 배달을 보장합니다. 이 설명서에서 하이브리드 라우팅 도메인>이라고< 합니다.

Microsoft MOERA(온라인 전자 메일 라우팅 주소) : 사용자의 userPrincipalName 접두사로 생성된 주소와 Microsoft Entra ID의 에 자동으로 추가 proxyAddress 되는 초기 도메인 접미사입니다. 예를 들면 smtp:john.doe@contoso.onmicrosoft.com와 같습니다. 이 설명서에서는 를 MOERA 사용하지 않지만 완전성을 위해 여기에 나열합니다.

기본 SMTP 도메인: Microsoft Exchange Server의 기본 SMTP 도메인은 조직 내 전자 메일 주소에 사용되는 기본 도메인입니다. 이 설명서에서 기본 SMTP 도메인>이라고< 합니다.

자동 검색 엔드포인트: 자동 검색 엔드포인트는 Exchange Server 구성 정보를 제공하는 웹 서비스 URL입니다. 이를 통해 애플리케이션은 Exchange 서비스를 자동으로 검색하고 연결할 수 있습니다. 예를 들어 contoso.com 회사에서 기본 SMTP 도메인으로 사용하는 경우 자동 검색 엔드포인트는 일반적으로 https://autodiscover.contoso.com/autodiscover/autodiscover.svc 또는 https://contoso.com/autodiscover/autodiscover.svc입니다. 이 설명서의 온-프레미스 자동 검색 엔드포인트>라고< 합니다.

EWS(Exchange Web Services): EWS(Exchange Web Services)는 애플리케이션이 전자 메일 메시지, 모임 및 연락처와 같은 사서함 항목에 액세스할 수 있도록 하는 플랫폼 간 API입니다. 이 설명서의 온-프레미스 외부 Exchange Web Services URL>이라고< 합니다.

1단계: Exchange Online 조직에 대한 권한 부여 서버 개체 만들기

온-프레미스 Exchange 조직의 Exchange 관리 셸(Exchange PowerShell)에서 다음 명령을 실행합니다. 명령을 실행하기 전에 자리 표시자를 값으로 바꿔야 합니다.

New-AuthServer -Name "WindowsAzureACS" -AuthMetadataUrl "https://accounts.accesscontrol.windows.net/<your tenant initial domain>/metadata/json/1"
New-AuthServer -Name "evoSTS" -Type AzureAD -AuthMetadataUrl "https://login.windows.net/<your tenant initial domain>/federationmetadata/2007-06/federationmetadata.xml"

GCC High 또는 DoD에서는 다음 명령을 대신 사용해야 합니다.

New-AuthServer -Name "WindowsAzureACS" -AuthMetadataUrl "https://login.microsoftonline.us/<your tenant initial domain>/metadata/json/1"
New-AuthServer -Name "evoSTS" -Type AzureAD -AuthMetadataUrl "https://login.microsoftonline.us/<your tenant initial domain>/federationmetadata/2007-06/federationmetadata.xml"

2단계: Exchange Online 조직에 대해 파트너 응용 프로그램을 사용하도록 설정합니다.

온-프레미스 Exchange 조직의 Exchange PowerShell에서 다음 명령을 실행합니다.

Get-PartnerApplication |  Where-Object {$_.ApplicationIdentifier -eq "00000002-0000-0ff1-ce00-000000000000" -and $_.Realm -eq ""} | Set-PartnerApplication -Enabled $true

3단계: 온-프레미스 권한 부여 인증서 내보내기

이 단계에서는 Exchange 서버에서 PowerShell 스크립트를 직접 실행하여 온-프레미스 권한 부여 인증서를 내보낸 다음, 다음 단계에서 Exchange Online 조직으로 가져와야 합니다.

1. ExportAuthCert.ps1과 같이 이름을 지정한 PowerShell 스크립트 파일에 다음 텍스트를 저장합니다.

   참고

   나중에 새 인증 인증서가 되도록 구성된 인증서를 업로드하려면 를 로 $thumbprint = (Get-AuthConfig).NewCertificateThumbprint바꿉 $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint 다.

   $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
   if((Test-Path $env:SYSTEMDRIVE\OAuthConfig) -eq $false)
   {
      New-Item -Path $env:SYSTEMDRIVE\OAuthConfig -Type Directory
   }
   Set-Location -Path $env:SYSTEMDRIVE\OAuthConfig
   $oAuthCert = (dir Cert:\LocalMachine\My) | Where-Object {$_.Thumbprint -match $thumbprint}
   $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
   $certBytes = $oAuthCert.Export($certType)
   $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
   [System.IO.File]::WriteAllBytes($CertFile, $certBytes)
   

2. 이전 단계에서 만든 PowerShell 스크립트를 온-프레미스 Exchange 조직의 Exchange PowerShell에서 실행합니다. 예:

   .\ExportAuthCert.ps1
   

4단계: Microsoft Entra ACS(Access Control Service)에 온-프레미스 권한 부여 인증서 업로드

다음으로 Microsoft Graph PowerShell을 사용하여 이전 단계에서 내보낸 온-프레미스 권한 부여 인증서를 Microsoft Entra ACS(Access Control Services)에 업로드합니다. 모듈이 설치되어 있지 않으면 관리자 권한으로 Windows PowerShell 창을 열고 다음 명령을 실행합니다.

Install-Module -Name Microsoft.Graph.Applications

Microsoft Graph PowerShell이 설치된 후 다음 단계를 완료합니다.

1. Microsoft Graph cmdlet이 설치된 Windows PowerShell 작업 영역을 엽니다. 이 단계의 모든 명령은 Microsoft Graph 콘솔에 연결된 Windows PowerShell을 사용하여 실행됩니다.

2. UploadAuthCert.ps1과 같이 이름을 지정한 PowerShell 스크립트 파일에 다음 텍스트를 저장합니다.

   Connect-MgGraph -Scopes Application.ReadWrite.All
   
   $CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
   $objFSO = New-Object -ComObject Scripting.FileSystemObject
   $CertFile = $objFSO.GetAbsolutePathName($CertFile)
   $cer = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($CertFile)
   $binCert = $cer.GetRawCertData()
   $credValue = [System.Convert]::ToBase64String($binCert)
   $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
   Write-Host "[+] Trying to query the service principals for service: $ServiceName" -ForegroundColor Cyan
   $p = Get-MgServicePrincipal -Filter "AppId eq '$ServiceName'"
   Write-Host "[+] Trying to query the keyCredentials for service: $ServiceName" -ForegroundColor Cyan
   $servicePrincipalKeyInformation = Get-MgServicePrincipal -Filter "AppId eq '$ServiceName'" -Select "keyCredentials"
   
   $keyCredentialsLength = $servicePrincipalKeyInformation.KeyCredentials.Length
   if ($keyCredentialsLength -gt 0) {
      Write-Host "[+] $keyCredentialsLength existing key(s) found - we keep them if they have not expired" -ForegroundColor Cyan
   
      $newCertAlreadyExists = $false
      $servicePrincipalObj = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphServicePrincipal
      $keyCredentialsArray = @()
   
      foreach ($cred in $servicePrincipalKeyInformation.KeyCredentials) {
         $thumbprint = [System.Convert]::ToBase64String($cred.CustomKeyIdentifier)
   
         Write-Host "[+] Processing existing key: $($cred.DisplayName) thumbprint: $thumbprint" -ForegroundColor Cyan
   
         if ($newCertAlreadyExists -ne $true) {
            $newCertAlreadyExists = ($cer.Thumbprint).Equals($thumbprint, [System.StringComparison]::OrdinalIgnoreCase)
         }
   
         if ($cred.EndDateTime -lt (Get-Date)) {
            Write-Host "[+] This key has expired on $($cred.EndDateTime) and will not be retained" -ForegroundColor Yellow
            continue
         }
   
         $keyCredential = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphKeyCredential
         $keyCredential.Type = "AsymmetricX509Cert"
         $keyCredential.Usage = "Verify"
         $keyCredential.Key = $cred.Key
   
         $keyCredentialsArray += $keyCredential
      }
   
   
      if ($newCertAlreadyExists -eq $false) {
         Write-Host "[+] New key: $($cer.Subject) thumbprint: $($cer.Thumbprint) will be added" -ForegroundColor Cyan
         $keyCredential = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphKeyCredential
         $keyCredential.Type = "AsymmetricX509Cert"
         $keyCredential.Usage = "Verify"
         $keyCredential.Key = [System.Text.Encoding]::ASCII.GetBytes($credValue)
   
         $keyCredentialsArray += $keyCredential
   
         $servicePrincipalObj.KeyCredentials = $keyCredentialsArray
         Update-MgServicePrincipal -ServicePrincipalId $p.Id -BodyParameter $servicePrincipalObj
      } else {
         Write-Host "[+] New key: $($cer.Subject) thumbprint: $($cer.Thumbprint) already exists and will not be uploaded again" -ForegroundColor Yellow
      }
   } else {
      $params = @{
         type = "AsymmetricX509Cert"
         usage = "Verify"
         key = [System.Text.Encoding]::ASCII.GetBytes($credValue)
      }
   
      Write-Host "[+] This is the first key which will be added to this service principal" -ForegroundColor Cyan
      Update-MgServicePrincipal -ServicePrincipalId $p.Id -KeyCredentials $params
   }
   

3. 이전 단계에서 만든 PowerShell 스크립트를 실행합니다. 예를 들면 다음과 같습니다.

   .\UploadAuthCert.ps1
   

4. 스크립트를 시작하면 자격 증명 대화 상자가 표시됩니다. Microsoft Online Microsoft Entra 조직의 테넌트 관리자 계정에 대한 자격 증명을 입력합니다. 스크립트를 실행한 후 Microsoft Graph 세션에 연결된 Windows PowerShell을 열어 둡니다. 이 세션을 사용하여 다음 단계에서 PowerShell 스크립트를 실행합니다.

5단계: 내부 및 외부 온-프레미스 Exchange HTTP 엔드포인트에 대한 모든 호스트 이름 기관을 Microsoft Entra ID로 등록

하이브리드 최신 인증을 위한 내부 및 외부 URL을 포함하여 온-프레미스 Exchange 조직의 공개적으로 액세스할 수 있는 각 엔드포인트에 대해 이 단계에서 스크립트를 실행해야 합니다. 예를 들어 에서 Exchange를 외부에서 사용할 수 있는 https://mail.contoso.com/ews/exchange.asmx경우 서비스 주체 이름 https://mail.contoso.com를 사용합니다. 추가 외부 호스트 이름 기관을 등록하는 데는 제한이 없습니다.

온-프레미스 조직에서 Exchange 엔드포인트를 확인하려면 Exchange 관리 셸에서 다음 명령을 실행합니다.

Get-MapiVirtualDirectory | Format-List server,*url*
Get-WebServicesVirtualDirectory | Format-List server,*url*
Get-OABVirtualDirectory | Format-List server,*url*

1. RegisterEndpoints.ps1과 같이 이름을 지정한 PowerShell 스크립트 파일에 다음 텍스트를 저장합니다. 및 https://autodiscover.contoso.com/ 를 온-프레미스 Exchange 조직에 적합한 호스트 이름 기관으로 바꿉 https://mail.contoso.com/ 니다.

    $ServiceName = "00000002-0000-0ff1-ce00-000000000000";
    $x = Get-MgServicePrincipal -Filter "AppId eq '$ServiceName'"
    $x.ServicePrincipalNames += "https://mail.contoso.com/"
    $x.ServicePrincipalNames += "https://autodiscover.contoso.com/"
    Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
   

2. Microsoft Graph에 연결된 Windows PowerShell에서 이전 단계에서 만든 Windows PowerShell 스크립트를 실행합니다. 예:

   .\RegisterEndpoints.ps1
   

3. 모든 레코드가 추가되었는지 확인하려면 Microsoft Graph에 연결된 Windows PowerShell에서 다음 명령을 실행하고 결과에서 항목을 찾 https://namespace 습니다.

   Get-MgServicePrincipal -Filter "AppId eq '$ServiceName'" | Select-Object -ExpandProperty ServicePrincipalNames | Sort-Object
   

6단계: 온-프레미스 조직에서 Microsoft 365 또는 Office 365로 IntraOrganizationConnector 만들기

이 단계에서는 Exchange Server 온-프레미스가 Exchange Online 조직에 연결할 수 있도록 하는 을 구성 IntraOrganizationConnector 합니다. 이 커넥터를 사용하면 조직 전체에서 기능 가용성 및 서비스 연결을 사용할 수 있습니다. 온-프레미스 및 Microsoft 365 또는 Office 365 테넌트 모두에서 Get-IntraOrganizationConfiguration cmdlet을 사용하여 New-IntraOrganizationConnector cmdlet에 필요한 엔드포인트 값을 확인할 수 있습니다.

하이브리드 라우팅 도메인을 대상 주소로 구성합니다. 하이브리드 라우팅 도메인은 Microsoft 365 또는 Office 365 조직을 만들 때 자동으로 만들어집니다. 예를 들어 Microsoft 365 또는 Office 365 조직에서 추가되고 유효성을 검사한 첫 번째 도메인이 인 경우 대상 주소는 입니다contoso.comcontoso.mail.onmicrosoft.com.

Exchange PowerShell을 사용하여 온-프레미스 조직에서 다음 cmdlet을 실행합니다.

$ServiceDomain = (Get-AcceptedDomain | Where-Object {$_.DomainName -like "*.mail.onmicrosoft.com"}).DomainName.Address
New-IntraOrganizationConnector -Name ExchangeHybridOnPremisesToOnline -DiscoveryEndpoint https://outlook.office365.com/autodiscover/autodiscover.svc -TargetAddressDomains $ServiceDomain

7단계: Microsoft 365 또는 Office 365 조직에서 온-프레미스 Exchange 조직으로 IntraOrganizationConnector 만들기

이 단계에서는 Exchange Online이 온-프레미스 Exchange 조직에 연결할 수 있도록 하는 을 구성 IntraOrganizationConnector 합니다. 이 커넥터를 사용하면 조직 전체에서 기능 가용성 및 서비스 연결을 사용할 수 있습니다. 온-프레미스 및 Microsoft 365 또는 Office 365 테넌트 모두에서 Get-IntraOrganizationConfiguration cmdlet을 사용하여 New-IntraOrganizationConnector cmdlet에 필요한 엔드포인트 값을 확인할 수 있습니다.

Exchange 온-프레미스 조직에서 사용되는 모든 SMTP 도메인(및 hybrid routing domain제외)을 initial domain 로 TargetAddressDomains추가해야 합니다. 여러 SMTP 도메인이 있는 경우 쉼표로 구분된 목록(예 contoso.com: )tailspintoys.com으로 추가합니다. 또한 온-프레미스 자동 검색 엔드포인트를 로 DiscoveryEndpoint제공해야 합니다.

Exchange Online PowerShell에 연결한 후 및 <your on-premises SMTP domain(s)> 를 값으로 바꾸고 <your on-premises AutoDiscover endpoint> 다음 명령을 실행합니다.

New-IntraOrganizationConnector -Name ExchangeHybridOnlineToOnPremises -DiscoveryEndpoint <your on-premises AutoDiscover endpoint> -TargetAddressDomains <your on-premises SMTP domain(s)>

8단계: Exchange 2013 SP1 이전 버전 서버에 대해 AvailabilityAddressSpace 구성

이전 Exchange 조직에서 하이브리드 배포를 구성할 때 Exchange 2013 SP1 이상을 실행하는 Exchange 2013 서버가 하나 이상 필요합니다. Exchange 2013 서버에는 클라이언트 액세스 및 사서함 서버 역할이 필요합니다. Exchange 2013 서버는 기존 Exchange 온-프레미스 조직과 Exchange Online 조직 간의 통신을 조정합니다. 온-프레미스 조직에 Exchange 2013 서버를 둘 이상 설치하여 하이브리드 배포 기능의 안정성과 가용성을 높이는 것이 좋습니다.

Exchange 2010 또는 Exchange 2007을 사용하는 Exchange 2013 조직에서는 모든 인터넷 연결 프런트 엔드 서버가 SP1 이상을 실행하는 Exchange 2013 클라이언트 액세스 서버인 것이 좋습니다. 모든 EWS(Exchange Web Services) 요청은 Exchange 2013 클라이언트 액세스 서버를 통과해야 합니다. 이 요구 사항에는 Microsoft 365에서 온-프레미스 Exchange 조직으로의 요청 및 온-프레미스 Exchange 조직에서 Microsoft 365로의 요청이 포함됩니다. 처리 부하를 처리하고 연결 중복성을 제공하기에 충분한 Exchange 2013 클라이언트 액세스 서버가 있어야 합니다. 필요한 클라이언트 액세스 서버 수는 EWS 요청의 평균 양에 따라 달라지며 조직에 따라 다릅니다.

다음 단계를 완료하기 전에 아래 내용을 확인하세요.

• 프런트 엔드 하이브리드 서버는 Exchange 2013 SP1 이상입니다.
• Exchange 2013 서버에 대해 고유한 외부 EWS URL이 있는지 여부. 하이브리드 기능에 대한 클라우드 기반 요청이 올바르게 작동하려면 Microsoft 365 또는 Office 365 조직이 이러한 서버에 연결해야 합니다.
• 서버에 사서함 및 클라이언트 액세스 서버 역할이 모두 있는지 여부
• 기존 Exchange 2010/2007 사서함 및 클라이언트 액세스 서버에는 최신 CU(누적 업데이트) 또는 SP(서비스 팩)가 적용되어 있는지 여부

은 AvailabilityAddressSpace 온-프레미스 Exchange 2013 SP1 클라이언트 액세스 서버의 Exchange Web Services 엔드포인트를 가리키는 Exchange 2013 이전 클라이언트 액세스 서버에서 구성되어야 합니다. 이 끝점은 앞서 5단계에서 설명한 것과 동일한 끝점이거나, 온-프레미스 Exchange 2013 SP1 클라이언트 액세스 서버에서 다음 cmdlet을 실행하여 결정할 수 있습니다.

Get-WebServicesVirtualDirectory | Format-List AdminDisplayVersion,ExternalUrl

를 AvailabilityAddressSpace구성하려면 Exchange PowerShell을 사용하고 온-프레미스 조직에서 다음 cmdlet을 실행합니다.

Add-AvailabilityAddressSpace -AccessMethod InternalProxy -ProxyUrl <your on-premises external Exchange Web Services URL> -ForestName <your hybrid routing domain> -UseServiceAccount $true

작동 여부는 어떻게 확인하나요?

Test-OAuthConnectivity cmdlet을 사용하면 OAuth 구성이 올바른지 확인할 수 있습니다. 이 cmdlet은 온-프레미스 Exchange 및 Exchange Online 엔드포인트가 서로의 요청을 성공적으로 인증할 수 있음을 확인합니다.

온-프레미스 Exchange 조직에서 Exchange Online에 정상적으로 연결할 수 있는지 확인하려면 온-프레미스 조직의 Exchange PowerShell에서 다음 명령을 실행합니다.

Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com/ews/exchange.asmx -Mailbox <On-Premises Mailbox> -Verbose | Format-List

Exchange Online 조직이 온-프레미스 Exchange 조직에 성공적으로 연결할 수 있는지 확인하려면 Exchange Online PowerShell에 연결 하고 다음 명령을 실행합니다.

Test-OAuthConnectivity -Service EWS -TargetUri <external hostname authority of your Exchange On-Premises deployment>/metadata/json/1 -Mailbox <Exchange Online Mailbox> -Verbose | Format-List

예:

Test-OAuthConnectivity -Service EWS -TargetUri `https://mail.contoso.com/metadata/json/1` -Mailbox ExchangeOnlineBox1 -Verbose | Format-List