단일 Sign-On Microsoft 365용 AD FS 설정
이 비디오에서는 Microsoft 365와 함께 작동하도록 AD FS(Active Directory Federation Service)를 설정하는 방법을 보여 줍니다. AD FS 프록시 서버 시나리오는 다루지 않습니다. 이 비디오에서는 Windows Server 2012 R2용 AD FS에 대해 설명합니다. 그러나 이 절차는 1단계, 3단계 및 7단계를 제외하고 AD FS 2.0에도 적용됩니다. 이러한 각 단계에서 Windows Server 2008에서 이 절차를 사용하는 방법에 대한 자세한 내용은 "AD FS 2.0에 대한 참고 사항" 섹션을 참조하세요.
비디오의 단계에 대한 유용한 참고 사항
1단계: Active Directory Federation Services 설치
역할 및 기능 추가 마법사를 사용하여 AD FS를 추가합니다.
AD FS 2.0에 대한 참고 사항
Windows Server 2008을 사용하는 경우 Microsoft 365에서 작업하려면 AD FS 2.0을 다운로드하여 설치해야 합니다. 다음 Microsoft 다운로드 센터 웹 사이트에서 AD FS 2.0을 얻을 수 있습니다.
Active Directory Federation Services 2.0 RTW
설치 후 Windows 업데이트를 사용하여 적용 가능한 모든 업데이트를 다운로드하고 설치합니다.
2단계: 페더레이션 서버 이름에 대한 타사 CA에서 인증서 요청
Microsoft 365에는 AD FS 서버에서 신뢰할 수 있는 인증서가 필요합니다. 따라서 타사 CA(인증 기관)에서 인증서를 가져와야 합니다.
인증서 요청을 사용자 지정할 때 공용 이름 필드에 페더레이션 서버 이름을 추가해야 합니다.
이 비디오에서는 CSR(인증서 서명 요청)을 생성하는 방법만 설명합니다. CSR 파일을 타사 CA로 보내야 합니다. CA는 서명된 인증서를 반환합니다. 그런 다음, 다음 단계에 따라 인증서를 컴퓨터 인증서 저장소로 가져옵니다.
- 를 실행
Certlm.msc하여 로컬 컴퓨터의 인증서 저장소를 엽니다. - 탐색 창에서 개인을 확장하고 인증서를 확장하고 인증서 폴더를 마우스 오른쪽 단추로 클릭한 다음 가져오기를 클릭합니다.
페더레이션 서버 이름 정보
페더레이션 서비스 이름은 AD FS 서버의 인터넷 연결 도메인 이름입니다. Microsoft 365 사용자는 인증을 위해 이 도메인으로 리디렉션됩니다. 따라서 도메인 이름에 대한 공용 A 레코드를 추가해야 합니다.
3단계: AD FS 구성
페더레이션 서버 이름으로 이름을 수동으로 입력할 수 없습니다. 이름은 로컬 컴퓨터의 인증서 저장소에 있는 인증서의 주체 이름(일반 이름)에 따라 결정됩니다.
AD FS 2.0에 대한 참고 사항
AD FS 2.0에서 페더레이션 서버 이름은 IIS(인터넷 정보 서비스)의 "기본 웹 사이트"에 바인딩되는 인증서에 의해 결정됩니다. AD FS를 구성하기 전에 새 인증서를 기본 웹 사이트에 바인딩해야 합니다.
모든 계정을 서비스 계정으로 사용할 수 있습니다. 서비스 계정의 암호가 만료되면 AD FS의 작동이 중지됩니다. 따라서 계정의 암호가 만료되지 않도록 설정되어 있는지 확인합니다.
4단계: Microsoft 365 도구 다운로드
Windows PowerShell 및 Azure Active Directory 동기화 어플라이언스용 Windows Azure Active Directory 모듈은 Microsoft 365 포털에서 사용할 수 있습니다. 도구를 가져오려면 활성 사용자를 클릭한 다음 Single Sign-On: 설정을 클릭합니다.
5단계: Microsoft 365에 도메인 추가
이 비디오에서는 Microsoft 365에 도메인을 추가하고 확인하는 방법을 설명하지 않습니다. 해당 절차에 대한 자세한 내용은 Microsoft 365에서 도메인 확인을 참조하세요.
6단계: Microsoft 365에 AD FS 연결
AD FS를 Microsoft 365에 연결하려면 Windows PowerShell용 Windows Azure Directory 모듈에서 다음 명령을 실행합니다.
메모 명령에서 Set-MsolADFSContext 페더레이션 서버 이름 대신 내부 도메인에 있는 AD FS 서버의 FQDN을 지정합니다.
Enable-PSRemoting
Connect-MsolService
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>
참고
Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.
Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 메모: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.
명령이 성공적으로 실행되면 다음이 표시됩니다.
- "Microsoft 365 플랫폼 식별" 신뢰 당사자 트러스트가 AD FS 서버에 추가됩니다.
- 사용자 지정 도메인 이름을 전자 메일 주소 접미사로 사용하여 Microsoft 365 포털에 로그인하는 사용자는 AD FS 서버로 리디렉션됩니다.
7단계: 로컬 Active Directory 사용자 계정을 Microsoft 365에 동기화
내부 도메인 이름이 전자 메일 주소 접미사로 사용되는 외부 도메인 이름과 다른 경우 로컬 Active Directory 도메인에 외부 도메인 이름을 대체 UPN 접미사로 추가해야 합니다. 예를 들어 내부 도메인 이름은 "company.local"이지만 외부 도메인 이름은 "company.com"입니다. 이 경우 대체 UPN 접미사로 "company.com"를 추가해야 합니다.
디렉터리 동기화 도구를 사용하여 사용자 계정을 Microsoft 365에 동기화합니다.
AD FS 2.0에 대한 참고 사항
AD FS 2.0을 사용하는 경우 계정을 Microsoft 365로 동기화하기 전에 사용자 계정의 UPN을 "company.local"에서 "company.com"로 변경해야 합니다. 그렇지 않으면 사용자가 AD FS 서버에서 유효성을 검사하지 않습니다.
8단계: 단일 Sign-On 클라이언트 컴퓨터 구성
Internet Explorer의 로컬 인트라넷 영역에 페더레이션 서버 이름을 추가하면 사용자가 AD FS 서버에서 인증을 시도할 때 NTLM 인증이 사용됩니다. 따라서 자격 증명을 입력하라는 메시지가 표시되지 않습니다.
관리자는 그룹 정책 설정을 구현하여 도메인에 가입된 클라이언트 컴퓨터에서 단일 Sign-On 솔루션을 구성할 수 있습니다.