다음을 통해 공유


페더레이션 트러스트 구성

적용 대상: Exchange Server 2013

페더레이션 트러스트는 Microsoft Exchange 2013 조직과 Microsoft Entra 인증 시스템 간에 트러스트 관계를 설정합니다. 페더레이션 트러스트를 구성하면 다른 페더레이션 Exchange 조직과의 페더레이션 공유를 구성하여 받는 사람 간에 약속 있음/없음 일정 정보를 공유할 수 있습니다. 페더레이션된 공유는 두 페더레이션된 Exchange 2013 조직 간에 또는 페더레이션된 Exchange 2013 조직과 페더레이션된 Exchange 2010 조직 간에 구성할 수 있습니다. Microsoft 365 또는 Office 365 조직과의 공유를 설정할 수도 있습니다.

참고

페더레이션 트러스트를 만드는 단계는 Exchange 조직에서 페더레이션 공유를 설정하는 여러 단계 중 하나입니다. 모든 단계를 검토하려면 페더레이션 공유 구성을 참조하세요.

페더레이션과 관련된 추가 관리 작업은 페더레이션 절차를 참조하세요.

중요

Exchange Server 2013의 이 기능은 현재 중국에서 21Vianet에 의해 운영되는 Office 365와는 완전히 호환되지는 않으며 일부 기능 제한이 적용될 수 있습니다. 자세한 내용은 21Vianet에서 운영하는 Office 365를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • 예상 완료 시간: 30분.

  • 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange 및 Shell 인프라 권한 항목의 "페더레이션 및 인증서" 권한 항목을 참조하세요.

  • 페더레이션 트러스트를 설정하는 데 사용되는 도메인을 인터넷에서 확인할 수 있어야 합니다. 이렇게 하려면 도메인 등록 기관에 도메인을 등록해야 하고 인터넷에서 액세스할 수 있는 DNS 서버에 도메인의 DNS(Domain Name System) 영역을 호스트해야 합니다. 조직이 도메인에 대한 인터넷 전자 메일을 받는 경우 이러한 요구 사항이 이미 충족된 것입니다.

  • 공용 DNS에 TXT 레코드를 추가해야 합니다. 공용 DNS 레코드를 호스트하는 조직의 TXT 레코드 추가를 위한 요구 사항을 검토하십시오.

  • 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.

  • 페더레이션 공유 관계의 두 Exchange 조직은 페더레이션 트러스트에 동일한 Microsoft Entra 인증 시스템을 사용해야 합니다. 이 요구 사항은 두 온-프레미스 Exchange 조직 또는 온-프레미스 Exchange 조직과 Microsoft 365 또는 Office 365에서 호스트하는 Exchange 조직 간에 페더레이션 공유를 구성할 때 적용됩니다.

  • Exchange 2013 조직에 대한 Microsoft Entra 인증 시스템과 페더레이션 트러스트를 만들면 페더레이션 트러스트는 Microsoft Entra 인증 시스템의 비즈니스 인스턴스를 사용합니다. 그러나 이전 버전의 Exchange 및 기존 페더레이션 트러스트를 사용하는 다른 페더레이션된 Exchange 조직은 Microsoft Entra 인증 시스템의 비즈니스 또는 소비자 인스턴스를 사용할 수 있습니다.

    다음 Exchange 조직에서는 기본적으로 Microsoft Entra 인증 시스템의 비즈니스 인스턴스를 사용합니다.

    • 페더레이션 트러스트 사용 마법사와 페더레이션 트러스트에 자체 서명된 인증서를 사용하는 Exchange 2013 조직
    • 새 페더레이션 트러스트 마법사 및 페더레이션 트러스트에 대해 자체 서명된 인증서를 사용하여 Exchange 2010 SP1 이상 조직
    • Microsoft 365 및 Office 365에서 호스트하는 Exchange 조직

    다음 Exchange 조직에서는 기본적으로 Microsoft Entra 인증 시스템의 소비자 인스턴스를 사용합니다.

    • 타사 인증 기관에서 발급한 인증서를 사용하여 RTM(제조) 버전의 Exchange 2010 조직에 릴리스합니다.

    모든 Exchange 조직에서는 페더레이션 트러스트에 Microsoft Entra 인증 시스템의 비즈니스 인스턴스를 사용하는 것이 좋습니다. 두 Exchange 조직 간에 페더레이션된 공유를 구성하기 전에 각 Exchange 조직에서 기존 페더레이션 트러스트에 사용하는 Microsoft Entra 인증 시스템 인스턴스를 확인해야 합니다. Exchange 조직에서 기존 페더레이션 트러스트에 사용하는 Microsoft Entra 인증 시스템 인스턴스를 확인하려면 다음 Shell 명령을 실행합니다.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    비즈니스 인스턴스는 TokenIssuerURIs 매개 변수의 값을 <uri:federation:MicrosoftOnline> 반환합니다.

    소비자 인스턴스는 TokenIssuerURIs 매개 변수에 대한 값을 <uri:WindowsLiveID> 반환합니다.

    Microsoft Entra 인증 시스템의 비즈니스 인스턴스를 사용하는 기존 페더레이션 트러스트가 있는 Exchange 조직과의 페더레이션 공유를 구성하려면 이 항목의 단계를 수행합니다. 이러한 단계는 두 Exchange 2013 조직 간 또는 이미 Microsoft Entra 인증 시스템의 비즈니스 인스턴스를 사용하고 있는 Exchange 2013 조직과 Exchange 2010 조직 간에 페더레이션 공유를 사용하도록 설정하는 데 사용할 수 있는 페더레이션 트러스트를 만드는 데 필요한 모든 단계입니다.

    Microsoft Entra 인증 시스템의 소비자 인스턴스를 사용하는 기존 페더레이션 트러스트가 있는 Exchange 2013 조직과 Exchange 조직 간에 페더레이션된 공유를 구성하려면 소비자 인스턴스를 사용하는 Exchange 조직에서 Exchange 2010 SP2 이상을 설치하거나 Exchange 2013으로 업그레이드해야 합니다. Exchange 2010 SP2 이상을 설치하려면 새 페더레이션 트러스트 마법사를 사용하여 기존 페더레이션 도메인 및 페더레이션 트러스트를 제거한 후 다시 만듭니다. 페더레이션 트러스트를 다시 만들면 Microsoft Entra 인증 시스템의 비즈니스 인스턴스가 사용됩니다.

EAC를 사용하여 페더레이션 트러스트 만들기 및 구성

  1. 온-프레미스 조직의 Exchange 2013 서버에서 조직>공유로 이동합니다.

  2. 사용을 클릭하고 페더레이션 트러스트 사용 마법사를 시작합니다.

  3. 마법사가 완료되면 닫기를 클릭합니다.

  4. 공유 탭의 페더레이션 트러스트 섹션에서 수정을 클릭합니다.

  5. 1단계 옆의 공유 사용 가능 도메인에서 찾아보기를 클릭합니다.

  6. 허용 도메인 선택의 목록에서 기본 공유 정책을 선택하고 확인을 클릭합니다.

    참고

    선택한 도메인이 페더레이션 트러스트의 OrgID를 구성하는 데 사용됩니다. OrgID에 대한 자세한 내용은 페더레이션 항목을 참조하십시오.

  7. 기본 공유 도메인에 대해 생성된 페더레이션 도메인 증명을 기록해 둡니다. 이 문자열을 사용하여 공용 DNS 서버에 TXT 레코드를 만듭니다.

    중요

    페더레이션 도메인 증명은 영숫자 문자열입니다. 입력 오류를 방지하려면 EAC에서 문자열을 복사하여 메모장과 같은 텍스트 편집기에 붙여넣는 것이 좋습니다. 그러면 텍스트 편집기의 문자열을 클립보드에 복사하고 TXT 레코드를 만들 때 텍스트 필드에 붙여 넣을 수 있습니다. 잘못된 페더레이션된 도메인 증명 문자열을 사용하여 TXT 레코드를 만든 경우 Microsoft Entra 인증 시스템에서 도메인 소유권 증명을 확인할 수 없으며 페더레이션된 조직 식별자에 추가할 수 없습니다.

  8. 2단계에서 추가 아이콘 추가를 클릭합니다. 페더레이션된 공유 기능이 필요한 조직의 사용자가 사용할 메일 주소에 대한 페더레이션된 트러스트에 도메인을 추가합니다. 예를 들어 이메일 주소(예: sales.contoso.com)에 하위 도메인을 사용하는 사용자가 있는 경우 페더레이션 트러스트에 sales.contoso.com 도메인을 추가합니다.

    참고

    선택한 각 추가 도메인에 대해 페더레이션 도메인 증명 문자열이 만들어집니다. 공용 DNS에 각 추가 도메인에 대한 개별 TXT 레코드를 만들어야 합니다.

  9. 각 도메인에 대해 만들어진 페더레이션 도메인 증명 문자열을 사용하여 공용 DNS 서버에서 이러한 각 도메인에 대한 TXT 레코드를 만듭니다. 공용 DNS 호스트의 업데이트 일정에 따라 DNS 변경 사항 복제에 15분 이상 걸릴 수 있습니다.

  10. TXT 레코드가 만들어지고 복제된 후 업데이트를 클릭합니다.

셸을 사용하여 페더레이션 트러스트 만들기 및 구성

  1. 이 명령을 실행하여 페더레이션 신뢰 인증서에 대한 고유한 주체 키 식별자를 만듭니다.

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. 이 구문을 사용하여 페더레이션 트러스트에 대한 자체 서명된 인증서를 만듭니다.

    New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    

    이 예제에서는 Microsoft Entra 인증 시스템과 페더레이션 트러스트에 대한 자체 서명된 인증서를 만듭니다. 인증서는 이름 값 Exchange 페더레이션 공유를 사용하며 도메인 값은 USERDNSDOMAIN 환경 변수에서 검색됩니다.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. 페더레이션 트러스트를 만들고 이전 단계에서 만든 자체 서명된 인증서를 조직의 Exchange 서버에 자동으로 배포하려면 다음 구문을 사용합니다.

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
    

    다음은 Microsoft Entra authentication이라는 페더레이션 트러스트를 만들고 Exchange Federated Sharing이라는 자체 서명된 인증서를 배포하는 예제입니다.

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
    
  4. 이 구문을 사용하여 페더레이션 트러스트에 대해 구성할 모든 도메인에 필요한 도메인 소유권 증명 TXT 레코드를 반환합니다.

    Get-FederatedDomainProof -DomainName <domain>
    

    이 예제에서는 기본 공유 도메인 contoso.com 필요한 도메인 소유권 증명 TXT 레코드를 반환합니다.

    Get-FederatedDomainProof -DomainName contoso.com
    

    참고:

    • 페더레이션 트러스트에 대해 구성된 각 도메인 또는 하위 도메인에는 도메인 소유권 증명 TXT 레코드가 필요하므로 다른 DomainName 값을 사용하여 이 명령을 여러 번 실행해야 할 수 있습니다.

    • 셸을 마우스 오른쪽 단추로 클릭하고 표시를 선택하고 Proof 값을 선택한 다음 Enter 키를 눌러 TXT 레코드를 만들 때 사용할 수 있도록 도메인 증명 문자열을 복사하는 것이 좋습니다. 잘못된 페더레이션된 도메인 증명 문자열을 사용하여 TXT 레코드를 만드는 경우 Microsoft Entra 인증 시스템에서 도메인 소유권을 확인할 수 없으며 페더레이션된 조직 식별자에 추가할 수 없습니다.

  5. 이전 단계의 정보를 사용하여 페더레이션 트러스트에 포함될 모든 도메인의 공용 DNS 서버에 TXT 레코드를 만듭니다. 공용 DNS 호스트의 업데이트 일정에 따라 DNS 변경 사항 복제에 15분 이상 걸릴 수 있습니다. 새 TXT 레코드를 사용할 수 있는지 확인한 후 계속합니다.

    중요

    페더레이션/공유되는 모든 도메인에 대해 TXT 레코드를 만들어야 합니다. 하이브리드 환경인 경우 Exchange Online에서 유효성을 검사하는 모든 허용된 도메인에 TXT 레코드가 생성되어야 합니다.

  6. 다음 명령을 실행하여 Microsoft Entra ID에서 메타데이터 및 인증서를 검색합니다.

    Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
    
  7. 이 구문을 사용하여 3단계에서 만든 페더레이션 트러스트에 대한 기본 공유 도메인을 구성합니다. 지정한 도메인은 페더레이션 트러스트에 대한 조직 식별자(OrgID)를 구성하는 데 사용됩니다. OrgID에 대한 자세한 내용은 페더레이션된 조직 식별자를 참조하세요.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
    

    다음은 허용된 도메인 contoso.com Microsoft Entra authentication이라는 페더레이션 트러스트의 기본 공유 도메인으로 구성하는 예제입니다.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
    
  8. 페더레이션 트러스트에 다른 도메인을 추가하려면 다음 구문을 사용합니다.

    Add-FederatedDomain -DomainName <AdditionalDomain>
    

    이 예제에서는 하위 도메인 sales.contoso.com 페더레이션된 트러스트에 추가합니다. sales.contoso.com 도메인에 이메일 주소가 있는 사용자는 페더레이션된 공유 기능이 필요하기 때문입니다.

    Add-FederatedDomain -DomainName sales.contoso.com
    

    페더레이션 트러스트에 추가하는 도메인 또는 하위 도메인에는 도메인 소유권 증명 TXT 레코드가 필요합니다.

자세한 구문 및 매개 변수 정보는 New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifierAdd-FederatedDomain을 참조하세요.

작동 여부는 어떻게 확인하나요?

페더레이션 트러스트 사용공유 사용 가능 도메인 마법사가 성공적으로 완료되면 페더레이션 트러스트가 예상대로 구성된 것입니다.

페더레이션 트러스트가 만들어지고 구성되었는지 확인하려면 다음을 수행합니다.

  1. 페더레이션 트러스트 정보를 확인하려면 다음 셸 명령을 실행합니다.

    Get-FederationTrust | Format-List
    
  2. <PrimarySharedDomain>을 기본 공유 도메인으로 바꾸고 다음 Shell 명령을 실행하여 조직에서 페더레이션 정보를 검색할 수 있는지 확인합니다.

    Get-FederationInformation -DomainName <PrimarySharedDomain>
    

구문과 매개 변수에 대한 자세한 내용은 Get-FederationTrustGet-FederationInformation을 참조하십시오.

문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Server의 포럼을 방문하세요.