다음을 통해 공유


Microsoft 365에서 SharePoint Server로의 연결 계획

적용 대상:예-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

이 문서는 기업용 Microsoft 365에서 역방향 프록시 디바이스를 통해 SharePoint Server로의 인바운드 연결을 계획하고 구성할 준비를 하는 데 도움이 되도록 설계되었습니다. 이 작업은 다음 하이브리드 환경에 필요합니다.

  • 인바운드 하이브리드 검색(Microsoft 365에서 SharePoint Server의 검색 결과 표시)

  • 하이브리드 Business Connectivity Services

이 문서에서는 구성 프로세스를 시작하기 전에 필수 구성 요소 및 필요한 정보를 수집하는 워크시트와 같이 알아야 할 정보를 제공합니다.

이 항목은 다음 작업을 수행하도록 도와줍니다.

  • 인바운드 연결에 대한 필수 구성 요소 및 요구 사항 이해

  • 웹 응용 프로그램 아키텍처 계획

  • SSL 인증서 계획

  • 핵심 결정 사항 및 정보 기록

정보 수집, 워크시트 기록 및 로그 정보 작성

워크시트. 계획 프로세스 중에는 정보 및 파일을 수집해야 합니다. SharePoint 하이브리드 워크시트를 사용하여 참조에 대한 계획 및 배포 정보를 추적하고 배포 팀의 다른 구성원과 공유하는 것이 중요합니다. 구성 프로세스를 시작하기 전에 이 워크시트를 사용하여 정보를 구성하는 것의 중요성을 충분히 강조할 수는 없습니다.

빌드 로그 만들기. 복잡한 구현 프로세스의 경우처럼 모든 디자인 결정, 서버 구성, 절차, 명령 출력 및 오류의 자세한 기록은 문제 해결, 지원 및 상황 파악에 중요한 참조 사항이 됩니다. 배포 프로세스를 철저히 문서화하는 것이 반드시 필요합니다.

주의

보안상의 이유로 워크시트와 빌드 로그를 보안 파일 공유 또는 Microsoft 365 문서 라이브러리의 SharePoint와 같이 보안이 강화된 위치에 저장하고 배포 프로세스에 참여하고 이 정보를 알고 있어야 하는 관리자에게만 권한을 부여합니다.

URL 및 호스트 이름 정보 수집 및 기록

이 섹션에서는 작업 환경의 URL 및 호스트 이름에 대한 정보를 기록합니다. 이 정보는 배포 프로세스 중에 사용됩니다.

  • 회사의 공용 DNS 도메인 이름(예: adventureworks.com)을 기록합니다.

  • SharePoint 하이브리드에 사용할 역방향 프록시 디바이스의 공용 엔드포인트 URL을 기록합니다. 이것은 외부 URL입니다. 이 엔드포인트가 아직 없는 경우 이 URL이 무엇인지 결정해야 합니다.

  • 역방향 프록시 장치의 외부 끝점 IP 주소를 기록합니다.

  • A 레코드(호스트 레코드라고도 함)가 외부 URL을 역방향 프록시 장치에 있는 인터넷 연결 끝점의 IP 주소에 매핑하는 공용 도메인에 대한 공용 DNS 정방향 조회 영역에 있는지 확인합니다. 이 A 레코드가 아직 없는 경우 지금 만듭니다.

  • SharePoint Server 팜의 호스트 이름을 IP 주소에 매핑하는 인 트라넷 DNS 정방향 조회 영역에 A 레코드가 있는지 확인합니다. 이 A 레코드가 아직 없는 경우 지금 만듭니다.

    중요

    배포 프로세스 중에 웹 응용 프로그램에 액세스하도록 내부 URL을 구성하는 경우 인트라넷 DNS 정방향 조회 영역에 대한 A 레코드를 만들고 워크시트에 기록해야 합니다.

   
편집 아이콘 SharePoint 하이브리드 워크시트의 표 3에 다음 정보를 기록합니다.
공용 인터넷 도메인 이름 행에 공용 회사 DNS 도메인의 도메인 이름
외부 URL 행에 역방향 프록시 장치의 공용 끝점 URL
외부 끝점의 IP 주소 행에 역방향 프록시 장치의 외부 끝점 IP 주소

웹 응용 프로그램 아키텍처 계획

이 섹션에서는 하이브리드 환경에서 사용할 SharePoint Server 웹 애플리케이션의 아키텍처를 계획하는 데 도움이 됩니다.

인바운드 연결에는 온-프레미스 SharePoint Server 팜과 Microsoft 365의 SharePoint 간에 보안 통신 채널이 필요합니다. 데이터는 Microsoft 365의 SharePoint 사이트 모음과 이 통신 채널을 통해 온-프레미스 웹 애플리케이션 간에 교환됩니다.

Microsoft 365의 SharePoint는 SharePoint 하이브리드용으로 구성된 온-프레미스 SharePoint Server 팜의 특정 웹 애플리케이션에 요청을 릴레이하는 역방향 프록시 서버에 요청을 보냅니다. 이 웹 응용 프로그램을 기본 웹 응용 프로그램이라고 합니다.

구성하려는 하이브리드 솔루션 수에 관계없이, 일반적으로 기본 웹 응용 프로그램은 하나만 사용하게 됩니다. 각 추가 하이브리드 솔루션에 대한 추가 기본 웹 애플리케이션을 만들 필요가 없습니다.

기본 웹 애플리케이션과 기본 웹 애플리케이션 내의 단일 사이트 모음은 모두 Microsoft 365의 SharePoint에서 인바운드 연결을 허용하도록 구성해야 합니다.

SharePoint 관리자는 기본 웹 애플리케이션과 함께 배포되는 하이브리드 솔루션을 지원하는 데 필요한 서비스 및 연결 개체를 연결합니다. 기능별 구성을 사용하여 온-프레미스 SharePoint Server 웹 애플리케이션에서 아웃바운드 연결을 만들 수 있습니다.

SharePoint Server 웹 애플리케이션은 만드는 사이트 모음에 대한 논리적 단위 역할을 하는 IIS(인터넷 정보 서비스) 웹 사이트로 구성됩니다. 각 웹 응용 프로그램은 고유하거나 공유된 응용 프로그램 풀, 고유한 공용 URL을 갖는 다른 IIS 웹 사이트로 표현되며, AAM(대체 액세스 매핑)을 사용하는 최대 5개의 내부 URL을 사용하도록 구성할 수 있습니다. 지정된 웹 응용 프로그램은 단일 콘텐츠 데이터베이스와 연결되고 특정 인증 방법을 사용하여 데이터베이스에 연결되도록 구성됩니다. 다중 웹 응용 프로그램은 다른 인증 방법 및 경우에 따라 AAM을 사용하여 단일 콘텐츠 데이터베이스에 대한 액세스를 허용하도록 구성할 수 있습니다.

웹 애플리케이션의 공용 URL은 웹 애플리케이션을 통해 액세스되는 사이트 및 콘텐츠에 대한 모든 링크에서 항상 루트 URL로 사용됩니다. AAM에 구성된 내부 URL이 있는 공용 URL https://spexternal.adventureworks.comhttps://sharepoint 이 있는 웹 애플리케이션을 고려합니다. 내부 URL https://sharepoint로 이동하면 SharePoint Server는 URL https://spexternal.adventureworks.com이 있는 웹 사이트를 반환하고 사이트 내의 모든 링크에는 해당 경로를 기반으로 하는 URL이 있습니다.

AAM(대체 액세스 매핑)은 외부 URL과 다른 공용 URL이 있는 경로 기반 사이트 모음을 사용하여 인바운드 연결을 구성하는 경우에만 필요합니다. AAM을 사용하면 외부 URL을 조직 내 Microsoft 365 사이트의 SharePoint 내부 URL과 연결할 수 있습니다. 이를 통해 SharePoint Server는 AAM에 구성된 내부 URL에 대한 요청을 해당 기본 웹 애플리케이션으로 라우팅할 수 있습니다.

클레임 기반 웹 애플리케이션에 대한 자세한 내용은 SharePoint Server에서 클레임 기반 웹 애플리케이션 만들기를 참조하세요.

웹 애플리케이션을 확장하는 방법에 대한 자세한 내용은 SharePoint에서 클레임 기반 웹 애플리케이션 확장을 참조하세요.

사이트 모음에 대한 자세한 내용은 SharePoint Server의 사이트 및 사이트 모음 개요를 참조하세요.

사이트 모음 전략 선택

기존 웹 응용 프로그램을 사용하거나 새 웹 응용 프로그램을 만들기로 결정하기 전에 웹 응용 프로그램 및 사이트 모음이 하이브리드 기능을 지원하기 위해 충족해야 하는 구성 요구 사항을 이해해야 합니다. 이 섹션의 정보를 사용하여 새 웹 응용 프로그램 및 사이트 모음을 만들기 위한 전략을 결정하거나 기존 웹 응용 프로그램의 사이트 모음을 하이브리드 환경에서 사용할 수 있는지 여부를 확인합니다.

다음 그림에서는 사이트 모음 전략을 결정하기 위한 결정 흐름을 보여줍니다.

단방향 인바운드 또는 양방향 SharePoint 하이브리드 인증 토폴로지에 대한 세 가지 가능한 사이트 모음 전략입니다.

하이브리드 웹 응용 프로그램을 위한 요구 사항

하이브리드 기능에 사용되는 웹 응용 프로그램은 이러한 모든 요구 사항을 충족해야 합니다.

  • 웹 응용 프로그램의 공용 URL이 외부 URL과 동일해야 함

    OAuth 프로토콜은 SharePoint 하이브리드 솔루션에 사용자 권한 부여를 제공합니다. SharePoint 온-프레미스에 대한 Microsoft 365 통신의 모든 SharePoint에 있는 호스트 요청 헤더에는 요청이 원래 전송된 URL이 포함됩니다. Microsoft 365의 SharePoint에서 인바운드 요청을 인증하려면 온-프레미스 SharePoint 인증 서비스가 Microsoft 365의 SharePoint에서 기본 웹 애플리케이션의 공용 URL까지 모든 트래픽에서 이 URL을 일치시킬 수 있어야 합니다. 이것은 외부 URL입니다. SharePoint 하이브리드 환경에 대해 호스트 이름이 지정된 사이트 모음을 사용할 때의 한 가지 이점은 외부 URL과 동일한 URL을 사용하도록 호스트 이름이 지정된 사이트 모음을 구성할 수 있다는 것입니다. 따라서 대체 액세스 매핑을 구성할 필요가 없습니다.

  • 웹 응용 프로그램을 NTML을 사용하는 통합 Windows 인증을 사용하도록 구성해야 함

    서버 간 인증 및 앱 인증을 지원하는 시나리오에서 배포되는 웹 응용 프로그램에는 NTML을 사용하는 통합 Windows 인증이 필요합니다. 자세한 내용은 SharePoint Server에서 서버 간 인증 계획을 참조하세요.

    SharePoint 하이브리드에 대한 클레임 인증 유형

특정 사이트 모음 구성에 대한 요구 사항

하이브리드 기능에 사용되는 사이트 모음은 이러한 모든 요구 사항을 충족해야 하며, 웹 응용 프로그램 요구 사항을 충족하는 웹 응용 프로그램에 존재하거나 이러한 프로그램에서 만들어져야 합니다.

  • 호스트 이름으로 된 사이트 모음

    • 웹 응용 프로그램은 호스트 이름이 지정된 사이트 모음을 지원해야 합니다.

      호스트 이름이 지정된 사이트 모음을 만들려면 이를 위한 웹 응용 프로그램을 만들어야 합니다. 웹 응용 프로그램을 만든 후에는 이 기능을 사용하도록 설정할 수 없습니다.

      호스트 이름이 지정된 사이트 모음을 만드는 방법에 대한 자세한 내용은 SharePoint Server의 호스트 이름 사이트 모음 아키텍처 및 배포를 참조하세요.

      참고

      이 내용은 응용 프로그램의 요구 사항이지만 호스트 이름이 지정된 사이트 모음이 있는 환경에만 적용되므로 여기에 나와 있습니다.

    • 온-프레미스 DNS 서버는 분할된 DNS로 구성해야 합니다. 공용 URL에 사용한 공용 인터넷 도메인에 대한 정방향 조회 영역을 만들고 SharePoint Server의 IP 주소와 외부 URL의 호스트 이름이 있는 정방향 조회 영역에 A(호스트) 레코드 를 만들어야 합니다.

      중요

      역방향 프록시 디바이스는 이 앞으로 조회 영역에서 호스트 이름을 확인하여 SharePoint Server 팜에 인바운드 요청을 릴레이할 수 있어야 합니다.

  • 경로 기반 사이트 모음

    • 공용 URL이 외부 URL과 동일한 경우

      온-프레미스 DNS 서버는 분할된 DNS로 구성해야 합니다. 공용 URL에 사용한 공용 인터넷 도메인에 대한 앞으로 조회 영역을 만들고 SharePoint Server의 IP 주소와 외부 URL의 호스트 이름이 있는 앞으로 조회 영역에 A 레코드 를 만들어야 합니다.

      중요

      역방향 프록시 디바이스는 이 앞으로 조회 영역에서 호스트 이름을 확인하여 SharePoint Server 팜에 인바운드 요청을 릴레이할 수 있어야 합니다.

      이 방법으로 SharePoint 하이브리드에 대한 웹 응용 프로그램을 쉽게 구성할 수 있습니다. 이 작업의 목표는 새 웹 응용 프로그램의 공용 URL 필드와 역방향 프록시의 공용 끝점 URL(외부 URL이라고도 함)이 일치하는지 확인하는 것입니다.

    • 공용 URL이 외부 URL과 다른 경우

      Microsoft 365의 SharePoint에서 인바운드 요청을 릴레이하도록 AAM(대체 액세스 매핑)을 구성해야 합니다.

      기본 웹 응용 프로그램을 확장하고 외부 URL을 공용 URL로 사용합니다. 그런 후 확장된 웹 응용 프로그램과 동일한 보안 영역에 브리징 URL로 사용할 내부 URL을 만듭니다(내부 URL 추가 사용). 또한 Microsoft 365의 SharePoint에서 이 브리징 URL로 인바운드 요청을 릴레이하도록 역방향 프록시 디바이스를 구성합니다.

      AAM(대체 액세스 매핑)은 외부 URL과 다른 공용 URL이 있는 경로 기반 사이트 모음을 사용하여 인바운드 연결을 구성하는 경우에만 필요합니다.

참고

외부 URL은 역방향 프록시 장치의 인터넷 연결 끝점 URL입니다.

   
편집 아이콘 워크시트의 표 2, 사이트 모음 전략 행에 선택한 사이트 모음 전략을 기록합니다.

기존 웹 응용 프로그램을 선택하거나 새 응용 프로그램을 만듭니다.

기존 웹 응용 프로그램을 사용하거나 기본 웹 응용 프로그램으로 사용할 새 웹 응용 프로그램을 만들 수 있습니다.

하이브리드 기능에 사용되는 웹 응용 프로그램을 별도로 관리하고 싶거나 기존 웹 응용 프로그램이 사이트 모음 전략 선택 섹션에 나열된 요구 사항을 충족하지 않을 경우 새 웹 응용 프로그램을 만들어야 합니다.

   
편집 아이콘 표 2의 새 웹 응용 프로그램 또는 기존 웹 응용 프로그램 행에 결정 사항을 기록합니다.

기존 웹 응용 프로그램 사용 계획

기존 웹 응용 프로그램을 기본 웹 응용 프로그램으로 사용하기로 결정한 경우 기본 웹 응용 프로그램의 URL과 최삳위 사이트 모음의 URL을 수집한 후 워크시트에 표시합니다.

   
편집 아이콘 워크시트에 다음 정보를 기록합니다.
사이트 모음 전략에 따라 표 5a, 5b 또는 5c의 기본 웹 응용 프로그램 URL 행에 기본 웹 응용 프로그램의 URL을 기록합니다.
기존 호스트 이름이 지정된 사이트 모음을 사용하는 경우에는 표 5a의 호스트 이름이 지정된 사이트 모음 URL 행에 최상위 사이트 모음의 URL을 기록합니다.

새 웹 응용 프로그램 생성 계획

새 웹 응용 프로그램을 만들기로 결정한 경우 하이브리드 토폴로지를 구성할 때 이 방법이 제공됩니다.

SSL 인증서 계획

SSL 인증서는 서버 ID를 설정하고 SharePoint 하이브리드 환경에서 여러 서비스 및 연결에 대한 인증서 인증을 제공합니다. 보안 채널 SSL 인증서와 STS 인증서라는 두 개의 SSL 인증서가 있어야 합니다.

SharePoint 하이브리드 환경에서 SSL 인증서를 사용하는 방법에 대한 자세한 내용은 SharePoint 2013 하이브리드 토폴로지: 인증서 및 인증 모델을 참조하세요.

참고

SSL을 사용하여 온-프레미스 SharePoint 팜의 보안을 유지하도록 선택한 경우 기본 웹 응용 프로그램에 대한 SSL 인증서도 필요합니다. 이 인증서에 대한 하이브리드 관련 고려 사항은 없으므로 SSL을 사용하여 SharePoint Server를 구성하기 위한 일반적인 모범 사례를 따를 수 있습니다.

참고

"보안 채널"은 인증서 클래스가 아닙니다. 이 용어는 이 특정 인증서를 환경에서 사용되는 다른 SSL 인증서와 구별하는 방법으로 사용합니다.

보안 채널 SSL 인증서 정보

보안 채널 SSL 인증서는 서버 및 클라이언트 인증서 역할을 하는 역방향 프록시 디바이스와 Microsoft 365 간의 보안 통신 채널에 대한 인증 및 암호화를 제공합니다. 또한 온-프레미스 SharePoint Server 사이트 모음을 게시하는 데 사용되는 역방향 프록시 엔드포인트의 ID도 확인합니다.

이 인증서는 와일드카드 또는 SAN 인증서여야 하며 공용 루트 인증 기관에서 발급해야 합니다. 이 인증서의 주체 필드에는 역방향 프록시 서버 외부 끝점의 호스트 이름 또는 네임스페이스의 모든 호스트 이름을 포괄하는 와일드카드 URL이 포함되어야 합니다. 또한 2048비트 이상의 암호화를 사용해야 합니다.

중요

와일드카드 인증서는 단일 수준의 DNS 네임스페이스의 보안만 유지할 수 있습니다. 예를 들어 외부 URL이 인 경우 와일드카드 인증서의 주체는 https://spexternal.public.adventureworks.com*.adventureworks.com 아니라 *.public.adventureworks.com 이어야 합니다.

Microsoft 365의 SharePoint가 SharePoint Server에서 정보를 요청하도록 구성된 시나리오에서는 다음을 수행하려면 SSL 인증서가 필요합니다.

  • 보안 채널의 트래픽을 암호화합니다.

  • 역방향 프록시 장치에서 인증서 인증을 사용하여 인바운드 연결을 인증할 수 있도록 합니다.

  • Microsoft 365의 SharePoint에서 외부 엔드포인트를 식별하고 신뢰하도록 허용합니다.

배포하는 동안 역방향 프록시 디바이스와 Microsoft 365 Secure Store 대상 애플리케이션의 SharePoint에 SSL 인증서를 설치합니다. 하이브리드 환경 인프라를 구성할 때는 이를 구성해야 합니다.

보안 채널 SSL 인증서 가져오기

잘 알려진 인증 기관(예: DigiCert, VeriSign, Thawte 또는 GeoTrust)에서 온-프레미스 공용 도메인에 대한 보안 채널 SSL 와일드카드 또는 SAN(주체 대체 이름) 인증서를 가져옵니다.

참고

이 인증서는 여러 이름을 지원해야 하며 2048비트 이상이어야 합니다. 인증서는 일반적으로 1년 간격으로 만료됩니다. 따라서 서비스 중단을 방지하기 위해 인증서 갱신을 미리 계획하는 것이 중요합니다. SharePoint 관리자는 작업 중단을 방지하기에 충분한 리드 인 시간을 제공하는 인증서 교체에 대한 미리 알림을 예약해야 합니다.

STS 인증서 정보

온-프레미스 SharePoint 팜의 STS 인증서는 수신 토큰의 유효성을 확인하기 위해 기본 인증서가 필요합니다. SharePoint 하이브리드 환경에서 Microsoft Entra ID는 신뢰할 수 있는 토큰 서명 서비스 역할을 하며 STS 인증서를 서명 인증서로 사용합니다. 기본 STS 인증서(예: 공용 인증 기관의 인증서) 이외의 인증서를 사용하도록 선택하는 경우 하이브리드 구성 프로세스를 시작하기 전에 기본 인증서를 바꿉니다.

구성 및 테스트에 필요한 계정 기록

SharePoint 하이브리드 환경 설정에는 온-프레미스 Active Directory 및 Microsoft 365 디렉터리(Microsoft 365 디렉터리에 표시되는 Microsoft Entra ID)의 여러 사용자 계정이 필요합니다. 이러한 계정은 다른 권한과 그룹 또는 역할 구성원을 갖습니다. 이러한 계정 중 일부는 소프트웨어를 배포하고 구성하는 데 사용되고, 일부는 보안 및 인증 시스템이 예상대로 작동하는지 확인하기 위해 특정 기능을 테스트하는 데 필요합니다.

  • 역할 및 ID 공급자에 대한 내용을 비롯한 필수 사용자 계정에 대한 자세한 내용은 Accounts needed for hybrid configuration and testing을 참조하세요.

  • 지침에 따라 워크시트에 필요한 계정 정보를 기록합니다.

  • 이 단계를 완료한 후 이 계획 문서로 돌아갑니다.

다음 단계

이 시점에서 인바운드 연결에 필요한 워크시트 작성을 완료하고 구성 프로세스를 시작할 준비가 되어 있어야 합니다. 다음 단계는 구성 로드맵을 선택하는 것입니다.