다음을 통해 공유


빠른 시작: Microsoft Entra Seamless Single Sign-On을 참조하세요.

Microsoft Entra Seamless SSO(Seamless Single Sign-On)는 회사 네트워크에 연결된 회사 데스크톱을 사용할 때 사용자를 자동으로 서명합니다. Seamless SSO는 추가 온-프레미스 구성 요소를 사용하지 않고도 사용자가 클라우드 기반 애플리케이션에 쉽게 액세스할 수 있도록 합니다.

Microsoft Entra Connect를 사용하여 Microsoft Entra ID용 Seamless SSO를 배포하려면 다음 섹션에 설명된 단계를 완료합니다.

필수 구성 요소 확인

다음 필수 조건이 충족되는지 확인합니다.

  • Microsoft Entra Connect 서버 설정: 로그인 방법으로 통과 인증을 사용하는 경우 추가 필수 구성 요소 확인이 필요하지 않습니다. 로그인 방법으로 암호 해시 동기화를 사용하고 Microsoft Entra Connect와 Microsoft Entra ID 사이에 방화벽이 있는 경우 다음을 확인합니다.

    • Microsoft Entra Connect 버전 1.1.644.0 이상을 사용합니다.

    • 방화벽 또는 프록시에서 허용하는 경우 포트 443을 통해 *.msappproxy.net URL에 대한 허용 목록에 연결을 추가합니다. 프록시 구성에 와일드 카드 대신 특정 URL이 필요한 경우 tenantid.registration.msappproxy.net을 구성할 수 있습니다. 여기서 tenantid는 기능을 구성하는 테넌트의 GUID입니다. 조직에서 URL 기반 프록시 예외를 사용할 수 없는 경우에는 매주 업데이트되는 Azure 데이터 센터 IP 범위에 대한 액세스를 대신 허용할 수 있습니다. 이 필수 조건은 Seamless SSO 기능을 사용하도록 설정한 경우에만 적용할 수 있습니다. 직접 사용자 로그인에는 필요하지 않습니다.

      참고 항목

      • Microsoft Entra Connect 버전 1.1.557.0, 1.1.558.0, 1.1.561.0 및 1.1.614.0에는 암호 해시 동기화와 관련된 문제가 있습니다. 통과 인증과 함께 암호 해시 동기화를 사용하지 않으려면Microsoft Entra Connect 릴리스 정보를 검토하여 자세히 알아보세요.
  • 지원되는 Microsoft Entra Connect 토폴로지 사용: Microsoft Entra Connect 지원되는 토폴로지 중 하나를 사용하고 있는지 확인합니다.

    참고 항목

    Seamless SSO는 온-프레미스 Windows Server AD(Windows Server Active Directory) 포리스트 간에 트러스트가 있는지 여부에 관계없이 여러 온-프레미스 Windows Server AD 포리스트를 지원합니다.

  • 도메인 관리자 자격 증명 설정: 각 Windows Server AD 포리스트에 대한 도메인 관리자 자격 증명이 있어야 합니다.

    • Microsoft Entra Connect를 통해 Microsoft Entra ID에 동기화합니다.
    • Seamless SSO를 사용하도록 설정할 사용자를 포함합니다.
  • 최신 인증 사용: 이 기능을 사용하려면 테넌트에서 최신 인증을 사용하도록 설정해야 합니다.

  • 최신 버전의 Microsoft 365 클라이언트 사용: Microsoft 365 클라이언트(Outlook, Word, Excel 등)를 사용하는 자동 로그온 환경을 가져오려면 버전 16.0.8730.xxxx 이상을 사용해야 합니다.

참고 항목

나가는 HTTP 프록시가 있는 경우 URL autologon.microsoftazuread-sso.com이 허용 목록에 있는지 확인합니다. 와일드카드가 수락되지 않을 수 있으므로 이 URL을 명시적으로 지정해야 합니다.

기능 활성화

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

Microsoft Entra Connect를 통해 Seamless SSO를 활성화합니다.

참고 항목

Microsoft Entra Connect가 요구 사항을 충족하지 않는 경우 PowerShell을 사용하여 Seamless SSO를 사용하도록 설정할 수 있습니다. Windows Server AD 포리스트당 둘 이상의 도메인이 있고 Seamless SSO를 사용하도록 설정하려는 도메인을 대상으로 지정하려는 경우 이 옵션을 사용합니다.

Microsoft Entra Connect를 새로 설치하는 경우 사용자 지정 설치 경로를 선택합니다. 사용자 로그인 페이지에서 Single Sign-On 사용 옵션을 선택합니다.

Single Sign On 사용이 선택된 Microsoft Entra Connect의 사용자 로그인 페이지를 보여 주는 스크린샷

참고 항목

선택한 로그온 방법이 암호 해시 동기화 또는 통과 인증인 경우에만 이 옵션을 선택할 수 있습니다.

Microsoft Entra Connect가 이미 설치되어 있는 경우추가 작업에서 사용자 로그인 변경을 선택한 후 다음을 선택합니다. Microsoft Entra Connect 버전 1.1.880.0 이상을 사용하는 경우 Single Sign On 사용 옵션이 기본적으로 선택됩니다. 이전 버전의 Microsoft Entra Connect를 사용하는 경우 Single Sign On 사용 옵션을 선택합니다.

사용자 로그인 변경이 선택된 추가 작업 페이지를 보여 주는 스크린샷.

마법사를 계속 진행하여 Single Sign On 사용 페이지로 이동합니다. 다음과 같은 각 Windows Server AD 포리스트에 대한 도메인 관리자 자격 증명을 제공합니다.

  • Microsoft Entra Connect를 통해 Microsoft Entra ID에 동기화합니다.
  • Seamless SSO를 사용하도록 설정할 사용자를 포함합니다.

마법사를 완료하면 테넌트에서 Seamless SSO가 사용하도록 설정됩니다.

참고 항목

도메인 관리자 자격 증명은 Microsoft Entra Connect 또는 Microsoft Entra ID에 저장되지 않습니다. 이 기능을 사용하도록 설정하는 데에만 사용됩니다.

Seamless SSO를 올바르게 사용하도록 설정했는지 확인하려면 다음을 수행합니다.

  1. 최소한 하이브리드 ID 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>하이브리드 관리>Microsoft Entra Connect>Connect 동기화로 이동합니다.
  3. Seamless Single Sign-On사용으로 설정되어 있는지 확인합니다.

관리 포털의 Microsoft Entra Connect 창을 보여 주는 스크린샷

Important

Seamless SSO는 온-프레미스 Windows Server AD 디렉터리의 각 Windows Server AD 포리스트에 AZUREADSSOACC라는 컴퓨터 계정을 만듭니다. 보안상의 이유로 AZUREADSSOACC 컴퓨터 계정은 강력하게 보호되어야 합니다. 도메인 관리자 계정만 컴퓨터 계정을 관리하도록 허용해야 합니다. 컴퓨터 계정에 대한 Kerberos 위임이 사용하지 않도록 설정되어 있고 Windows Server AD의 다른 계정에 컴퓨터 계정 AZUREADSSOACC에 대한 위임 권한이 없도록 확인하세요. 실수로 인한 삭제로부터 안전하며 도메인 관리자만 액세스할 수 있도록 컴퓨터 계정을 조직 구성 단위에 저장합니다.

참고 항목

온-프레미스 환경에서 Pass-the-Hash 및 자격 증명 도난 완화 아키텍처를 사용하는 경우 AZUREADSSOACC 컴퓨터 계정이 격리 컨테이너에 저장되지 않도록 적절하게 조정합니다.

기능 배포

다음 섹션에 제공된 지침을 사용하여 사용자에게 원활한 SSO를 점진적으로 롤아웃할 수 있습니다. Windows Server AD의 그룹 정책을 통해 모든 또는 선택된 사용자의 인트라넷 영역 설정에 다음 Microsoft Entra URL을 추가하기 시작합니다.

https://autologon.microsoftazuread-sso.com

또한 그룹 정책을 통해 스크립트를 통해 상태 표시줄에 대한 업데이트 허용이라는 인트라넷 영역 정책 설정을 활성화해야 합니다.

참고 항목

다음 지침은 Windows의 Internet Explorer, Microsoft Edge 및 Google Chrome(Google Chrome이 Internet Explorer와 신뢰할 수 있는 사이트 URL 집합을 공유하는 경우)에서만 작동합니다. macOS에서 Mozilla FirefoxGoogle Chrome을 설정하는 방법을 알아봅니다.

사용자의 인트라넷 영역 설정을 수정해야 하는 이유

기본적으로 브라우저는 특정 URL에서 올바른 영역(인터넷 또는 인트라넷)을 자동으로 계산합니다. 예를 들어 http://contoso/‘인트라넷’ 영역에 매핑되지만, http://intranet.contoso.com/‘인터넷 영역’에 매핑됩니다(URL에 마침표가 포함되어 있기 때문). 브라우저는 URL이 브라우저의 인트라넷 영역에 명시적으로 추가되지 않는 한, 클라우드 엔드포인트(예: Microsoft Entra URL)에 Kerberos 티켓을 보내지 않습니다.

다음 두 가지 방법으로 사용자 인트라넷 영역 설정을 수정할 수 있습니다.

옵션 관리 고려 사항 사용자 환경
그룹 정책 관리자가 인트라넷 영역 설정의 편집을 잡금니다. 사용자가 고유한 설정을 수정할 수 없습니다.
그룹 정책 기본 설정 관리자가 인트라넷 영역 설정을 편집하도록 허용합니다. 사용자가 고유한 설정을 수정할 수 있습니다.

그룹 정책 세부 단계

  1. 그룹 정책 관리 편집기 도구를 엽니다.

  2. 일부 또는 모든 사용자에게 적용되는 그룹 정책을 편집합니다. 예를 들어 기본 도메인 정책은 다음과 같습니다.

  3. 사용자 구성>정책>관리 템플릿>Windows 구성 요소>Internet Explorer>인터넷 제어판>보안 페이지로 이동합니다. 영역에 사이트 할당 목록을 선택합니다.

    영역에 사이트 할당 목록이 선택된 보안 페이지를 보여 주는 스크린샷.

  4. 정책을 사용하도록 설정한 다음, 대화 상자에서 다음 값을 입력합니다.

    • 값 이름: Kerberos 티켓이 전달되는 Microsoft Entra URL입니다.

    • (데이터): 1은 인트라넷 영역을 나타냅니다.

      결과는 다음 예제와 같습니다.

      값 이름: https://autologon.microsoftazuread-sso.com

      값(데이터): 1

    참고 항목

    일부 사용자가 공유 키오스크에 로그인하는 경우와 같이 이러한 사용자가 Seamless SSO를 사용하지 못하게 하려면 이전 값을 4로 설정합니다. 이 작업에서는 Microsoft Entra URL이 제한된 영역에 추가되고 Seamless SSO가 항상 실패하게 됩니다.

  5. 확인을 선택한 후, 다시 확인을 선택합니다.

    영역 할당이 선택된 콘텐츠 표시 창을 보여 주는 스크린샷.

  6. 사용자 구성>정책>관리 템플릿>Windows 구성 요소>Internet Explorer>인터넷 제어판>보안 페이지>인트라넷 영역으로 이동합니다. 스크립트를 통해 상태 표시줄에 대한 업데이트 허용을 선택합니다.

    스크립트를 통해 상태 표시줄에 대한 업데이트 허용이 선택된 인트라넷 영역 페이지를 보여 주는 스크린샷.

  7. 정책 설정을 활성화한 다음, 확인을 선택합니다.

    정책 설정이 사용하도록 설정된 스크립트를 통해 상태 표시줄에 대한 업데이트 허용 창을 보여 주는 스크린샷.

그룹 정책 기본 설정 세부 단계

  1. 그룹 정책 관리 편집기 도구를 엽니다.

  2. 일부 또는 모든 사용자에게 적용되는 그룹 정책을 편집합니다. 예를 들어 기본 도메인 정책은 다음과 같습니다.

  3. 사용자 구성>기본 설정>Windows 설정>레지스트리>새로 만들기>레지스트리 항목으로 이동합니다.

    선택된 레지스트리 및 레지스트리 항목을 보여 주는 스크린샷.

  4. 설명된 대로 다음 값을 입력하거나 선택한 다음, 확인을 선택합니다.

    • 키 경로: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • 값 이름: https

    • 값 형식: REG_DWORD

    • 값 데이터: 00000001

      새 레지스트리 속성 창을 보여 주는 스크린샷.

      레지스트리 편집기에 나열된 새 값을 보여 주는 스크린샷.

브라우저 고려 사항

다음 섹션에는 다양한 유형의 브라우저와 관련된 Seamless SSO에 대한 정보가 있습니다.

Mozilla Firefox(모든 플랫폼)

사용자 환경에서 인증 정책 설정을 사용하는 경우 Microsoft Entra의 URL(https://autologon.microsoftazuread-sso.com)을 SPNEGO 섹션에 추가해야 합니다. PrivateBrowsing 옵션을 true로 설정하여 프라이빗 검색 모드에서 Seamless SSO를 허용할 수도 있습니다.

Safari(macOS)

macOS를 실행하는 머신이 Windows Server AD에 조인되어 있는지 확인합니다.

macOS 디바이스를 Windows Server AD에 조인하는 지침은 이 문서의 범위를 벗어납니다.

Chromium 기반 Microsoft Edge(모든 플랫폼)

환경에서 AuthNegotiateDelegateAllowlist 또는 AuthServerAllowlist 정책 설정을 재정의한 경우 Microsoft Entra URL(https://autologon.microsoftazuread-sso.com)도 해당 정책 설정에 추가해야 합니다.

Chromium 기반 Microsoft Edge(macOS 및 기타 Windows가 아닌 플랫폼)

macOS 및 기타 Windows가 아닌 플랫폼의 Chromium을 기준으로 하는 Microsoft Edge의 경우 통합 인증을 위해 허용 목록에 Microsoft Entra URL을 추가하는 방법에 대한 자세한 내용은 Microsoft Edge 기반 Chromium 정책 목록을 참조하세요.

Google Chrome(모든 플랫폼)

환경에서 AuthNegotiateDelegateAllowlist 또는 AuthServerAllowlist 정책 설정을 재정의한 경우 Microsoft Entra URL(https://autologon.microsoftazuread-sso.com)도 해당 정책 설정에 추가해야 합니다.

macOS

타사 Active Directory 그룹 정책 확장을 사용하여 macOS 사용자의 Firefox 및 Google Chrome에 Microsoft Entra URL을 롤아웃하는 방법은 이 문서에 포함되어 있지 않습니다.

알려진 브라우저 제한 사항

Seamless SSO는 브라우저가 고급 보호 모드에서 실행 중인 경우 Internet Explorer에서 작동하지 않습니다. Seamless SSO는 Chromium을 기준으로 하는 Microsoft Edge의 다음 버전을 지원하고 설계에 따라 InPrivate 및 게스트 모드에서 작동합니다. Microsoft Edge(레거시)는 더 이상 지원되지 않습니다.

해당 설명서에 따라 InPrivate 또는 게스트 사용자에 대해 AmbientAuthenticationInPrivateModesEnabled를 구성해야 할 수 있습니다.

Seamless SSO 테스트

특정 사용자에 대한 기능을 테스트하려면 다음 조건이 제대로 갖추어져 있는지 확인합니다.

  • 사용자가 회사 디바이스에 로그인합니다.
  • 디바이스가 Windows Server AD 도메인에 조인됩니다. 디바이스가 Microsoft Entra 조인될 필요는 없습니다.
  • 디바이스가 회사의 유선/무선 네트워크 또는 원격 액세스 연결(예: VPN 연결)을 통해 도메인 컨트롤러에 직접 연결되어 있습니다.
  • 그룹 정책을 통해 해당 사용자에게 기능을 롤아웃했습니다.

사용자가 암호가 아닌 사용자 이름을 입력하는 시나리오를 테스트하려면 다음을 수행합니다.

  • [https://manage.visualstudio.com](https://myapps.microsoft.com ) 에 로그인합니다. 지원되는 브라우저의 프라이빗 모드에서 브라우저 캐시를 삭제하거나, 새 프라이빗 브라우저 세션을 사용해야 합니다.

사용자가 사용자 이름이나 암호를 입력할 필요가 없는 시나리오를 테스트하려면 다음 중 하나를 수행합니다.

  • [https://manage.visualstudio.com](https://myapps.microsoft.com/contoso.onmicrosoft.com ) 에 로그인합니다. 지원되는 브라우저의 프라이빗 모드에서 브라우저 캐시를 삭제하거나, 새 프라이빗 브라우저 세션을 사용해야 합니다. contoso를 해당하는 테넌트 이름으로 바꿉니다.
  • 새 프라이빗 브라우저 세션에서 https://myapps.microsoft.com/contoso.com에 로그인합니다. contoso.com을(를) 테넌트에서 확인된 도메인(페더레이션 도메인이 아님)으로 바꿉니다.

키 롤오버

기능 사용에서 Microsoft Entra Connect는 Seamless SSO를 사용하도록 설정한 모든 Windows Server AD 포리스트에서 컴퓨터 계정(Microsoft Entra ID를 나타냄)을 만듭니다. 더 자세히 알아보려면 Microsoft Entra Seamless Single Sign-On: 기술 심층 분석을 참조하세요.

Important

컴퓨터 계정의 Kerberos 암호 해독 키(유출된 경우)를 사용하여 동기화된 사용자에 대한 Kerberos 티켓을 생성할 수 있습니다. 그런 다음, 악의적인 행위자는 손상된 사용자에 대한 Microsoft Entra 로그인을 가장할 수 있습니다. 주기적으로 또는 적어도 30일마다 한 번씩 이러한 Kerberos 암호 해독 키를 롤오버하는 것이 좋습니다.

키를 롤오버하는 방법에 대한 지침은 Microsoft Entra Seamless Single Sign-On: 질문과 대답을 참조하세요.

Important

이 기능을 사용하도록 설정한 후에는 이 단계를 즉시 수행할 필요가 없습니다. 적어도 30일마다 Kerberos 암호 해독 키를 롤오버합니다.

다음 단계

  • 기술 심층 분석: Seamless Single Sign-On 기능의 작동 방식을 이해합니다.
  • 질문과 대답: Azure Active Directory Seamless Single Sign-On에 대한 질문과 대답입니다.
  • 문제 해결: Seamless Single Sign-On 기능의 일반적인 문제를 해결하는 방법을 알아봅니다.
  • UserVoice: Microsoft Entra 포럼을 사용하여 새로운 기능 요청을 제출합니다.