다음을 통해 공유

애플리케이션 및 인증을 Microsoft Entra ID로 마이그레이션하는 모범 사례

  • 아티클

Azure Active Directory가 이제 Microsoft Entra ID라는 소식을 들었으며, AD FS(Active Directory Federation Service)를 Microsoft Entra ID 의 AuthN(클라우드 인증)으로 마이그레이션하는 것이 좋습니다. 옵션을 검토할 때 앱을 Microsoft Entra ID로 마이그레이션하는 광범위한 리소스와 모범 사례를 참조하세요.

AD FS를 Microsoft Entra ID로 마이그레이션할 수 있을 때까지 Microsoft Defender for Identity를 사용하여 온-프레미스 리소스를 보호합니다. 취약성을 사전에 찾아 수정할 수 있습니다. 평가, 분석 및 데이터 인텔리전스, 사용자 조사 우선순위 점수 매기기, 손상된 ID에 대한 자동 응답을 사용합니다. 클라우드로 마이그레이션하면 암호가 없는 인증 방법과 같은 최신 인증을 조직에서 활용할 수 있습니다.

AD FS를 마이그레이션하지 않는 이유는 다음과 같습니다.

  • 사용자 환경에는 플랫 사용자 이름(예: 직원 ID)이 있습니다.
  • 사용자 지정 다단계 인증 공급자에 대한 추가 옵션이 필요합니다.
  • VMware와 같은 타사 MDM(모바일 디바이스 관리) 시스템의 디바이스 인증 솔루션을 사용합니다.
  • AD FS는 여러 클라우드로 이중 공급됩니다.
  • 에어 갭 네트워크가 필요합니다.

애플리케이션 마이그레이션

스테이징된 애플리케이션 마이그레이션 롤아웃을 계획하고 테스트를 위해 Microsoft Entra ID에 인증할 사용자를 선택합니다. 지침을 사용하고, Microsoft Entra ID로 애플리케이션 마이그레이션을 계획하고, 리소스를 사용하여 앱을 Microsoft Entra ID로 마이그레이션합니다.

다음 비디오인 Microsoft Entra ID를 사용한 간편한 애플리케이션 마이그레이션에 대해 자세히 알아보세요.

애플리케이션 마이그레이션 도구

현재 미리 보기로 AD FS 앱을 Microsoft Entra ID로 이동하는 AD FS 애플리케이션 마이그레이션은 IT 관리자가 AD FS 신뢰 당사자 애플리케이션을 AD FS에서 Microsoft Entra ID로 마이그레이션하기 위한 가이드입니다. ADFS 애플리케이션 마이그레이션 마법사는 새 Microsoft Entra 애플리케이션을 검색, 평가, 구성할 수 있는 통합된 환경을 제공합니다. 기본 SAML URL, 클레임 매핑, 사용자 할당에 대한 원클릭 구성을 제공하여 애플리케이션을 Microsoft Entra ID와 통합합니다. 다음과 같은 기능을 사용하여 온-프레미스 AD FS 애플리케이션을 마이그레이션하는 엔드 투 엔드 지원이 있습니다.

  • 애플리케이션 사용량 및 영향을 식별하려면 AD FS 신뢰 당사자 애플리케이션 로그인 활동을 평가합니다.
  • 마이그레이션 차단과 애플리케이션을 Microsoft Entra ID로 마이그레이션하는 데 필요한 작업을 확인하려면 AD FS를 Microsoft Entra 마이그레이션 타당성으로 분석합니다.
  • AD FS 애플리케이션에 대해 새 Microsoft Entra 애플리케이션을 자동으로 구성하는 원클릭 애플리케이션 마이그레이션 프로세스를 사용하여 새 Microsoft Entra 애플리케이션을 구성합니다.

1단계: 앱 검색 및 범위 지정

앱을 검색하는 동안 개발 중이거나 계획된 앱을 포함하는지 확인합니다. 마이그레이션이 완료된 후 Microsoft Entra ID를 사용하여 인증하도록 범위를 지정합니다.

활동 보고서를 사용하여 AD FS 앱을 Microsoft Entra ID로 이동합니다. 이 보고서는 Microsoft Entra ID로 마이그레이션할 수 있는 애플리케이션을 식별하는 데 도움이 됩니다. AD FS 애플리케이션의 Microsoft Entra ID 호환성을 평가하고 문제가 있는지 확인하며 마이그레이션을 위한 개별 애플리케이션 준비에 대한 지침을 제공합니다.

AD FS에서 Microsoft Entra 앱 마이그레이션 도구를 사용하여 AD FS 서버에서 신뢰 당사자 애플리케이션을 수집하고 구성을 분석합니다. 이 분석에서 보고서는 Microsoft Entra ID로 마이그레이션할 수 있는 앱을 보여 줍니다. 부적격 앱의 경우 마이그레이션할 수 없는 이유에 대한 설명을 검토할 수 있습니다.

온-프레미스 환경용 Microsoft Entra ConnectMicrosoft Entra ConnectAD FS 상태 에이전트를 사용하여 설치합니다.

자세한 내용은 Microsoft Entra Connect란?을 참조하세요.

2단계: 앱 분류 및 파일럿 계획

앱의 마이그레이션을 분류하는 것은 중요합니다. 앱을 마이그레이션하는 순서를 결정한 후 단계별 앱 마이그레이션 및 전환을 계획합니다. 앱 분류에 대한 다음 조건을 포함합니다.

  • Microsoft Entra 애플리케이션 갤러리의 타사 SaaS(Software as a Service) 앱과 같은 최신 인증 프로토콜은 Microsoft Entra ID를 통하지 않습니다.
  • 타사 SaaS 앱과 같이 현대화하기 위한 레거시 인증 프로토콜입니다(갤러리에는 없지만 갤러리에 추가할 수 있습니다).
  • AD FS를 사용하고 Microsoft Entra ID로 마이그레이션할 수 있는 페더레이션된 앱입니다.
  • 현대화하지 않는 레거시 인증 프로토콜입니다. 현대화는 보안 하이브리드 액세스를 사용할 수 있는 Microsoft Entra 애플리케이션 프록시 및 애플리케이션 배달 네트워크/애플리케이션 배달 컨트롤러를 사용할 수 있는 WAP(웹 애플리케이션 프록시) 뒤에 있는 프로토콜을 제외할 수 있습니다.
  • 새 LOB(기간 업무) 앱입니다.
  • 사용 중단을 위한 앱에는 다른 시스템과 중복되는 기능이 있거나 비즈니스 소유자 또는 사용량이 없을 수 있습니다.

마이그레이션을 위해 첫 번째 앱을 선택할 때는 간단하게 선택합니다. 조건에는 여러 IdP(ID 공급자) 연결을 지원하는 SaaS 앱이 갤러리에 포함될 수 있습니다. 테스트 인스턴스 액세스가 있는 앱, 간단한 클레임 규칙이 있는 앱, 대상 그룹 액세스를 제어하는 앱이 있습니다.

3단계: 마이그레이션 및 테스트 플랜

마이그레이션 및 테스트 도구에는 앱을 검색, 분류, 마이그레이션하는 Microsoft Entra 앱 마이그레이션 도구 키트가 포함됩니다. 엔드투엔드 프로세스를 안내하는 SaaS 앱 자습서Microsoft Entra SSO(Single Sign-On) 배포 플랜 목록을 참조하세요.

Microsoft Entra 애플리케이션 프록시에 대해 알아보고 전체 Microsoft Entra 애플리케이션 프록시 배포 플랜을 사용합니다. Microsoft Entra ID에 연결하여 온-프레미스 및 클라우드 레거시 인증 애플리케이션을 보호하려면 SHA(보안 하이브리드 액세스)를 고려합니다. Microsoft Entra Connect를 사용하여 AD FS 사용자 및 그룹을 Microsoft Entra ID와 동기화합니다.

4단계: 관리 및 인사이트 계획

앱을 마이그레이션한 후 관리 및 인사이트 지침을 따라 사용자가 앱에 안전하게 액세스하고 관리할 수 있는지 확인합니다. 사용량 및 앱 상태에 대한 인사이트를 획득하고 공유합니다.

Microsoft Entra 관리 센터에서 다음 방법을 사용하여 모든 앱을 감사합니다.

  • 앤터프라이즈 애플리케이션, 감사를 사용하여 앱을 감사하거나 Microsoft Entra 보고 API에서 동일한 정보에 액세스하여 즐겨 찾는 도구에 통합하세요.
  • OAuth(Open Authorization)/OpenID Connect를 사용하여 앤터프라이즈 애플리케이션, 사용 권한으로 앱 사용 권한을 봅니다.
  • 엔터프라이즈 애플리케이션, 로그인Microsoft Entra 보고 API에서 로그인 인사이트를 가져옵니다.
  • Microsoft Entra 통합 문서에서 앱 사용량을 시각화합니다.

유효성 검사 환경 준비

PowerShell 갤러리에서 MSIdentityTools를 사용하여 Microsoft ID 제품 및 서비스를 관리, 문제 해결, 보고합니다. Microsoft Entra Connect Health를 사용하여 AD FS 인프라를 모니터링합니다. AD FS에서 테스트 앱을 만들고 정기적으로 사용자 활동을 생성하여 Microsoft Entra 관리 센터에서 활동을 모니터링합니다.

개체를 Microsoft Entra ID와 동기화할 때 클라우드에서 사용할 수 있는 클레임 규칙에 사용되는 그룹, 사용자, 사용자 특성에 대한 AD FS 신뢰 당사자 신뢰 클레임 규칙을 확인합니다. 컨테이너 및 특성 동기화를 확인합니다.

앱 마이그레이션 시나리오의 차이점

앱 마이그레이션 플랜에는 환경에 다음 시나리오가 포함된 경우 특별히 주의가 필요합니다. 추가 지침은 링크를 따르세요.

애플리케이션 마이그레이션 프로세스 플랜

애플리케이션 마이그레이션 프로세스에 다음 단계를 포함하는 것이 좋습니다.

  • AD FS 앱 구성을 복제합니다. 앱의 테스트 인스턴스를 설정하거나 테스트 Microsoft Entra 테넌트에서 모의 앱을 사용합니다. AD FS 설정을 Microsoft Entra 구성에 매핑합니다. 롤백을 계획합니다. 테스트 인스턴스를 Microsoft Entra ID로 전환하고 유효성을 검사합니다.
  • 클레임 및 식별자를 구성합니다. 확인하고 문제를 해결하려면 프로덕션 앱을 모방합니다. 앱의 테스트 인스턴스를 Microsoft Entra ID 테스트 애플리케이션으로 가리킵니다. 필요에 따라 구성을 업데이트하여 액세스의 유효성을 검사하고 문제를 해결합니다.
  • 마이그레이션을 위해 프로덕션 인스턴스를 준비합니다. 테스트 결과에 따라 Microsoft Entra ID에 프로덕션 애플리케이션을 추가합니다. 여러 ID 공급자(IdP)를 허용하는 애플리케이션의 경우 Microsoft Entra ID를 프로덕션 인스턴스에 추가된 IdP로 구성합니다.
  • Microsoft Entra ID를 사용하도록 프로덕션 인스턴스를 전환합니다. 여러 동시 IdP를 허용하는 애플리케이션의 경우 기본 IdP를 Microsoft Entra ID로 변경합니다. 그러지 않은 경우 프로덕션 인스턴스에 대한 IdP로 Microsoft Entra ID를 구성합니다. Microsoft Entra 프로덕션 애플리케이션을 기본 IdP로 사용하도록 프로덕션 인스턴스를 업데이트합니다.
  • 첫 번째 앱을 마이그레이션하고 마이그레이션 테스트를 실행하고 문제를 해결합니다. 잠재적인 마이그레이션 문제를 해결하는 방법에 대한 지침을 제공하는 AD FS 애플리케이션 활동 보고서에서 마이그레이션 상태를 참조합니다.
  • 대규모로 마이그레이션합니다. 앱과 사용자를 단계적으로 마이그레이션합니다. Microsoft Entra ID를 사용하여 인증을 충분히 테스트하는 동안 마이그레이션된 앱 및 사용자를 관리합니다.
  • 페더레이션을 제거합니다. AD FS 팜이 더 이상 인증에 사용되지 않는지 확인합니다. 장애 복구, 백업, 내보내기 관련 구성을 사용합니다.

인증 마이그레이션

인증 마이그레이션을 준비할 때 조직에 필요한 인증 방법을 결정합니다.

암호 및 인증 정책

온-프레미스 AD FS 및 Microsoft Entra ID에 대한 전용 정책을 사용하여 온-프레미스 및 Microsoft Entra ID에서 암호 만료 정책을 정렬합니다. 결합된 암호 정책을 구현하고 Microsoft Entra ID에서 약한 암호를 확인하는 것이 좋습니다. 관리되는 도메인으로 전환하면 두 암호 만료 정책이 모두 적용됩니다.

사용자가 SSPR(셀프서비스 암호 재설정)을 사용하여 잊어버린 암호를 재설정하여 지원 센터 비용을 절감할 수 있습니다. 디바이스 기반 인증 방법을 제한합니다. 주기적으로 만료되지 않도록 위험할 때 해지할 수 있는 기능을 사용하여 암호 정책을 현대화합니다. 취약한 암호를 차단하고 금지된 암호 목록에 대해 암호를 확인합니다. 온-프레미스 AD FS와 클라우드 모두에 대해 암호 보호를 사용하도록 설정합니다.

다단계 인증 및 SSPR을 별도로 제어하는 Microsoft Entra ID 레거시 정책 설정인증 방법 정책을 사용하여 통합 관리로 마이그레이션합니다. 되돌릴 수 있는 프로세스를 사용하여 정책 설정을 마이그레이션합니다. 사용자 및 그룹에 대한 인증 방법을 보다 정확하게 구성하는 동안 테넌트 차원의 MFA 및 SSPR 정책을 계속 사용할 수 있습니다.

Windows 로그인 및 기타 암호 없는 메서드에는 자세한 구성이 필요하므로 Microsoft AuthenticatorFIDO2 보안 키를 사용하여 로그인을 사용하도록 설정합니다. 그룹을 사용하여 배포 및 범위 사용자를 관리합니다.

홈 영역 검색을 사용하여 로그인 자동 가속을 구성할 수 있습니다. 또한 자동 가속 로그인을 사용하여 사용자 이름 입력 화면을 건너뛰고 자동으로 사용자를 페더레이션된 로그인 엔드포인트로 전달하는 방법을 알아봅니다. 홈 영역 검색 정책을 사용하여 로그인 자동 가속을 방지하여 사용자가 인증하는 방법과 위치를 제어하는 여러 가지 방법을 제어합니다.

계정 만료 정책

사용자 계정 관리의 accountExpires 특성은 Microsoft Entra ID와 동기화되지 않습니다. 결과적으로 암호 해시 동기화를 위해 구성된 환경의 만료된 Active Directory 계정은 Microsoft Entra ID에서 계속 활성 상태입니다. Set-ADUser cmdlet과 같이 만료된 후 사용자 Microsoft Windows Server Active Directory 계정을 사용하지 않도록 설정하려면 예약된 PowerShell 스크립트를 사용합니다. 반대로 Microsoft Windows Server Active Directory 계정에서 만료를 제거할 때 계정을 다시 활성화합니다.

Microsoft Entra ID를 사용하면 스마트 잠금을 사용하여 공격을 방지할 수 있습니다. 무차별 암호 대입 공격을 완화하기 위해 온-프레미스를 잠그기 전에 클라우드에서 계정을 잠급니다. 클라우드에 대한 간격이 짧아 온-프레미스 임계값이 Microsoft Entra 임계값보다 2~3배 이상 큰지 확인합니다. Microsoft Entra 잠금 기간을 온-프레미스 기간보다 길게 설정합니다. 마이그레이션이 완료되면 AD FS ESL(엑스트라넷 스마트 잠금) 보호를 구성합니다.

조건부 액세스 배포 플랜

조건부 액세스 정책 유연성을 위해서는 신중한 계획이 필요합니다. 계획 단계를 위해 Microsoft Entra 조건부 액세스 배포 계획으로 이동합니다. 다음은 유의해야 할 주요 사항입니다.

  • 의미 있는 명명 규칙을 사용하여 조건부 액세스 정책초안 작성
  • 다음 필드와 함께 디자인 의사 결정 지점 스프레드시트를 사용합니다.
    • 할당 요소: 사용자, 클라우드 앱
    • 조건: 위치, 디바이스 유형, 클라이언트 앱 유형, 로그인 위험
    • 컨트롤: 차단, 다단계 인증 필요, 하이브리드 Microsoft Windows Server Active Directory 조인됨, 규격 디바이스 필요, 승인된 클라이언트 앱 유형
  • 조건부 액세스 정책에 대한 소규모 테스트 사용자 집합 선택
  • 보고 전용 모드에서 조건부 액세스 정책 테스트
  • what if 정책 도구를 사용하여 조건부 액세스 정책의 유효성 검사
  • 조건부 액세스 템플릿을 사용, 특히 조직이 조건부 액세스를 새로운 경우

조건부 액세스 정책

1단계 인증을 완료하면 조건부 액세스 정책을 적용합니다. 조건부 액세스는 DoS(서비스 거부) 공격과 같은 시나리오에 대한 최전방 방어가 아닙니다. 그러나 조건부 액세스는 로그인 위험 및 요청 위치와 같은 이러한 이벤트의 신호를 사용하여 액세스를 확인할 수 있습니다. 조건부 액세스 정책의 흐름은 세션 및 해당 조건을 조사한 다음 결과를 중앙 정책 엔진에 공급합니다.

조건부 액세스를 사용하면 Intune 앱 보호 정책을 통해 승인된(최신 인증 가능) 클라이언트 앱에 대한 액세스를 제한할 수 있습니다. 앱 보호 정책을 지원하지 않을 수 있는 이전 클라이언트 앱의 경우 승인된 클라이언트 앱에 대한 액세스를 제한할 수 있습니다.

특성에 따라 앱을 자동으로 보호합니다. 고객 보안 특성을 변경하려면 클라우드 애플리케이션의 동적 필터링을 사용하여 애플리케이션 정책 범위를 추가하고 제거합니다. 사용자 지정 보안 특성을 사용하여 조건부 액세스 애플리케이션 선택기에서 표시되지 않는 Microsoft 자사 애플리케이션을 대상으로 지정합니다.

조건부 액세스 인증 강도 제어를 사용하여 리소스에 액세스하는 인증 방법의 조합을 지정합니다. 예를 들어, 중요한 리소스에 액세스할 때 피싱 방지 인증 방법을 사용하도록 만들 수 있습니다.

조건부 액세스에서 사용자 지정 컨트롤을 평가합니다. 사용자는 Microsoft Entra ID 외부의 인증 요구 사항을 충족하기 위해 호환되는 서비스로 리디렉션합니다. Microsoft Entra ID는 응답을 확인하고 사용자가 인증 또는 유효성을 검사한 경우 조건부 액세스 흐름에서 계속됩니다. 사용자 지정 컨트롤의 예정된 변경 내용에서 설명한 대로 파트너가 제공하는 인증 기능은 Microsoft Entra 관리자와 최종 사용자 환경에서 원활하게 작동합니다.

사용자 지정 다단계 인증 솔루션

사용자 지정 다단계 인증 공급자를 사용하는 경우 Multi-Factor Authentication 서버에서 Microsoft Entra 다단계 인증으로 마이그레이션하는 것이 좋습니다. 필요한 경우 Multi-Factor Authentication 서버 마이그레이션 유틸리티를 사용하여 다단계 인증으로 마이그레이션합니다. 계정 잠금 임계값, 사기 행위 경고, 알림에 대한 설정을 사용하여 최종 사용자 환경을 사용자 지정합니다.

Microsoft Entra 다단계 인증 및 Microsoft Entra 사용자 인증으로 마이그레이션하는 방법을 알아봅니다. 모든 애플리케이션, 다단계 인증 서비스, 사용자 인증을 Microsoft Entra ID로 이동합니다.

Microsoft Entra 다단계 인증을 사용하도록 설정하고 사용자 그룹에 대한 조건부 액세스 정책을 만들고 다단계 인증을 요청하는 정책 조건을 구성하고 사용자 구성 및 다단계 인증 사용을 테스트하는 방법을 알아볼 수 있습니다.

다단계 인증을 위한 NPS(네트워크 정책 서버) 확장은 서버를 사용하여 인증 인프라에 클라우드 기반 다단계 인증 기능을 추가합니다. NPS에서 Microsoft Entra 다단계 인증을 사용하는 경우 SAML(Security Assertion Markup Language) 및 OAuth2와 같은 최신 프로토콜로 마이그레이션할 수 있는 항목을 결정합니다. 원격 액세스를 위해 Microsoft Entra 애플리케이션 프록시를 평가하고 SHA(보안 하이브리드 액세스)를 사용하여 Microsoft Entra ID로 레거시 앱을 보호합니다.

로그인 모니터링

Connect Health를 사용하여 AD FS 로그인을 통합하여 요청 및 오류 세부 정보에 대한 자세한 내용은 서버 버전에 따라 AD FS의 여러 이벤트 ID를 상호 연결합니다. Microsoft Entra 로그인 보고서에는 사용자, 애플리케이션, 관리되는 리소스가 언제 Microsoft Entra ID에 로그인하고 리소스에 액세스하는지에 대한 정보가 포함되어 있습니다. 이 정보는 Microsoft Entra 로그인 보고서 스키마와 관련이 있으며 Microsoft Entra 로그인 보고서 사용자 환경에 표시됩니다. 보고서를 통해 Log Analytics 스트림은 AD FS 데이터를 제공합니다. 시나리오 분석을 위해 Azure Monitor 통합 문서 템플릿을 사용하고 수정합니다. 예를 들어 AD FS 계정 잠금, 잘못된 암호 시도 및 예기치 않은 로그인 시도 증가가 있습니다.

Microsoft Entra는 모든 로그인을 내부 앱 및 리소스를 포함하는 Azure 테넌트로 로깅합니다. 로그인 오류 및 패턴을 검토하여 사용자가 애플리케이션 및 서비스에 액세스하는 방법에 대한 인사이트를 얻습니다. Microsoft Entra ID의 로그인 로그는 분석에 유용한 활동 로그입니다. 라이선스에 따라 최대 30일의 데이터 보존으로 로그를 구성하고 Azure Monitor, Sentinel, Splunk, 기타 SIEM(보안 정보 및 이벤트 관리) 시스템으로 내보냅니다.

기업 내부 네트워크 클레임

제로 트러스트 모델은 요청이 시작되는 위치 나 액세스하는 리소스에 관계없이 “절대 신뢰하지 마세요, 항상 확인하세요”라고 알려줍니다. 회사 네트워크 외부에 있는 것처럼 모든 위치를 보호합니다. ID 보호 가양성을 줄이기 위해 네트워크 내부를 신뢰할 수 있는 위치로 선언합니다. 모든 사용자에 대해 다단계 인증을 적용하고 디바이스 기반 조건부 액세스 정책을 설정합니다.

로그인 로그에서 쿼리를 실행하여 회사 네트워크 내부에서 연결하지만 Microsoft Entra 하이브리드 조인 또는 규정 준수가 아닌 사용자를 검색합니다. 규격 디바이스를 통해 확장 없이 Firefox 또는 Chrome과 같은 지원되지 않는 브라우저를 사용하는 사용자를 염두에 두세요. 대신 컴퓨터 도메인과 규정 준수 상태를 사용합니다.

단계적 인증 마이그레이션 테스트 및 컷오버

테스트를 위해 단계적 롤아웃에서 Microsoft Entra Connect 클라우드 인증을 사용하여 그룹으로 테스트 사용자 인증을 제어합니다. Microsoft Entra 다단계 인증, 조건부 액세스, Microsoft Entra ID Protection과 같은 클라우드 인증 기능을 사용하여 사용자 그룹을 선택적으로 테스트합니다. 그러나 증분 마이그레이션에는 단계적 롤아웃을 사용하지 마세요.

클라우드 인증으로 마이그레이션을 완료하려면 단계적 롤아웃을 사용하여 새 로그인 방법을 테스트합니다. 도메인을 페더레이션 인증에서 관리형인증으로 변환합니다. 테스트 도메인 또는 사용자 수가 가장 적은 도메인으로 시작합니다.

롤백이 필요한 경우 업무가 중단되는 시간 동안 도메인 컷오버를 계획합니다. 롤백을 계획하려면 현재 페더레이션 설정을 사용합니다. 페더레이션 디자인 및 배포 가이드를 참조하세요.

롤백 프로세스에서 관리되는 도메인을 페더레이션된 도메인으로 변환하는 것을 포함합니다. New-MgDomainFederationConfiguration cmdlet을 사용합니다. 필요한 경우 추가 클레임 규칙을 구성합니다. 완료된 프로세스를 보장하려면 컷오버 후 롤백 단계적 롤아웃을 24~48시간 동안 그대로 둡니다. 단계적 롤아웃에서 사용자 및 그룹을 제거한 다음, 끕니다.

컷오버 후 30일마다 원활한 SSO를 위해 키를 롤오버합니다.

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

AD FS 서비스 해제

AD FS용 Connect Health 사용 현황 분석에서 AD FS 활동을 모니터링합니다. 우선 AD FS에 대한 감사를 사용합니다. AD FS 팜을 서비스 해제하기 전에 AD FS 작업이 없는지 확인합니다. AD FS 서비스 해제 가이드AD FS 서비스 해제 참조를 사용합니다. 다음은 주요 서비스 해제 단계 요약입니다.

  1. AD FS 서버를 서비스 해제하기 전에 최종 백업을 만듭니다.
  2. 내부 및 외부 부하 분산 장치에서 AD FS 항목을 제거합니다.
  3. AD FS 서버 팜 이름에 해당하는 DNS(도메인 이름 서버) 항목을 삭제합니다.
  4. 기본 AD FS 서버에서 Get-ADFSProperties를 실행하고 CertificateSharingContainer를 찾습니다.

    참고 항목

    설치가 끝날 무렵 몇 번 다시 부팅한 후 더 이상 사용할 수 없는 경우 DN(도메인 이름)을 삭제합니다.

  5. SQL Server 데이터베이스 인스턴스를 저장소로 사용하는 경우 AD FS 구성 데이터베이스를 삭제합니다.
  6. WAP 서버를 제거합니다.
  7. AD FS 서버를 제거합니다.
  8. 각 서버 스토리지에서 AD FS SSL(Secure Sockets Layer) 인증서를 삭제합니다.
  9. 전체 디스크 서식을 사용하여 AD FS 서버를 이미지로 다시 설치합니다.
  10. AD FS 계정을 삭제합니다.
  11. ADSI(Active Directory 서비스 인터페이스) 편집을 사용하여 CertificateSharingContainer DN의 콘텐츠를 제거합니다.

다음 단계