Microsoft Entra Connect 사용자 로그인 옵션
Microsoft Entra Connect를 사용하면 사용자가 동일한 암호를 사용하여 클라우드 및 온-프레미스 리소스에 모두 로그인할 수 있습니다. 이 문서에서는 Microsoft Entra ID에 로그인하는 데 사용할 ID를 선택하는 데 도움이 되는 각 ID 모델의 주요 개념을 설명합니다.
Microsoft Entra ID 모델에 이미 익숙하고 특정 메서드에 대해 자세히 알아보려면 적절한 링크를 참조하세요.
- 암호 해시 동기화원활한 싱글 사인온(SSO)
- 패스스루 인증 (통과 인증)과 원활한 싱글 사인온(SSO) 사용
- 페더레이션된 SSO(Active Directory Federation Services(AD FS))
- PingFederate와 페더레이션
메모
Microsoft Entra ID에 대한 페더레이션을 구성하면 Microsoft Entra 테넌트와 페더레이션된 도메인 간에 신뢰가 설정됩니다. 이 트러스트 페더레이션된 도메인을 사용하면 사용자는 테넌트 내의 Microsoft Entra 클라우드 리소스에 액세스할 수 있습니다.
조직에 대한 사용자 로그인 방법 선택
Microsoft Entra Connect를 구현하는 첫 번째 결정은 사용자가 로그인하는 데 사용할 인증 방법을 선택하는 것입니다. 조직의 보안 및 고급 요구 사항을 충족하는 올바른 방법을 선택해야 합니다. 인증은 사용자의 ID가 클라우드의 앱 및 데이터에 액세스하도록 유효성을 검사하기 때문에 중요합니다. 올바른 인증 방법을 선택하려면 시간, 기존 인프라, 복잡성 및 선택한 구현 비용을 고려해야 합니다. 이러한 요소는 모든 조직에 대해 다르며 시간이 지남에 따라 변경될 수 있습니다.
Microsoft Entra ID는 다음 인증 방법을 지원합니다.
-
클라우드 인증 - 이 인증 방법을 선택하면 Microsoft Entra ID가 사용자의 로그인에 대한 인증 프로세스를 처리합니다. 클라우드 인증을 사용하면 다음 두 가지 옵션 중에서 선택할 수 있습니다.
- PHS(암호 해시 동기화) - 암호 해시 동기화를 사용하면 사용자가 Microsoft Entra Connect 외에 추가 인프라를 배포하지 않고도 온-프레미스에서 사용하는 것과 동일한 사용자 이름과 암호를 사용할 수 있습니다.
- PTA(통과 인증) - 이 옵션은 암호 해시 동기화와 유사하지만 강력한 보안 및 규정 준수 정책을 가진 조직을 위해 온-프레미스 소프트웨어 에이전트를 사용하여 간단한 암호 유효성 검사를 제공합니다.
- 페더레이션 인증 - 이 인증 방법을 선택하면 Microsoft Entra ID가 인증 프로세스를 AD FS 또는 타사 페더레이션 시스템과 같은 별도의 신뢰할 수 있는 인증 시스템에 전달하여 사용자의 로그인 유효성을 검사합니다.
Microsoft 365, SaaS 애플리케이션 및 기타 Microsoft Entra ID 기반 리소스에 대한 사용자 로그인을 사용하도록 설정하려는 대부분의 조직에는 기본 암호 해시 동기화 옵션을 사용하는 것이 좋습니다.
인증 방법 선택에 대한 자세한 내용은 Microsoft Entra 하이브리드 ID 솔루션에 적합한 인증 방법 선택
암호 해시 동기화
암호 해시 동기화를 사용하면 사용자 암호 해시가 온-프레미스 Active Directory에서 Microsoft Entra ID로 동기화됩니다. 암호가 온-프레미스에서 변경되거나 다시 설정되면 사용자가 클라우드 리소스 및 온-프레미스 리소스에 항상 동일한 암호를 사용할 수 있도록 새 암호 해시가 Microsoft Entra ID에 즉시 동기화됩니다. 암호는 Microsoft Entra ID로 전송되거나 Microsoft Entra ID에 명확한 텍스트로 저장되지 않습니다. 암호 해시 동기화를 암호 쓰기 저장과 함께 사용하여 Microsoft Entra ID에서 셀프 서비스 암호 재설정을 사용하도록 설정할 수 있습니다.
또한 회사 네트워크에 있는 도메인 가입 컴퓨터의 사용자에 대해 Seamless SSO 사용하도록 설정할 수 있습니다. Single Sign-On을 사용하면 사용자가 클라우드 리소스에 안전하게 액세스할 수 있도록 사용자 이름만 입력하면 됩니다.
자세한 내용은 암호 해시 동기화 문서를 참조하세요.
패스스루 인증
통과 인증을 사용하면 사용자의 암호가 온-프레미스 Active Directory 컨트롤러에 대해 유효성을 검사합니다. 암호는 어떤 형식으로든 Microsoft Entra ID에 있을 필요가 없습니다. 이렇게 하면 클라우드 서비스에 대한 인증 중에 로그인 시간 제한과 같은 온-프레미스 정책을 평가할 수 있습니다.
통과 인증은 온-프레미스 환경의 Windows Server 도메인 가입 컴퓨터에서 간단한 에이전트를 사용합니다. 이 에이전트는 암호 유효성 검사 요청을 수신 대기합니다. 인터넷에 인바운드 포트를 열 필요가 없습니다.
또한 회사 네트워크에 있는 도메인 가입 컴퓨터에서 사용자에 대해 Single Sign-On을 사용하도록 설정할 수도 있습니다. Single Sign-On을 사용하면 사용자가 클라우드 리소스에 안전하게 액세스할 수 있도록 사용자 이름만 입력하면 됩니다.
자세한 내용은 다음을 참조하세요.
Windows Server에서 AD FS를 사용하여 새 팜 또는 기존 팜을 사용하는 페더레이션
페더레이션 로그인을 사용하면 사용자가 온-프레미스 암호를 사용하여 Microsoft Entra ID 기반 서비스에 로그인할 수 있습니다. 회사 네트워크에 있는 동안에는 암호를 입력할 필요가 없습니다. AD FS와 페더레이션 옵션을 사용 하 여 Windows Server 2022에서 AD FS를 사용 하 여 새 팜 또는 기존 팜을 배포할 수 있습니다. 기존 팜을 지정하도록 선택하는 경우 Microsoft Entra Connect는 사용자가 로그인할 수 있도록 팜과 Microsoft Entra ID 간의 트러스트를 구성합니다.
Windows Server 2022에서 AD FS를 사용하여 페더레이션 배포
새 팜을 배포하는 경우 다음이 필요합니다.
페더레이션 서버용 Windows Server 2022 서버입니다.
웹 애플리케이션 프록시용 Windows Server 2022 서버입니다.
의도한 페더레이션 서비스 이름에 대한 하나의 TLS/SSL 인증서가 있는 .pfx 파일입니다. 예: fs.contoso.com.
새 팜을 배포하거나 기존 팜을 사용하는 경우 다음이 필요합니다.
- 페더레이션 서버의 로컬 관리자 자격 증명입니다.
- 웹 애플리케이션 프록시 역할을 배포하려는 모든 작업 그룹 서버(도메인에 가입되지 않음)의 로컬 관리자 자격 증명입니다.
- Windows 원격 관리를 사용하여 AD FS 또는 웹 애플리케이션 프록시를 설치하려는 다른 컴퓨터에 연결할 수 있도록 마법사를 실행하는 컴퓨터입니다.
자세한 내용은 AD FS 사용하여 SSO를 구성하는참조하세요.
PingFederate를 사용한 페더레이션
페더레이션 로그인을 사용하면 사용자가 온-프레미스 암호를 사용하여 Microsoft Entra ID 기반 서비스에 로그인할 수 있습니다. 회사 네트워크에 있는 동안에는 암호를 입력할 필요가 없습니다.
Microsoft Entra ID와 함께 사용할 PingFederate를 구성하는 방법에 대한 자세한 내용은 Ping ID 지원참조하세요.
PingFederate를 사용하여 Microsoft Entra Connect를 설정하는 방법에 대한 자세한 내용은 microsoft Entra Connect 사용자 지정 설치 참조하세요.
이전 버전의 AD FS 또는 타사 솔루션을 사용하여 로그인
이전 버전의 AD FS(예: AD FS 2.0) 또는 타사 페더레이션 공급자를 사용하여 클라우드 로그인을 이미 구성한 경우 Microsoft Entra Connect를 통해 사용자 로그인 구성을 건너뛰도록 선택할 수 있습니다. 이렇게 하면 로그인에 기존 솔루션을 계속 사용하는 동안 Microsoft Entra Connect의 최신 동기화 및 기타 기능을 가져올 수 있습니다.
자세한 내용은 Microsoft Entra 타사 페더레이션 호환성 목록을 참조하세요.
사용자 로그인 및 사용자 주체 이름 (UserPrincipalName)
UserPrincipalName의 이해
Active Directory에서 기본 UPN(UserPrincipalName) 접미사는 사용자 계정을 만든 도메인의 DNS 이름입니다. 대부분의 경우 인터넷에서 엔터프라이즈 도메인으로 등록된 도메인 이름입니다. 그러나 Active Directory 도메인 및 트러스트를 사용하여 UPN 접미사를 더 추가할 수 있습니다.
사용자의 UPN에는 username@domain 형식이 있습니다. 예를 들어 "contoso.com"이라는 Active Directory 도메인의 경우 John이라는 사용자에게 UPN "john@contoso.com"가 있을 수 있습니다. 사용자의 UPN은 RFC 822를 기반으로 합니다. UPN과 전자 메일은 동일한 형식을 공유하지만 사용자의 UPN 값은 사용자의 전자 메일 주소와 동일하거나 그렇지 않을 수 있습니다.
Microsoft Entra ID의 사용자 주체 이름 (UserPrincipalName)
Microsoft Entra Connect 마법사는 userPrincipalName 특성을 사용하거나 온-프레미스에서 Microsoft Entra ID의 UserPrincipalName으로 사용할 특성(사용자 지정 설치)을 지정할 수 있습니다. Microsoft Entra ID에 로그인하는 데 사용되는 값입니다. userPrincipalName 특성 값이 Microsoft Entra ID의 확인된 도메인에 해당하지 않으면 Microsoft Entra ID가 기본 .onmicrosoft.com 값으로 바뀝니다.
Microsoft Entra ID의 모든 디렉터리에는 microsoft Entra 또는 기타 Microsoft 온라인 서비스를 사용할 수 있는 contoso.onmicrosoft.com 형식의 기본 제공 도메인 이름이 함께 제공됩니다. 사용자 지정 도메인을 사용하여 로그인 환경을 개선하고 간소화할 수 있습니다. Microsoft Entra ID의 사용자 지정 도메인 이름 및 도메인을 확인하는 방법에 대한 자세한 내용은 Microsoft Entra ID사용자 지정 도메인 이름 추가를 참조하세요.
Microsoft Entra 로그인 구성
Microsoft Entra Connect를 사용하여 Microsoft Entra 로그인 구성
Microsoft Entra 로그인 환경은 Microsoft Entra ID가 Microsoft Entra 디렉터리에서 확인된 사용자 지정 도메인 중 하나에 동기화되는 사용자의 UserPrincipalName 접미사와 일치할 수 있는지 여부에 따라 달라집니다. Microsoft Entra Connect는 클라우드의 사용자 로그인 환경이 온-프레미스 환경과 유사하도록 Microsoft Entra 로그인 설정을 구성하는 동안 도움을 제공합니다.
Microsoft Entra Connect는 도메인에 대해 정의된 UPN 접미사를 나열하고 Microsoft Entra ID의 사용자 지정 도메인과 일치시키려고 시도합니다. 그런 다음 수행해야 하는 적절한 조치를 취하는 데 도움이 됩니다. Microsoft Entra 로그인 페이지에는 온-프레미스 Active Directory에 대해 정의된 UPN 접미사가 나열되고 각 접미사에 해당하는 상태가 표시됩니다. 상태 값은 다음 중 하나일 수 있습니다.
| 상태 | 묘사 | 필요한 작업 |
|---|---|---|
| 확인 | Microsoft Entra Connect는 Microsoft Entra ID에서 일치하는 확인된 도메인을 찾았습니다. 이 도메인의 모든 사용자는 온-프레미스 자격 증명을 사용하여 로그인할 수 있습니다. | 아무 작업도 필요하지 않습니다. |
| 확인되지 않음 | Microsoft Entra Connect는 Microsoft Entra ID에서 일치하는 사용자 지정 도메인을 찾았지만 확인되지 않습니다. 도메인이 확인되지 않으면 동기화 후 이 도메인 사용자의 UPN 접미사가 기본 .onmicrosoft.com 접미사로 변경됩니다. | Microsoft Entra ID에서 사용자 지정 도메인을 확인합니다. |
| 추가되지 않음 | Microsoft Entra Connect에서 UPN 접미사에 해당하는 사용자 지정 도메인을 찾지 못했습니다. 도메인이 Entra ID에서 추가되고 확인되지 않으면 이 도메인 사용자의 UPN 접미사가 기본 .onmicrosoft.com 접미사로 변경됩니다. | UPN 접미사에 해당하는 사용자 지정 도메인을 추가하고 확인합니다. |
Microsoft Entra 로그인 페이지에는 온-프레미스 Active Directory에 대해 정의된 UPN 접미사와 현재 확인 상태가 있는 Microsoft Entra ID의 해당 사용자 지정 도메인이 나열됩니다. 사용자 지정 설치에서 이제 Microsoft Entra 로그인 페이지에서 UserPrincipalName의 특성을 선택할 수 있습니다.
새로 고침 단추를 클릭하여 Microsoft Entra ID에서 사용자 지정 도메인의 최신 상태를 다시 가져올 수 있습니다.
Microsoft Entra ID에서 UserPrincipalName의 특성 선택
userPrincipalName 특성은 사용자가 Microsoft Entra ID 및 Microsoft 365에 로그인할 때 사용하는 특성입니다. 사용자가 동기화되기 전에 Microsoft Entra ID에 사용되는 도메인(UPN 접미사라고도 함)을 확인해야 합니다.
기본 특성 userPrincipalName을 유지하는 것이 좋습니다. 이 특성을 변경할 수 없고 확인할 수 없는 경우 로그인 ID를 보유하는 특성으로 다른 특성(예: 이메일)을 선택할 수 있습니다. 이를 대체 ID라고 합니다. 대체 ID 특성 값은 RFC 822 표준을 따라야 합니다. 로그인 솔루션으로 암호 SSO 및 페더레이션 SSO 둘 다의 대체 ID를 사용할 수 있습니다.
메모
대체 ID를 사용하는 것은 모든 Microsoft 365 워크로드와 호환되지 않습니다. 자세한 내용은 대체 로그인 ID 구성을 참조하세요.
다른 사용자 지정 도메인 상태 및 Entra ID 로그인 환경에 미치는 영향
Microsoft Entra 디렉터리의 사용자 지정 도메인 상태와 온-프레미스에 정의된 UPN 접미사 간의 관계를 이해하는 것이 매우 중요합니다. Microsoft Entra Connect를 사용하여 동기화를 설정할 때 다양한 가능한 Entra ID 로그인 환경을 살펴보겠습니다.
다음 정보를 위해, 우리는 온-프레미스 디렉터리에서 UPN의 일부로 사용되는 UPN 접미사 contoso.com을 고려하고 있다고 가정해 보겠습니다(예: user@contoso.com).
빠른 설정/비밀번호 해시 동기화
| 주 | 사용자 Entra ID 로그인 환경에 미치는 영향 |
|---|---|
| 추가되지 않음 | 이 경우 microsoft Entra 디렉터리에 contoso.com 대한 사용자 지정 도메인이 추가되지 않았습니다. 온-프레미스 환경에서 사용자 계정 이름(UPN)에 접미사 @contoso.com가 있는 사용자는 자신의 온-프레미스 사용자 계정 이름(UPN)을 사용하여 Entra ID에 로그인할 수 없습니다. 대신, Microsoft Entra ID가 제공하는 새 UPN에 기본 Microsoft Entra 디렉터리를 위한 접미사를 추가하여 사용해야 합니다. 예를 들어, 사용자를 Microsoft Entra 디렉터리 contoso.onmicrosoft.com에 동기화하는 경우 온-프레미스 사용자 user@contoso.com에게 UPN user@contoso.onmicrosoft.com이 할당됩니다. |
| 확인되지 않음 | 이 경우 Microsoft Entra 디렉터리에 추가된 사용자 지정 도메인 contoso.com 있습니다. 그러나 아직 확인되지 않았습니다. 도메인을 확인하지 않고 사용자 동기화를 진행하면 사용자에게 "추가되지 않음" 시나리오와 마찬가지로 Microsoft Entra ID로 새 UPN이 할당됩니다. |
| 확인 | 이 경우 UPN 접미사에 대한 Microsoft Entra ID에서 이미 추가 및 확인된 사용자 지정 도메인 contoso.com 있습니다. 사용자는 온-프레미스 UserPrincipalName(예: user@contoso.com)을 사용하여 Microsoft Entra ID와 동기화된 후 Entra에 로그인할 수 있습니다. |
AD FS 페더레이션
Microsoft Entra ID의 기본 .onmicrosoft.com 도메인 또는 Microsoft Entra ID의 확인되지 않은 사용자 지정 도메인을 사용하여 페더레이션을 만들 수 없습니다. Microsoft Entra Connect 마법사를 실행하는 경우 확인되지 않은 도메인을 선택하여 페더레이션을 만드는 경우 Microsoft Entra Connect는 DNS가 도메인에 호스트되는 위치에 만들어야 하는 레코드를 묻는 메시지를 표시합니다. 자세한 내용은 페더레이션을 위해 선택한 Microsoft Entra 도메인을 검증하는 방법을 참조하십시오.
AD FS 페더레이션과사용자 로그인 옵션을 선택한 경우에, Microsoft Entra ID에서 페더레이션을 계속해서 만들려면 반드시 사용자 지정 도메인이 필수적으로 필요합니다. 우리의 논의에서, 이는 Microsoft Entra 디렉터리에 사용자 지정 도메인 contoso.com을 추가해야 한다는 것을 의미합니다.
| 상태 | 사용자 Entra ID 로그인 환경에 미치는 영향 |
|---|---|
| 추가되지 않음 | 이 경우 Microsoft Entra Connect는 Microsoft Entra 디렉터리에서 UPN 접미사 contoso.com 일치하는 사용자 지정 도메인을 찾지 못했습니다. 사용자가 온-프레미스 UPN(예: user@contoso.com)과 함께 AD FS를 사용하여 로그인해야 하는 경우 사용자 지정 도메인 contoso.com 추가해야 합니다. |
| 확인되지 않음 | 이 경우 Microsoft Entra Connect는 이후 단계에서 도메인을 확인하는 방법에 대한 적절한 세부 정보를 묻는 메시지를 표시합니다. |
| 확인 | 이 경우 추가 작업 없이 구성을 진행할 수 있습니다. |
사용자 로그인 방법 변경
마법사와 함께 Microsoft Entra Connect를 처음 구성한 후 Microsoft Entra Connect에서 사용할 수 있는 작업을 사용하여 페더레이션, 암호 해시 동기화 또는 통과 인증에서 사용자 로그인 방법을 변경할 수 있습니다. Microsoft Entra Connect 마법사를 다시 실행하면 수행할 수 있는 작업 목록이 표시됩니다. 작업 목록에서 사용자 로그인 변경을 선택합니다.
변경
다음 페이지에서 Microsoft Entra ID에 대한 자격 증명을 입력하라는 메시지가 표시됩니다.
Microsoft Entra ID에 대한 자격 증명을 입력해야 하는 위치를 보여 주는 
사용자 로그인 페이지에서 원하는 사용자 로그인을 선택합니다.
에 연결합니다.
메모
임시 전환으로 암호 해시 동기화를 사용하는 경우 사용자 계정을 변환하지 않기를 확인란에서 선택합니다. 옵션을 확인하지 않으면 각 사용자가 페더레이션으로 변환되며 몇 시간이 걸릴 수 있습니다.
다음 단계
- Microsoft Entra ID 에 온-프레미스 ID를통합하는 방법에 대해 자세히 알아보세요.
- Microsoft Entra Connect 디자인 개념 대해 자세히 알아보세요.