Microsoft Entra Connect를 사용하여 Microsoft Entra ID로 AD FS 신뢰 관리
개요
온-프레미스 환경을 Microsoft Entra ID와 페더레이션하는 경우 온-프레미스 ID 공급자와 Microsoft Entra ID 간에 트러스트 관계를 설정합니다. Microsoft Entra Connect는 온-프레미스 AD FS(Active Directory Federation Service)와 Microsoft Entra ID 간의 페더레이션을 관리할 수 있습니다. 이 문서는 다음에 대한 개요를 제공합니다.
- Microsoft Entra Connect에서 신뢰에 구성하는 다양한 설정입니다.
- Microsoft Entra Connect에서 설정하는 발급 변환 규칙(클레임 규칙)입니다.
- 업그레이드와 구성 업데이트 간에 클레임 규칙을 백업하고 복원하는 방법
- Microsoft Entra ID를 통해 AD FS 트러스트를 보호하고 모니터링하는 모범 사례입니다.
Microsoft Entra Connect로 제어되는 설정
Microsoft Entra Connect는 Microsoft Entra ID 신뢰와 관련된 설정만 관리합니다. Microsoft Entra Connect는 AD FS의 다른 신뢰 당사자 신뢰에 대한 설정을 수정하지 않습니다. 다음 표에는 Microsoft Entra Connect에서 제어하는 설정이 나와 있습니다.
| 설정 | 설명 |
|---|---|
| 토큰 서명 인증서 | Microsoft Entra Connect를 통해 Microsoft Entra ID를 사용하여 트러스트를 다시 설정하고 다시 만들 수 있습니다. Microsoft Entra Connect는 AD FS의 토큰 서명 인증서에 대한 일회성 즉시 롤오버를 수행하고 Microsoft Entra 도메인 페더레이션 설정을 업데이트합니다. |
| 토큰 서명 알고리즘 | 토큰 서명 알고리즘으로 SHA-256을 사용하는 것이 좋습니다. Microsoft Entra Connect는 토큰 서명 알고리즘이 SHA-256보다 덜 안전한 값으로 설정되었는지 감지할 수 있습니다. 다음에 가능한 구성 작업에서 설정이 SHA-256으로 업데이트됩니다. 다른 신뢰 당사자 트러스트는 새로운 토큰 서명 인증서를 사용하도록 업데이트해야 합니다. |
| Microsoft Entra ID 신뢰 식별자 | Microsoft Entra Connect는 Microsoft Entra ID 신뢰에 대한 올바른 식별자 값을 설정합니다. AD FS는 식별자 값을 사용하여 Microsoft Entra ID 신뢰를 고유하게 식별합니다. |
| Microsoft Entra 엔드포인트 | Microsoft Entra Connect는 Microsoft Entra ID 신뢰에 구성된 엔드포인트가 항상 복원력 및 성능에 권장되는 최신 값을 따르도록 합니다. |
| 발급 변환 규칙 | 페더레이션된 설정에서 Microsoft Entra ID의 기능이 최적의 성능을 발휘하는 데 필요한 여러 가지 클레임 규칙이 있습니다. Microsoft Entra Connect는 Microsoft Entra ID 신뢰가 항상 올바른 권장 클레임 규칙 세트로 구성되도록 합니다. |
| 대체 ID | 동기화가 대체 ID를 사용하도록 구성된 경우 Microsoft Entra Connect는 대체 ID를 사용하여 인증을 수행하도록 AD FS를 구성합니다. |
| 자동 메타데이터 업데이트 | 자동 메타 데이터 업데이트를 위해 Microsoft Entra ID와 신뢰가 구성됩니다. AD FS는 Microsoft Entra ID 신뢰의 메타데이터를 정기적으로 확인하고 Microsoft Entra ID 쪽에서 변경된 경우 최신 상태로 유지합니다. |
| IWA(Windows 통합 인증) | Microsoft Entra 하이브리드 조인 작업 중에 IWA는 디바이스 등록을 사용하도록 설정하여 하위 디바이스에 대한 Microsoft Entra 하이브리드 조인을 용이하게 합니다. |
Microsoft Entra Connect에서 구성하는 실행 흐름 및 페더레이션 설정
Microsoft Entra Connect는 구성 흐름 중에 Microsoft Entra ID 신뢰에 대한 모든 설정을 업데이트하지 않습니다. 어떤 작업이나 실행 흐름이 진행 중인지에 따라 다른 설정이 수정됩니다. 다음 표에는 다양한 실행 흐름에서 영향을 받는 설정이 나와 있습니다.
| 실행 흐름 | 영향을 받는 설정 |
|---|---|
| 우선 설치(고속) | 없음 |
| 우선 설치(새로운 AD FS 팜) | 새 AD FS 팜이 생성되고 Microsoft Entra ID와의 신뢰가 처음부터 새로 구축됩니다. |
| 우선 설치(기존 AD FS 팜, 기존 Microsoft Entra ID 신뢰) | Microsoft Entra ID 신뢰 식별자, 발급 변환 규칙, Microsoft Entra 엔드포인트, 대체 ID(필요한 경우), 자동 메타데이터 업데이트 |
| Microsoft Entra ID 신뢰 다시 설정 | 토큰 서명 인증서, 토큰 서명 알고리즘, Microsoft Entra ID 신뢰 식별자, 발급 변환 규칙, Microsoft Entra 엔드포인트, 대체 ID(필요한 경우), 자동 메타데이터 업데이트 |
| 페더레이션 서버 추가 | 없음 |
| WAP 서버 추가 | 없음 |
| 디바이스 옵션 | 발급 변환 규칙, 디바이스 등록을 위한 IWA |
| 페더레이션된 도메인 추가 | 도메인이 처음으로 추가되는 경우, 즉 단일 도메인 페더레이션에서 다중 도메인 페더레이션으로 설치가 변경되는 경우 Microsoft Entra Connect는 신뢰를 처음부터 다시 만듭니다. Microsoft Entra ID와의 신뢰가 이미 여러 도메인에 구성된 경우 발급 변환 규칙만 수정됩니다. |
| TLS 업데이트 | 없음 |
Microsoft Entra Connect는 설정이 수정되는 모든 작업 도중에 %ProgramData%\AADConnect\ADFS에 현재 신뢰 설정의 백업을 만듭니다.
참고 항목
1.1.873.0 버전 이전에는 백업이 발급 변환 규칙으로만 구성되었고, 마법사 추적 로그 파일에 백업되었습니다.
Microsoft Entra Connect에서 설정하는 발급 변환 규칙
Microsoft Entra Connect는 Microsoft Entra ID 신뢰가 항상 올바른 권장 클레임 규칙 세트로 구성되도록 합니다. Microsoft는 Microsoft Entra ID 신뢰를 관리하기 위해 Microsoft Entra Connect를 사용할 것을 권장합니다. 이 섹션에는 발급 변환 규칙 집합과 그에 대한 설명이 나와 있습니다.
| 규칙 이름 | 설명 |
|---|---|
| UPN 발급 | 이 규칙은 userprincipalname의 동기화 설정에 구성된 특성에서 userprincipalname 값을 쿼리합니다. |
| 사용자 지정 ImmutableId 클레임의 objectguid 및 msdsconsistencyguid 쿼리 | 이 규칙은 objectguid 및 msdsconsistencyguid 값의 파이프라인에 임시 값을 추가합니다(있는 경우). |
| msdsconsistencyguid의 존재 여부 확인 | msdsconsistencyguid 값의 유무에 따라 ImmutableId로 사용할 항목을 가리키는 임시 플래그를 설정합니다. |
| 있는 경우 변경이 불가능한 ID로 msdsconsistencyguid 발급 | 있는 경우 ImmutableId로 msdsconsistencyguid를 발급합니다. |
| msdsConsistencyGuid 규칙이 없으면 objectGuidRule 발급 | msdsconsistencyguid 값이 없는 경우 objectguid 값이 ImmutableId로 발급됩니다. |
| nameidentifier 발급 | 이 규칙은 nameidentifier 클레임의 값을 발급합니다. |
| 도메인에 가입된 컴퓨터의 accounttype 발급 | 인증되는 엔터티가 도메인에 가입된 디바이스인 경우 이 규칙은 계정 유형을 도메인에 가입된 디바이스를 의미하는 DJ로 발급합니다. |
| 컴퓨터 계정이 아닐 경우 USER 값을 사용하여 AccountType 발급 | 인증되는 엔터티가 사용자일 경우, 이 규칙은 계정 유형을 User로 발급합니다. |
| 컴퓨터 계정이 아닐 경우 issuerid 발급 | 이 규칙은 인증 엔터티가 디바이스가 아닐 경우 issuerId 값을 발급합니다. 값은 Microsoft Entra Connect에서 구성한 정규식을 통해 생성됩니다. 이 정규식은 Microsoft Entra Connect를 사용하여 페더레이션된 모든 도메인을 고려한 후 생성됩니다. |
| DJ 컴퓨터 인증에 대한 issuerid 발급 | 이 규칙은 인증 엔터티가 디바이스일 경우 issuerId 값을 발급합니다. |
| 도메인에 가입된 컴퓨터의 onpremobjectguid 발급 | 인증되는 엔터티가 도메인에 가입된 디바이스인 경우 이 규칙은 디바이스의 온-프레미스 objectguid를 발급합니다. |
| 주 SID를 통해 전달 | 이 규칙은 인증 엔터티의 주 SID를 발급합니다. |
| 클레임을 통해 전달 - insideCorporateNetwork | 이 규칙은 인증이 회사 네트워크 내부에서 이루어지는지 또는 외부에서 이루어지는지 Microsoft Entra ID가 알 수 있게 도와주는 클레임을 발급합니다. |
| 클레임을 통해 전달 – Psso | |
| 암호 만료 클레임 발급 | 이 규칙은 암호 만료 시간, 인증되는 엔터티의 암호가 만료되기까지 남은 일수, 암호 변경 경로로 사용되는 URL에 대한 세 가지 클레임을 발급합니다. |
| 클레임을 통해 전달 – authnmethodsreferences | 이 규칙에 따라 발급되는 클레임의 값은 엔터티에 대해 수행된 인증의 유형을 나타냅니다. |
| 클레임을 통해 전달 - multifactorauthenticationinstant | 이 클레임의 값은 사용자가 다중 인증을 마지막으로 수행한 시간을 UTC로 나타냅니다. |
| 클레임을 통해 전달 - AlternateLoginID | 이 규칙은 대체 로그인 ID를 사용하여 인증이 수행된 경우 AlternateLoginID 클레임을 발급합니다. |
참고 항목
Microsoft Entra Connect 구성 중에 기본값이 아닌 옵션을 사용할 경우 UPN 발급 및 ImmutableId에 대한 클레임 규칙이 다릅니다.
발급 변환 규칙 복원
Microsoft Entra Connect 버전 1.1.873.0 이상에서는 Microsoft Entra ID 신뢰 설정을 업데이트할 때마다 Microsoft Entra ID 신뢰 설정을 백업합니다. Microsoft Entra ID 신뢰 설정은 %ProgramData%\AADConnect\ADFS에 백업됩니다. 파일 이름은 AadTrust-<date>-<time>.txt와 같은 형식입니다(예 - AadTrust-20180710-150216.txt).
아래에 제시된 단계를 따라 발급 변환 규칙을 복원할 수 있습니다.
- 서버 관리자에서 AD FS 관리 UI 열기
- AD FS > 신뢰 당사자 신뢰 > Microsoft Office 365 ID 플랫폼 > 클레임 편집 발급 정책으로 이동하여 Microsoft Entra ID 신뢰 속성을 엽니다.
- 규칙 추가를 클릭합니다.
- 클레임 규칙 템플릿에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택하고 다음을 클릭합니다.
- 백업 파일에서 클레임 규칙의 이름을 복사하고 클레임 규칙 이름 필드에 붙여넣습니다.
- 백업 파일의 클레임 규칙을 사용자 지정 규칙 텍스트 필드에 복사하고 마침을 클릭합니다.
참고 항목
Microsoft Entra Connect에서 구성한 규칙과 추가 규칙이 충돌하지 않도록 합니다.
Microsoft Entra ID를 통해 AD FS 트러스트를 보호하고 모니터링하는 모범 사례
AD FS를 Microsoft Entra ID와 페더레이션하는 경우 페더레이션 구성(AD FS와 Microsoft Entra ID 간에 구성된 트러스트 관계)을 긴밀하게 모니터링하고 비정상적이거나 의심스러운 활동을 캡처하는 것이 중요합니다. 이렇게 하려면 페더레이션 구성이 변경될 때마다 경고를 설정하고 알림을 받는 것이 좋습니다. 경고를 설정하는 방법을 알아보려면 페더레이션 구성에 대한 변경 내용 모니터링을 참조하세요.
다단계 인증을 위해 페더레이션된 사용자에게 클라우드 Azure MFA를 사용하는 경우 추가 보안 보호를 사용하도록 설정하는 것이 좋습니다. 이 보안 보호는 Microsoft Entra ID와 페더레이션될 때 클라우드 Azure MFA를 우회하는 것을 방지합니다. 사용하도록 설정하면 Microsoft Entra 테넌트에서 페더레이션된 도메인에 대해 잘못된 행위자가 ID 공급자에 의해 다단계 인증이 이미 수행되었음을 모방하여 Azure MFA를 우회할 수 없게 됩니다. 새 보안 설정 federatedIdpMfaBehavior를 통해 보호를 사용하도록 설정할 수 있습니다. 자세한 내용은 Active Directory Federation Services 보안에 대한 모범 사례를 참조하세요.