Microsoft Entra 통과 인증: 자주 묻는 질문과 대답

다양한 Microsoft Entra 로그인 방법을 비교하고 조직에 적합한 로그인 방법을 선택하는 방법을 알아보려면 이 가이드를 검토하세요.

통과 인증은 무료 기능입니다. 이 기능을 사용하기 위해 Microsoft Entra ID의 유료 버전이 필요하지는 않습니다.

예. Microsoft Entra 다단계 인증을 포함한 모든 조건부 액세스 기능이 통과 인증에서 작동합니다.

예. PTA(통과 인증) 및 PHS(암호 해시 동기화) 모두 대체 메일과 같이 UPN이 아닌 값을 사용하는 로그인을 지원합니다. 자세한 내용은 대체 로그인 ID를 참조하세요.

아니요. 통과 인증은 자동으로 암호 해시 동기화로 장애 조치하지 않습니다. 사용자 로그인 오류를 방지하려면 고가용성에 대해 통과 인증을 구성해야 합니다.

Microsoft Entra Connect를 사용하여 로그인 방법을 암호 해시 동기화에서 통과 인증으로 전환하는 경우 관리되는 도메인의 사용자에 대한 기본 로그인 방법이 됩니다. 이전에 암호 해시 동기화로 동기화되었던 모든 사용자의 암호 해시는 Microsoft Entra ID에 저장된 상태로 유지됩니다.

예. 다시 브랜딩된 버전의 통과 인증 에이전트(버전 1.5.193.0 이상)에서 이 구성을 지원합니다.

이 기능을 사용하려면 Microsoft Entra Connect는 버전 1.1.750.0 이상이 필요하고, 통과 인증 에이전트는 버전 1.5.193.0 이상이 필요합니다. Windows Server 2012 R2 이상이 설치된 서버에 모든 소프트웨어를 설치합니다.

이 문제는 업데이트 프로그램 서비스가 올바르게 작동하지 않거나 서비스에서 설치할 수 있는 새 업데이트가 없는 경우에 발생할 수 있습니다. 업데이트 프로그램 서비스가 실행 중이고 이벤트 로그에 기록된 오류가 없는 경우(애플리케이션 및 서비스 로그 -> Microsoft -> AzureADConnect-Agent -> 업데이트 프로그램 -> 관리자) 업데이트 프로그램 서비스가 정상인 것입니다.

주 버전만 자동 업그레이드용으로 릴리스됩니다. 필요한 경우에만 에이전트를 수동으로 업데이트하는 것이 좋습니다. 예를 들어, 단지 알려진 문제를 해결해야 하거나 새 기능을 사용하기 위해 주 릴리스를 기다릴 수는 없습니다. 새 릴리스, 릴리스 형식(다운로드, 자동 업그레이드), 버그 수정 및 새 기능에 대한 자세한 내용은 Microsoft Entra 통과 인증 에이전트: 버전 릴리스 기록을 참조하세요.

커넥터를 수동으로 업그레이드하려면

• 최신 버전의 에이전트를 다운로드합니다. (Microsoft Entra 관리 센터의 Microsoft Entra Connect 통과 인증에서 찾을 수 있습니다. Microsoft Entra 통과 인증: 버전 릴리스 기록에서 링크를 찾을 수도 있습니다.
• 설치 관리자는 Microsoft Entra Connect 인증 에이전트 서비스를 다시 시작합니다. 일부 경우에는 설치 관리자가 모든 파일을 바꿀 수 없는 경우 서버를 재부팅해야 합니다. 따라서 업그레이드를 시작하기 전에 모든 애플리케이션을 닫는 것이 좋습니다(예: 이벤트 뷰어).
• 설치 관리자를 실행합니다. 업그레이드 프로세스가 신속하게 진행되며 자격 증명을 제공할 필요가 없으며 에이전트는 다시 등록되지 않습니다.

특정 사용자에 대해 비밀번호 쓰기 저장이 구성되었고 이 사용자가 통과 인증을 사용하여 로그인하면 암호를 변경하거나 다시 설정할 수 있습니다. 암호는 예상대로 온-프레미스 Active Directory에 쓰기 저장됩니다.

특정 사용자에 대해 비밀번호 쓰기 저장이 구성되지 않았거나 이 사용자에게 유효한 Microsoft Entra ID 라이선스가 할당되어 있지 않으면 해당 사용자가 클라우드에서 암호를 업데이트할 수 없습니다. 암호가 만료된 경우에도 해당 암호를 업데이트할 수 없습니다. 대신에 다음과 같은 메시지가 사용자에게 표시됩니다. "조직이 이 사이트에서 암호 업데이트를 허용하지 않습니다. 조직에서 권장하는 방법에 따라 업데이트하거나 도움이 필요하면 관리자에게 문의합니다." 사용자 또는 관리자는 온-프레미스 Active Directory에서 암호를 재설정해야 합니다.

암호 만료는 인증 토큰 또는 쿠키의 해지를 트리거하지 않습니다. 토큰 또는 쿠키가 유효할 때까지 사용자는 토큰을 사용할 수 있습니다. 이는 인증 유형(PTA, PHS 및 페더레이션 시나리오)에 관계없이 적용됩니다.

자세한 내용은 아래 설명서를 확인하세요.

Microsoft ID 플랫폼 액세스 토큰 - Microsoft ID 플랫폼 | Microsoft Docs

스마트 잠금에 대한 정보를 읽어보세요.

• 인증 에이전트는 모든 기능 작업에 대해 포트 443을 통해 HTTPS 요청을 만듭니다.

• 인증 에이전트는 80 포트를 통해 HTTP 요청을 수행하여 TLS/SSL CRL(인증서 해지 목록)을 다운로드합니다.

  참고 항목

  최근 업데이트는 기능에 필요한 포트 수를 줄였습니다. 이전 버전의 Microsoft Entra Connect 또는 인증 에이전트를 사용하는 경우 5671, 8080, 9090, 9091, 9350, 9352 및 10100-10120 포트도 열어 두세요.

예. 온-프레미스 환경에서 WPAD(웹 프록시 자동 검색)를 사용하는 경우 인증 에이전트는 자동으로 네트워크에서 웹 프록시 서버를 찾아서 사용하려고 합니다. 아웃바운드 프록시 서버를 사용하는 방법에 대한 자세한 내용은 기존 온-프레미스 프록시 서버 작업을 참조하세요.

사용자 환경에 WPAD가 없는 경우 프록시 정보를 추가하여(아래 그림 참조) 통과 인증 에이전트가 Microsoft Entra ID와 통신할 수 있습니다.

• 서버에 통과 인증 에이전트를 설치하기 전에 Internet Explorer에서 프록시 정보를 구성합니다. 이렇게 하면 인증 에이전트 설치를 완료할 수 있지만 관리자 포털에서는 여전히 비활성으로 표시됩니다.
• 서버에서 "C:\Program Files\Microsoft Azure AD Connect 인증 에이전트"로 이동합니다.
• "AzureADConnectAuthenticationAgentService" 구성 파일을 편집하고 다음 줄을 추가합니다("http://contosoproxy.com:8080" 을 실제 프록시 주소로 교체).

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

아니요, 단일 서버에는 통과 인증 에이전트 하나만 설치할 수 있습니다. 고가용성에 대해 통과 인증을 구성하려는 경우 여기에 있는 지침을 따르세요.

각 통과 인증 에이전트와 Microsoft Entra ID 간의 통신은 인증서 기반 인증을 사용하여 보호됩니다. 이러한 인증서는 Microsoft Entra ID에 의해 몇 달마다 자동으로 갱신됩니다. 따라서 이러한 인증서를 수동으로 갱신할 필요가 없습니다. 필요에 따라 만료된 이전 인증서를 정리할 수 있습니다.

통과 인증 에이전트는 실행되는 동안 활성 상태를 유지하며, 지속적으로 사용자 로그인 요청을 처리합니다. 인증 에이전트를 제거하려는 경우 제어판 - > 프로그램 - > 프로그램 및 기능으로 이동한 후 Microsoft Entra Connect Authentication Agent 및 Microsoft Entra Connect Agent Updater 프로그램을 둘 다 제거합니다.

이전 단계를 완료한 후 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에서 통과 인증 블레이드를 확인하는 경우 인증 에이전트가 비활성으로 표시됩니다. 예상된 동작입니다. 인증 에이전트는 10일 후에 목록에서 자동으로 삭제됩니다.

AD FS(또는 기타 페더레이션 기술)에서 통과 인증으로 마이그레이션하는 경우 빠른 시작 가이드를 따르는 것이 좋습니다.

예. Active Directory 포리스트 간에 포리스트 신뢰(양방향)가 있고 이름 접미사 라우팅이 올바르게 구성된 경우 다중 포리스트 환경이 지원됩니다.

아니요, 여러 개의 통과 인증 에이전트를 설치하면 고가용성만 보장됩니다. 인증 에이전트 간에 결정적 부하 분산을 제공하지 않습니다. (임의의) 모든 인증 에이전트는 특정 사용자 로그인 요청을 처리할 수 있습니다.

여러 개의 통과 인증 에이전트를 설치하면 고가용성이 보장됩니다. 그러나 인증 에이전트 간에 결정적 부하 분산을 제공하지는 않습니다.

테넌트에 나타날 것으로 예상되는 로그인 요청의 최대 및 평균 로드를 고려하세요. 벤치마크의 경우, 단일 인증 에이전트는 표준 4코어 CPU, 16GB RAM 서버에서 초당 300~400건의 인증을 처리할 수 있습니다.

네트워크 트래픽을 예측하려면 다음 크기 조정 지침을 사용합니다.

• 각 요청에는 크기가 (0.5K + 1K * num_of_agents)바이트인 페이로드(즉, Microsoft Entra ID에서 인증 에이전트로 이동하는 데이터)가 있습니다. 여기에서 "num_of_agents"는 테넌트에 등록된 인증 에이전트 수를 나타냅니다.
• 각 응답의 페이로드(즉, 인증 에이전트에서 Microsoft Entra ID로 이동하는 데이터) 크기는 1K 바이트입니다.

대부분의 고객의 경우 고가용성 및 용량을 위해 총 2~3개의 인증 에이전트로도 충분합니다. 하지만 프로덕션 환경의 테넌트에서 실행되는 최소 3개의 인증 에이전트를 확보하는 것이 좋습니다. 로그인 대기 시간을 개선하려면 도메인 컨트롤러에 가까운 곳에 인증 에이전트를 설치해야 합니다.

클라우드 전용 글로벌 관리자 계정을 사용하여 통과 인증을 사용하도록 설정하거나 사용하지 않도록 설정하는 것이 좋습니다. 클라우드 전용 전역 관리자 계정 추가에 대해 자세히 알아봅니다. 이 단계는 테넌트가 잠기지 않도록 합니다.

Microsoft Entra Connect 마법사를 다시 실행하고 사용자 로그인 방법을 통과 인증에서 다른 방법으로 변경합니다. 이렇게 변경하면 테넌트에서 통과 인증이 비활성화되고 인증 에이전트가 서버에서 제거됩니다. 다른 서버에서 인증 에이전트를 수동으로 제거해야 합니다.

서버에서 통과 인증 에이전트를 제거하면 서버에서 로그인 요청 수락을 중지합니다. 테넌트에서 사용자 로그인 기능을 중단하지 않도록 방지하려면 통과 인증 에이전트를 제거하기 전에 다른 인증 에이전트가 실행되도록 합니다.

다음과 같은 경우 온-프레미스 UPN 변경 내용이 동기화되지 않을 수 있습니다.

• Microsoft Entra 테넌트가 2015년 6월 15일 이전에 생성된 경우.
• 처음에 인증에 AD FS를 사용하여 Microsoft Entra 테넌트와 페더레이션된 경우.
• 관리 사용자가 PTA를 인증으로 사용하도록 전환하는 경우

즉, 2015년 6월 15일 이전에 만들어진 테넌트의 기본 동작이 UPN 변경 내용을 차단하기 때문입니다. UPN 변경 내용을 차단 해제해야 하는 경우 다음 PowerShell cmdlet을 실행해야 합니다. Get-MgDirectoryOnPremiseSynchronization cmdlet을 사용하여 ID를 가져옵니다.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

2015년 6월 15일 이후에 만든 테넌트에는 UPN 변경 내용을 동기화하는 기본 동작이 포함됩니다.

특정 로그인 이벤트에 사용된 로컬 서버 또는 인증 에이전트를 유효성 검사하려면:

1. Microsoft Entra 관리 센터에서 로그인 이벤트로 이동합니다.

2. 인증 세부 정보를 선택합니다. 인증 방법 세부 정보 열에 에이전트 ID 세부 정보가 "통과 인증, PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX" 형식으로 표시됩니다.

3. 로컬 서버에 설치된 에이전트에 대한 에이전트 ID 세부 정보를 가져오려면 로컬 서버에 로그인하고 다음 cmdlet을 실행합니다.

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   반환되는 GUID 값은 해당 특정 서버에 설치된 인증 에이전트의 에이전트 ID입니다. 환경에 여러 에이전트가 있는 경우 각 에이전트 서버에서 이 cmdlet을 실행하고 에이전트 ID 세부 정보를 캡처할 수 있습니다.

4. 로컬 서버와 Microsoft Entra 로그인 로그에서 가져온 에이전트 ID를 연결하여 서명 요청을 승인한 에이전트 또는 서버의 유효성을 검사합니다.

다음 단계

• 현재 제한 사항: 지원되는 시나리오와 지원되지 않는 시나리오에 대해 알아봅니다.
• 빠른 시작: Microsoft Entra 통과 인증을 시작하고 실행합니다.
• 앱을 Microsoft Entra ID로 마이그레이션: 애플리케이션 액세스 및 인증을 Microsoft Entra ID로 마이그레이션하는 데 도움이 되는 리소스입니다.
• 스마트 잠금: 테넌트에서 스마트 잠금 기능을 구성하여 사용자 계정을 보호하는 방법을 알아봅니다.
• 기술 심층 분석: 통과 인증 기능이 작동하는 원리를 이해합니다.
• 문제 해결: 통과 인증 기능의 일반적인 문제를 해결하는 방법을 알아봅니다.
• 보안 심층 분석 - 통과 인증 기능에 대한 자세한 기술 정보를 가져옵니다.
• Microsoft Entra 하이브리드 조인: 클라우드 및 온-프레미스 리소스 전체에서 SSO를 위해 테넌트에 Microsoft Entra 하이브리드 조인 기능을 구성합니다.
• Microsoft Entra Seamless SSO: 이 보완 기능에 대해 자세히 알아봅니다.
• UserVoice: Microsoft Entra 포럼을 사용하여 새로운 기능 요청을 제출합니다.