이 문서에서는 Microsoft Entra Seamless SSO(Seamless Single Sign-On)에 대한 질문과 대답을 다룹니다. 새로운 내용을 계속 확인해 주세요.
Seamless SSO가 작동하는 로그인 방법은 무엇인가요?
Seamless SSO는 암호 해시 동기화 또는 통과 인증 로그인 방법과 결합할 수 있습니다. 그러나 AD FS(Active Directory Federation Services)에는 이 기능을 사용할 수 없습니다.
Seamless SSO는 체험 기능인가요?
Seamless SSO는 무료 기능이며 이 기능을 사용하기 위해 Microsoft Entra ID의 유료 버전이 필요하지 않습니다.
Seamless SSO는 Microsoft Azure 독일 클라우드 및 Microsoft Azure Government 클라우드에서 사용할 수 있나요?
Seamless SSO는 Azure Government 클라우드에 사용할 수 있습니다. 자세한 내용은 Azure Government에 대한 하이브리드 ID 고려 사항을 참조하세요.
Seamless SSO의 'domain_hint' 또는 'login_hint' 매개 변수 기능을 활용하는 애플리케이션은 무엇인가요?
테이블에는 이러한 매개 변수를 Microsoft Entra ID에 보낼 수 있는 애플리케이션 목록이 있습니다. 이 작업은 Seamless SSO를 사용하여 사용자에게 자동 로그온 환경을 제공합니다.
| 애플리케이션 이름 | 사용할 애플리케이션 URL |
|---|---|
| 액세스 패널 | https://myapps.microsoft.com/contoso.com |
| 웹용 Outlook | https://outlook.office365.com/contoso.com |
| Office 365 포털 | https://portal.office.com?domain_hint=contoso.com: https://www.office.com?domain_hint=contoso.com |
또한 애플리케이션이 테넌트로 설정된 Microsoft Entra 엔드포인트에 로그인 요청을 보내는 경우 사용자는 자동 로그인 환경을 가져오게 됩니다. 즉, Microsoft Entra 공통 엔드포인트(https://login.microsoftonline.com/common/<...>) 대신, https://login.microsoftonline.com/contoso.com/<..> 또는 https://login.microsoftonline.com/<tenant_ID>/<..>입니다. 테이블에는 이러한 형식의 로그인을 요청하는 애플리케이션 목록이 있습니다.
| 애플리케이션 이름 | 사용할 애플리케이션 URL |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Microsoft Entra 관리 센터 | https://portal.azure.com/contoso.com |
위 표에 나오는 "contoso.com"을 도메인 이름으로 바꾸어 테넌트에 적절한 애플리케이션 URL로 이동합니다.
다른 애플리케이션에서 자동 로그온 환경을 사용하려는 경우 사용자 의견 섹션에서 알려주십시오.
Seamless SSO는 'userPrincipalName' 대신 '대체 ID'를 사용자 이름으로 지원하나요?
예. Seamless SSO는 여기서 보여주듯이 Microsoft Entra Connect에서 구성할 때 Alternate ID를 사용자 이름으로 지원합니다. 일부 Microsoft 365 애플리케이션에서 Alternate ID를 지원하지 않습니다. 지원 내용은 특정 애플리케이션의 설명서를 참조하세요.
Microsoft Entra 조인 및 Seamless SSO에서 제공하는 Single Sign-On 환경 간에 차이점은 무엇인가요?
Microsoft Entra 조인은 디바이스가 Microsoft Entra ID로 등록된 경우 사용자에게 SSO를 제공합니다. 이러한 디바이스를 반드시 도메인에 가입할 필요는 없습니다. 기본 새로 고침 토큰이나 PRT 및 Kerberos를 사용하여 SSO를 제공하지 않습니다. 사용자 환경은 Windows 10 디바이스에서 가장 적합합니다. SSO는 Microsoft Edge 브라우저에서 자동으로 실행됩니다. 또한 브라우저 확장을 사용하여 Chrome에서 작동합니다.
테넌트에서 Microsoft Entra 조인 및 Seamless SSO를 사용할 수 있습니다. 이러한 두 기능은 상호 보완적입니다. 두 기능이 모두 설정되어 있으면 Microsoft Entra 조인에서 SSO는 Seamless SSO보다 우선합니다.
AD FS를 사용하지 않고 비Windows 10 디바이스를 Microsoft Entra ID에 등록하려고 합니다. Seamless SSO를 대신 사용할 수 있나요?
예, 이 시나리오에는 작업 공간 연결 클라이언트 버전 2.1 이상이 필요합니다.
'AZUREADSSO' 컴퓨터 계정의 Kerberos 암호 해독 키를 어떻게 롤오버하나요?
온-프레미스 AD 포리스트에 만든 AZUREADSSO 컴퓨터 계정(Microsoft Entra ID를 나타냄)의 Kerberos 암호 해독 키를 자주 롤오버하는 것이 중요합니다.
Important
적어도 30일마다 Kerberos 암호 해독 키를 롤오버하는 것이 좋습니다.
Microsoft Entra Connect를 실행 중인 온-프레미스 서버에서 다음 단계를 수행합니다.
참고 항목
단계를 수행하려면 도메인 관리자와 전역 관리자 또는 하이브리드 ID 관리자 자격 증명이 필요합니다.
도메인 관리자가 아니고 도메인 관리자로부터 권한을 할당받으면 Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount를 호출해야 합니다.
1단계 Seamless SSO가 사용하도록 설정된 AD 포리스트 목록을 가져옵니다.
- 먼저 Azure AD PowerShell을 다운로드한 후 설치합니다.
$env:programfiles"\Microsoft Azure Active Directory Connect"폴더로 이동합니다.- 다음 명령을 사용하여 Seamless SSO PowerShell 모듈을 가져옵니다.
Import-Module .\AzureADSSO.psd1 - 관리자 권한으로 PowerShell을 실행합니다. PowerShell에서
New-AzureADSSOAuthenticationContext를 호출합니다. 이 명령은 테넌트의 전역 관리자 또는 하이브리드 ID 관리자 자격 증명을 입력하는 팝업을 제공해야 합니다. Get-AzureADSSOStatus | ConvertFrom-Json을 호출합니다. 사용하도록 설정된 AD 포리스트 목록("도메인" 목록에 있음)이 표시됩니다.
2단계. 설정된 각 AD 포리스트에서 Kerberos 암호 해독 키를 업데이트합니다.
$creds = Get-Credential을 호출합니다. 메시지가 표시되면 의도한 AD 포리스트에 대한 도메인 관리자 자격 증명을 입력합니다.
참고 항목
도메인 관리자 자격 증명 사용자 이름은 SAM 계정 이름 형식(contoso\johndoe 또는 contoso.com\johndoe)으로 입력해야 합니다. 사용자 이름의 도메인 부분을 사용하여 DNS를 사용하는 도메인 관리자의 도메인 컨트롤러를 찾습니다.
참고 항목
사용되는 도메인 관리자 계정은 보호된 사용자 그룹의 구성원이 아니어야 합니다. 이 경우 작업이 실패합니다.
Update-AzureADSSOForest -OnPremCredentials $creds을 호출합니다. 이 명령은 이 특정 AD 포리스트에서AZUREADSSO컴퓨터 계정에 대한 Kerberos 암호 해독 키를 업데이트하고 Microsoft Entra ID에서 키를 업데이트 합니다.기능을 설정한 각 AD 포리스트에 대해 위의 단계를 반복합니다.
참고 항목
Microsoft Entra Connect 포리스트가 아닌 포리스트를 업데이트하는 경우 글로벌 카탈로그 서버(TCP 3268 및 TCP 3269)에 대한 연결이 사용 가능한지 확인합니다.
Important
준비 모드에서 Microsoft Entra Connect를 실행하는 서버에서는 이 작업을 수행할 필요가 없습니다.
포리스트별로 Update-AzureADSSOForest 명령을 두 번 이상 실행하지 않아야 합니다. 그렇지 않으면 해당 기능은 사용자의 Kerberos 티켓이 만료되고 온-프레미스 Active Directory에 의해 재발급될 때까지 작동하지 않습니다.
Seamless SSO를 사용하지 않으려면 어떻게 해야 하나요?
1단계 테넌트에서 기능 사용 안 함
옵션 A: Microsoft Entra Connect 사용 중지
- Microsoft Entra Connect를 실행하고 사용자 로그인 페이지 변경을 선택하고 다음을 클릭합니다.
- Single Sign-On 사용 옵션의 선택을 취소합니다. 마법사를 계속 진행합니다.
마법사를 완료하면 테넌트에서 Seamless SSO를 사용하지 않도록 설정됩니다. 그러나 다음과 같은 메시지가 화면에 표시됩니다.
“Single Sign-On을 이제 사용하지 않도록 설정했습니다. 하지만 정리를 완료하기 위해 수행할 다른 수동 단계가 남아 있습니다. 자세한 정보”
정리 프로세스를 완료하려면 Microsoft Entra Connect를 실행 중인 온-프레미스 서버에서 2단계와 3단계를 수행합니다.
옵션 B: PowerShell을 사용하여 비활성화
Microsoft Entra Connect를 실행 중인 온-프레미스 서버에서 다음 단계를 실행합니다.
- 먼저 Azure AD PowerShell을 다운로드한 후 설치합니다.
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"폴더로 이동합니다.- 다음 명령을 사용하여 Seamless SSO PowerShell 모듈을 가져옵니다.
Import-Module .\AzureADSSO.psd1 - 관리자 권한으로 PowerShell을 실행합니다. PowerShell에서
New-AzureADSSOAuthenticationContext를 호출합니다. 이 명령은 테넌트의 전역 관리자 또는 하이브리드 ID 관리자 자격 증명을 입력하는 팝업을 제공해야 합니다. Enable-AzureADSSO -Enable $false을 호출합니다.
이 시점에서 Seamless SSO는 사용하지 않게 설정되어 있지만, Seamless SSO를 다시 사용으로 설정하려는 경우 도메인은 구성된 상태로 유지됩니다. Seamless SSO 구성에서 도메인을 완전히 제거하려면 위의 5단계를 완료한 후 Disable-AzureADSSOForest -DomainFqdn <fqdn> cmdlet을 호출합니다.
Important
PowerShell을 사용하여 Seamless SSO를 사용하지 않도록 설정해도 Microsoft Entra Connect의 상태는 변경되지 않습니다. Seamless SSO는 사용자 로그인 변경 페이지에서 사용하도록 설정된 것으로 표시됩니다.
2단계. Seamless SSO가 사용하도록 설정된 AD 포리스트 목록을 가져옵니다.
Microsoft Entra Connect를 사용하여 Seamless SSO를 사용하지 않도록 설정한 경우 작업 1~4를 따릅니다. 대신 PowerShell을 사용하여 Seamless SSO를 사용하지 않도록 설정한 경우 작업 5로 이동합니다.
- 먼저 Azure AD PowerShell을 다운로드한 후 설치합니다.
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"폴더로 이동합니다.- 다음 명령을 사용하여 Seamless SSO PowerShell 모듈을 가져옵니다.
Import-Module .\AzureADSSO.psd1 - 관리자 권한으로 PowerShell을 실행합니다. PowerShell에서
New-AzureADSSOAuthenticationContext를 호출합니다. 이 명령은 테넌트의 전역 관리자 또는 하이브리드 ID 관리자 자격 증명을 입력하는 팝업을 제공해야 합니다. Get-AzureADSSOStatus | ConvertFrom-Json을 호출합니다. 사용하도록 설정된 AD 포리스트 목록("도메인" 목록에 있음)이 표시됩니다.
3단계. 나열된 각 AD 포리스트에서 AZUREADSSO 컴퓨터 계정을 수동으로 삭제합니다.