다음을 통해 공유


iOS의 페더레이션이 있는 Microsoft Entra 인증서 기반 인증

보안을 향상시키기 위해 iOS 디바이스는 다음 애플리케이션 또는 서비스에 연결할 때 CBA(인증서 기반 인증)를 사용하여 디바이스의 클라이언트 인증서를 사용하는 Microsoft Entra ID에 인증할 수 있습니다.

  • Microsoft Outlook 및 Microsoft Word와 같은 Office 모바일 애플리케이션
  • EAS(Exchange ActiveSync) 클라이언트

인증서를 사용하면 모바일 디바이스의 특정 메일 및 Microsoft Office 애플리케이션에 사용자 이름 및 암호 조합을 입력해야 합니다.

Microsoft 모바일 애플리케이션 지원

지원
Azure Information Protection 앱 이 애플리케이션에 대한 지원을 나타내는 확인 표시
회사 포털 이 애플리케이션에 대한 지원을 나타내는 확인 표시
Microsoft 팀 이 애플리케이션에 대한 지원을 나타내는 확인 표시
Office(모바일) 이 애플리케이션에 대한 지원을 나타내는 확인 표시
OneNote 이 애플리케이션에 대한 지원을 나타내는 확인 표시
OneDrive 이 애플리케이션에 대한 지원을 나타내는 확인 표시
Outlook 이 애플리케이션에 대한 지원을 나타내는 확인 표시
Power BI 이 애플리케이션에 대한 지원을 나타내는 확인 표시
비즈니스용 Skype 이 애플리케이션에 대한 지원을 나타내는 확인 표시
Word / Excel / PowerPoint 이 애플리케이션에 대한 지원을 나타내는 확인 표시
Yammer 이 애플리케이션에 대한 지원을 나타내는 확인 표시

요구 사항

iOS에서 CBA를 사용하기 위해서는 다음 요구 사항 및 고려 사항이 적용됩니다.

  • 디바이스 OS 버전은 iOS 9 이상이어야 합니다.
  • Microsoft Authenticator는 iOS의 Office 애플리케이션에 필요합니다.
  • AD FS 서버의 인증 URL을 포함하는 macOS 키 집합에 ID 기본 설정을 만들어야 합니다. 자세한 내용은 Mac에서 키 집합 액세스에 ID 기본 설정 만들기를 참조하세요.

다음 AD FS(Active Directory Federation Services) 요구 사항 및 고려 사항이 적용됩니다.

  • 인증서 인증을 위해 AD FS 서버를 사용하도록 설정하고 페더레이션 인증을 사용해야 합니다.
  • 인증서에는 EKU(확장 된 키 사용)를 사용해야 하며 주체 대체 이름(NT 주체 이름)에 사용자의 UPN이 포함되어야 합니다.

AD FS 구성

Microsoft Entra ID에서 클라이언트 인증서를 해지하려면 AD FS 토큰에 다음 클레임이 있어야 합니다. Microsoft Entra ID는 이러한 클레임이 AD FS 토큰(또는 다른 SAML 토큰)에서 사용 가능한 경우 새로 고침 토큰에 이러한 클레임을 추가합니다. 새로 고침 토큰의 유효성을 검사해야 하는 경우 이 정보가 해지를 확인하는 데 사용됩니다.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> -클라이언트 인증서의 일련 번호 추가
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - 클라이언트 인증서 발급자에 대한 문자열 추가

조직의 AD FS 오류 페이지를 다음 정보로 업데이트하는 것이 가장 좋습니다.

  • iOS에서 Microsoft Authenticator를 설치하기 위한 요구 사항
  • 사용자 인증서를 얻는 방법에 대한 지침

자세한 내용은 AD FS 로그인 페이지 사용자 지정을 참조하세요.

Office 앱에서 최신 인증 사용

일부 Office 앱(최신 인증 사용)은 요청 시 Microsoft Entra ID에 prompt=login을(를) 보냅니다. 기본적으로 Microsoft Entra ID는 AD FS에 대한 요청의 prompt=login을(를) wauth=usernamepassworduri(U/P 인증을 수행하도록 AD FS에 요청) 및 wfresh=0(SSO 상태를 무시하고 새로운 인증을 수행하도록 AD FS에 요청)(으)로 변환합니다. 이러한 앱에 인증서 기반 인증을 사용하려면 기본 Microsoft Entra 동작을 수정해야 합니다.

기본 동작을 업데이트하려면 페더레이션된 도메인 설정의 'PromptLoginBehavior'을 사용 안 함으로 설정합니다. 다음 예와 같이 New-MgDomainFederationConfiguration cmdlet을 사용하여 이 작업을 수행할 수 있습니다.

New-MgDomainFederationConfiguration -DomainId <domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync 클라이언트에 대한 지원

iOS 9 이상에서, 네이티브 iOS 메일 클라이언트가 지원됩니다. 이 기능이 다른 모든 Exchange ActiveSync 애플리케이션에 대해 지원되는지 확인하려면 애플리케이션 개발자에게 문의하세요.

다음 단계

사용자 환경에서 인증서 기반 인증을 구성하려면 지침의 인증서 기반 인증 시작을 참조하세요.