Microsoft Entra ID의 여러 인스턴스를 AD FS의 단일 인스턴스와 페더레이션
양방향 트러스트가 있는 경우 하나의 고가용성 AD FS 팜에서 여러 포리스트를 페더레이션할 수 있습니다. 이러한 여러 포리스트는 동일한 Microsoft Entra ID에 해당할 수도 있고 그렇지 않을 수도 있습니다. 이 문서에서는 단일 AD FS 배포와 Microsoft Entra ID의 여러 인스턴스 간에 페더레이션을 구성하는 방법에 대한 지침을 제공합니다.
참고 항목
이 시나리오에서는 디바이스 쓰기 저장 및 자동 디바이스 연결이 지원되지 않습니다.
참고 항목
Microsoft Entra Connect는 단일 Microsoft Entra ID에서 도메인에 대한 페더레이션을 구성할 수 있으므로 이 시나리오에서는 페더레이션을 구성하는 데 Microsoft Entra Connect를 사용할 수 없습니다.
여러 Microsoft Entra ID와 AD FS를 페더레이션하는 단계
contoso.onmicrosoft.com Microsoft Entra의 contoso.com 도메인은 이미 contoso.com 온-프레미스 Active Directory 환경에 설치된 AD FS 온-프레미스와 통합되어 있다고 가정합니다. Fabrikam.com은 fabrikam.onmicrosoft.com Microsoft Entra ID의 도메인입니다.
1단계: 양방향 트러스트 설정
contoso.com의 AD FS가 fabrikam.com에서 사용자를 인증하려면 contoso.com과 fabrikam.com 간에 양방향 트러스트 관계가 필요합니다. 이 문서의 지침에 따라 양방향 트러스트를 만듭니다.
2단계: contoso.com 페더레이션 설정 수정
AD FS에 페더레이션된 단일 도메인에 대해 설정되는 기본 발급자는 "http://ADFSServiceFQDN/adfs/services/trust""입니다(예: http://fs.contoso.com/adfs/services/trust). Microsoft Entra ID에는 페더레이션된 도메인마다 고유한 발급자가 필요합니다. AD FS는 두 도메인을 페더레이션하므로 발급자 값이 고유하도록 수정해야 합니다.
참고 항목
Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후 이러한 모듈에 대한 지원은 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.
Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.
AD FS 서버에서 Azure AD PowerShell을 열고(MSOnline 모듈이 설치되어 있는지 확인) 다음 단계를 수행합니다.
contoso.com Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain에 대한 페더레이션 설정인 contoso.com 도메인 Connect-MsolService Update가 포함된 Microsoft Entra ID에 연결합니다.
도메인 페더레이션 설정의 발급자가 "http://contoso.com/adfs/services/trust"로 변경되고, Microsoft Entra ID 신뢰 당사자 트러스트에서 UPN 접미사를 기반으로 하는 올바른 issuerId 값을 발급하도록 발급 클레임 규칙이 추가됩니다.
3단계: AD FS로 fabrikam.com 페더레이션
Azure AD PowerShell 세션에서 다음 단계를 수행합니다. fabrikam.com 도메인이 포함된 Microsoft Entra ID에 연결합니다.
Connect-MsolService
fabrikam.com 관리되는 도메인을 페더레이션된 도메인으로 변환합니다.
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
위의 작업에서는 동일한 AD FS를 통해 fabrikam.com 도메인을 페더레이션합니다. 두 도메인 모두에 대해 Get-MsolDomainFederationSettings를 사용하여 도메인 설정을 확인할 수 있습니다.