단계적 롤아웃을 사용하여 클라우드 인증으로 마이그레이션
단계적 롤아웃을 사용하면 도메인을 컷오버하기 전에 Microsoft Entra 다단계 인증, 조건부 액세스, 유출된 자격 증명에 대한 Microsoft Entra ID Protection, ID 거버넌스 등과 같은 클라우드 인증 기능을 사용하여 사용자 그룹을 선택적으로 테스트할 수 있습니다. 이 문서에서는 전환 방법을 설명합니다.
단계적 롤아웃을 시작하기 전에, 다음 조건 중 하나 이상에 해당할 때 미치게 되는 영향을 고려해야 합니다.
- 현재 온-프레미스 다단계 인증 서버를 사용하고 있습니다.
- 인증에 스마트 카드를 사용하고 있습니다.
- 현재 서버는 특정 페더레이션 전용 기능을 제공합니다.
- 타사 페더레이션 솔루션에서 관리형 서비스로 이동하고 있습니다.
이 기능을 시도하기 전에, 적절한 인증 방법 선택에 대한 가이드를 검토하는 것이 좋습니다. 자세한 내용은 Microsoft Entra 하이브리드 ID 솔루션에 적합한 인증 방법 선택의 "방법 비교" 표를 참조하세요.
이 기능에 대한 개요는 이 "단계적 롤아웃이란?" 비디오를 시청하세요.
필수 조건
페더레이션된 도메인이 있는 Microsoft Entra 테넌트가 있습니다.
다음 옵션 중 하나를 이동하기로 결정했습니다.
- 암호 해시 동기화(동기화). 자세한 내용은 암호 해시 동기화란?을 참조하세요.
- 통과 인증. 자세한 내용은 통과 인증이란?을 참조하세요.
- Microsoft Entra CBA(인증서 기반 인증) 설정. 자세한 내용은 Microsoft Entra 인증서 기반 인증 개요를 참조하세요.
두 옵션 모두에 대해 SSO(Single Sign-On)를 사용하도록 설정하여 자동 로그인 환경을 구현하는 것이 좋습니다. Windows 7 또는 8.1 도메인 조인 디바이스의 경우 Seamless SSO를 사용하는 것이 좋습니다. 자세한 내용은 Seamless SSO란?을 참조하세요. Windows 10, Windows Server 2016 이상 버전의 경우 Microsoft Entra 조인 디바이스, Microsoft Entra 하이브리드 조인 디바이스, 회사 또는 학교 계정 추가를 통해 추가된 개인 등록 디바이스에서는 PRT(주 새로 고침 토큰)를 통해 SSO를 사용하는 것이 좋습니다.
클라우드 인증으로 마이그레이션되는 사용자에게 필요한 모든 테넌트 브랜딩 및 조건부 액세스 정책을 적절하게 구성했습니다.
페더레이션된 인증에서 클라우드 인증으로 이동한 경우 DirSync 설정
SynchronizeUpnForManagedUsers
가 사용하도록 설정되어 있는지 확인해야 합니다. 그러지 않으면 Microsoft Entra ID에서 UPN에 대한 동기화 업데이트 또는 관리형 인증을 사용하는 라이선스 사용자 계정에 대한 대체 로그인 ID를 허용하지 않습니다. 자세한 내용은 Microsoft Entra Connect Sync 서비스 기능을 참조하세요.Microsoft Entra 다단계 인증을 사용하려는 경우 SSPR(셀프 서비스 암호 재설정) 및 다단계 인증에 대한 통합 등록을 사용하여 사용자가 인증 방법을 한 번 등록하도록 하는 것이 좋습니다. 참고 항목 - 단계적 롤아웃 중에 MyProfile 페이지에서 암호 재설정이나 변경을 위해 SSPR를 사용할 경우 Microsoft Entra Connect는 새 암호 해시를 동기화해야 하며 이는 재설정 후 최대 2분이 소요될 수 있습니다.
단계적 롤아웃 기능을 사용하려면 테넌트의 하이브리드 ID 관리자여야 합니다.
특정 Active Directory 포리스트에서 Seamless SSO를 사용하도록 설정하려면 도메인 관리자여야 합니다.
하이브리드 Microsoft Entra ID 또는 Microsoft Entra 조인을 배포하는 경우 Windows 10 1903 업데이트로 업그레이드해야 합니다.
지원되는 시나리오
다음은 단계적 롤아웃이 가능한 시나리오입니다. 이 기능은 다음에 대해서만 작동합니다.
Microsoft Entra Connect를 사용하여 Microsoft Entra ID에 프로비전된 사용자. 클라우드 전용 사용자에게는 적용되지 않습니다.
브라우저 및 최신 인증 클라이언트의 사용자 로그인 트래픽. 레거시 인증을 사용하는 애플리케이션 또는 클라우드 서비스는 페더레이션 인증 흐름으로 대체됩니다. 레거시 인증의 예로 최신 인증이 해제된 Exchange 온라인 또는 최신 인증을 지원하지 않는 Outlook 2010이 있습니다.
그룹 크기는 현재 사용자 50,000명으로 제한됩니다. 사용자 수가 50,000명을 초과하는 그룹이 있는 경우 해당 그룹을 여러 그룹으로 분할하여 단계적으로 롤아웃하는 것이 좋습니다.
Windows 10 버전 1903 이상에 대한 페더레이션 서버와 통신할 수 없으며 사용자의 UPN을 라우팅할 수 있고 Microsoft Entra ID에서 도메인 접미사가 확인되는 상황에서 Windows 10 하이브리드 조인 또는 Microsoft Entra 조인 기본 새로 고침 토큰을 획득하는 경우입니다.
Autopilot 등록은 Windows 10 버전 1909 이상의 단계적 롤아웃에서 지원됩니다.
지원되지 않는 시나리오
다음은 단계적 롤아웃이 지원되지 않는 않는 시나리오입니다.
POP3 및 SMTP와 같은 레거시 인증은 지원되지 않습니다.
특정 애플리케이션은 인증 중에 "domain_hint" 쿼리 매개 변수를 Microsoft Entra ID로 보냅니다. 이러한 흐름이 계속되며, 단계적 롤아웃을 사용하도록 설정된 사용자는 계속해서 인증에 페더레이션을 사용합니다.
관리자는 보안 그룹을 사용하여 클라우드 인증을 롤아웃할 수 있습니다. 온-프레미스 Active Directory 보안 그룹을 사용할 때 동기화 대기 시간을 방지하려면 클라우드 보안 그룹을 사용하는 것이 좋습니다. 다음 조건이 적용됩니다.
- 기능당 최대 10개의 그룹을 사용할 수 있습니다. 즉, 암호 해시 동기화, 통과 인증 및 Seamless SSO 각각에 10개 그룹을 사용할 수 있습니다.
- 중첩된 그룹은 지원되지 않습니다.
- 동적 그룹은 단계적 롤아웃이 지원되지 않습니다.
- 그룹 내의 연락처 개체는 그룹이 추가되는 것을 차단합니다.
단계적 롤아웃에 대한 보안 그룹을 처음 추가하면 UX 시간 제한을 방지하기 위해 사용자 수가 200명으로 제한됩니다. 그룹을 추가한 후에는 필요한 만큼 사용자를 그룹에 추가할 수 있습니다.
사용자가 PHS(암호 해시 동기화)를 통해 단계적 롤아웃에 있는 동안에는 기본값으로 암호 만료가 적용되지 않습니다. "CloudPasswordPolicyForPasswordSyncedUsersEnabled"를 사용하도록 설정하여 암호 만료를 적용할 수 있습니다. "CloudPasswordPolicyForPasswordSyncedUsersEnabled"를 사용하면 암호 만료 정책은 암호를 사용자 지정할 수 있는 옵션 없이 온-프레미스에 암호가 설정된 시간으로부터 90일로 설정됩니다. 사용자가 단계적 롤아웃 중일 때 프로그래밍 방식으로 PasswordPolicies 특성을 업데이트할 수 없습니다. 'CloudPasswordPolicyForPasswordSyncedUsersEnabled'를 설정하는 방법을 알아보려면 암호 만료 정책을 참조하세요.
Windows 10 하이브리드 조인 또는 Microsoft Entra 조인 1903 이전 버전의 Windows 10에 대한 기본 새로 고침 토큰을 획득하는 경우입니다. 이 시나리오는 로그인한 사용자가 단계적 롤아웃 범위에 있더라도 페더레이션 서버의 WS-Trust 엔드포인트로 대체됩니다.
사용자의 온-프레미스 UPN을 라우팅할 수 없는 경우 모든 버전에 대한 Windows 10 하이브리드 조인 또는 Microsoft Entra 조인 기본 새로 고침 토큰을 획득하는 경우입니다. 이 시나리오는 단계적 롤아웃 모드에 있는 동안 WS-Trust 엔드포인트로 대체되지만, 단계적 마이그레이션이 완료되고 사용자 로그온이 더 이상 페더레이션 서버에 의존하지 않을 경우 작동이 중지됩니다.
Windows 10, 버전 1903 이상에서 비영구 VDI를 설정한 경우 페더레이션된 도메인에 유지해야 합니다. 관리되는 도메인으로의 이동은 비영구 VDI에서 지원되지 않습니다. 자세한 내용은 디바이스 ID 및 데스크톱 가상화를 참조하세요.
등록 기관 또는 스마트 카드 사용자 역할을 하는 페더레이션 서버를 통해 발급된 인증서가 포함된 비즈니스용 Windows Hello 하이브리드 인증서 트러스트가 있는 경우에는 단계적 롤아웃에서 이 시나리오가 지원되지 않습니다.
참고 항목
Microsoft Entra Connect 또는 PowerShell을 사용하여 페더레이션된 인증에서 클라우드 인증으로 최종 전환을 수행해야 합니다. 단계적 롤아웃은 도메인을 페더레이션형에서 관리형으로 전환하지 않습니다. 도메인 컷오버에 대한 자세한 내용은 페더레이션에서 암호 해시 동기화로 마이그레이션 및 페더레이션에서 통과 인증으로 마이그레이션을 참조하세요.
단계적 롤아웃 시작
단계적 롤아웃을 사용하여 암호 해시 동기화 로그인을 테스트하려면 다음 섹션의 사전 작업 지침을 따릅니다.
사용할 PowerShell cmdlet에 대한 자세한 내용은 Microsoft Entra ID 2.0 미리 보기를 참조하세요.
암호 해시 동기화를 위한 사전 작업
Microsoft Entra Connect의 선택 기능 페이지에서 암호 해시 동기화를 사용하도록 설정합니다.
모든 사용자의 암호 해시가 Microsoft Entra ID에 동기화되도록 전체 암호 해시 동기화 주기가 실행되었는지 확인합니다. 암호 해시 동기화 상태를 확인하려면 Microsoft Entra Connect Sync로 암호 해시 동기화 문제 해결에서 PowerShell 진단을 사용할 수 있습니다.
단계적 롤아웃을 사용하여 통과 인증 로그인을 테스트하려면 다음 섹션의 사전 작업 지침에 따라 사용하도록 설정합니다.
통과 인증을 위한 사전 작업
Windows Server 2012 R2 이상 버전을 실행하는 서버 중에서 통과 인증 에이전트를 실행할 서버를 찾습니다.
Microsoft Entra Connect 서버를 선택하지 마세요. 서버가 도메인에 조인되어 있고 Active Directory를 통해 선택한 사용자를 인증할 수 있으며 아웃바운드 포트 및 URL에서 Microsoft Entra ID와 통신할 수 있는지 확인합니다. 자세한 내용은 빠른 시작: Microsoft Entra Seamless Single Sign-On의 "1단계: 필수 조건 확인" 섹션을 참조하세요.
Microsoft Entra Connect 인증 에이전트를 다운로드하고 서버에 설치합니다.
고가용성을 사용하도록 설정하려면 다른 서버에 추가 인증 에이전트를 설치합니다.
스마트 잠금 설정을 적절하게 구성했는지 확인합니다. 이렇게 하면 사용자의 온-프레미스 Active Directory 계정이 악의적 행위자에 의해 잠기는 일을 방지하는 데 도움이 됩니다.
단계적 롤아웃에 대해 선택하는 로그인 방법(암호 해시 동기화 또는 통과 인증)에 관계없이 Seamless SSO를 사용하도록 설정하는 것이 좋습니다. Seamless SSO를 사용하도록 설정하려면 다음 섹션의 사전 작업 지침을 따르세요.
Seamless SSO를 위한 사전 작업
PowerShell을 사용하여 Active Directory 포리스트에서 Seamless SSO를 사용하도록 설정합니다. Active Directory 포리스트가 두 개 이상이면 각 포리스트에 대해 개별적으로 활성화합니다. Seamless SSO는 단계적 롤아웃에 대해 선택된 사용자에 대해서만 트리거됩니다. 기존 페더레이션 설정에는 영향을 주지 않습니다.
다음 작업을 수행하여 Seamless SSO를 사용하도록 설정합니다.
Microsoft Entra Connect 서버에 로그인합니다.
%programfiles%\Microsoft Entra Connect 폴더로 이동합니다.
다음 명령을 실행하여 Seamless SSO PowerShell 모듈을 가져옵니다.
Import-Module .\AzureADSSO.psd1
관리자로 PowerShell을 실행합니다. PowerShell에서
New-AzureADSSOAuthenticationContext
를 호출합니다. 이 명령은 테넌트의 하이브리드 ID 관리자 자격 증명을 입력할 수 있는 창을 엽니다.Get-AzureADSSOStatus | ConvertFrom-Json
을 호출합니다. 이 명령은 이 기능을 사용하도록 설정된 Active Directory 포리스트 목록("도메인" 목록 참조)을 표시합니다. 기본값으로 테넌트 수준에서 false로 설정됩니다.$creds = Get-Credential
을 호출합니다. 프롬프트에 원하는 Active Directory 포리스트의 도메인 관리자 자격 증명을 입력합니다.Enable-AzureADSSOForest -OnPremCredentials $creds
을 호출합니다. 이 명령은 Seamless SSO에 필요한 Active Directory 포리스트에 대한 온-프레미스 도메인 컨트롤러에서 AZUREADSSOACC 컴퓨터 계정을 만듭니다.Seamless SSO의 URL이 인트라넷 영역에 있어야 합니다. 그룹 정책을 사용하여 해당 URL을 배포하려면 빠른 시작: Microsoft Entra Seamless Single Sign-On을 참조하세요.
완전한 연습을 원하신다면 Seamless SSO를 위한 배포 계획을 다운로드하세요.
단계적 롤아웃 사용
특정 기능(통과 인증, 암호 해시 동기화 또는 Seamless SSO)을 그룹의 특정 사용자 세트에 롤아웃하려면 다음 섹션의 지침을 따르세요.
테넌트에서 특정 기능의 단계적 롤아웃 사용
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
이러한 옵션을 롤아웃할 수 있습니다.
- 암호 해시 동기화 + Seamless SSO
- 통과 인증 + Seamless SSO
- 지원되지 않음 - 암호 해시 동기화 + 통과 인증 + Seamless SSO
- 인증서 기반 인증 설정
- Azure 다단계 인증
단계적 롤아웃을 구성하려면 다음 단계를 수행합니다.
최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>하이브리드 관리>Microsoft Entra Connect>Connect Sync로 이동합니다.
Microsoft Entra Connect 페이지의 클라우드 인증 단계적 출시 아래에서 관리 사용자 로그인에 대한 단계적 출시 사용 링크를 선택합니다.
단계적 롤아웃 기능 사용 페이지에서 사용하도록 설정하려는 옵션(암호 해시 동기화, 통과 인증, Seamless Single Sign-On 또는 인증서 기반 인증)을 선택합니다. 예를 들어 암호 해시 동기화 및 Seamless Single Sign-On을 활성화하려면 두 컨트롤을 켜기로 밉니다.
그룹을 선택한 기능에 추가합니다. 예를 들어 통과 인증 및 Seamless SSO가 있습니다. 시간 제한을 방지하기 위해 처음에는 보안 그룹에서 200명 이하의 구성원을 포함하도록 합니다.
참고 항목
그룹의 구성원은 단계적 롤아웃을 사용하도록 자동으로 설정됩니다. 중첩 그룹 및 동적 멤버십 그룹은 단계적 롤아웃을 지원하지 않습니다. 새 그룹을 추가하는 경우 그룹의 사용자(새 그룹에 대해 최대 200명)가 관리되는 인증을 즉시 사용할 수 있도록 업데이트됩니다. 사용자 추가나 삭제 등 그룹 편집 시 변경 내용이 적용되는 데 최대 24시간이 걸릴 수 있습니다. Seamless SSO는 사용자가 Seamless SSO 그룹뿐만 아니라 PTA 또는 PHS 그룹에 있는 경우에만 적용됩니다.
감사
단계적 롤아웃을 위해 수행하는 다양한 작업에 대해 다음과 같은 감사 이벤트를 사용하도록 설정했습니다.
암호 해시 동기화, 통과 인증 또는 Seamless SSO에 대한 단계적 롤아웃을 사용하도록 설정할 때의 감사 이벤트.
참고 항목
단계적 롤아웃을 사용하여 Seamless SSO를 켜면 감사 이벤트가 기록됩니다.
암호 해시 동기화, 통과 인증 또는 Seamless SSO에 그룹이 추가될 때의 감사 이벤트
참고 항목
단계적 롤아웃을 위해 암호 해시 동기화에 그룹이 추가될 때 감사 이벤트가 기록됩니다.
그룹에 추가된 사용자가 단계적 롤아웃을 사용하도록 설정될 때의 감사 이벤트.
유효성 검사
암호 해시 동기화 또는 통과 인증(사용자 이름 및 암호 로그인)을 사용하여 로그인을 테스트하려면 다음 작업을 수행합니다.
엑스트라넷에서 프라이빗 브라우저 섹션의 앱 페이지로 이동한 다음, 단계적 롤아웃을 위해 선택한 사용자 계정의 UPN(UserPrincipalName)을 입력합니다.
단계적 롤아웃 대상으로 지정된 사용자는 페더레이션 로그인 페이지로 리디렉션되지 않습니다. 대신 Microsoft Entra 테넌트 브랜드 로그인 페이지에 로그인하라는 메시지가 표시됩니다.
UserPrincipalName으로 필터링하여 로그인이 Microsoft Entra 로그인 활동 보고서에 나타나는지 확인합니다.
Seamless SSO를 사용하여 로그인을 테스트하려면 다음을 수행합니다.
인트라넷에서 브라우저 세션을 사용하여 앱 페이지로 이동한 다음, 단계적 롤아웃을 위해 선택한 사용자 계정의 UPN(UserPrincipalName)을 입력합니다.
Seamless SSO의 단계적 롤아웃 대상으로 지정된 사용자에게는 자동으로 로그인되기 전에 "로그인하는 중..." 메시지가 표시됩니다.
UserPrincipalName으로 필터링하여 로그인이 Microsoft Entra 로그인 활동 보고서에 나타나는지 확인합니다.
선택한 단계적 롤아웃 사용자에 대해 AD FS(Active Directory Federation Services)에서 여전히 발생하는 사용자 로그인을 추적하려면 AD FS 문제 해결: 이벤트 및 로깅의 지침을 따릅니다. 타사 페더레이션 공급자에서 이를 확인하는 방법은 공급자 설명서를 참조하세요.
참고 항목
사용자가 PHS를 사용한 단계적 롤아웃 상태인 동안에는 동기화 시간으로 인해 암호 변경이 적용되는 데 최대 2분이 걸릴 수 있습니다. 사용자가 암호를 변경한 후 기술 지원팀 호출을 하지 못하게 하려면 사용자에게 기대치를 설정해야 합니다.
모니터링
Microsoft Entra 관리 센터에서 새 하이브리드 인증 통합 문서를 사용하여, 단계적 롤아웃에서 추가되거나 제거된 사용자와 그룹을 모니터링하고 단계적 롤아웃에 있는 동안 사용자 로그인을 모니터링할 수 있습니다.
단계적 롤아웃에서 사용자 제거
그룹에서 사용자를 제거하면 해당 사용자에 대한 단계적 롤아웃이 해제됩니다. 단계적 롤아웃 기능을 사용하지 않도록 설정하려면 컨트롤을 끄기로 다시 밉니다.
자주 묻는 질문
Q: 이 기능을 프로덕션 환경에서 사용할 수 있나요?
A: 예, 프로덕션 테넌트에서 이 기능을 사용할 수 있습니다. 하지만 테스트 테넌트에서 먼저 사용해 보는 것이 좋습니다.
Q: 일부 사용자는 페더레이션 인증을 사용하고 나머지 사용자는 클라우드 인증을 사용하는 영구적 "공존"을 유지하는 데 이 기능을 사용할 수 있나요?
A: 아니요, 이 기능은 클라우드 인증 테스트를 위해 설계되었습니다. 몇 개의 사용자 그룹을 성공적으로 테스트한 후에는 클라우드 인증으로 넘어가야 합니다. 영구적 혼합 상태를 사용하면 예기치 않은 인증 흐름이 발생할 수 있으므로 사용하지 않는 것이 좋습니다.
Q: PowerShell을 사용하여 단계적 롤아웃을 수행할 수 있나요?
A: 예. PowerShell을 사용하여 단계적 출시를 수행하는 방법을 알아보려면 Microsoft Entra ID 미리 보기를 참조하세요.