다음을 통해 공유


Microsoft Entra Connect 사용자 로그인 옵션

Microsoft Entra Connect를 사용하면 사용자가 동일한 암호를 사용하여 온-프레미스 및 클라우드 리소스 모두에 로그인할 수 있습니다. 이 문서에서는 Microsoft Entra ID에 로그인할 때 사용하려는 ID 선택에 도움이 되도록 모든 ID 모델의 주요 개념에 대해 설명합니다.

이미 Microsoft Entra 신원 모델에 익숙하고 특정 방법에 대해 자세히 알고 싶다면 해당 링크를 참조하세요.

참고 항목

Microsoft Entra ID에 대한 페더레이션을 구성하여 Microsoft Entra 테넌트와 페더레이션된 도메인 간 신뢰를 수립하는 것이 중요합니다. 이 신뢰를 통해 페더레이션된 도메인 사용자는 테넌트 내 Microsoft Entra 클라우드 리소스에 액세스할 수 있습니다.

사용자 조직에 대한 사용자 로그인 메서드 선택

Microsoft Entra Connect를 구현하는 경우 결정해야 하는 첫 번째 사항은 사용자가 로그인할 때 사용할 인증 방법을 선택하는 것입니다. 조직의 보안 및 고급 요구 사항을 충족하는 올바른 방법을 선택하는 것이 중요합니다. 인증은 매우 중요합니다. 클라우드의 앱과 데이터에 액세스하려는 사용자의 ID를 확인하기 때문입니다. 올바른 인증 방법을 선택하려면 시간, 기존 인프라, 복잡성 및 선택을 구현하는 데 드는 비용을 고려해야 합니다. 이러한 요소는 조직마다 다르며 시간이 흐름에 따라 변경될 수 있습니다.

Microsoft Entra ID에서는 다음과 같은 인증 방법을 지원합니다.

  • 클라우드 인증 - 이 인증 방법을 선택하면 사용자의 로그인에 대한 인증 프로세스가 Microsoft Entra ID에서 처리됩니다. 클라우드 인증을 사용할 경우 다음 두 가지 옵션 중에서 선택할 수 있습니다.
    • PHS(암호 해시 동기화) - 암호 해시 동기화를 사용하면 Microsoft Entra Connect 외에 추가 인프라를 배포하지 않고도 사용자가 온-프레미스에서 사용하는 것과 동일한 사용자 이름과 암호를 사용할 수 있습니다.
    • PTA(통과 인증) - 이 옵션은 암호 해시 동기화와 유사하지만 강력한 보안 및 준수 정책을 통해 조직의 온-프레미스 소프트웨어 에이전트를 사용하여 간단한 암호 검증을 제공합니다.
  • 페더레이션 인증 - 이 인증 방법을 선택하면 Microsoft Entra ID가 인증 프로세스를 별도의 신뢰할 수 있는 인증 시스템(예: AD FS 또는 타사 페더레이션 시스템)으로 넘겨서 사용자의 로그인이 확인됩니다.

Microsoft 365, SaaS 애플리케이션 및 기타 Microsoft Entra ID 기반 리소스에 사용자가 로그인할 수 있도록 하려는 대부분의 조직은 기본 암호 해시 동기화 옵션을 사용하는 것이 좋습니다.

인증 방법을 선택하는 방법에 대한 자세한 내용은 Microsoft Entra 하이브리드 ID 솔루션에 대한 올바른 인증 방법 선택을 참조하세요.

암호 해시 동기화

암호 해시 동기화를 수행하면 사용자 암호의 해시는 온-프레미스 Active Directory에서 Microsoft Entra ID로까지 동기화됩니다. 암호를 변경하거나 온-프레미스에서 다시 설정하면, 새 암호 해시가 Microsoft Entra ID와 즉시 동기화되므로 사용자는 클라우드 리소스와 온-프레미스 리소스에 항상 동일한 암호를 사용할 수 있습니다. 암호는 Microsoft Entra ID로 전송되거나 Microsoft Entra ID에 명확한 텍스트로 저장되지 않습니다. 암호 해시 동기화를 암호 쓰기 저장과 함께 사용하여 Microsoft Entra ID에서 재설정한 자체 서비스 암호를 사용할 수 있습니다.

또한 회사 네트워크에 있는 도메인에 가입된 시스템에 Seamless SSO를 사용하도록 설정할 수 있습니다. Single Sign-On으로 사용 가능한 사용자는 클라우드 리소스에 안전하게 액세스하기 위해 사용자 이름을 입력하기만 하면 됩니다.

암호 해시 동기화

자세한 내용은 암호 해시 동기화 문서를 참조하세요.

통과 인증

통과 인증을 사용하면 온-프레미스 Active Directory 컨트롤러에 대해 사용자 암호의 유효성이 검사되므로 암호가 Microsoft Entra ID에 어떤 형식으로든 있을 필요가 없습니다. 이를 통해 Cloud Services에 대한 인증 동안 로그온 시간 제한 같은 온-프레미스 정책을 평가할 수 있습니다.

통과 인증에서는 온-프레미스 환경에서 Windows Server 2012 R2 도메인에 가입된 컴퓨터의 간단한 에이전트를 사용합니다. 이 에이전트는 암호 유효성 검사 요청을 수신합니다. 인바운드 포트를 인터넷에 개방할 필요가 없습니다.

또한 회사 네트워크에 있는 도메인에 가입된 시스템의 사용자에 대해 Single Sign-On을 사용하도록 설정할 수도 있습니다. Single Sign-On으로 사용 가능한 사용자는 클라우드 리소스에 안전하게 액세스하기 위해 사용자 이름을 입력하기만 하면 됩니다. 통과 인증

자세한 내용은 다음을 참조하세요.

Windows Server 2012 R2의 AD FS에 새 또는 기존 팜을 사용하는 페더레이션

페더레이션 로그인을 통해 사용자는 온-프레미스 암호로 Microsoft Entra ID 기반 서비스에 로그인할 수 있습니다. 회사 네트워크에 있는 동안 자신의 암호를 입력할 필요가 없습니다. AD FS와 페더레이션 옵션을 사용하여 Windows Server 2012 R2의 AD FS로 새 또는 기존 팜을 배포할 수 있습니다. 기존 팜에 지정하려는 경우 Microsoft Entra Connect는 사용자가 로그인 할 수 있도록 팜과 Microsoft Entra ID 간의 트러스트를 구성합니다.

Windows Server 2012 R2의 AD FS와 페더레이션

Windows Server 2012 R2의 AD FS로 페더레이션 배포

새 팜을 배포하는 경우 필수 요건은 다음과 같습니다.

  • 페더레이션 서버용 Windows Server 2012 R2 서버
  • 웹 애플리케이션 프록시용 Windows Server 2012 R2 서버
  • 원하는 페더레이션 서비스 이름에 대한 TLS/SSL 인증서가 하나 있는 .pfx 파일. 예: fs.contoso.com

새 팜을 배포 하거나 기존 팜을 사용하는 경우 필수 요건은 다음과 같습니다.

  • 페더레이션 서버에 대한 로컬 관리자 자격 증명.
  • 웹 애플리케이션 프록시 역할을 배포하려는 임의의 작업 그룹 서버(도메인에 가입되지 않음)에 대한 로컬 관리자 자격 증명
  • 마법사를 실행하는 컴퓨터는 Windows 원격 관리를 통해 AD FS나 웹 애플리케이션 프록시를 설치하려는 다른 컴퓨터에 연결할 수 있는 컴퓨터

자세한 내용은 참조 AD FS로 SSO 구성을 참조하세요.

PingFederate을 사용한 페더레이션

페더레이션 로그인을 통해 사용자는 온-프레미스 암호로 Microsoft Entra ID 기반 서비스에 로그인할 수 있습니다. 회사 네트워크에 있는 동안 자신의 암호를 입력할 필요가 없습니다.

Microsoft Entra ID와 함께 사용할 PingFederate를 구성하는 방법에 대한 자세한 내용은 Microsoft Entra ID 및 Microsoft 365와 PingFederate 통합을 참조하세요.

PingFederate를 사용하여 Microsoft Entra Connect를 설정하는 방법에 대한 자세한 내용은 Microsoft Entra Connect 사용자 지정 설치를 참조하세요.

이전 버전의 AD FS 또는 타사 솔루션을 사용하여 로그인

이전 버전의 AD FS(예: AD FS 2.0) 또는 타사 페더레이션 공급자를 사용하여 클라우드 로그온을 이미 구성한 경우 Microsoft Entra Connect를 통해 구성에서 사용자 로그인을 건너뛰도록 선택할 수 있습니다. 이렇게 하면 여전히 기존 솔루션을 사용하여 로그인하는 동안 최신 동기화 및 Microsoft Entra Connect의 다른 기능을 얻을 수 있습니다.

자세한 내용은 Microsoft Entra 타사 페더레이션 호환성 목록을 참조하세요.

사용자 로그인 및 사용자 계정 이름

사용자 계정 이름 이해

Active Directory에서 기본 사용자 계정 이름(UPN) 접미사는 사용자 계정이 생성된 도메인의 DNS 이름입니다. 대부분의 경우에서 인터넷에서 엔터프라이즈 도메인으로 등록된 도메인 이름입니다. 그러나 Active Directory 도메인 및 트러스트를 사용하여 더 많은 UPN 접미사를 추가할 수 있습니다.

사용자의 UPN은 username@domain 형식입니다. 예를 들어 "contoso.com"이라는 Active Directory 도메인의 경우 사용자에게 UPN "john@contoso.com"이 있을 수 있습니다. 사용자의 UPN은 RFC 822에 기반합니다. UPN 및 전자 메일이 동일한 형식을 공유하더라도 사용자의 UPN 값은 사용자의 전자 메일 주소와 같거나 또는 같지 않을 수 있습니다.

Microsoft Entra ID의 사용자 계정 이름

Microsoft Entra Connect 마법사는 userPrincipalName 특성을 사용하거나 온-프레미스에서 Microsoft Entra ID의 사용자 계정 이름으로 사용할 수 있는 특성을 사용자 지정 설치로 지정할 수 있습니다. Microsoft Entra ID에 로그인하는 데 사용할 값입니다. userPrincipalName 특성의 값이 Microsoft Entra ID에서 확인된 도메인에 해당하지 않으면 Microsoft Entra ID는 이를 기본 .onmicrosoft.com 값으로 바꿉니다.

Microsoft Entra ID의 모든 디렉터리는 contoso.onmicrosoft.com 형식의 기본 제공 도메인 이름을 함께 제공되어 Azure 또는 다른 Microsoft 서비스를 사용할 수 있게 해줍니다. 사용자 지정 도메인을 사용하여 로그인 환경을 향상시키고 단순화할 수 있습니다. Microsoft Entra ID에서 사용자 지정 도메인 이름 및 도메인을 확인하는 방법에 대한 내용은 Microsoft Entra ID에 사용자 지정 도메인 이름 추가를 참조하세요.

Microsoft Entra 로그인 구성

Microsoft Entra Connect를 사용한 Microsoft Entra 로그인 구성

Microsoft Entra 로그인 환경은 Microsoft Entra ID를 Microsoft Entra 디렉터리에서 확인된 사용자 지정 도메인 중 하나에 동기화된 사용자의 사용자 계정 이름 접미사와 일치시킬 수 있는지 여부에 따라 달라집니다. 클라우드의 사용자 로그인 환경이 온-프레미스 환경과 비슷해 지도록 Microsoft Entra 로그인 설정을 구성하는 동안 Microsoft Entra Connect가 도움을 줍니다.

Microsoft Entra Connect는 도메인에 대해 정의된 UPN 접미사를 나열하며 Microsoft Entra ID의 사용자 지정 도메인과 일치시키려고 합니다. 그러면 적절한 조치를 취하는 데 도움이 됩니다. Microsoft Entra 로그인 페이지는 온-프레미스 Active Directory에 대해 정의된 UPN 접미사를 나열하고 각 접미사에 해당하는 상태를 표시합니다. 상태 값은 다음 중 하나가 될 수 있습니다.

시스템 상태 설명 작업 필요
확인됨 Microsoft Entra Connect는 Microsoft Entra ID에서 일치하는 확인된 도메인을 찾았습니다. 이 도메인에 대한 모든 사용자는 온-프레미스 자격 증명을 사용하여 로그인할 수 있습니다. 어떤 조치가 필요하지 않습니다.
확인되지 않음 Microsoft Entra Connect는 Microsoft Entra ID에서 일치하는 사용자 지정 도메인을 찾았지만 확인되지 않습니다. 이 도메인의 사용자의 UPN 접미사는 도메인이 확인되지 않으면 동기화 후에 기본값 .onmicrosoft.com 접미사로 변경됩니다. Microsoft Entra ID에서 사용자 지정 도메인을 확인합니다.
추가되지 않음 Microsoft Entra Connect는 UPN 접미사에 해당하는 사용자 지정 도메인을 찾지 못했습니다. 이 도메인의 사용자의 UPN 접미사는 Azure에서 도메인이 추가 및 확인되지 않으면 기본값 .onmicrosoft.com 접미사로 변경됩니다. UPN 접미사에 해당하는 사용자 지정 도메인의 추가 및 확인

Microsoft Entra 로그인 페이지는 현재 확인 상태를 사용하여 Microsoft Entra ID에서 온-프레미스 Active Directory와 해당 사용자 지정 도메인에 정의된 UPN 접미사를 나열합니다. 이제 사용자 지정 설치에서 Microsoft Entra 로그인 페이지의 사용자 계정 이름에 대한 특성을 선택할 수 있습니다.

Microsoft Entra 로그인 페이지

새로 고침 단추를 클릭하여 Microsoft Entra ID에서 사용자 지정 도메인의 최신 상태를 다시 가져올 수 있습니다.

Microsoft Entra ID에서 사용자 계정 이름에 특성 선택

userPrincipalName 특성은 사용자가 Microsoft Entra ID 및 Microsoft 365에 로그인할 때 사용하는 특성입니다. 사용자를 동기화하기 전에 Microsoft Entra ID에서 사용된 도메인(UPN 접미사라고도 함)을 확인해야 합니다.

기본 특성 userPrincipalName을 유지하는 것이 좋습니다. 이 특성은 라우팅할 수 없고 확인할 수 없는 경우 다른 특성(전자 메일 등)을 로그인 ID를 보유하는 특성으로 선택할 수 있습니다. 대체 ID로도 알려져 있습니다. 대체 ID 특성 값은 RFC 822 표준을 따라야 합니다. 암호 SSO 및 페더레이션 SSO 모두에 대체 ID를 로그인 솔루션으로 사용할 수 있습니다.

참고 항목

대체 ID를 사용하면 일부 Microsoft 365 워크로드와 호환되지 않습니다. 자세한 내용은 대체 로그인 ID 구성을 참조하세요.

여러 사용자 지정 도메인 상태 및 Azure 로그인 환경에 미치는 영향

Microsoft Entra 디렉터리의 사용자 지정 도메인 상태와 UPN 접미사가 정의한 온-프레미스 간의 관계를 이해하는 데 매우 중요합니다. Microsoft Entra Connnect를 사용하여 동기화를 설정하는 경우 다른 가능한 Azure 로그인 환경을 살펴보겠습니다.

다음 정보의 경우, 온-프레미스 디렉터리에서 UPN의 일환(예: user@contoso.com)으로 사용되는 UPN 접미사 contoso.com를 우려한다고 가정합니다.

Express 설정/암호 해시 동기화
Azure 로그인 사용자 경험에 미치는 영향
추가되지 않음 이 경우에 contoso.com에 대한 사용자 지정 도메인은 Microsoft Entra 디렉터리에서 추가되지 않습니다. 접미사 @contoso.com이 포함된 UPN 온-프레미스를 가진 사용자는 해당 온-프레미스 UPN을 사용하여 Azure에 로그인할 수 없습니다. 대신 기본 Microsoft Entra 디렉터리에 대한 접미사를 추가하여 Microsoft Entra ID에서 제공한 새 UPN을 사용해야 합니다. 예를 들어 Microsoft Entra 디렉터리 azurecontoso.onmicrosoft.com에 사용자를 동기화하는 경우 온-프레미스 사용자 user@contoso.com은 지정된 user@azurecontoso.onmicrosoft.com의 UPN입니다.
확인되지 않음 이 경우에 Microsoft Entra 디렉터리에 추가된 사용자 지정 도메인 contoso.com이 있습니다. 아직 확인되지 않습니다. 도메인을 확인하지 않고 사용자를 동기화하는 경우 사용자는 '추가되지 않음' 시나리오처럼 Microsoft Entra ID에 의해 할당된 새 UPN입니다.
확인됨 이 경우에 UPN 접미사에 대한 Microsoft Entra ID에서 추가되고 확인횐 사용자 지정 도메인 contoso.com이 있습니다. 사용자는 Microsoft Entra ID와 동기화된 후에 해당 온-프레미스 사용자 계정 이름(예: user@contoso.com)을 사용하여 Azure에 로그인할 수 있습니다.
AD FS 페더레이션

Microsoft Entra ID의 기본 .onmicrosoft.com 도메인 또는 Microsoft Entra ID의 확인되지 않은 사용자 지정 도메인을 사용하여 페더레이션을 만들 수 없습니다. Microsoft Entra Connect 마법사를 실행하는 경우 확인되지 않은 도메인을 선택하여 페더레이션을 만들려면 Microsoft Entra Connect에서는 도메인에 대해 DNS가 호스트되는 위치를 만들기 위해 필요한 레코드라는 메시지가 나타납니다. 자세한 내용은 페더레이션에 선택한 Microsoft Entra 도메인 확인을 참조하세요.

AD FS로 페더레이션으로 사용자 로그인 옵션을 선택한 경우 Microsoft Entra ID에서 페더레이션을 계속 만들려면 사용자 지정 도메인이 있어야 합니다. 설명하자면 즉, Microsoft Entra 디렉터리에 추가된 사용자 지정 도메인 contoso.com이 있어야 합니다.

Azure 로그인 사용자 경험에 미치는 영향
추가되지 않음 이 경우에 Microsoft Entra Connect는 Microsoft Entra 디렉터리에서 UPN 접미사 contoso.com에 일치하는 사용자 지정 도메인을 찾을 수 없습니다. 사용자가 user@contoso.com과 같은 해당 온-프레미스 UPN으로 AD FS를 사용하여 로그인해야 하는 경우 사용자 지정 도메인 contoso.com을 추가해야 합니다.
확인되지 않음 이 경우에 Microsoft Entra Connect는 이후 단계에서 도메인을 확인하는 방법에 대한 적절한 정보를 메시지로 표시합니다.
확인됨 이 경우에 추가 작업 없이 구성을 진행할 수 있습니다.

사용자 로그인 방법 변경

마법사를 사용한 Microsoft Entra Connect의 초기 구성 후에 Microsoft Entra Connect에서 사용할 수 있는 작업을 사용하여 페더레이션에서 암호 해시 동기화 또는 통과 인증에 사용자 로그인 방법을 변경할 수 있습니다. Microsoft Entra Connect 마법사를 다시 실행하면 수행할 수 있는 작업 목록이 나타납니다. 작업 목록에서 사용자 로그인 변경 을 선택합니다

사용자 로그인 변경

다음 페이지에서 Microsoft Entra ID에 대한 자격 증명을 제공하도록 요청합니다.

Microsoft Entra ID에 대한 자격 증명을 입력해야 하는 위치를 보여 주는 스크린샷

사용자 로그인 페이지에서 원하는 사용자 로그인을 선택합니다.

Microsoft Entra ID에 연결

참고 항목

임시 스위치를 암호 해시 동기화로 만드는 경우 사용자 계정 변환하지 않음 확인란을 선택합니다. 옵션을 선택하지 않은 경우 각 사용자가 페더레이션된 사용자로 변환되고 몇 시간이 걸릴 수 있습니다.

다음 단계