적용 대상: 
워크포스 사용자 
외부 사용자(자세히 알아보기)
사용자 지정 URL 도메인을 사용하면 Microsoft의 기본 도메인 이름 대신 사용자 지정 URL 도메인으로 애플리케이션의 로그인 엔드포인트를 브랜딩할 수 있습니다.
확인된 사용자 지정 URL 도메인을 사용하면 다음과 같은 여러 가지 이점이 있습니다.
- 보다 일관된 사용자 환경을 제공합니다. 사용자의 관점에서 보면 사용자는 기본 도메인 <tenant-name>.ciamlogin.com으로 리디렉션되지 않고 로그인 프로세스 동안 도메인에 남아 있습니다.
- 로그인하는 동안 애플리케이션의 도메인을 동일하게 유지하면 타사 쿠키 차단이 미치는 영향을 완화할 수 있습니다.
팁
이 기능을 사용해 보려면 Woodgrove 식료품 데모로 이동하여 "사용자 지정 URL 도메인 이름" 사용 사례를 시작합니다.
사용자 지정 URL 도메인 작동 방식
사용자 지정 URL 도메인을 사용하면 확인된 사용자 지정 URL 도메인 이름을 애플리케이션의 로그인 인증 엔드포인트로 사용할 수 있습니다. 새 사용자 지정 URL 도메인 이름을 추가할 때 사용자 지정 URL 도메인과 연결할 수 있습니다. 그런 다음 Azure Front Door와 같은 역방향 프록시 서비스는 사용자 지정 URL 도메인을 사용하여 로그인을 애플리케이션에 전달할 수 있습니다.
다음 다이어그램은 Azure Front Door 통합을 보여 줍니다.
- 애플리케이션에서 사용자는 로그인 단추를 선택하여 로그인 페이지로 이동합니다. 이 페이지는 사용자 지정 URL 도메인을 지정합니다.
- 웹 브라우저는 사용자 지정 URL 도메인을 Azure Front Door IP 주소로 확인합니다. DNS(Domain Name System) 확인 중에 사용자 지정 URL 도메인이 있는 CNAME(정식 이름) 레코드는 Front Door 기본 프런트 엔드 호스트(예:
contoso-frontend.azurefd.net)를 가리킵니다. - 사용자 지정 URL 도메인(예:
login.contoso.com)으로 가는 트래픽은 지정된 Front Door 기본 프런트 엔드 호스트(contoso-frontend.azurefd.net)로 라우팅됩니다. - Azure Front Door는
<tenant-name>.ciamlogin.com기본 도메인을 사용하여 콘텐츠를 호출합니다. 엔드포인트에 대한 요청에는 원래 사용자 지정 URL 도메인이 포함됩니다. - 외부 ID는 관련 콘텐츠와 원래 사용자 지정 URL 도메인을 표시하여 사용자 지정 URL 도메인 요청에 응답합니다.
Azure Front Door는 감사 보고에 표시되는 IP 주소인 사용자의 원래 IP 주소를 전달합니다.
중요
클라이언트가 Azure Front Door에 x-forwarded-for 헤더를 보내는 경우 외부 ID는 송신자의 x-forwarded-for를 조건부 액세스 평가에 대한 사용자의 IP 주소와 {Context:IPAddress} 클레임 확인자로 사용합니다.
고려 사항 및 제한 사항
사용자 지정 URL 도메인을 사용하는 경우:
- 여러 사용자 지정 URL 도메인을 설정할 수 있습니다. 지원되는 최대 사용자 지정 URL 도메인 수에 대해서는 Microsoft Entra 서비스 관련 제한사항 및 제약 조건은 번 및번 항목을 참조하시고, Azure Front Door 관련 Azure 구독 및 서비스 제한, 할당량 및 제약 조건은 번 및번 항목을 참조하세요.
- 추가 요금이 발생하는 별도의 Azure 서비스인 Azure Front Door를 사용할 수 있습니다. 자세한 내용은 Front Door 가격 책정을 참조하세요. Azure Front Door 인스턴스는 외부 테넌트와 다른 구독에서 호스트될 수 있습니다.
- 여러 애플리케이션이 있는 경우 브라우저가 현재 사용 중인 도메인 이름으로 세션을 저장하므로 해당 애플리케이션을 모두 사용자 지정 URL 도메인으로 마이그레이션합니다.
중요
- Azure Front Door: 브라우저에서 Azure Front Door로의 연결은 항상 IPv6 대신 IPv4를 사용해야 합니다.
- 소셜 ID 공급자: 사용자 지정 URL 도메인은 이제 Apple 외에도 Google 및 Facebook을 지원합니다.
기본 도메인 차단
보안을 강화하려면 기본 도메인을 차단하는 것이 좋습니다. 사용자 지정 URL 도메인을 구성한 후에도 사용자는 기본 도메인 이름인 <tenant-name>.ciamlogin.com에 계속 액세스할 수 있습니다. 공격자가 앱에 액세스하거나 DDoS(분산 서비스 거부) 공격을 실행하는 데 사용할 수 없도록 기본 도메인에 대한 액세스를 차단해야 합니다. 기본 도메인에 대한 액세스를 차단하려면 지원 티켓 열고 요청을 제출합니다.
주의
기본 도메인을 차단하는 요청을 제출하기 전에 사용자 지정 URL 도메인이 제대로 작동하는지 확인합니다.
기능 영향 및 해결 방법
기본 도메인을 차단하면 해당 도메인에 의존하는 특정 기능이 비활성화됩니다. 그러나 사용자 지정 URL 도메인을 사용하여 구성하여 다음 표에 설명된 기능에 대한 기능을 유지할 수 있습니다.
| 특징 | 해결 방법 |
|---|---|
| 지금 실행 | Microsoft Entra 관리 센터에서 시작 가이드의 "지금 실행" 기능에서 사용하는 URL과 사용자 지정 URL 도메인으로 사용자 흐름 창을 업데이트합니다. 브라우저 URL에서 {your_domain}.ciamlogin.com를 사용자 지정 URL 도메인 {your_custom_URL_domain}/{your_tenant_ID}로 변경합니다. |
| 샘플 시작 | 사용자 지정 URL 도메인을 사용하여 시작 가이드에서 샘플을 구성합니다. 자세한 지침은 각 샘플에 대한 설명서를 참조하세요. 예를 들어 Vanilla JavaScript 단일 페이지 앱 자습서"사용자 지정 URL 도메인 사용" 섹션을 참조하세요. |
| 외부 ID가 있는 Power Pages | Power Pages 사이트 에서외부 ID를 사용하는 경우, 사이트 설정을 사용자 지정 URL 도메인으로 업데이트합니다. Power Pages ID 공급자 구성 페이지에서 {your_domain}.ciamlogin.com이 포함된 기관 URL 필드를 사용자 지정 URL 도메인 {your_custom_URL_domain}/{your_tenant_ID}로 바꾸십시오. |
| 외부 ID와 함께 사용하는 Azure App Service | Azure App Service 에서외부 ID를 사용하는 경우, ID 공급자를 편집하고 발급자 URL 필드를 {your_domain}.ciamlogin.com에서 사용자 지정 URL 도메인 {your_custom_URL_domain}/{your_tenant_ID}로 변경합니다. |
| Visual Studio Code 확장 |
Visual Studio Code 확장애플리케이션 및 "지금 실행" 기능이 제대로 작동하도록 애플리케이션의 MSAL 구성에 사용자 지정 URL 도메인을 추가합니다. authconfig 파일의 권한을 {your_domain}.ciamlogin.com{your_custom_URL_domain}/{your_tenant_ID}변경하고 사용자 지정 URL 도메인에 알려진 기관을 추가합니다. |
| 외부 ID가 있는 Visual Studio | appsettings.json 파일에서 사용자 지정 URL 도메인과 테넌트 ID를 추가하고 사용자 지정 URL 도메인에 알려진 기관을 추가합니다. |
| GitHub 샘플 | OpenAI 채팅 애플리케이션(예: Microsoft Entra 인증(Python))과 같은 특정 샘플에는 사용자 지정 URL 도메인이 필요합니다. 샘플을 설정할 때 AZURE_AUTH_LOGIN_ENDPOINT 사용자 지정 URL 도메인으로 설정합니다. |