다음을 통해 공유

페더레이션에서 Microsoft Entra CBA(인증서 기반 인증)로 마이그레이션

  • 아티클

이 문서에서는 Microsoft Entra CBA(인증서 기반 인증)를 사용하여 AD FS(Active Directory Federation Services) 온-프레미스와 같은 페더레이션된 서버 실행 방식에서 클라우드 인증으로 마이그레이션하는 방법을 설명합니다.

단계적 롤아웃

테넌트 관리자는 Microsoft Entra ID에서 CBA 인증 방법을 사용하도록 설정하고 전체 도메인을 관리 인증으로 변환하여 파일럿 테스트 없이 페더레이션된 도메인을 Microsoft Entra CBA로 완전히 전환할 수 있습니다. 그러나 고객이 전체 도메인을 관리된 도메인으로 전환하기 전에 Microsoft Entra CBA에 대해 인증하는 소규모 사용자 배치를 테스트하려는 경우 단계적 롤아웃 기능을 사용할 수 있습니다.

CBA(인증서 기반 인증)에 대한 단계적 롤아웃을 통해 고객은 Microsoft Entra ID의 도메인 구성을 페더레이션에서 관리형으로 변환하기 전에 선택한 사용자 그룹과 함께 Microsoft Entra ID(더 이상 페더레이션 IdP로 리디렉션되지 않음)에서 CBA를 사용하도록 작은 사용자 집합을 선택적으로 이동하여 페더레이션 IdP에서 Microsoft Entra ID로 CBA를 수행하는 것을 지원합니다. 단계적 롤아웃은 도메인이 오랜 시간 동안 또는 많은 사용자에 대해 페더레이션된 상태로 유지되도록 설계되지 않았습니다.

ADFS 인증서 기반 인증에서 Microsoft Entra CBA로 마이그레이션하는 방법을 보여 주는 이 빠른 비디오를 시청하세요.

참고 항목

사용자에 대해 단계적 롤아웃을 사용하도록 설정하면 사용자는 관리형 사용자로 간주되며 모든 인증은 Microsoft Entra ID에서 발생합니다. 페더레이션된 테넌트의 경우 단계적 롤아웃에서 CBA를 사용하도록 설정하면 암호 인증은 PHS가 사용하도록 설정된 경우에만 작동합니다. 그렇지 않으면 암호 인증이 실패합니다.

테넌트에서 인증서 기반 인증을 위해 단계적 롤아웃 사용

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

단계적 롤아웃을 구성하려면 다음 단계를 수행합니다.

  1. 최소한 사용자 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. Microsoft Entra Connect를 검색하여 선택합니다.
  3. Microsoft Entra Connect 페이지의 클라우드 인증의 단계적 롤아웃 아래에서 관리되는 사용자 로그인에 대해 단계적 롤아웃 사용을 클릭합니다.
  4. 단계적 롤아웃 사용 기능 페이지에서 인증서 기반 인증 옵션에 대해 켜기를 클릭합니다.
  5. 그룹 관리를 클릭하고 클라우드 인증에 포함할 그룹을 추가합니다. 시간 제한을 방지하기 위해 처음에는 보안 그룹에서 200명 이하의 멤버를 포함하도록 합니다.

자세한 내용은 단계적 롤아웃을 참조하세요.

Microsoft Entra Connect를 사용하여 certificateUserIds 특성 업데이트

AD FS 관리자는 동기화 규칙 편집기를 사용하여 AD FS의 특성 값을 Microsoft Entra 사용자 개체와 동기화하는 규칙을 만들 수 있습니다. 자세한 내용은 certificateUserIds에 대한 동기화 규칙을 참조하세요.

Microsoft Entra Connect에는 필요한 권한을 부여하는 하이브리드 ID 관리자라는 특수한 역할이 필요합니다. 새 클라우드 특성에 쓸 수 있는 권한에는 이 역할이 필요합니다.

참고 항목

사용자가 사용자 이름 바인딩을 위해 사용자 개체의 onPremisesUserPrincipalName 특성과 같은 동기화된 특성을 사용하는 경우 Microsoft Entra Connect 서버에 대한 관리 액세스 권한이 있는 모든 사용자는 동기화된 특성 매핑을 변경하고 동기화된 특성의 값을 변경할 수 있습니다. 사용자가 클라우드 관리자일 필요는 없습니다. AD FS 관리자는 Microsoft Entra Connect 서버에 대한 관리 액세스를 제한해야 하며 권한 있는 계정은 클라우드 전용 계정이어야 합니다.

AD FS에서 Microsoft Entra ID로의 마이그레이션에 대한 질문과 대답

페더레이션된 AD FS 서버에 대해 권한 있는 계정을 사용할 수 있나요?

가능하지만 권한 있는 계정은 클라우드 전용 계정으로 사용하는 것이 좋습니다. 권한 있는 액세스에 클라우드 전용 계정을 사용하면 손상된 온-프레미스 환경의 Microsoft Entra ID에서 노출이 제한됩니다. 자세한 내용은 온-프레미스 공격으로부터 Microsoft 365 보호를 참조하세요.

조직이 AD FS와 Azure CBA를 모두 실행하는 하이브리드인 경우 AD FS 손상에 여전히 취약한가요?

권한 있는 계정은 클라우드 전용 계정으로 사용하는 것이 좋습니다. 이 방법을 사용하면 손상된 온-프레미스 환경의 Microsoft Entra ID에서 노출이 제한됩니다. 권한 있는 계정을 클라우드 전용으로 유지 관리하는 것이 이 목표의 기초입니다.

동기화된 계정의 경우:

  • 관리되는 도메인에 있는 경우(페더레이션되지 않음) 페더레이션된 IdP의 위험이 없습니다.
  • 페더레이션된 도메인에 있지만 계정 하위 집합이 단계적 롤아웃에 의해 Microsoft Entra CBA로 이동되는 경우 페더레이션된 도메인이 클라우드 인증으로 완전히 전환될 때까지 페더레이션된 Idp와 관련된 위험이 발생합니다.

조직은 AD FS에서 Azure로 피벗하는 기능을 방지하기 위해 AD FS와 같은 페더레이션 서버를 제거해야 하나요?

페더레이션을 사용하면 공격자가 전역 관리자 계정과 같은 클라우드 전용 역할을 얻을 수 없더라도 CIO와 같은 모든 사람을 가장할 수 있습니다.

도메인이 Microsoft Entra ID에서 페더레이션되면 페더레이션 IdP에 높은 수준의 신뢰가 적용됩니다. AD FS는 한 가지 예이지만 ‘모든’ 페더레이션 IdP에 적용되는 개념입니다. 많은 조직에서는 전적으로 인증서 기반 인증을 수행하기 위해 AD FS와 같은 페더레이션 IdP를 배포합니다. 이 경우 Microsoft Entra CBA는 AD FS 종속성을 완전히 제거합니다. Microsoft Entra CBA를 사용하면 고객은 애플리케이션 자산을 Microsoft Entra ID로 이동하여 IAM 인프라를 현대화하고 보안을 강화하여 비용을 절감할 수 있습니다.

보안 관점에서 X.509 인증서, CAC, PIV 등을 비롯한 자격 증명 또는 사용 중인 PKI는 변경되지 않습니다. PKI 소유자는 인증서 발급 및 해지 수명 주기 및 정책을 완전히 제어합니다. 해지 검사 및 인증은 페더레이션 Idp 대신 Microsoft Entra ID에서 발생합니다. 이러한 검사는 암호 없는 피싱 방지 인증을 통해 모든 사용자가 Microsoft Entra ID에서 인증을 받을 수 있도록 합니다.

인증이 페더레이션 AD FS와 Windows의 Microsoft Entra 클라우드 인증에서 어떻게 작동하나요?

Microsoft Entra CBA를 사용하려면 사용자 또는 애플리케이션이 로그인한 사용자의 Microsoft Entra UPN을 제공해야 합니다.

브라우저 예제에서 사용자는 가장 자주 Microsoft Entra UPN을 입력합니다. Microsoft Entra UPN은 영역 및 사용자 검색에 사용됩니다. 그런 다음, 사용된 인증서는 정책에서 구성된 사용자 이름 바인딩 중 하나를 사용하여 이 사용자와 일치하는지 검색됩니다.

Windows 로그인에서 디바이스가 하이브리드인지 아니면 Microsoft Entra에 조인되었는지에 따라 일치 결과가 달라집니다. 그러나 두 경우 모두 사용자 이름 힌트가 제공되면 Windows에서 힌트를 Microsoft Entra UPN으로 보냅니다. 그런 다음, 사용된 인증서는 정책에서 구성된 사용자 이름 바인딩 중 하나를 사용하여 이 사용자와 일치하는지 검색됩니다.

다음 단계