편집

다음을 통해 공유


Microsoft Entra Seamless Single Sign-On: 질문과 대답

이 문서에서는 Microsoft Entra Seamless SSO(Seamless Single Sign-On)에 대한 질문과 대답을 다룹니다. 새로운 내용을 계속 확인해 주세요.

Seamless SSO가 작동하는 로그인 방법은 무엇인가요?

Seamless SSO는 암호 해시 동기화 또는 통과 인증 로그인 방법과 결합할 수 있습니다. 그러나 AD FS(Active Directory Federation Services)에는 이 기능을 사용할 수 없습니다.

Seamless SSO는 체험 기능인가요?

Seamless SSO는 무료 기능이며 이 기능을 사용하기 위해 Microsoft Entra ID의 유료 버전이 필요하지 않습니다.

Seamless SSO는 Microsoft Azure 독일 클라우드 및 Microsoft Azure Government 클라우드에서 사용할 수 있나요?

Seamless SSO는 Azure Government 클라우드에 사용할 수 있습니다. 자세한 내용은 Azure Government에 대한 하이브리드 ID 고려 사항을 참조하세요.

Seamless SSO의 'domain_hint' 또는 'login_hint' 매개 변수 기능을 활용하는 애플리케이션은 무엇인가요?

테이블에는 이러한 매개 변수를 Microsoft Entra ID에 보낼 수 있는 애플리케이션 목록이 있습니다. 이 작업은 Seamless SSO를 사용하여 사용자에게 자동 로그온 환경을 제공합니다.

애플리케이션 이름 애플리케이션 URL
액세스 패널 https://myapps.microsoft.com/contoso.com
웹용 Outlook https://outlook.office365.com/contoso.com
Office 365 포털 https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

또한 애플리케이션이 테넌트로 설정된 Microsoft Entra 엔드포인트에 로그인 요청을 보내는 경우 사용자는 자동 로그인 환경을 가져오게 됩니다. 즉, Microsoft Entra 공통 엔드포인트(https://login.microsoftonline.com/common/<...>) 대신, https://login.microsoftonline.com/contoso.com/<..> 또는 https://login.microsoftonline.com/<tenant_ID>/<..>입니다. 테이블에는 이러한 형식의 로그인을 요청하는 애플리케이션 목록이 있습니다.

애플리케이션 이름 애플리케이션 URL
SharePoint Online https://contoso.sharepoint.com
Microsoft Entra 관리 센터 https://portal.azure.com/contoso.com

위 표에 나오는 "contoso.com"을 도메인 이름으로 바꾸어 테넌트에 적절한 애플리케이션 URL로 이동합니다.

다른 애플리케이션에서 자동 로그온 환경을 사용하려는 경우 사용자 의견 섹션에서 알려주십시오.

Seamless SSO는 'userPrincipalName' 대신 '대체 ID'를 사용자 이름으로 지원하나요?

예. Seamless SSO는 여기서 보여주듯이 Microsoft Entra Connect에서 구성할 때 Alternate ID를 사용자 이름으로 지원합니다. 일부 Microsoft 365 애플리케이션에서 Alternate ID를 지원하지 않습니다. 지원 내용은 특정 애플리케이션의 설명서를 참조하세요.

Microsoft Entra 조인 및 Seamless SSO에서 제공하는 Single Sign-On 환경 간에 차이점은 무엇인가요?

Microsoft Entra 조인은 디바이스가 Microsoft Entra ID로 등록된 경우 사용자에게 SSO를 제공합니다. 이러한 디바이스를 반드시 도메인에 가입할 필요는 없습니다. 기본 새로 고침 토큰이나 PRT 및 Kerberos를 사용하여 SSO를 제공하지 않습니다. 사용자 환경은 Windows 10 디바이스에서 가장 적합합니다. SSO는 Microsoft Edge 브라우저에서 자동으로 실행됩니다. 또한 브라우저 확장을 사용하여 Chrome에서 작동합니다.

테넌트에서 Microsoft Entra 조인 및 Seamless SSO를 사용할 수 있습니다. 이러한 두 기능은 상호 보완적입니다. 두 기능이 모두 설정되어 있으면 Microsoft Entra 조인에서 SSO는 Seamless SSO보다 우선합니다.

AD FS를 사용하지 않고 비Windows 10 디바이스를 Microsoft Entra ID에 등록하려고 합니다. Seamless SSO를 대신 사용할 수 있나요?

예, 이 시나리오에는 작업 공간 연결 클라이언트 버전 2.1 이상이 필요합니다.

'AZUREADSSO' 컴퓨터 계정의 Kerberos 암호 해독 키를 어떻게 롤오버하나요?

온-프레미스 AD 포리스트에 만든 AZUREADSSO 컴퓨터 계정(Microsoft Entra ID를 나타냄)의 Kerberos 암호 해독 키를 자주 롤오버하는 것이 중요합니다.

Important

적어도 30일마다 Update-AzureADSSOForest cmdlet을 사용하여 Kerberos 암호 해독 키를 롤오버하는 것이 좋습니다. Update-AzureADSSOForest cmdlet을 사용하는 경우 포리스트별로 Update-AzureADSSOForest 명령을 두 번 이상 실행하지 않아야 합니다. 그렇지 않으면 해당 기능은 사용자의 Kerberos 티켓이 만료되고 온-프레미스 Active Directory에 의해 재발급될 때까지 작동하지 않습니다.

Microsoft Entra Connect를 실행 중인 온-프레미스 서버에서 다음 단계를 수행합니다.

참고 항목

이 단계에는 도메인 관리자 및 하이브리드 ID 관리자 자격 증명이 필요합니다. 도메인 관리자가 아니고 도메인 관리자로부터 권한을 할당받으면 Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount를 호출해야 합니다.

1단계. Seamless SSO가 사용하도록 설정된 AD 포리스트 목록 가져오기

  1. 먼저 Azure AD PowerShell을 다운로드한 후 설치합니다.
  2. $env:programfiles"\Microsoft Azure Active Directory Connect" 폴더로 이동합니다.
  3. 다음 명령을 사용하여 Seamless SSO PowerShell 모듈을 가져옵니다. Import-Module .\AzureADSSO.psd1
  4. 관리자 권한으로 PowerShell을 실행합니다. PowerShell에서 New-AzureADSSOAuthenticationContext를 호출합니다. 이 명령으로 테넌트의 하이브리드 ID 관리자 자격 증명을 입력하라는 팝업 메시지가 표시됩니다.
  5. Get-AzureADSSOStatus | ConvertFrom-Json을 호출합니다. 사용하도록 설정된 AD 포리스트 목록(“도메인” 목록에 있음)이 표시됩니다.

2단계. 설정된 각 AD 포리스트에서 Kerberos 암호 해독 키 업데이트

  1. $creds = Get-Credential을 호출합니다. 메시지가 표시되면 의도한 AD 포리스트에 대한 도메인 관리자 자격 증명을 입력합니다.

참고 항목

도메인 관리자 자격 증명 사용자 이름은 SAM 계정 이름 형식(contoso\johndoe 또는 contoso.com\johndoe)으로 입력해야 합니다. 사용자 이름의 도메인 부분을 사용하여 DNS를 사용하는 도메인 관리자의 도메인 컨트롤러를 찾습니다.

참고 항목

사용되는 도메인 관리자 계정은 보호된 사용자 그룹의 구성원이 아니어야 합니다. 이 경우 작업은 실패합니다.

  1. Update-AzureADSSOForest -OnPremCredentials $creds을 호출합니다. 이 명령은 이 특정 AD 포리스트에서 AZUREADSSO 컴퓨터 계정에 대한 Kerberos 암호 해독 키를 업데이트하고 Microsoft Entra ID에서 키를 업데이트 합니다.

  2. 기능을 설정한 각 AD 포리스트에 대해 위의 단계를 반복합니다.

참고 항목

Microsoft Entra Connect 포리스트가 아닌 포리스트를 업데이트하는 경우 글로벌 카탈로그 서버(TCP 3268 및 TCP 3269)에 대한 연결이 사용 가능한지 확인합니다.

Important

준비 모드에서 Microsoft Entra Connect를 실행하는 서버에서는 이 작업을 수행할 필요가 없습니다.

Seamless SSO를 사용하지 않으려면 어떻게 해야 하나요?

1단계 테넌트에서 기능 사용 안 함

옵션 A: Microsoft Entra Connect 사용 중지

  1. Microsoft Entra Connect를 실행하고 사용자 로그인 페이지 변경을 선택하고 다음을 클릭합니다.
  2. Single Sign-On 사용 옵션의 선택을 취소합니다. 마법사를 계속 진행합니다.

마법사를 완료하면 테넌트에서 SSO Seamless를 사용하지 않도록 설정됩니다. 그러나 다음과 같은 메시지가 화면에 표시됩니다.

“Single Sign-On을 이제 사용하지 않도록 설정했습니다. 하지만 정리를 완료하기 위해 수행할 다른 수동 단계가 남아 있습니다. 자세한 정보

정리 프로세스를 완료하려면 Microsoft Entra Connect를 실행 중인 온-프레미스 서버에서 2단계와 3단계를 수행합니다.

옵션 B: PowerShell을 사용하여 비활성화

Microsoft Entra Connect를 실행 중인 온-프레미스 서버에서 다음 단계를 실행합니다.

  1. 먼저 Azure AD PowerShell을 다운로드한 후 설치합니다.
  2. $env:ProgramFiles"\Microsoft Azure Active Directory Connect" 폴더로 이동합니다.
  3. 다음 명령을 사용하여 Seamless SSO PowerShell 모듈을 가져옵니다. Import-Module .\AzureADSSO.psd1
  4. 관리자 권한으로 PowerShell을 실행합니다. PowerShell에서 New-AzureADSSOAuthenticationContext를 호출합니다. 이 명령으로 테넌트의 하이브리드 ID 관리자 자격 증명을 입력하라는 팝업 메시지가 표시됩니다.
  5. Enable-AzureADSSO -Enable $false을 호출합니다.

이 시점에서 Seamless SSO는 사용하지 않게 설정되어 있지만, Seamless SSO를 다시 사용으로 설정하려는 경우 도메인은 구성된 상태로 유지됩니다. Seamless SSO 구성에서 도메인을 완전히 제거하려면 위의 5단계를 완료한 후 Disable-AzureADSSOForest -DomainFqdn <fqdn> cmdlet을 호출합니다.

Important

PowerShell을 사용하여 Seamless SSO를 사용하지 않도록 설정해도 Microsoft Entra Connect의 상태는 변경되지 않습니다. Seamless SSO는 사용자 로그인 변경 페이지에서 사용하도록 설정된 것으로 표시됩니다.

참고 항목

Microsoft Entra Connect 동기화 서버가 없으면 서버를 다운로드하여 초기 설치를 실행할 수 있습니다. 이렇게 하면 서버가 설정되지는 않지만 SSO를 사용하지 않도록 설정하는 데 필요한 파일의 압축이 해제됩니다. MSI 설치가 완료되면 Microsoft Entra Connect 마법사를 닫고 PowerShell을 사용하여 Seamless SSO를 사용하지 않도록 설정하는 단계를 실행합니다.

2단계. Seamless SSO가 사용하도록 설정된 AD 포리스트 목록을 가져옵니다.

Microsoft Entra Connect를 사용하여 Seamless SSO를 사용하지 않도록 설정한 경우 작업 1~4를 따릅니다. 대신 PowerShell을 사용하여 Seamless SSO를 사용하지 않도록 설정한 경우 작업 5로 이동합니다.

  1. 먼저 Azure AD PowerShell을 다운로드한 후 설치합니다.
  2. $env:ProgramFiles"\Microsoft Azure Active Directory Connect" 폴더로 이동합니다.
  3. 다음 명령을 사용하여 Seamless SSO PowerShell 모듈을 가져옵니다. Import-Module .\AzureADSSO.psd1
  4. 관리자 권한으로 PowerShell을 실행합니다. PowerShell에서 New-AzureADSSOAuthenticationContext를 호출합니다. 이 명령으로 테넌트의 하이브리드 ID 관리자 자격 증명을 입력하라는 팝업 메시지가 표시됩니다.
  5. Get-AzureADSSOStatus | ConvertFrom-Json을 호출합니다. 사용하도록 설정된 AD 포리스트 목록("도메인" 목록에 있음)이 표시됩니다.

3단계. 나열된 각 AD 포리스트에서 AZUREADSSO 컴퓨터 계정을 수동으로 삭제합니다.

다음 단계

  • 빠른 시작 - Microsoft Entra Seamless SSO를 시작하고 실행합니다.
  • 기술 심층 분석 - 이 기능의 작동 방식을 이해합니다.
  • 문제 해결 - 기능과 관련된 일반적인 문제를 해결하는 방법에 대해 알아봅니다.
  • UserVoice - 새로운 기능 요청을 제출합니다.