하이브리드 최신 인증을 사용하도록 Exchange Server 온-프레미스를 구성하는 방법

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

HMA(하이브리드 최신 인증)는 보다 안전한 사용자 인증 및 권한 부여를 제공하는 ID 관리 방법이며 Exchange 서버 온-프레미스 하이브리드 배포에 사용할 수 있습니다.

정의

시작하기 전에 몇 가지 정의를 숙지해야 합니다.

  • 하이브리드 최신 인증 > HMA

  • Exchange 온-프레미스 > EXCH

  • > EXO Exchange Online

또한 이 문서의 그래픽에 회색으로 표시된 요소가 HMA 관련 구성에 포함되지 않음을 의미하는 '회색으로 표시' 또는 '흐리게'된 개체가 있는 경우

하이브리드 최신 인증 사용

HMA를 켜는 것은 다음을 의미합니다.

  1. 시작하기 전에 사전 설정을 충족하는지 확인합니다.

  2. 대부분의 필수 구성 요소는 비즈니스용 Skype Exchange, 하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버와 함께 사용하기 위한 필수 구성 요소 모두에 일반적입니다. 이 문서의 단계를 시작하기 전에 이 작업을 수행합니다. 삽입할 연결된 사서함에 대한 요구 사항입니다.

  3. Azure AD 온-프레미스 웹 서비스 URL을 SPN(서비스 사용자 이름)으로 추가합니다. EXCH가 여러 테넌트가 있는 하이브리드 상태인 경우 이러한 온-프레미스 웹 서비스 URL은 EXCH와 하이브리드 상태인 모든 테넌트 Azure AD SPN으로 추가되어야 합니다.

  4. HMA에 대해 모든 가상 디렉터리를 사용하도록 설정

  5. EvoSTS Auth Server 개체 확인

  6. EXCH에서 HMA를 사용하도록 설정합니다.

모든 필수 구성 요소를 충족하는지 확인합니다.

많은 필수 구성 요소가 비즈니스용 Skype Exchange 모두에 공통적이므로 하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한 필수 구성 요소를 검토합니다. 이 문서의 단계를 시작하기 전에 이 작업을 수행합니다.

참고

Outlook Web App 및 Exchange 제어판 하이브리드 최신 인증에서 작동하지 않습니다. 또한 Azure AD 애플리케이션 프록시 통해 Outlook Web App 및 Exchange 제어판 게시하는 것은 지원되지 않습니다.

Azure AD 온-프레미스 웹 서비스 URL을 SPN으로 추가

온-프레미스 웹 서비스 URL을 Azure AD SPN으로 할당하는 명령을 실행합니다. SPN은 인증 및 권한 부여 중에 클라이언트 컴퓨터 및 디바이스에서 사용됩니다. 온-프레미스에서 Azure Active Directory(Azure AD)에 연결하는 데 사용할 수 있는 모든 URL은 Azure AD 등록해야 합니다(내부 및 외부 네임스페이스 모두 포함).

먼저 AAD에 추가해야 하는 모든 URL을 수집합니다. 온-프레미스에서 다음 명령을 실행합니다.

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

클라이언트가 연결할 수 있는 URL이 AAD에서 HTTPS 서비스 주체 이름으로 나열되는지 확인합니다. EXCH가 여러 테넌트가 있는 하이브리드에 있는 경우 이러한 HTTPS SPN은 EXCH를 사용한 하이브리드의 모든 테넌트 AAD에 추가되어야 합니다.

  1. 먼저 다음 지침에 따라 AAD에 연결합니다.

    참고

    아래 명령을 사용하려면 이 페이지의 Connect-MsolService 옵션을 사용해야 합니다.

  2. Exchange 관련 URL에 대해 다음 명령을 입력합니다.

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    이 명령의 출력(및 이후 비교를 위한 스크린샷)을 기록해 둡니다. 이 출력에는 URL과 https://*mail.yourdomain.com* URL이 포함되어 https://*autodiscover.yourdomain.com* 야 하지만 주로 SPN으로 00000002-0000-0ff1-ce00-000000000000/시작됩니다. https:// 누락된 온-프레미스의 URL이 있는 경우 해당 특정 레코드를 이 목록에 추가해야 합니다.

  3. 이 목록에 내부 및 외부 MAPI/HTTP, EWS, ActiveSync, OAB 및 자동 검색 레코드가 표시되지 않으면 아래 명령을 사용하여 레코드를 추가해야 합니다(예제 URL은 mail.corp.contoso.comowa.contoso.com다음과 같지만 예제 URL은 사용자 고유로 바꿉니다.)

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. 2단계에서 명령을 다시 실행하고 출력을 Get-MsolServicePrincipal 확인하여 새 레코드가 추가되었는지 확인합니다. 이전의 목록/스크린샷을 새 SPN 목록과 비교합니다. 레코드에 대한 새 목록의 스크린샷을 찍을 수도 있습니다. 성공한 경우 목록에 두 개의 새 URL이 표시됩니다. 이 예제에서 SPN 목록에는 이제 특정 URL https://mail.corp.contoso.comhttps://owa.contoso.comURL이 포함됩니다.

가상 디렉터리를 올바르게 구성했는지 확인

이제 다음 명령을 실행하여 Outlook에서 사용할 수 있는 모든 가상 디렉터리에서 Exchange에서 OAuth가 제대로 사용하도록 설정되어 있는지 확인합니다.

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

출력을 확인하여 각 VDirs에서 OAuth 가 사용하도록 설정되어 있는지 확인합니다. 이 VDirs는 다음과 같이 표시됩니다(그리고 가장 중요한 것은 'OAuth').

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

OAuth가 서버와 네 개의 가상 디렉터리 중 하나에서 누락된 경우 계속하기 전에 관련 명령을 사용하여 추가해야 합니다(Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectorySet-AutodiscoverVirtualDirectory).

EvoSTS 인증 서버 개체가 있는지 확인

이 마지막 명령에 대한 온-프레미스 Exchange 관리 셸로 돌아갑니다. 이제 온-프레미스에 evoSTS 인증 공급자에 대한 항목이 있는지 확인할 수 있습니다.

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

출력에는 GUID가 있는 이름 EvoSts의 AuthServer가 표시되고 'Enabled' 상태는 True여야 합니다. 이 항목이 표시되지 않으면 최신 버전의 하이브리드 구성 마법사를 다운로드하여 실행해야 합니다.

참고

EXCH가 여러 테넌트와 하이브리드 상태인 경우 출력에 EXCH를 사용하는 하이브리드의 각 테넌트에 대한 이름의 EvoSts - {GUID} AuthServer가 하나 표시되고 이러한 모든 AuthServer 개체에 대해 사용 상태가 True여야 합니다.

중요

사용자 환경에서 Exchange 2010을 실행하는 경우 EvoSTS 인증 공급자가 만들어지지 않습니다.

HMA 사용

온-프레미스 Exchange 관리 셸에서 다음 명령을 실행하여 명령줄의 GUID>를 사용자 환경의 문자열로 바꿉<니다.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

참고

이전 버전의 하이브리드 구성 마법사에서 EvoSts AuthServer는 GUID를 연결하지 않고 EvoSTS로 명명되었습니다. 명령의 GUID 부분을 제거하여 이를 반영하도록 위의 명령줄을 수정하기만 하면 됩니다.

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

EXCH 버전이 Exchange 2016(CU18 이상) 또는 Exchange 2019(CU7 이상)이고 하이브리드가 2020년 9월 이후에 다운로드된 HCW로 구성된 경우 Exchange Management Shell 온-프레미스에서 다음 명령을 실행합니다.

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

참고

EXCH가 여러 테넌트가 있는 하이브리드인 경우 EXCH에 각 테넌트에 해당하는 도메인이 있는 여러 AuthServer 개체가 있습니다. 이러한 AuthServer 개체 중 하나에 대해 IsDefaultAuthorizationEndpoint 플래그를 true( IsDefaultAuthorizationEndpoint cmdlet 사용)로 설정해야 합니다. 이 플래그는 모든 Authserver 개체에 대해 true로 설정할 수 없으며 이러한 AuthServer 개체의 IsDefaultAuthorizationEndpoint 플래그 중 하나가 true로 설정된 경우에도 HMA를 사용할 수 있습니다.

DomainName 매개 변수의 경우 일반적으로 형식contoso.onmicrosoft.com인 테넌트 도메인 값을 사용합니다.

확인

HMA를 사용하도록 설정하면 클라이언트의 다음 로그인에서 새 인증 흐름을 사용합니다. HMA를 켜면 클라이언트에 대한 재인증이 트리거되지 않으며 Exchange에서 새 설정을 선택하는 데 시간이 걸릴 수 있습니다.

또한 Outlook 클라이언트 아이콘(Windows 알림 트레이에서도)을 마우스 오른쪽 단추로 클릭하고 '연결 상태'를 클릭하는 동시에 Ctrl 키를 누른 채로 있어야 합니다. OAuth에서 사용되는 전달자 토큰을 나타내는 Authn 형식에 대해 클라이언트의 Bearer\*SMTP 주소를 찾습니다.

참고

HMA를 사용하여 비즈니스용 Skype 구성해야 합니까? 지원되는 토폴로지를 나열하는 문서와 구성을 수행하는 방법을 보여 주는 두 개의 문서가 필요합니다.

Android 및 iOS용 Outlook에서 하이브리드 최신 인증 사용

TCP 443에서 Exchange 서버를 사용하는 온-프레미스 고객인 경우 다음 IP 범위의 네트워크 트래픽을 허용합니다.

52.125.128.0/20
52.127.96.0/23

이러한 IP 주소 범위는 Office 365 IP 주소 및 URL 웹 서비스에 포함되지 않은 추가 엔드포인트에도 설명되어 있습니다.

Office 365 전용/ITAR에서 vNext로 전환하기 위한 최신 인증 구성 요구 사항