하이브리드 최신 인증을 사용하도록 Exchange Server 온-프레미스를 구성하는 방법

  • 아티클

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

HMA(하이브리드 최신 인증)는 보다 안전한 사용자 인증 및 권한 부여를 제공하는 ID 관리 방법이며 Exchange 서버 온-프레미스 하이브리드 배포에 사용할 수 있습니다.

하이브리드 최신 인증 사용

HMA를 켜려면 환경이 다음을 충족해야 합니다.

  1. 시작하기 전에 필수 구성 요소를 충족하는지 확인합니다.

  2. 비즈니스용 Skype 및 Exchange 모두에 대해 많은 필수 구성 요소가 일반적이므로 하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한 필수 구성 요소에서 검토합니다. 이 문서의 단계를 시작하기 전에 이 작업을 수행합니다. 삽입할 연결된 사서함에 대한 요구 사항입니다.

  3. Microsoft Entra ID 온-프레미스 웹 서비스 URL을 SPN(서비스 사용자 이름)으로 추가합니다. Exchange 온-프레미스가 여러 테넌트에서 하이브리드 상태인 경우 이러한 온-프레미스 웹 서비스 URL은 Exchange 온-프레미스와 하이브리드 상태인 모든 테넌트 Microsoft Entra ID SPN으로 추가해야 합니다.

  4. HMA에 대해 모든 가상 디렉터리를 사용하도록 설정했는지 확인

  5. EvoSTS 인증 서버 개체 확인

  6. Exchange Server OAuth 인증서가 유효한지 확인합니다.

  7. 모든 사용자 ID가 Microsoft Entra ID 동기화되었는지 확인합니다.

  8. Exchange 온-프레미스에서 HMA를 사용하도록 설정합니다.

참고

Office 버전이 MA를 지원하나요? Office 2013 및 Office 2016 클라이언트 앱에 대한 최신 인증 작동 방식을 참조하세요.

경고

Microsoft Entra 애플리케이션 프록시를 통해 Outlook Web App 및 Exchange 제어판 게시하는 것은 지원되지 않습니다.

Microsoft Entra ID 온-프레미스 웹 서비스 URL을 SPN으로 추가

온-프레미스 웹 서비스 URL을 Microsoft Entra SPN으로 할당하는 명령을 실행합니다. SPN은 인증 및 권한 부여 중에 클라이언트 컴퓨터 및 디바이스에서 사용됩니다. 온-프레미스에서 Microsoft Entra ID 연결하는 데 사용할 수 있는 모든 URL은 Microsoft Entra ID(내부 및 외부 네임스페이스 모두 포함)에 등록되어야 합니다.

  1. 먼저 Microsoft Exchange Server 다음 명령을 실행합니다.

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    클라이언트가 연결할 수 있는 URL이 Microsoft Entra ID HTTPS 서비스 주체 이름으로 나열되는지 확인합니다. Exchange 온-프레미스가 여러 테넌트에서 하이브리드인 경우 Exchange 온-프레미스와 하이브리드의 모든 테넌트 Microsoft Entra ID 이러한 HTTPS SPN을 추가해야 합니다.

  2. Microsoft Graph PowerShell 모듈을 설치합니다.

    Install-Module Microsoft.Graph -Scope AllUsers

  3. 다음으로, 다음 지침을 사용하여 Microsoft Entra ID 연결합니다. 필요한 권한에 동의하려면 다음 명령을 실행합니다.

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Exchange 관련 URL에 대해 다음 명령을 입력합니다.

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    https://*mail.yourdomain.com* URL을 포함 https://*autodiscover.yourdomain.com* 해야 하지만 주로 로 시작하는 00000002-0000-0ff1-ce00-000000000000/SPN으로 구성된 이 명령의 출력(및 이후 비교를 위한 스크린샷)을 기록해 둡니다. 누락된 https:// 온-프레미스의 URL이 있는 경우 해당 특정 레코드를 이 목록에 추가해야 합니다.

  5. 이 목록에 내부 및 외부 MAPI/HTTP, , EWS, ActiveSyncOABAutodiscover 레코드가 표시되지 않으면 추가해야 합니다. 다음 명령을 사용하여 누락된 모든 URL을 추가합니다.

    중요

    이 예제에서 추가될 URL은 및 owa.contoso.com입니다mail.corp.contoso.com. 해당 URL이 사용자 환경에 구성된 URL로 대체되었는지 확인합니다.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. 2단계에서 명령을 다시 실행하고 출력을 Get-MsolServicePrincipal 확인하여 새 레코드가 추가되었는지 확인합니다. 이전의 목록/스크린샷을 새 SPN 목록과 비교합니다. 레코드에 대한 새 목록의 스크린샷을 찍을 수도 있습니다. 성공하면 목록에 두 개의 새 URL이 표시됩니다. 이 예제에서는 이제 SPN 목록에 특정 URL https://mail.corp.contoso.comhttps://owa.contoso.com가 포함됩니다.

가상 디렉터리를 올바르게 구성했는지 확인

이제 다음 명령을 실행하여 Outlook에서 사용할 수 있는 모든 가상 디렉터리에서 Exchange에서 OAuth가 제대로 사용하도록 설정되어 있는지 확인합니다.

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

출력을 확인하여 이러한 각 VDirs에서 OAuth 가 사용하도록 설정되어 있는지 확인합니다. 이 VDirs는 다음과 같습니다(그리고 가장 중요한 내용은 'OAuth').

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

OAuth가 모든 서버 및 4개의 가상 디렉터리에서 누락된 경우 계속하기 전에 관련 명령을 사용하여 추가해야 합니다(Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectorySet-AutodiscoverVirtualDirectory).

EvoSTS 인증 서버 개체가 있는지 확인

이 마지막 명령에 대한 온-프레미스 Exchange 관리 셸로 돌아갑니다. 이제 온-프레미스에 evoSTS 인증 공급자에 대한 항목이 있는지 확인할 수 있습니다.

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

출력에는 GUID가 있는 이름 EvoSts의 AuthServer가 표시되고 'Enabled' 상태는 True여야 합니다. 그렇지 않은 경우 최신 버전의 하이브리드 구성 마법사를 다운로드하여 실행해야 합니다.

참고

Exchange 온-프레미스가 여러 테넌트와 하이브리드 상태인 경우 출력에 Exchange 온-프레미스와 하이브리드의 EvoSts - {GUID} 각 테넌트 이름에 대한 하나의 AuthServer가 표시되고 이러한 모든 AuthServer 개체에 대해 Enabled 상태가 True 여야 합니다.

중요

사용자 환경에서 Exchange 2010을 실행하는 경우 EvoSTS 인증 공급자가 만들어지지 않습니다.

HMA 사용

온-프레미스 Exchange 관리 셸에서 다음 명령을 실행하여 명령줄의 GUID>를 실행한 마지막 명령의 출력에서 GUID로 바꿉<니다.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

참고

이전 버전의 하이브리드 구성 마법사에서 EvoSts AuthServer는 GUID를 연결하지 않고 EvoSTS로 명명되었습니다. 수행해야 하는 작업은 없습니다. 명령의 GUID 부분을 제거하여 이를 반영하도록 이전 명령줄을 수정하기만 하면 됩니다.

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Exchange 온-프레미스 버전이 Exchange 2016(CU18 이상) 또는 Exchange 2019(CU7 이상)이고 하이브리드가 2020년 9월 이후에 다운로드된 HCW로 구성된 경우 온-프레미스의 Exchange Management Shell에서 다음 명령을 실행합니다.

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

참고

Exchange 온-프레미스가 여러 테넌트에서 하이브리드인 경우 Exchange 온-프레미스에 각 테넌트마다 해당하는 도메인이 있는 여러 AuthServer 개체가 있습니다. 이러한 AuthServer 개체 중 하나에 대해 IsDefaultAuthorizationEndpoint 플래그를 true( IsDefaultAuthorizationEndpoint cmdlet 사용)로 설정해야 합니다. 이 플래그는 모든 Authserver 개체에 대해 true로 설정할 수 없으며 이러한 AuthServer 개체의 IsDefaultAuthorizationEndpoint 플래그 중 하나가 true로 설정된 경우에도 HMA를 사용하도록 설정합니다.

참고

DomainName 매개 변수의 경우 일반적으로 형식contoso.onmicrosoft.com인 테넌트 도메인 값을 사용합니다.

확인

HMA를 사용하도록 설정하면 클라이언트의 다음 로그인에서 새 인증 흐름을 사용합니다. HMA를 켜면 클라이언트에 대한 재인증이 트리거되지 않으며 Exchange에서 새 설정을 선택하는 데 시간이 걸릴 수 있습니다.

또한 Outlook 클라이언트 아이콘(Windows 알림 트레이에서도)을 마우스 오른쪽 단추로 클릭하고 연결 상태를 선택하는 동시에 Ctrl 키를 누른 채로 있어야 합니다. OAuth에서 사용되는 전달자 토큰을 나타내는 의 AuthN 유형에 대해 클라이언트의 Bearer\*SMTP 주소를 찾습니다.

참고

HMA를 사용하여 비즈니스용 Skype 구성해야 합니까? 지원되는 토폴로지를 나열하는 문서와 구성을 수행하는 방법을 보여 주는 문서 두 가지가 필요합니다.

OWA 및 ECP에 대한 하이브리드 최신 인증 사용

이제 및 ECP에 대해 하이브리드 최신 인증을 OWA 사용하도록 설정할 수도 있습니다. 계속하기 전에 필수 구성 요소가 충족되는지 확인합니다.

및 에 대해 OWA 하이브리드 최신 인증을 사용하도록 설정한 후 로그인을 시도하거나 ECP 먼저 Microsoft Entra ID 인증 페이지로 OWA 리디렉션되는 각 최종 사용자 및 관리자ECP입니다. 인증에 성공하면 사용자가 또는 ECPOWA 리디렉션됩니다.

OWA 및 ECP에 대한 하이브리드 최신 인증을 사용하도록 설정하기 위한 필수 구성 요소

ECP에 하이브리드 최신 인증을 OWA 사용하도록 설정하려면 모든 사용자 ID를 Microsoft Entra ID 동기화해야 합니다. 이 외에도 추가 구성 단계를 수행하기 전에 Exchange Server 온-프레미스와 Exchange Online 간에 OAuth 설정을 설정하는 것이 중요합니다.

하이브리드를 구성하기 위해 HCW(하이브리드 구성 마법사)를 이미 실행한 고객은 OAuth 구성을 적용합니다. 이전에 OAuth를 구성하지 않은 경우 HCW를 실행하거나 Exchange와 Exchange Online 조직 간 OAuth 인증 구성 설명서에 설명된 단계를 수행하여 수행할 수 있습니다.

변경하기 전에 및 EcpVirtualDirectory 설정을 문서화 OwaVirtualDirectory 하는 것이 좋습니다. 이 설명서를 사용하면 기능을 구성한 후 문제가 발생하는 경우 원래 설정을 복원할 수 있습니다.

중요

모든 서버에는 Exchange Server 2019 CU14 업데이트가 설치되어 있어야 합니다. 또한 Exchange Server 2019 CU14 2024년 4월 HU 이상 업데이트를 실행해야 합니다.

OWA 및 ECP에 대한 하이브리드 최신 인증을 사용하도록 설정하는 단계

  1. OWA 온-프레미스 Exchange Server 구성된 및 ECP URL을 쿼리합니다. 이는 Microsoft Entra ID 회신 URL로 추가되어야 하기 때문에 중요합니다.

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. 아직 설치되지 않은 경우 Microsoft Graph PowerShell 모듈을 설치합니다.

    Install-Module Microsoft.Graph -Scope AllUsers

  3. 이러한 지침에 따라 Microsoft Entra ID 연결합니다. 필요한 권한에 동의하려면 다음 명령을 실행합니다.

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. ECP URL을 지정합니다OWA.

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. 회신 URL로 애플리케이션을 업데이트합니다.

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. 회신 URL이 성공적으로 추가되었는지 확인합니다.

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Exchange Server 온-프레미스 기능을 사용하여 하이브리드 최신 인증을 수행하려면 HMA 사용 섹션에 설명된 단계를 수행합니다.

  8. (선택 사항)도메인 다운로드를 사용하는 경우에만 필요합니다.

    관리자 권한 EMS(Exchange Management Shell)에서 다음 명령을 실행하여 새 전역 설정을 재정의하는 Create. 한 Exchange Server 다음 명령을 실행합니다.

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (선택 사항)Exchange 리소스 포리스트 토폴로지 시나리오에서만 필요합니다.

    파일 노드에 <appSettings> 다음 키를 추가합니다 <ExchangeInstallPath>\ClientAccess\Owa\web.config . 각 Exchange Server 다음을 수행합니다.

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    관리자 권한 EMS(Exchange Management Shell)에서 다음 명령을 실행하여 새 전역 설정을 재정의하는 Create. 한 Exchange Server 다음 명령을 실행합니다.

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. ECP에 하이브리드 최신 인증을 OWA 사용하도록 설정하려면 먼저 이러한 가상 디렉터리에서 다른 인증 방법을 사용하지 않도록 설정해야 합니다. 각 Exchange Server 각 OWA 가상 ECP 디렉터리에 대해 다음 명령을 실행합니다.

    중요

    지정된 순서로 이러한 명령을 실행하는 것이 중요합니다. 그렇지 않으면 명령을 실행할 때 오류 메시지가 표시됩니다. 이러한 명령을 실행한 후 및 에 OWAECP 로그인하면 해당 가상 디렉터리에 대한 OAuth 인증이 활성화될 때까지 작업이 중지됩니다.

    또한 모든 계정, 특히 관리에서 Microsoft Entra ID 데 사용되는 계정이 동기화되었는지 확인합니다. 그렇지 않으면 로그인이 동기화될 때까지 작동이 중지됩니다. 기본 제공 관리자와 같은 계정은 Microsoft Entra ID 동기화되지 않으므로 OWA 및 ECP에 대한 HMA를 사용하도록 설정한 후에는 관리에 사용할 수 없습니다. 이는 일부 계정에 대해 isCriticalSystemObject 로 설정된 TRUE 특성 때문입니다.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. ECP 가상 디렉터리에 대해 OAuth를 OWA 사용하도록 설정합니다. 각 Exchange Server 각 OWA 가상 ECP 디렉터리에 대해 다음 명령을 실행합니다.

    중요

    지정된 순서로 이러한 명령을 실행하는 것이 중요합니다. 그렇지 않으면 명령을 실행할 때 오류 메시지가 표시됩니다.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

iOS 및 Android용 Outlook에서 하이브리드 최신 인증 사용

TCP 443에서 Exchange Server 사용하는 온-프레미스 고객인 경우 다음 IP 범위의 네트워크 트래픽을 허용합니다.

52.125.128.0/20
52.127.96.0/23

이러한 IP 주소 범위는 Office 365 IP 주소 및 URL 웹 서비스에 포함되지 않은 추가 엔드포인트에도 설명되어 있습니다.

Office 365 전용/ITAR에서 vNext로 전환하기 위한 최신 인증 구성 요구 사항