다음을 통해 공유


하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한 필수 구성 요소

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

최신 인증은 더욱 안전한 사용자 인증 및 권한 부여를 제공하는 ID 관리 방법입니다. 비즈니스용 Skype 서버 온-프레미스 및 Exchange 서버 온-프레미스 및 분할 도메인 비즈니스용 Skype 하이브리드의 Office 365 하이브리드 배포에 사용할 수 있습니다. 이 문서에서는 필수 구성 요소, 최신 인증 설정/사용 안 함 및 일부 관련 클라이언트(예: Outlook 및 Skype 클라이언트) 정보에 대한 관련 문서로 연결됩니다.

최신 인증은 무엇 인가요?

최신 인증은 클라이언트(예: 노트북 또는 휴대폰)와 서버 간의 인증 및 권한 부여 방법뿐만 아니라 이미 잘 알고 있을 수 있는 액세스 정책에 의존하는 일부 보안 조치의 조합에 대한 우산 용어입니다. 이 목록에는 다음과 같은 내용이 포함됩니다.

  • 인증 방법: MFA(다단계 인증); 스마트 카드 인증; 클라이언트 인증서 기반 인증
  • 인증 방법: Microsoft의 OAuth(Open Authorization) 구현
  • 조건부 액세스 정책: MAM(모바일 애플리케이션 관리) 및 Microsoft Entra 조건부 액세스

최신 인증을 사용하여 사용자 ID를 관리하면 관리자에게 리소스 보호에 사용할 수 있는 많은 도구를 제공하고 온-프레미스(Exchange 및 비즈니스용 Skype), Exchange 하이브리드 및 비즈니스용 Skype 하이브리드/분할된 도메인 시나리오에 더 안전한 ID 관리 방법을 지원할 수 있습니다.

비즈니스용 Skype는 Exchange와 긴밀하게 작동하므로 비즈니스용 Skype 클라이언트 사용자의 로그인 동작은 Exchange의 최신 인증 상태에 의해 영향을 받습니다. 비즈니스용 Skype 분할 도메인 하이브리드 아키텍처가 있는 경우에도 적용됩니다. 이 아키텍처에는 비즈니스용 Skype Online과 비즈니스용 Skype 온-프레미스가 모두 있으며 사용자가 두 위치에 모두 있습니다.

Office 365의 최신 인증에 대한 자세한 내용은 Office 365 클라이언트 앱 지원 - 다단계 인증을 참조하세요.

중요

2017년 8월을 기준으로 비즈니스용 Skype Online 및 Exchange Online을 포함하는 모든 새 Office 365 테넌트는 기본적으로 최신 인증을 사용하도록 설정되어 있습니다. 기존 테넌트는 기본 MA 상태가 변경되지 않지만 모든 새 테넌트는 이전에 나열된 확장된 ID 기능 집합을 자동으로 지원합니다. MA 상태를 확인하려면 온-프레미스 환경의 최신 인증 상태 확인 섹션을 참조하세요.

최신 인증을 사용하면 어떤 변화가 있나요?

온-프레미스 비즈니스용 Skype 또는 Exchange 서버에 최신 인증을 사용하는 경우, 사용자 온-프레미스를 계속 인증하지만, 리소스(파일 또는 전자 메일)에 대한 액세스 권한 부여 내용은 변합니다. 따라서 최신 인증은 클라이언트 및 서버 통신에 관한 것이지만 MA를 구성하는 동안 수행된 단계에 따라 evoSTS(Microsoft Entra ID에서 사용하는 보안 토큰 서비스)가 온-프레미스 비즈니스용 Skype 및 Exchange 서버용 인증 서버로 설정됩니다.

EvoSTS를 변경하면 온-프레미스 서버에서 클라이언트를 인증하는 데 OAuth(토큰 발급)를 활용하고 온-프레미스에서 클라우드(예: 다단계 인증)에 일반적인 보안 방법을 사용할 수 있습니다. 또한 evoSTS는 사용자가 요청의 일부로 암호를 제공하지 않고도 리소스에 대한 액세스를 요청할 수 있는 토큰을 발행합니다. 사용자가 어디에 있든(온라인 또는 온-프레미스) 및 필요한 리소스를 호스트하는 위치에 관계없이 EvoSTS는 최신 인증이 구성되면 사용자 및 클라이언트에 권한을 부여하는 핵심이 됩니다.

예를 들어 비즈니스용 Skype 클라이언트가 사용자를 대신하여 일정 정보를 가져오기 위해 Exchange 서버에 액세스해야 하는 경우 MSAL(Microsoft 인증 라이브러리)을 사용하여 이 작업을 수행합니다. MSAL은 OAuth 보안 토큰을 사용하여 디렉터리의 보안 리소스를 클라이언트 애플리케이션에서 사용할 수 있도록 설계된 코드 라이브러리입니다. MSAL은 OAuth와 협력하여 클레임을 확인하고 암호가 아닌 토큰을 교환하여 사용자에게 리소스에 대한 액세스 권한을 부여합니다. 과거에는 사용자 클레임의 유효성을 검사하고 필요한 토큰을 발급하는 방법을 알고 있는 서버와 같은 트랜잭션의 권한이 온-프레미스의 보안 토큰 서비스이거나 Active Directory Federation Services일 수 있습니다. 그러나 최신 인증은 Microsoft Entra ID를 사용하여 해당 권한을 중앙 집중화합니다.

즉, Exchange 서버 및 비즈니스용 Skype 환경이 전적으로 온-프레미스일 수 있지만 권한 부여 서버는 온라인 상태이며 온-프레미스 환경에는 클라우드의 Office 365 구독(및 구독이 디렉터리로 사용하는 Microsoft Entra 인스턴스)에 대한 연결을 만들고 유지 관리하는 기능이 있어야 합니다.

어떤 변화가 있나요? 분할 도메인 하이브리드 상태인지 또는 비즈니스용 Skype 및 Exchange 서버 온-프레미스를 사용하는지에 상관 없이, 먼저 모든 사용자가 온-프레미스를 인증해야 합니다. 최신 인증을 하이브리드 방식으로 구현하는 경우에는 LyncdiscoveryAutodiscovery에서 온-프레미스 서버를 가리킵니다.

중요

MA에서 지원되는 특정 비즈니스용 Skype 토폴로지를 알아야 하는 경우에는 여기를 참조하세요.

온-프레미스 환경의 최신 인증 상태를 확인합니다.

최신 인증은 서비스가 OAuth/S2S를 적용할 때 사용되는 권한 부여 서버를 변경하므로 온-프레미스 비즈니스용 Skype 및 Exchange 환경에 대해 최신 인증을 사용하도록 설정하거나 사용하지 않도록 설정했는지 알아야 합니다. 다음 PowerShell 명령을 실행하여 Exchange 서버에서 상태를 확인할 수 있습니다.

Get-OrganizationConfig | ft OAuth*

OAuth2ClientProfileEnabled 속성 값이 False인 경우 최신 인증을 사용할 수 없습니다.

cmdlet에 Get-OrganizationConfig 대한 자세한 내용은 Get-OrganizationConfig를 참조하세요.

다음 PowerShell 명령을 실행하여 비즈니스용 Skype 서버를 확인할 수 있습니다.

Get-CSOAuthConfiguration

명령이 빈 OAuthServers 속성을 반환하거나 ClientADALAuthOverride 속성 값이 허용되지 않으면 최신 인증이 비활성화됩니다.

cmdlet에 Get-CsOAuthConfiguration 대한 자세한 내용은 Get-CsOAuthConfiguration을 참조하세요.

최신 인증 필수 구성 요소를 충족하나요?

계속하기 전에 목록에서 해당 항목을 확인합니다.

  • 비즈니스용 Skype 관련

    • 모든 서버에 비즈니스용 Skype Server 2015 이상에 대한 2017년 5월 누적 업데이트(CU5)가 있어야 합니다.
      • 예외 - SBA(Survivability Branch Appliance)는 현재 버전(Lync 2013 기반)일 수 있습니다.
    • SIP 도메인은 Office 365에서 페더레이션 도메인으로 추가됩니다.
    • 모든 SFB 프런트 엔드는 Office 365 URL 및 IP 주소 범위의 'Microsoft 365 Common and Office' 섹션의 행 56 및 125에 나열된 Office 365 인증 URL(TCP 443) 및 잘 알려진 인증서 루트 CRL(TCP 80)에 대한 인터넷 아웃바운드 연결이 있어야 합니다.
  • 하이브리드 Office 365 환경의 비즈니스용 Skype 온-프레미스

    • 비즈니스용 Skype 서버 2019 배포 - 모든 서버에서 비즈니스용 Skype 서버 2019 실행
    • 비즈니스용 Skype 서버 2015 배포 - 모든 서버에서 비즈니스용 Skype 서버 2015 실행
    • 아래에 나열된 대로 최대 2 개의 서로 다른 서버 버전을 포함하여 배포.
      • 비즈니스용 Skype 서버 2015
      • 비즈니스용 Skype 서버 2019
    • 모든 비즈니스용 Skype 서버에는 최신 누적 업데이트가 설치되어 있어야 하며, 비즈니스용 Skype 서버 업데이트를 참조하여 사용 가능한 모든 업데이트를 찾고 관리하세요.
    • 하이브리드 환경에는 Lync Server 2010 또는 2013이 없습니다.

참고

비즈니스용 Skype 프런트 엔드 서버에서 인터넷 액세스에 프록시 서버를 사용하는 경우, 사용되는 프록시 서버 IP 및 포트 번호를 각 프론트 엔드에 대한 web.config 파일의 구성 섹션에 입력해야 합니다.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

중요

Office 365 URL 및 IP 주소 범위에 대한 RSS 피드를 구독하고 필수 URL의 최신 목록으로 최신 상태를 유지하세요.

  • Exchange 서버 관련

    • Exchange 서버 2013 CU19 이상, Exchange 서버 2016 CU8 이상 또는 Exchange 서버 2019 CU1 이상을 사용하고 있습니다.
    • 환경에 Exchange Server 2010이 없습니다.
    • SSL 오프로딩이 구성되지 않았습니다. SSL 종료 및 다시 암호화가 지원됩니다.
    • 사용자 환경이 프록시 서버 인프라를 사용하여 서버에서 인터넷에 연결할 수 있도록 하려면 모든 Exchange 서버에서 InternetWebProxy 속성에 정의된 프록시 서버를 사용해야 합니다.
  • 하이브리드 Office 365 환경에서 Exchange Server 온-프레미스

    • Exchange Server 2013을 사용하는 경우 하나 이상의 서버에 사서함 및 클라이언트 액세스 서버 역할이 설치되어 있어야 합니다. 사서함 및 클라이언트 액세스 역할을 별도의 서버에 설치할 수 있지만 안정성과 향상된 성능을 제공하기 위해 동일한 서버에 두 역할을 모두 설치하는 것이 좋습니다.
    • Exchange Server 2016 이상 버전을 사용하는 경우 하나 이상의 서버에 사서함 서버 역할이 설치되어 있어야 합니다.
    • 하이브리드 환경에는 Exchange Server 2007 또는 2010이 없습니다.
    • 모든 Exchange 서버에는 최신 누적 업데이트가 설치되어 있어야 합니다. 사용 가능한 모든 업데이트를 찾고 관리 하려면 Exchange를 최신 누적 업데이트로 업그레이드 를 참조하세요.
  • Exchange 클라이언트 및 프로토콜 요구 사항

    최신 인증의 가용성은 클라이언트, 프로토콜 및 구성의 조합에 따라 결정됩니다. 최신 인증이 클라이언트, 프로토콜 및/또는 구성에서 지원되지 않는 경우 클라이언트는 레거시 인증을 계속 사용합니다.

    다음 클라이언트 및 프로토콜은 환경에서 최신 인증이 사용하도록 설정된 경우 온-프레미스 Exchange에서 최신 인증을 지원합니다.

    클라이언트 기본 프로토콜 참고
    Outlook 2013 이상
    HTTP를 통한 MAPI
    이러한 클라이언트에서 최신 인증을 사용하려면 EXCHANGE 내에서 HTTP를 통한 MAPI를 사용하도록 설정해야 합니다(Exchange 2013 서비스 팩 1 이상의 새 설치에는 사용 또는 True). 자세한 내용은 Office 2013 및 Office 2016 클라이언트 앱에 대한 최신 인증 작동 방식을 참조하세요.
    필요한 최소 Outlook 빌드를 실행하고 있는지 확인합니다. MSI(Windows Installer)를 사용하는 Outlook 버전에 대한 최신 업데이트를 참조하세요.
    Mac용 Outlook 2016 이상
    Exchange 웹 서비스

    iOS 및 Android용 Outlook
    Microsoft 동기화 기술
    자세한 내용은 Android 및 iOS용 Outlook에서 하이브리드 최신 인증 사용을 참조하세요.
    Exchange ActiveSync 클라이언트(예: iOS11 메일)
    Exchange ActiveSync
    최신 인증을 지원하는 Exchange ActiveSync 클라이언트의 경우, 기본 인증에서 최신 인증으로 전환하려면 프로필을 다시 만들어야 합니다.

    나열되지 않은 클라이언트 및/또는 프로토콜(예: POP3)은 온-프레미스 Exchange에서 최신 인증을 지원하지 않으며 환경에서 최신 인증을 사용하도록 설정한 후에도 레거시 인증 메커니즘을 계속 사용합니다.

  • 일반 필수 구성 요소

    • 리소스 포리스트 시나리오에서는 하이브리드 최신 인증 요청 중에 적절한 SID 조회가 수행되도록 계정 포리스트와 양방향 트러스트가 필요합니다.

    • AD FS를 사용하는 경우, 페더레이션을 위해 Windows 2012 R2 AD FS 3.0 이상이 있어야 합니다.

    • ID 구성은 암호 해시 동기화, 통과 인증 및 Office 365에서 지원하는 온-프레미스 STS와 같은 Microsoft Entra Connect에서 지원하는 모든 형식입니다.

    • 사용자 복제 및 동기화를 위해 Microsoft Entra Connect가 구성되고 작동합니다.

      참고

      Microsoft Entra Identity에 동기화되지 않은 사용자 계정은 하이브리드 최신 인증을 통해 권한 부여 토큰을 제공하지 않습니다. evoSTS를 기본 권한 부여 엔드포인트로 사용하도록 온-프레미스 애플리케이션이 구성되면 동기화되지 않은 이러한 사용자 계정에 적절한 구성을 사용할 수 없는 경우 애플리케이션에 대한 액세스와 관련된 문제가 발생합니다.

    • 온-프레미스 및 Office 365 환경 간에 Exchange 클래식 하이브리드 토폴로지 모드를 사용하여 하이브리드가 구성되었음을 확인했습니다. Exchange 하이브리드의 공식 지원 정책에는 최신 CU 또는 최신 CU - 1이 있어야 합니다.

      참고

      하이브리드 최신 인증은 하이브리드 에이전트에서 지원되지 않습니다.

    • 온-프레미스 테스트 사용자와 Office 365에 있는 하이브리드 테스트 사용자가 모두 비즈니스용 Skype 데스크톱 클라이언트(Skype에서 최신 인증을 사용하려는 경우) 및 Microsoft Outlook(Exchange에서 최신 인증을 사용하려는 경우)에 로그인할 수 있는지 확인합니다.

    • Microsoft Office의 SignInOptions 설정이 가장 제한적인 설정으로 구성되지 않았는지 확인합니다. 자세한 내용은 Office가 인터넷에 연결할 수 있도록 허용하는 방법을 참조하세요.

시작하기 전에 알아야 할 사항은 무엇입니까?

  • 온-프레미스 서버에 대한 모든 시나리오에는 인증 및 권한 부여를 담당하는 서버가 Microsoft 클라우드(Microsoft Entra ID의 보안 토큰 서비스('evoSTS'라고 함)에 있도록 온-프레미스 인증 온-프레미스(사실 비즈니스용 Skype의 경우 지원되는 토폴로지 목록이 있음)를 설정하고 비즈니스용 Skype 또는 Exchange의 온-프레미스 설치에서 사용하는 URL 또는 네임스페이스에 대한 Microsoft Entra ID를 업데이트하는 작업이 포함됩니다. 따라서 온-프레미스 서버는 Microsoft 클라우드 종속성을 이용합니다. 이 작업을 수행하면 '하이브리드 인증'을 구성하는 것으로 간주될 수 있습니다.
  • 이 문서에서는 지원되는 최신 인증 토폴로지(비즈니스용 Skype에만 필요) 및 설정 단계 또는 최신 인증을 사용하지 않도록 설정하는 단계를 간략하게 설명하는 방법 문서(Exchange 온-프레미스 및 비즈니스용 Skype 온-프레미스)를 선택하는 데 도움이 되는 다른 사용자와 연결됩니다. 서버 환경에서 최신 인증을 사용하는 홈 베이스가 필요한 경우 브라우저에서 이 페이지를 즐겨찾기에 추가하세요.