하이브리드 최신 인증을 사용하도록 비즈니스용 Skype 온-프레미스를 구성하는 방법

  • 아티클

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

최신 인증은 보다 안전한 사용자 인증 및 권한 부여를 제공하는 ID 관리 방법이며, 비즈니스용 Skype 서버 온-프레미스 및 Exchange 서버 온-프레미스 및 분할 도메인 비즈니스용 Skype 하이브리드에 사용할 수 있습니다.

중요

MA(최신 인증)와 회사 또는 organization 사용하려는 이유에 대해 자세히 알고 싶습니까? 개요는 이 문서를 참조하세요. MA에서 지원되는 비즈니스용 Skype 토폴로지를 알아야 하는 경우 여기에 설명되어 있습니다.

시작하기 전에 다음 용어를 사용합니다.

  • MA(최신 인증)

  • HMA(하이브리드 최신 인증)

  • EXCH(Exchange 온-프레미스)

  • Exchange Online(EXO)

  • 온-프레미스 비즈니스용 Skype(SFB)

  • 비즈니스용 Skype Online(SFBO)

또한 이 문서의 그래픽에 회색으로 표시되거나 흐리게 표시된 개체가 있는 경우 회색으로 표시된 요소가 MA별 구성에 포함되지 않습니다 .

요약 읽기

이 요약은 프로세스를 실행 중에 손실될 수 있는 단계로 나눕니다. 전체 검사 목록을 통해 프로세스에 있는 위치를 추적하는 것이 좋습니다.

  1. 먼저 모든 필수 구성 요소를 충족하는지 확인합니다.

  2. 많은 필수 구성 요소가 비즈니스용 Skype Exchange 모두에 일반적이므로 사전 요청 검사 목록에 대한 개요 문서를 참조하세요. 이 문서의 단계를 시작하기 전에 이 작업을 수행합니다.

  3. 파일 또는 OneNote에 필요한 HMA 관련 정보를 수집합니다.

  4. EXO에 대한 최신 인증을 켭니다(아직 켜져 있지 않은 경우).

  5. SFBO에 대한 최신 인증을 켭니다(아직 켜져 있지 않은 경우).

  6. Exchange 온-프레미스에 대한 하이브리드 최신 인증을 켭니다.

  7. 온-프레미스에서 비즈니스용 Skype 하이브리드 최신 인증을 켭니다.

이러한 단계는 SFB, SFBO, EXCH 및 EXO에 대해 MA를 설정합니다. 즉, SFB 및 SFBO의 HMA 구성에 참여할 수 있는 모든 제품(EXCH/EXO에 대한 종속성 포함). 즉, 사용자가 하이브리드의 일부(EXO + SFBO, EXO + SFB, EXCH + SFBO 또는 EXCH + SFB)에서 만든 사서함이 있는 경우 완성된 제품은 다음과 같습니다.

혼합 6 비즈니스용 Skype HMA 토폴로지의 MA는 가능한 4개 위치 모두에 있습니다.

당신이 볼 수 있듯이, MA를 설정하는 네 가지 장소가있다! 최상의 사용자 환경을 위해 이러한 4개 위치 모두에서 MA를 켜는 것이 좋습니다. 이러한 모든 위치에서 MA를 켤 수 없는 경우 환경에 필요한 위치에서만 MA를 켤 수 있도록 단계를 조정합니다.

지원되는 토폴로지의 경우 MA를 사용하는 비즈니스용 Skype 지원 가능성 항목을 참조하세요.

중요

시작하기 전에 모든 필수 조건을 충족했음을 두 번 검사. 하이브리드 최신 인증 개요 및 필수 구성 요소에서 해당 정보를 찾을 수 있습니다.

필요한 모든 HMA 관련 정보 수집

최신 인증을 사용하기 위한 필수 구성 요소를 충족하는지 확인한 후(이전 참고 사항 참조) 앞으로의 단계에서 HMA를 구성하는 데 필요한 정보를 보관할 파일을 만들어야 합니다. 이 문서에 사용된 예:

  • SIP/SMTP 도메인

    • 예: contoso.com(Office 365 페더레이션됨)

  • 테넌트 ID

    • Office 365 테넌트(contoso.onmicrosoft.com 로그인 시)를 나타내는 GUID입니다.

  • SFB 2015 CU5 웹 서비스 URL

배포된 모든 SfB 2015 풀에 대한 내부 및 외부 웹 서비스 URL이 필요합니다. 이를 가져오려면 비즈니스용 Skype Management Shell에서 다음 명령을 실행합니다.

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

Standard Edition 서버를 사용하는 경우 내부 URL은 비어 있습니다. 이 경우 내부 URL에 풀 fqdn을 사용합니다.

EXO에 대한 최신 인증 켜기

Exchange Online: 최신 인증을 위해 테넌트 사용을 설정하는 방법의 지침을 따릅니다.

SFBO에 대한 최신 인증 켜기

비즈니스용 Skype Online: 최신 인증을 위해 테넌트 사용의 지침을 따릅니다.

Exchange 온-프레미스에 대한 하이브리드 최신 인증 켜기

하이브리드 최신 인증을 사용하도록 온-프레미스에서 Exchange Server 구성하는 방법의 지침을 따릅니다.

비즈니스용 Skype 온-프레미스에 대한 하이브리드 최신 인증 켜기

Microsoft Entra ID 온-프레미스 웹 서비스 URL을 SPN으로 추가

이제 SFBO에서 URL(이전에 수집됨)을 서비스 주체로 추가하는 명령을 실행해야 합니다.

참고

SPN(서비스 주체 이름)은 웹 서비스를 식별하고 보안 주체(예: 계정 이름 또는 그룹)와 연결하여 서비스가 권한 있는 사용자를 대신하여 작동할 수 있도록 합니다. 서버에 인증하는 클라이언트는 SPN에 포함된 정보를 사용합니다.

참고

Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Entra ID(이전의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.

  1. 먼저 이러한 지침에 따라 Microsoft Entra ID 연결합니다.

  2. 온-프레미스에서 이 명령을 실행하여 SFB 웹 서비스 URL 목록을 가져옵니다.

    AppPrincipalId는 로 00000004시작합니다. 이는 비즈니스용 Skype Online에 해당합니다.

    SE 및 WS URL을 포함하지만 주로 로 시작하는 00000004-0000-0ff1-ce00-000000000000/SPN으로 구성된 이 명령의 출력(및 이후 비교를 위한 스크린샷)을 기록해 둡니다.

    Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames

  3. 온-프레미스의 내부 또는 외부 SFB URL(예 https://lyncwebint01.contoso.com : 및 https://lyncwebext01.contoso.com)이 누락된 경우 이러한 특정 레코드를 이 목록에 추가해야 합니다.

    예제 URL을 추가 명령의 실제 URL로 바꿔야 합니다.

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
$x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
$x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

  4. 2단계에서 Get-MsolServicePrincipal 명령을 다시 실행하고 출력을 확인하여 새 레코드가 추가되었는지 확인합니다. 이전의 목록 또는 스크린샷을 새 SPN 목록과 비교합니다. 레코드에 대한 새 목록을 스크린샷으로 표시할 수도 있습니다. 성공한 경우 목록에서 두 개의 새 URL을 볼 수 있습니다. 이 예제에서는 이제 SPN 목록에 특정 URL https://lyncwebint01.contoso.comhttps://lyncwebext01.contoso.com/가 포함됩니다.

EvoSTS 인증 서버 개체 Create

비즈니스용 Skype 관리 셸에서 다음 명령을 실행합니다.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

하이브리드 최신 인증 사용

이것은 실제로 MA를 켜는 단계입니다. 이전의 모든 단계는 클라이언트 인증 흐름을 변경하지 않고 미리 실행할 수 있습니다. 인증 흐름을 변경할 준비가 되면 비즈니스용 Skype 관리 셸에서 이 명령을 실행합니다.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

확인

HMA를 사용하도록 설정하면 클라이언트의 다음 로그인에서 새 인증 흐름을 사용합니다. HMA를 켜면 클라이언트에 대한 재인증이 트리거되지 않습니다. 클라이언트는 인증 토큰 및/또는 인증서의 수명에 따라 다시 인증합니다.

HMA를 사용하도록 설정한 후 HMA가 작동하는지 테스트하려면 테스트 SFB Windows 클라이언트에서 로그아웃하고 '내 자격 증명 삭제'를 선택해야 합니다. 다시 로그인합니다. 이제 클라이언트는 최신 인증 흐름을 사용해야 하며, 이제 로그인에 '회사 또는 학교' 계정에 대한 Office 365 프롬프트가 포함됩니다. 클라이언트가 서버에 연결하고 로그인하기 직전에 표시됩니다.

또한 'OAuth 기관'에 대한 비즈니스용 Skype 클라이언트에 대한 '구성 정보'를 검사 합니다. 클라이언트 컴퓨터에서 이 작업을 수행하려면 Ctrl 키를 누른 채 Windows 알림 트레이에서 비즈니스용 Skype 아이콘을 마우스 오른쪽 단추로 클릭합니다. 표시되는 메뉴에서 구성 정보를 선택합니다. 바탕 화면에 표시되는 '비즈니스용 Skype 구성 정보' 창에서 다음을 찾습니다.

최신 인증을 사용하는 비즈니스용 Skype 클라이언트의 구성 정보에는 의 Lync 및 EWS OAUTH 기관 URL이 표시됩니다.https://login.windows.net/common/oauth2/authorize.

또한 Outlook 클라이언트 아이콘(Windows 알림 트레이에서도)을 마우스 오른쪽 단추로 클릭하고 '연결 상태'를 선택하는 동시에 Ctrl 키를 누른 채로 있어야 합니다. OAuth에서 사용되는 전달자 토큰을 나타내는 AuthN 유형의 'Bearer*'에 대해 클라이언트의 SMTP 주소를 찾습니다.

최신 인증 개요에 다시 연결합니다.

비즈니스용 Skype 클라이언트에 최신 인증을 사용하는 방법을 알아야 합니까? 하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버와 함께 사용하기 위한 필수 구성 요소에 대한 단계가 있습니다.