페더레이션된 사용자에게 계정 자격 증명을 입력하라는 메시지가 예기치 않게 표시됩니다.

  • 아티클

이 문서에서는 페더레이션된 사용자가 Office 365, Azure 또는 Microsoft Intune 액세스할 때 회사 또는 학교 계정 자격 증명을 입력하라는 메시지가 예기치 않게 표시되는 시나리오에 대해 설명합니다.

원래 제품 버전: Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 ID 관리
원본 KB 번호: 2535227

증상

페더레이션된 사용자가 Office 365, Microsoft Azure 또는 Microsoft Intune 로그인하면 사용자에게 회사 또는 학교 계정 자격 증명을 입력하라는 메시지가 예기치 않게 표시됩니다. 사용자가 자격 증명을 입력하면 사용자에게 클라우드 서비스에 대한 액세스 권한이 부여됩니다.

참고

모든 페더레이션된 사용자 인증 환경에 자격 증명 프롬프트가 없는 것은 아닙니다. 특정 시나리오에서는 기본적으로 페더레이션된 사용자에게 자격 증명을 입력하라는 메시지가 표시될 것으로 예상됩니다. 계속하기 전에 자격 증명 프롬프트가 예기치 않은지 확인합니다.

원인

다음 조건 중 하나 이상이 true인 경우 내부 도메인 클라이언트에서 이 문제가 발생할 수 있습니다.

  • 내부 클라이언트는 AD FS(Active Directory Federation Services) 엔드포인트를 AD FS 페더레이션 서비스의 IP 주소 대신 AD FS 프록시 서비스의 IP 주소로 확인합니다.
  • 인터넷 Explorer 보안 설정은 AD FS에 대한 Single Sign-On에 대해 구성되지 않습니다.
  • 인터넷 Explorer 프록시 서버 설정은 AD FS에 대한 Single Sign-On에 대해 구성되지 않습니다.
  • 웹 브라우저는 통합 Windows 인증 지원하지 않습니다.
  • 클라이언트 컴퓨터가 온-프레미스 Active Directory 도메인에 연결할 수 없습니다.

해결 방법 1: DNS 서버에 AD FS 엔드포인트에 대한 호스트 레코드가 있는지 확인합니다.

DNS 서버에 이 문제가 발생하는 클라이언트 컴퓨터에 적합한 AD FS 엔드포인트에 대한 호스트 레코드가 있는지 확인합니다. 내부 클라이언트의 경우 내부 DNS 서버가 AD FS 엔드포인트 이름을 내부 IP 주소로 resolve 합니다. 인터넷 클라이언트의 경우 엔드포인트 이름이 공용 IP 주소로 resolve 의미합니다. 클라이언트에서 이를 테스트하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 실행을 선택하고 cmd를 입력한 다음 Enter 키를 누릅니다.

  2. 명령 프롬프트에서 다음 명령을 입력합니다. 여기서 자리 표시자는 sts.contoso.com AD FS 엔드포인트 이름을 나타냅니다.

    nslookup sts.contoso.com

  3. 명령의 출력에 잘못된 IP 주소가 표시되면 내부 또는 외부 DNS 서버에서 A 레코드를 업데이트합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 페더레이션된 사용자가 Office 365, Azure 또는 Intune 로그인하려고 할 때 인터넷 브라우저에서 페더레이션된 사용자에 대한 AD FS 로그인 웹 페이지를 표시할 수 없음 인터넷 브라우저에서 AD FS 웹 페이지를 표시할 수 없음을 참조하세요.

해결 방법 2: 인터넷 Explorer 로컬 인트라넷 영역 및 프록시 서버 설정 확인

상황에 맞게 다음 절차 중 하나를 사용합니다.

프로시저 A

인터넷 Explorer 로컬 인트라넷 영역 및 프록시 서버 설정을 확인합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. Internet Explorer를 시작합니다.

  2. 도구 메뉴에서 인터넷 옵션을 선택합니다.

  3. 보안 탭을 선택하고 로컬 인트라넷영역을 선택한 다음 사이트를 선택합니다.

  4. 로컬 인트라넷 대화 상자에서 고급을 선택합니다. 웹 사이트 목록에서 AD FS 서비스 엔드포인트의 정규화된 DNS 이름에 대한 항목(예: sts.contoso.com)이 있는지 확인합니다.

  5. 닫기를 선택하고 확인을 선택합니다.

    참고

    네트워크 관리자가 온-프레미스 환경에서 웹 프록시 서버를 구성한 경우에만 다음 추가 단계를 사용합니다.

  6. Connections 탭을 선택한 다음 LAN 설정을 선택합니다.

  7. 자동 구성에서 설정 자동 검색 검사 상자를 선택 취소한 다음 자동 구성 스크립트 사용 검사 상자를 선택 취소합니다.

  8. 프록시 서버에서 LAN 검사 프록시 서버 사용 상자를 선택하고 프록시 서버 주소와 프록시 서버 주소가 사용하는 포트를 입력한 다음 고급을 선택합니다.

  9. 예외에서 AD FS 엔드포인트(예: )를 sts.contoso.com추가합니다.

  10. 확인을 세 번 선택합니다.

프로시저 B

인터넷 Explorer 보안 영역에 대한 보안 설정을 수동으로 구성합니다. 로컬 인트라넷 영역에서 Windows 인증 묻는 메시지를 표시하지 않도록 하는 기본 보안 설정은 인터넷 Explorer 보안 영역에 대해 수동으로 구성할 수 있습니다. AD FS 서비스 이름이 이미 속한 보안 영역을 사용자 지정하려면 다음 단계를 수행합니다.

경고

이 구성은 의도하지 않은 Windows 통합 인증 트래픽을 웹 사이트에 제출할 수 있으므로 권장되지 않습니다.

  1. Internet Explorer를 시작합니다.
  2. 도구 메뉴에서 인터넷 옵션을 선택합니다.
  3. 보안 탭을 선택하고 AD FS 서비스 이름이 이미 포함된 보안 영역을 선택한 다음 사용자 지정 수준을 선택합니다.
  4. 보안 설정 대화 상자에서 아래쪽으로 스크롤하여 사용자 인증 항목을 찾습니다.
  5. 로그온에서 현재 사용자 이름 및 암호가 있는 자동 로그온을 선택합니다.
  6. 확인을 두 번 선택합니다.

해결 방법 3: 인터넷 Explorer 또는 타사 웹 브라우저 사용

통합 Windows 인증 지원하는 인터넷 Explorer 또는 타사 웹 브라우저를 사용합니다.

해결 방법 4: Active Directory에 대한 연결 확인

클라이언트 컴퓨터에서 로그오프한 다음 Active Directory 사용자로 로그온합니다. 로그온에 성공하면 Nltest 명령줄 도구를 사용하여 Active Directory에 대한 연결을 확인합니다. Nltest.exe Windows 10 위한 원격 서버 관리 도구에 포함되어 있습니다.

  1. 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 Nltest /dsgetdc:<FQDN Of Domain>누릅니다. 설정이 올바른 경우 다음과 유사한 출력을 받게 됩니다.

    DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com 포리스트 이름: contoso.com Dc 사이트 이름: Default-First-Site-Name 사이트 이름: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE 명령이 성공적으로 완료되었습니다.

  2. 컴퓨터의 사이트 멤버 자격을 확인합니다. 이렇게 하려면 다음 명령을 입력한 다음 Enter 키를 누릅니다 nltest /dsgetsite. 성공적인 결과는 다음과 유사합니다.

    Default-First-Site-Name 명령이 성공적으로 완료되었습니다.

추가 정보

공용 인터넷 연결에서 페더레이션되지 않은 계정 또는 페더레이션된 계정을 사용하여 Office 365 리소스에 액세스해도 Single Sign-On 환경이 발생하지 않을 수 있습니다.

Microsoft Outlook 연결에 로그온하는 환경도 Single Sign-On 환경이 될 것으로 예상되지 않습니다.

도움을 요청하십시오.

질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.