Azure Files에서 하이브리드 ID에 대해 Microsoft Entra Kerberos 인증 사용
이 문서에서는 Microsoft Entra ID에 동기화되는 온-프레미스 AD ID인 하이브리드 사용자 ID를 인증하기 위해 Microsoft Entra ID(이전의 Azure AD)를 사용하도록 설정하고 구성하는 데 중점을 둡니다. 클라우드 전용 ID는 현재 지원되지 않습니다.
이 구성을 사용하면 하이브리드 사용자가 Kerberos 인증을 사용하여 Azure 파일 공유에 액세스할 수 있고, Microsoft Entra ID를 사용하여 SMB 프로토콜을 통해 파일 공유에 액세스하는 데 필요한 Kerberos 티켓을 발급할 수 있습니다. 즉, 최종 사용자는 Microsoft Entra 하이브리드 가입 및 Microsoft Entra 가입 VM의 도메인 컨트롤러에 대한 네트워크 연결을 방해받지 않고 인터넷을 통해 Azure 파일 공유에 액세스할 수 있습니다. 그러나 사용자 또는 그룹에 대한 Windows ACL(액세스 제어 목록)/디렉터리 및 파일 수준 권한을 구성하려면 온-프레미스 도메인 컨트롤러에 대한 방해 없는 네트워크 연결이 필요합니다.
지원되는 옵션 및 고려 사항에 대한 자세한 내용은 SMB 액세스에 대한 Azure Files ID 기반 인증 옵션 개요를 참조하세요. 자세한 내용은 이 심층 분석을 참조하세요.
Important
Azure Files와의 ID 기반 인증에 하나의 AD 원본만 사용할 수 있습니다. 하이브리드 ID에 대한 Microsoft Entra Kerberos 인증이 요구 사항에 맞지 않는 경우 온-프레미스 AD DS(Active Directory Domain Services) 또는 Microsoft Entra Domain Services를 사용할 수도 있습니다. 방법마다 구성 단계 및 지원되는 시나리오가 다릅니다.
적용 대상
| 파일 공유 유형 | SMB | NFS |
|---|---|---|
| 표준 파일 공유(GPv2), LRS/ZRS |  |
 |
| 표준 파일 공유(GPv2), GRS/GZRS | |
|
| 프리미엄 파일 공유(FileStorage), LRS/ZRS | |
|
필수 조건
Azure 파일 공유를 위해 SMB를 통한 Microsoft Entra Kerberos 인증을 사용하도록 설정하기 전에 다음 사전 요구 사항을 완료했는지 확인합니다.
참고 항목
Azure 스토리지 계정은 Microsoft Entra ID와 AD DS 또는 Microsoft Entra Domain Services와 같은 두 번째 방법으로 인증할 수 없습니다. 스토리지 계정에 대해 다른 AD 원본을 이미 선택한 경우 Microsoft Entra Kerberos를 사용하도록 설정하기 전에 사용하지 않도록 설정해야 합니다.
하이브리드 ID에 대한 Microsoft Entra Kerberos 기능은 다음 운영 체제에서만 사용할 수 있습니다.
- Windows 11 Enterprise/Pro 단일 또는 다중 세션
- 최신 누적 업데이트가 설치된 Windows 10 Enterprise/Pro 단일 또는 다중 세션 버전 2004 이상, 특히 KB5007253 - 2021-11 Windows 10용 누적 업데이트 미리 보기.
- 최신 누적 업데이트가 설치된 Windows Server 버전 2022, 특히 KB5007254 - 2021-11 Microsoft 서버 운영 체제 버전 21H2용 누적 업데이트 미리 보기.
Microsoft Entra ID 기반 인증을 사용하여 Windows VM을 만들고 구성하고 로그인하는 방법을 알아보려면 Azure에서 Microsoft Entra ID를 사용하여 Windows 가상 머신에 로그인을 참조하세요.
클라이언트는 Microsoft Entra 가입 또는 Microsoft Entra 하이브리드 가입되어야 합니다. Microsoft Entra Kerberos는 Microsoft Entra Domain Services에 가입되거나 AD에만 가입된 클라이언트에서 지원되지 않습니다.
이 기능은 현재 Microsoft Entra ID에서만 만들고 관리하는 사용자 계정을 지원하지 않습니다. 사용자 계정은 하이브리드 사용자 ID여야 합니다. 즉, AD DS와 Microsoft Entra Connect 또는 Microsoft Entra Connect 클라우드 동기화도 필요합니다. Active Directory에서 이러한 계정을 만들고 Microsoft Entra ID에 동기화해야 합니다. Azure 파일 공유에 대한 Azure RBAC(역할 기반 액세스 제어) 권한을 사용자 그룹에 할당하려면 Active Directory에서 그룹을 만들고 Microsoft Entra ID와 동기화해야 합니다.
이 기능은 현재 B2B 사용자 또는 게스트 사용자에 대한 테넌트 간 액세스를 지원하지 않습니다. 구성된 것 이외의 Entra 테넌트의 사용자는 파일 공유에 액세스할 수 없습니다.
스토리지 계정을 나타내는 Microsoft Entra 앱에서 MFA(다단계 인증)를 사용하지 않도록 설정해야 합니다.
Microsoft Entra Kerberos를 사용하면 Kerberos 티켓 암호화는 항상 AES-256입니다. 하지만 요구에 가장 적합한 SMB 채널 암호화를 설정할 수 있습니다.
국가별 가용성
이 기능은 Azure Public, Azure US Gov, Azure China 21Vianet 클라우드에서 지원됩니다.
하이브리드 사용자 계정에 대한 Microsoft Entra Kerberos 인증 사용
Azure Portal, PowerShell 또는 Azure CLI를 사용하여 하이브리드 사용자 계정에 대해 Azure Files에서 Microsoft Entra Kerberos 인증을 사용하도록 설정할 수 있습니다.
Azure Portal을 사용하여 Microsoft Entra Kerberos 인증을 사용하도록 설정하려면 다음 단계를 수행합니다.
Azure Portal에 로그인하고, Microsoft Entra Kerberos 인증을 사용하도록 설정하려는 스토리지 계정을 선택합니다.
데이터 스토리지에서 파일을 선택합니다.
Active Directory 옆에서 구성 상태를 선택합니다(예: 구성되지 않음).
Microsoft Entra Kerberos에서 설정을 선택합니다.
Microsoft Entra Kerberos 확인란을 선택합니다.
선택 사항: Windows 파일 탐색기를 통해 디렉터리 및 파일 수준 권한을 구성하려면 온-프레미스 AD에 대한 도메인 이름과 도메인 GUID를 지정해야 합니다. 이 정보는 도메인 관리자에서 가져오거나 온-프레미스 AD 조인 클라이언트에서
Get-ADDomainActive Directory PowerShell cmdlet을 실행하여 가져올 수 있습니다. 도메인 이름은DNSRoot아래의 출력에 나열되어야 하며 도메인 GUID는ObjectGUID아래에 나열되어야 합니다. icacls를 사용하여 디렉터리 및 파일 수준 권한을 구성하려는 경우 이 단계를 건너뛸 수 있습니다. 그러나 icacls를 사용하려면 클라이언트에서 온-프레미스 AD에 대한 방해받지 않는 네트워크 연결이 필요합니다.저장을 선택합니다.
Warning
이전에 Microsoft Entra 조인 VM에 대한 Azure Files의 FSLogix 프로필을 저장하는 수동 제한된 미리 보기 단계를 통해 Microsoft Entra Kerberos 인증을 사용하도록 설정한 경우 스토리지 계정의 서비스 주체에 대한 암호는 6개월마다 만료되도록 설정됩니다. 암호가 만료되면 사용자는 파일 공유에 대한 Kerberos 티켓을 가져올 수 없습니다. 이를 완화하려면 하이브리드 사용자에 대해 Microsoft Entra Kerberos 인증을 사용하도록 설정할 때 발생할 수 있는 오류에서 "오류 - Microsoft Entra ID에서 서비스 주체 암호가 만료되었습니다."를 참조하세요.
새 서비스 주체에 대한 관리자 동의 허용
Microsoft Entra Kerberos 인증을 사용하도록 설정한 후 관리자 동의를 Microsoft Entra 테넌트에 등록된 새 Microsoft Entra 애플리케이션에 명시적으로 부여해야 합니다. 이 서비스 주체는 자동으로 생성되며 파일 공유에 대한 권한 부여에 사용되지 않으므로 여기에 설명된 것 외에는 서비스 주체를 편집하지 마세요. 이렇게 하면 오류가 발생할 수 있습니다.
다음 단계에 따라 Azure Portal에서 API 권한을 구성할 수 있습니다.
Microsoft Entra ID를 엽니다.
왼쪽 창에서 앱 등록을 선택합니다.
모든 애플리케이션을 선택합니다.
이름이 [Storage Account]
<your-storage-account-name>.file.core.windows.net과 일치하는 애플리케이션을 선택합니다.왼쪽 창에서 API 권한을 선택합니다.
[디렉터리 이름]에 대한 관리자 동의 부여를 선택하여 디렉터리의 모든 계정에 대해 요청된 세 가지 API 권한(openid, profile, User.Read)에 대한 동의를 부여합니다.
예를 선택하여 확인합니다.
Important
Microsoft Entra Kerberos 인증을 사용하여 프라이빗 엔드포인트/프라이빗 링크를 통해 스토리지 계정에 연결하는 경우 스토리지 계정의 Microsoft Entra 애플리케이션에도 프라이빗 링크 FQDN을 추가해야 합니다. 자세한 내용은 문제 해결 가이드의 항목을 참조하세요.
스토리지 계정에서 다단계 인증 사용 안 함
Microsoft Entra Kerberos는 MFA를 사용하여 Microsoft Entra Kerberos로 구성된 Azure Files 공유에 액세스하도록 지원하지 않습니다. 모든 앱에 적용되는 경우 스토리지 계정을 나타내는 Microsoft Entra 앱을 MFA 조건부 액세스 정책에서 제외해야 합니다.
스토리지 계정 앱의 이름은 조건부 액세스 제외 목록의 스토리지 계정과 동일해야 합니다. 조건부 액세스 제외 목록에서 스토리지 계정 앱을 검색할 때 다음을 검색합니다. [Storage Account] <your-storage-account-name>.file.core.windows.net
<your-storage-account-name>을 적절한 값으로 바꿔야 합니다.
Important
스토리지 계정 앱에서 MFA 정책을 제외하지 않으면 파일 공유에 액세스할 수 없습니다. net use를 사용하여 파일 공유를 매핑하려고 하면 "시스템 오류 1327: 계정 제한으로 인해 이 사용자가 로그인할 수 없습니다. 예를 들어 빈 암호가 허용되지 않거나, 로그인 시간이 제한되거나, 정책 제한이 적용되었습니다."라는 오류 메시지가 나타납니다. 예를 들어 빈 암호가 허용되지 않거나, 로그인 시간이 제한되거나, 정책 제한이 적용되었습니다."라는 오류 메시지가 나타납니다.
MFA를 사용하지 않도록 설정하는 방법에 대한 지침은 다음을 참조하세요.
공유 수준 권한 할당
ID 기반 액세스를 사용하도록 설정하면 각 공유에 대해 해당 특정 공유에 액세스할 수 있는 사용자 및 그룹을 설정할 수 있습니다. 사용자가 공유에 허용되면 개별 파일 및 디렉터리에 대한 Windows ACL(NTFS 권한이라고도 함)이 인계됩니다. 이렇게 하면 Windows 서버의 SMB 공유와 비슷하게 권한을 세부적으로 제어할 수 있습니다.
공유 수준 권한을 설정하려면 ID에 공유 수준 권한 할당의 지침을 따릅니다.
디렉터리 및 파일 수준 권한 구성
공유 수준 권한이 있으면 사용자 또는 그룹에 디렉터리/파일 수준 권한을 할당할 수 있습니다. 이를 위해서는 온-프레미스 AD에 대한 네트워크 연결이 방해받지 않는 디바이스를 사용해야 합니다. Windows 파일 탐색기를 사용하려면 디바이스도 도메인에 가입되어 있어야 합니다.
Microsoft Entra Kerberos 인증을 사용하여 디렉터리 및 파일 수준 권한을 구성하는 두 가지 옵션이 있습니다.
- Windows 파일 탐색기: 이 옵션을 선택하면 클라이언트를 온-프레미스 AD에 도메인에 조인해야 합니다.
- icacls 유틸리티: 이 옵션을 선택하면 클라이언트가 도메인에 가입될 필요는 없지만 온-프레미스 AD에 대한 방해 없는 네트워크 연결이 필요합니다.
Windows 파일 탐색기를 통해 디렉터리 및 파일 수준 권한을 구성하려면 온-프레미스 AD에 대한 도메인 이름과 도메인 GUID도 지정해야 합니다. 도메인 관리자 또는 온-프레미스 AD 조인 클라이언트에게 이 정보를 얻을 수 있습니다. icacls를 사용하여 구성하려는 경우 이 단계가 필요하지 않습니다.
Important
Microsoft Entra ID와 동기화되지 않은 ID에 대한 파일/디렉터리 수준 ACL을 설정할 수 있습니다. 그러나 인증/권한 부여에 사용되는 Kerberos 티켓에는 동기화되지 않은 ID가 포함되지 않으므로 이러한 ACL은 적용되지 않습니다. 설정된 ACL을 적용하려면 ID를 Microsoft Entra ID와 동기화해야 합니다.
팁
서로 다른 두 포리스트의 Microsoft Entra 하이브리드 조인 사용자가 공유에 액세스하는 경우 icacls를 사용하여 디렉터리 및 파일 수준 권한을 구성하는 것이 가장 좋습니다. Windows 파일 탐색기 ACL 구성을 사용하려면 클라이언트가 스토리지 계정이 조인된 Active Directory 도메인에 도메인 조인되어야 하기 때문입니다.
디렉터리 및 파일 수준 권한을 구성하려면 SMB를 통한 디렉터리 및 파일 수준 권한 구성의 지침을 따릅니다.
Kerberos 티켓을 검색하도록 클라이언트 구성
Azure 파일 공유에서 탑재/사용하려는 클라이언트 머신에서 Microsoft Entra Kerberos 기능을 사용하도록 설정합니다. Azure Files를 사용할 모든 클라이언트에서 이 작업을 수행해야 합니다.
다음 세 가지 방법 중 하나를 사용합니다.
- 이 Intune 정책 CSP를 구성하고 클라이언트(Kerberos/CloudKerberosTicketRetrievalEnabled)에 적용하여, 1로 설정됩니다.
- 클라이언트에서 이 그룹 정책을 "사용"으로 구성합니다.
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - 관리자 권한 명령 프롬프트에서 이 명령을 실행하여 클라이언트에서 다음 레지스트리 값을 설정합니다.
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
변경은 즉시 수행되지 않으며 정책 새로 고침 또는 다시 부팅을 적용해야 합니다.
Important
이 변경 내용이 적용되면 클라이언트는 Kerberos 영역 매핑을 구성하지 않고 온-프레미스 AD DS 통합을 위해 구성된 스토리지 계정에 연결할 수 없습니다. 클라이언트가 AD DS에 대해 구성된 스토리지 계정과 Microsoft Entra Kerberos에 대해 구성된 스토리지 계정에 연결할 수 있도록 하려면 온-프레미스 AD DS를 사용하여 스토리지 계정과의 공존 구성에 있는 단계를 수행합니다.
온-프레미스 AD DS를 사용하여 스토리지 계정과의 공존 구성
클라이언트 머신이 AD DS에 대해 구성된 스토리지 계정과 Microsoft Entra Kerberos에 대해 구성된 스토리지 계정에 연결할 수 있도록 하려면 다음 단계를 수행합니다. Microsoft Entra Kerberos만 사용하는 경우 이 섹션을 건너뜁니다.
온-프레미스 AD DS 통합을 사용하는 각 스토리지 계정의 항목을 추가합니다. 다음 세 가지 방법 중 하나를 사용하여 Kerberos 영역 매핑을 구성합니다. 변경은 즉시 수행되지 않으며 정책 새로 고침 또는 다시 부팅을 적용해야 합니다.
- 이 Intune 정책 CSP를 구성하고 클라이언트(Kerberos/HostToRealm)에 적용합니다.
- 클라이언트에서
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings그룹 정책을 구성합니다. - 클라이언트에서
ksetupWindows 명령을 실행합니다.ksetup /addhosttorealmmap <hostname> <REALMNAME>- 예를 들어
ksetup /addhosttorealmmap <your storage account name>.file.core.windows.net CONTOSO.LOCAL
- 예를 들어
Important
Kerberos에서 영역 이름은 대/소문자를 구분합니다. Kerberos 영역 이름은 일반적으로 도메인 이름과 동일하며 대문자입니다.
클라이언트 구성을 실행 취소하여 Kerberos 티켓 검색
Microsoft Entra Kerberos 인증에 클라이언트 컴퓨터를 더 이상 사용하지 않으려면 해당 컴퓨터에서 Microsoft Entra Kerberos 기능을 사용하지 않도록 설정할 수 있습니다. 기능을 사용하도록 설정한 방법에 따라 다음 세 가지 방법 중 하나를 사용합니다.
- 이 Intune 정책 CSP를 구성하고 클라이언트(Kerberos/CloudKerberosTicketRetrievalEnabled)에 적용하여, 0으로 설정됩니다.
- 클라이언트에서 이 그룹 정책을 "사용 안 함"으로 구성합니다.
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon - 관리자 권한 명령 프롬프트에서 이 명령을 실행하여 클라이언트에서 다음 레지스트리 값을 설정합니다.
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0
변경은 즉시 수행되지 않으며 정책 새로 고침 또는 다시 부팅을 적용해야 합니다.
온-프레미스 AD DS를 사용하여 스토리지 계정과 공존 구성의 단계를 수행한 경우 필요에 따라 클라이언트 컴퓨터에서 Kerberos 영역 매핑에 대한 모든 호스트 이름을 제거할 수 있습니다. 다음 세 가지 방법 중 하나를 사용합니다.
- 이 Intune 정책 CSP를 구성하고 클라이언트(Kerberos/HostToRealm)에 적용합니다.
- 클라이언트에서
Administrative Template\System\Kerberos\Define host name-to-Kerberos realm mappings그룹 정책을 구성합니다. - 클라이언트에서
ksetupWindows 명령을 실행합니다.ksetup /delhosttorealmmap <hostname> <realmname>- 예를 들어
ksetup /delhosttorealmmap <your storage account name>.file.core.windows.net contoso.local - 레지스트리 키
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm를 검사하여 Kerberos 영역 매핑에 대한 현재 호스트 이름 목록을 볼 수 있습니다.
- 예를 들어
변경은 즉시 수행되지 않으며 정책 새로 고침 또는 다시 부팅을 적용해야 합니다.
Important
이 변경 내용이 적용되면 클라이언트는 Microsoft Entra Kerberos 인증을 위해 구성된 스토리지 계정에 연결할 수 없습니다. 그러나 추가 구성 없이 AD DS에 구성된 스토리지 계정에 연결할 수 있습니다.
스토리지 계정에서 Microsoft Entra 인증 사용 안 함
다른 인증 방법을 사용하려는 경우 Azure Portal, Azure PowerShell 또는 Azure CLI를 사용하여 스토리지 계정에서 Microsoft Entra 인증을 사용하지 않도록 설정할 수 있습니다.
참고 항목
이 기능을 사용하지 않도록 설정하면 다른 Active Directory 원본 중 하나를 사용하도록 설정하여 Active Directory 구성을 다시 복구할 때까지 스토리지 계정의 파일 공유에 대한 Active Directory 구성이 없습니다.
Azure Portal을 사용하여 스토리지 계정에서 Microsoft Entra Kerberos 인증을 사용하지 않도록 설정하려면 다음 단계를 수행합니다.
- Azure Portal에 로그인하고, Microsoft Entra Kerberos 인증을 사용하지 않도록 설정하려는 스토리지 계정을 선택합니다.
- 데이터 스토리지에서 파일을 선택합니다.
- Active Directory 옆에서 구성 상태를 선택합니다.
- Microsoft Entra Kerberos에서 구성을 선택합니다.
- Microsoft Entra Kerberos 확인란을 선택 취소합니다.
- 저장을 선택합니다.
다음 단계
자세한 내용은 다음 리소스를 참조하세요.