온-프레미스 리소스에 대한 SSO가 Azure AD 조인 디바이스에서 작동하는 방식

Azure AD(Azure Active Directory) 조인 디바이스에서 SSO(Single Sign-On) 환경을 테넌트의 클라우드 앱에 제공하는 것은 별로 놀랍지 않을 것입니다. 환경에 온-프레미스 AD DS(Active Directory Domain Services)가 있는 경우 온-프레미스 AD에 의존하는 리소스 및 애플리케이션에 대한 Azure AD 조인 디바이스에서 SSO 환경을 얻을 수도 있습니다.

이 문서에서는 이러한 작동 방식에 대해 설명합니다.

필수 구성 요소

  • Azure AD 조인 디바이스.
  • 온-프레미스 SSO에는 온-프레미스 AD DS 도메인 컨트롤러와의 가시 거리 내 통신이 필요합니다. Azure AD 조인 디바이스가 조직의 네트워크에 연결되어 있지 않으면 VPN 또는 다른 네트워크 인프라가 필요합니다.
  • Azure AD 커넥트: SAM 계정 이름, 도메인 이름 및 UPN과 같은 기본 사용자 특성을 동기화합니다. 자세한 정보는 Azure AD Connect가 동기화하는 특성 문서를 참조하세요.

작동 방법

Azure AD 조인 디바이스를 사용하면 사용자는 이미 자신의 환경에서 클라우드 앱에 대한 SSO 환경을 갖추고 있습니다. 환경에 Azure AD와 온-프레미스 AD가 있는 경우 SSO 환경 범위를 온-프레미스 LOB(기간 업무) 앱, 파일 공유 및 프린터로 확장하려고 할 수도 있습니다.

Azure AD 조인 디바이스는 온-프레미스 AD 환경에 조인되어 있지 않으므로 해당 환경에 대한 지식이 없습니다. 그러나 Azure AD Connect를 사용하여 온-프레미스 AD에 대한 추가 정보를 이러한 디바이스에 제공할 수 있습니다.

Azure AD와 온-프레미스 AD를 모두 사용하여 하이브리드 환경을 사용하는 경우 온-프레미스 ID 정보를 클라우드로 동기화하는 Azure AD Connect 또는 Azure AD Connect 클라우드 동기화를 이미 배포했을 수 있습니다. 동기화 프로세스의 일부로 온-프레미스 사용자 및 도메인 정보는 Azure AD에 동기화됩니다. 사용자가 하이브리드 환경에서 Azure AD 조인 디바이스에 로그인하는 경우 다음을 수행합니다.

  1. Azure AD는 사용자의 온-프레미스 도메인의 세부 정보를 기본 새로 고침 토큰과 함께 디바이스로 다시 보냅니다.
  2. LSA(로컬 보안 기관) 서비스를 통해 디바이스에서 Kerberos 및 NTLM 인증을 사용할 수 있습니다.

참고

Azure AD 조인 디바이스에 대한 암호 없는 인증을 사용하는 경우 추가 구성이 필요합니다.

FIDO2 보안 키 기반 암호 없는 인증 및 비즈니스용 Windows Hello 하이브리드 클라우드 트러스트의 경우 Azure Active Directory를 사용하여 온-프레미스 리소스에 암호 없는 보안 키 로그인 사용을 참조하세요.

비즈니스용 Windows Hello 하이브리드 키 트러스트의 경우 비즈니스용 Windows Hello를 사용하여 온-프레미스 Single Sign-On에 대한 Azure AD 조인 디바이스 구성을 참조하세요.

비즈니스용 Windows Hello 하이브리드 인증서 트러스트는 AADJ 온-프레미스 Single Sign-On용 인증서 사용을 참조하세요.

사용자의 온-프레미스 환경에서 Kerberos 또는 NTLM을 요청하는 리소스에 대한 액세스를 시도하는 동안, 디바이스는

  1. 온-프레미스 도메인 정보와 사용자 자격 증명을 찾아낸 DC로 보내 사용자를 인증합니다.
  2. 온-프레미스 리소스 또는 애플리케이션이 지원하는 프로토콜을 기반으로 하는 Kerberos TGT(허용 티켓) 또는 NTLM 토큰을 받습니다. 도메인에 대한 Kerberos TGT 또는 NTLM 토큰을 가져오지 못한 경우(관련 DCLocator 시간 제한으로 인해 지연이 발생할 수 있음) 자격 증명 관리자 항목이 시도되거나 사용자가 대상 리소스에 대한 자격 증명을 요청하는 인증 팝업을 받을 수 있습니다.

사용자가 액세스하려고 시도하면 Windows 통합 인증에 구성된 모든 앱에서 SSO를 원활하게 받습니다.

수신 항목

SSO를 사용하면 Azure AD 조인 디바이스에서 다음을 수행할 수 있습니다.

  • AD 멤버 서버의 UNC 경로에 액세스
  • Windows 통합 보안에 구성된 AD 멤버 웹 서버에 액세스

Windows 디바이스에서 온-프레미스 AD를 관리하려면 원격 서버 관리 도구를 설치하세요.

다음을 사용할 수 있습니다.

  • ADUC(Active Directory 사용자 및 컴퓨터) 스냅인을 사용하여 모든 AD 개체를 관리합니다. 그러나 수동으로 연결하려는 도메인을 지정해야 합니다.
  • DHCP 스냅인을 사용하여 AD 조인 DHCP 서버를 관리합니다. 그러나 DHCP 서버 이름 또는 주소를 지정해야 할 수 있습니다.

알아야 할 사항

  • 여러 도메인이 있는 경우, 필요한 도메인에 대한 데이터가 동기화되도록 Azure AD Connect에서 도메인 기반 필터링을 조정해야 할 수 있습니다.
  • Azure AD 조인 디바이스에는 AD의 컴퓨터 개체가 없으므로 Active Directory 머신 인증을 사용하는 앱과 리소스가 작동하지 않습니다.
  • Azure AD 조인 디바이스에서 다른 사용자와 파일을 공유할 수 없습니다.
  • Azure AD 조인 디바이스에서 실행되는 애플리케이션은 사용자를 인증할 수 있습니다. 암시적 UPN 또는 NT4 형식 구문과 도메인 FQDN 이름을 도메인 부분으로 사용해야 합니다(예: user@contoso.corp.com 또는 contoso.corp.com\user).
    • 애플리케이션이 NETBIOS 또는 contoso\user와 같은 레거시 이름을 사용하는 경우 애플리케이션이 받는 오류는 NT 오류 STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 또는 Windows 오류 ERROR_BAD_VALIDATION_CLASS - 1348 "요청한 유효성 검사 정보 클래스가 잘못되었습니다.” 이는 레거시 도메인 이름을 확인할 수 있는 경우에도 발생합니다.

다음 단계

자세한 내용은 Azure Active Directory에서 디바이스 관리란?을 참조하세요.