Microsoft Entra ID에서 사용자 지정 도메인 이름 관리

  • 아티클

도메인 이름은 많은 Microsoft Entra 배포에서 리소스 식별자의 중요한 부분입니다. 사용자의 경우 사용자 이름 또는 이메일 주소 부분이고 그룹의 경우 주소 부분이며, 애플리케이션의 경우 경우에 따라 앱 ID URI 부분입니다. Microsoft Entra ID의 리소스에는 해당 리소스가 포함된 Microsoft Entra 조직(테넌트라고도 함)이 소유한 도메인 이름이 포함될 수 있습니다. 전역 관리자도메인 이름 관리자는 Microsoft Entra ID에서 도메인을 관리할 수 있습니다.

Microsoft Entra 조직의 기본 도메인 이름 설정

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

조직을 생성된 경우 'contoso.onmicrosoft.com'과 같은 초기 도메인 이름은 주 도메인 이름이기도 합니다. 주 도메인은 새 사용자를 만들 때 새 사용자에 대한 기본 도메인 이름입니다. 주 도메인 이름을 설정하면 관리자가 포털에 새 사용자를 생성하는 프로세스를 간소화합니다. 주 도메인 이름을 변경하려면:

  1. 최소한 전역 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. Microsoft Entra ID를 선택합니다.

  3. 사용자 지정 도메인 이름을 선택합니다.

    Screenshot of opening the user management page.

  4. 기본 도메인으로 사용할 도메인의 이름을 선택합니다.

  5. Make primary 명령을 선택합니다. 메시지가 표시되면 선택을 확인합니다.

    Screenshot of making a domain name the primary.

조직의 주 도메인 이름을 페더레이션되지 않은 확인된 사용자 지정 도메인으로 변경할 수 있습니다. 조직의 주 도메인을 변경해도 기존 사용자의 사용자 이름은 변경되지 않습니다.

Microsoft Entra 조직에 사용자 지정 도메인 이름 추가

관리되는 도메인 이름은 5000개까지 추가할 수 있습니다. 온-프레미스 Active Directory와의 페더레이션을 위해 모든 도메인을 구성하려는 경우 각 조직에서 최대 2500개의 도메인 이름을 추가할 수 있습니다.

사용자 지정 도메인의 하위 도메인 추가

조직에 'europe.contoso.com'과 같은 하위 도메인 이름을 추가하려면 먼저 contoso.com과 같은 루트 도메인을 추가하고 확인해야 합니다. 하위 도메인은 Microsoft Entra ID로 자동 확인됩니다. 추가한 하위 도메인이 확인되었는지 보려면 브라우저에서 도메인 목록을 새로 고칩니다.

하나의 Microsoft Entra 조직에 contoso.com 도메인을 이미 추가한 경우 다른 Microsoft Entra 조직의 하위 도메인 Europe.contoso.com을 확인할 수도 있습니다. 하위 도메인을 추가할 때 DNS 호스팅 공급자에 TXT 레코드를 추가하라는 메시지가 표시됩니다.

사용자 지정 도메인 이름의 DNS 등록 기관을 변경하는 경우 수행할 작업

DNS 등록자를 변경하는 경우 Microsoft Entra ID에는 다른 구성 작업이 없습니다. Microsoft Entra ID로 도메인 이름을 중단 없이 계속 사용할 수 있습니다. Microsoft 365, Intune 또는 Microsoft Entra ID의 사용자 지정 도메인 이름을 사용하는 기타 서비스에서 사용자 지정 도메인 이름을 사용하는 경우 해당 서비스에 대한 설명서를 참조하세요.

사용자 지정 도메인 이름 삭제

조직에서 해당 도메인 이름을 더 이상 사용하지 않거나 다른 Microsoft Entra 조직에서 해당 도메인 이름을 사용해야 하는 경우 Microsoft Entra ID에서 사용자 지정 도메인 이름을 삭제할 수 있습니다.

사용자 지정 도메인 이름을 삭제하려면 먼저 조직에 도메인 이름을 사용하는 리소스가 없는지 확인해야 합니다. 다음의 경우 조직에서 도메인 이름을 삭제할 수 없습니다.

  • 임의 사용자가 도메인 이름을 포함하는 사용자 이름, 메일 주소 또는 프록시 주소 사용
  • 임의 그룹이 도메인 이름을 포함하는 메일 주소 또는 프록시 주소 사용
  • Microsoft Entra ID의 모든 애플리케이션에는 도메인 이름을 포함하는 앱 ID URI가 있습니다.

사용자 지정 도메인 이름을 삭제하려면 먼저 Microsoft Entra 조직에서 해당 리소스를 변경하거나 삭제해야 합니다.

참고 항목

사용자 지정 도메인을 삭제하려면 기본 도메인(onmicrosoft.com) 또는 다른 사용자 지정 도메인(mydomainname.com)을 기반으로 하는 전역 관리자 계정을 사용합니다.

ForceDelete 옵션

Azure Portal에서 또는 Microsoft Graph API를 사용하여 도메인 이름을 ForceDelete할 수 있습니다. 이러한 옵션은 비동기 작업을 사용하여 모든 참조를 “user@contoso.com” 등의 사용자 지정 도메인 이름에서 “user@contoso.onmicrosoft.com” 등의 초기 기본 도메인 이름으로 업데이트합니다.

Azure Portal에서 ForceDelete를 호출하려면 도메인 이름에 대한 참조가 1,000개 미만인지 확인해야 합니다. 또한 프로비저닝 서비스가 Exchange인 모든 참조는 Exchange 관리 센터에서 업데이트하거나 제거해야 합니다. 여기에는 Exchange 메일 사용이 가능한 보안 그룹 및 배포 목록이 포함됩니다. 자세한 내용은 메일 사용이 가능한 보안 그룹 제거를 참조하세요. 또한 다음 중 하나에 해당하는 경우에는 ForceDelete 작업이 정상적으로 실행되지 않습니다.

  • Microsoft 365 도메인 구독 서비스를 통해 도메인을 구입한 경우
  • 다른 고객 조직을 대신하여 관리하는 파트너인 경우

ForceDelete 작업의 일부분으로 수행되는 작업은 다음과 같습니다.

  • 사용자 지정 도메인 이름을 참조한 UPN, EmailAddress 및 ProxyAddress 이름을 초기 기본 도메인 이름으로 변경합니다.
  • 사용자 지정 도메인 이름을 참조한 그룹의 EmailAddress 이름을 초기 기본 도메인 이름으로 변경합니다.
  • 사용자 지정 도메인 이름을 참조한 애플리케이션의 identifierUris 이름을 초기 기본 도메인 이름으로 변경합니다.
  • Azure/Microsoft Entra 관리 센터에서 ForceDelete 옵션의 영향을 받는 사용자 계정을 사용하지 않도록 설정하고, 필요에 따라 Graph API를 사용할 때 사용하지 않도록 설정합니다.

다음과 같은 경우에는 오류가 반환됩니다.

  • 이름을 바꿀 개체 수가 1,000개보다 많은 경우
  • 이름을 바꿀 애플리케이션 중 하나가 다중 테넌트 앱인 경우

도메인 예방 조치 모범 사례

도메인 이름 변경, 등록 만료, 만료된 도메인의 유예 기간에 대한 충분한 알림을 제공하고 도메인 이름 구성 및 TXT 레코드에 액세스할 수 있는 사용자를 제어하기 위한 높은 보안 표준을 유지하는 평판이 좋은 등록 기관을 사용합니다. 등록 기관에서 도메인 이름을 최신 상태로 유지하고 TXT 레코드의 정확도를 확인합니다.

  • 의도적으로 도메인 이름을 만료하거나 소유권을 다른 사람(Microsoft Entra 테넌트와는 별도로)에게 전송하는 경우 만료 또는 전송하기 전에 Microsoft Entra 테넌트에서 삭제해야 합니다.
  • 도메인 이름이 만료되도록 허용하는 경우 도메인 이름을 다시 활성화/다시 제어할 수 있는 경우 등록 기관과 함께 모든 TXT 레코드를 주의 깊게 검토하여 도메인 이름이 변조되지 않았는지 확인합니다.
  • 도메인 이름을 즉시 재활성화하거나 제어권을 다시 얻을 수 없는 경우 Microsoft Entra 테넌트에서 도메인 이름을 삭제해야 합니다. 도메인 이름의 소유권을 확인하고 전체 TXT 레코드의 정확성을 확인할 수 있을 때까지 읽거나 다시 확인하지 마세요.

참고 항목

Microsoft는 둘 이상의 Microsoft Entra 테넌트에서 do기본 이름을 확인하는 것을 허용하지 않습니다. 테넌트에서 도메인 이름을 삭제한 후에는 해당 이름이 이후에 다른 Microsoft Entra 테넌트에 추가되고 확인되면 Microsoft Entra 테넌트에 해당 이름을 다시 추가하거나 다시 확인할 수 없습니다.

자주 묻는 질문

질문: 도메인 삭제가 실패하고 이 도메인 이름에 Exchange Mastered 그룹이 있다는 오류가 표시되는 이유는 무엇인가요?
대답: 현재 메일 사용이 가능한 보안 그룹 및 배포 목록과 같은 특정 그룹은 Exchange에서 프로비전되므로 EAC(Exchange 관리 센터)에서 수동으로 정리해야 합니다. 사용자 지정 도메인 이름을 사용하는 느린 ProxyAddresses가 있을 수도 있으며, 이러한 항목은 다른 도메인 이름으로 수동 업데이트해야 합니다.

질문: admin@contoso.com으로 로그인했는데 “contoso.com” 도메인 이름을 삭제할 수 없습니다.
대답: 사용자 계정 이름에서 삭제하려는 사용자 지정 도메인 이름을 참조할 수는 없습니다. 전역 관리자 계정이 admin@contoso.onmicrosoft.com과 같이 초기 기본 도메인 이름(.onmicrosoft.com)을 사용하는지 확인하세요. admin@contoso.onmicrosoft.com 등의 다른 전역 관리자 계정이나 “fabrikam.com” 등의 다른 사용자 지정 도메인 이름(계정: admin@fabrikam.com)으로 로그인해야 합니다.

질문: 도메인 삭제 단추를 클릭했는데 삭제 작업의 상태가 In Progress으(로) 표시됩니다. 소요 시간 실패하면 어떻게 되나요?
대답: 도메인 삭제 작업은 도메인 이름에 대한 모든 참조의 이름이 바뀌는 비동기 백그라운드 작업이며 완료하는 데 최대 24시간이 걸릴 수 있습니다. 도메인 삭제가 실패하면 다음 중 하나에 해당하지 않는지 확인하세요.

  • 앱이 appIdentifierURI를 사용하여 도메인 이름에 구성되어 있음
  • 메일 사용이 가능한 그룹이 사용자 지정 도메인 이름을 참조함
  • 도메인 이름에 대한 참조가 1,000개보다 많음
  • 제거할 도메인을 조직의 기본 도메인으로 설정

또한 도메인이 페더레이션 인증 유형을 사용하는 경우 ForceDelete 옵션이 작동하지 않습니다. 이 경우 도메인 제거를 다시 시도하기 전에 온-프레미스 Active Directory를 사용하여 도메인의 사용자/그룹 이름을 바꾸거나 제거해야 합니다. 위의 조건을 충족하지 않는 경우에는 참조를 수동으로 정리하고 도메인을 다시 삭제해 보세요.

PowerShell 또는 Microsoft Graph API를 사용하여 도메인 이름 관리

Microsoft Entra ID의 도메인 이름에 대한 대부분의 관리 작업은 Microsoft PowerShell을 사용하거나 프로그래밍 방식으로 Microsoft Graph API를 사용하여 완료할 수도 있습니다.

다음 단계