자습서: Azure Directory Federation Services에 대한 백업으로 암호 해시 동기화 설정

이 자습서에서는 Microsoft Entra Connect에서 AD FS(Azure Directory Federation Services)에 대한 백업 및 장애 조치(failover)로 암호 해시 동기화를 설정하는 단계를 안내합니다. 이 자습서에서는 AD FS가 실패하거나 사용할 수 없게 된 경우 암호 해시 동기화를 기본 인증 방법으로 설정하는 방법도 보여 줍니다.

참고 항목

이러한 단계는 일반적으로 응급 또는 중단 상황에서 수행되지만, 중단이 발생하기 전에 이러한 단계를 테스트하고 절차를 확인하는 것이 좋습니다.

필수 조건

이 자습서는 자습서: 단일 Active Directory 포리스트에서 하이브리드 ID에 페더레이션 사용을 기반으로 합니다. 자습서를 완료하는 것은 이 자습서의 단계를 완료하기 위한 전제 조건입니다.

참고 항목

Microsoft Entra Connect 서버에 액세스할 수 없거나 서버가 인터넷에 액세스할 수 없는 경우 Microsoft 지원에 문의하여 Microsoft Entra ID 변경에 대한 도움을 받을 수 있습니다.

Microsoft Entra Connect에서 암호 해시 동기화 사용

자습서: 단일 Active Directory 포리스트에서 하이브리드 ID를 위한 페더레이션 사용에서는 페더레이션을 사용하는 Microsoft Entra Connect 환경을 만들었습니다.

페더레이션을 위한 백업 설정의 첫 번째 단계는 암호 해시 동기화를 켜고 Microsoft Entra Connect가 해시를 동기화하도록 설정하는 것입니다.

1. 설치 중 바탕화면에 만들어진 Microsoft Entra Connect 아이콘을 두 번 클릭합니다.

2. 구성을 선택합니다.

3. 추가 작업에서 동기화 옵션 사용자 지정을 선택한 후, 다음을 선택합니다.

   

4. 자습서에서 사용자가 만든 하이브리드 ID 관리자 계정의 사용자 이름과 암호를 입력하여 페더레이션을 설정합니다.

5. 디렉터리 연결에서 다음을 선택합니다.

6. 도메인 및 OU 필터링에서 다음을 선택합니다.

7. 선택적 기능에서 암호 해시 동기화를 선택한 후, 다음을 선택합니다.

   

8. 구성 준비 완료에서 구성을 선택합니다.

9. 구성이 완료되면 종료를 선택합니다.

이것으로 끝입니다. 완료되었습니다. 이제 암호 해시 동기화가 진행되며 AD FS를 사용할 수 없게 되면 백업으로 사용할 수 있습니다.

암호 해시 동기화로 전환

Important

• 암호 해시 동기화로 전환하기 전에 AD FS 환경의 백업을 만듭니다. AD FS 신속 복원 도구를 사용하여 백업을 만들 수 있습니다.

• 암호 해시가 Microsoft Entra ID와 동기화되는 데 시간이 걸립니다. 동기화가 완료되기까지 최대 3시간이 소요될 수 있으며 암호 해시를 사용하여 인증을 시작할 수 있습니다.

다음으로, 암호 해시 동기화로 전환합니다. 시작하기 전에 어떤 조건에서 전환해야 할지 고려합니다. 네트워크 중단, 사소한 AD FS 문제 또는 사용자 하위 집합에 영향을 미치는 문제와 같은 일시적인 이유로는 전환하지 마십시오.

문제를 해결하는 데 시간이 너무 오래 걸리기 때문에 전환하기로 결정한 경우, 다음 단계를 완료합니다.

1. Microsoft Entra Connect에서 구성을 선택합니다.
2. 사용자 로그인 변경을 선택하고, 다음을 선택합니다.
3. 자습서에서 사용자가 만든 하이브리드 ID 관리자 계정의 사용자 이름과 암호를 입력하여 페더레이션을 설정합니다.
4. 사용자 로그인에서 암호 해시 동기화를 선택한 다음, 사용자 계정 변환 안 함 확인란을 선택합니다.
5. Single Sign-On 사용을 기본 상태(선택됨)로 유지하고 다음을 선택합니다.
6. Single Sign-On 사용에서 다음을 선택합니다.
7. 구성 준비 완료에서 구성을 선택합니다.
8. 구성이 완료되면 종료를 선택합니다.

이제 사용자가 암호를 사용하여 Azure 및 Azure Services에 로그인할 수 있습니다.

동기화를 테스트할 사용자 계정으로 로그인

1. 새 웹 브라우저 창에서 https://myapps.microsoft.com으로 이동합니다.

2. 새 테넌트에 생성된 사용자 계정으로 로그인합니다.

   사용자 이름은 user@domain.onmicrosoft.com 형식을 사용합니다. 사용자가 온-프레미스 Active Directory에 로그인하는 데 사용하는 것과 동일한 암호를 사용합니다.

   

페더레이션으로 다시 전환

이제 페더레이션으로 다시 전환합니다.

1. Microsoft Entra Connect에서 구성을 선택합니다.

2. 사용자 로그인 변경을 선택하고, 다음을 선택합니다.

3. 하이브리드 ID 관리자 계정의 사용자 이름과 암호를 입력합니다.

4. 사용자 로그인에서 AD FS와 페더레이션을 선택한 후, 다음을 선택합니다.

5. 도메인 관리자 자격 증명에서 contoso\Administrator 사용자 이름과 암호를 입력한 후, 다음을 선택합니다.

6. AD FS 팜에서 다음을 선택합니다.

7. Microsoft Entra 도메인에서 도메인을 선택하고 다음을 선택합니다.

8. 구성 준비 완료에서 구성을 선택합니다.

9. 구성이 완료되면 다음을 선택합니다.

   

10. 페더레이션 연결 확인에서 확인을 선택합니다. 확인을 성공적으로 완료하려면 DNS 레코드(A 및 AAAA 레코드 추가)를 구성해야 할 수도 있습니다.

    

11. 끝내기를 선택합니다.

AD FS와 Azure 트러스트 다시 설정

마지막 작업은 AD FS와 Azure AD 간의 트러스트를 다시 설정하는 것입니다.

1. Microsoft Entra Connect에서 구성을 선택합니다.

2. 페더레이션 관리를 선택한 후, 다음을 선택합니다.

3. Microsoft Entra ID 트러스트 초기화을 선택한 후 다음을 선택합니다.

   

4. Microsoft Entra ID에 연결에 전역 관리자 계정 또는 하이브리드 ID 관리자 계정의 사용자 이름과 암호를 입력합니다.

5. AD FS에 연결에서 contoso/Administrator 사용자 이름과 암호를 입력한 후, 다음을 선택합니다.

6. 인증서에서 다음을 선택합니다.

7. 사용자 계정으로 로그인하여 동기화 테스트의 단계를 반복합니다.

Azure에서 제공하는 기능을 테스트하고 익숙해지는 데 사용할 수 있는 하이브리드 ID 환경을 성공적으로 설정했습니다.

다음 단계

• Microsoft Entra Connect 하드웨어 및 필수 구성 요소를 검토합니다.
• Microsoft Entra Connect에서 Express 설정을 사용하는 방법을 알아봅니다.
• Microsoft Entra Connect를 사용한 암호 해시 동기화에 대해 자세히 알아봅니다.