페더레이션 트러스트 구성Configure a federation trust

적용 대상: Exchange Server 2013Applies to: Exchange Server 2013

페더레이션 트러스트는 Microsoft Exchange 2013 조직과 Azure Active Directory 인증 시스템 간에 트러스트 관계를 설정 합니다.A federation trust establishes a trust relationship between a Microsoft Exchange 2013 organization and the Azure Active Directory authentication system. 페더레이션 트러스트를 구성하면 다른 페더레이션 Exchange 조직과의 페더레이션 공유를 구성하여 받는 사람 간에 약속 있음/없음 일정 정보를 공유할 수 있습니다.By configuring a federation trust, you can configure federated sharing with other federated Exchange organizations to share calendar free/busy information among recipients. 페더레이션 공유는 두 페더레이션 Exchange 2013 조직 간에 또는 페더레이션 exchange 2013 조직과 페더레이션 Exchange 2010 조직 간에 구성할 수 있습니다.Federated sharing can be configured between two federated Exchange 2013 organizations or between a federated Exchange 2013 organization and federated Exchange 2010 organizations. Microsoft 365 또는 Office 365 조 직과 공유를 설정할 수도 있습니다.You can also set up sharing with a Microsoft 365 or Office 365 organization.

참고

페더레이션 트러스트를 만드는 단계는 Exchange 조직에서 페더레이션 공유를 설정하는 여러 단계 중 하나입니다.Creating a federation trust is one of several steps in setting up federated sharing in your Exchange organization. 모든 단계를 검토 하려면 페더레이션 공유 구성을참조 하십시오.To review all the steps, see Configure federated sharing.

페더레이션과 관련 된 추가 관리 작업에 대 한 자세한 내용은 페더레이션 절차를 참조 하십시오.For additional management tasks related to federation, see Federation procedures.

중요

Exchange Server 2013의 이 기능은 현재 중국에서 21Vianet에 의해 운영되는 Office 365와는 완전히 호환되지는 않으며 일부 기능 제한이 적용될 수 있습니다.This feature of Exchange Server 2013 isn't fully compatible with Office 365 operated by 21Vianet in China and some feature limitations may apply. 자세한 내용은 21vianet에서 운영 하는 Office 365를 참조 하세요.For more information, see Office 365 operated by 21Vianet.

시작하기 전에 알아야 할 내용What do you need to know before you begin?

  • 예상 완료 시간: 30분.Estimated time to complete: 30 minutes.

  • 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다.You need to be assigned permissions before you can perform this procedure or procedures. 필요한 사용 권한을 확인 하려면 Exchange 및 셸 인프라 사용 권한 항목의 "페더레이션 및 인증서" 사용 권한 항목을 참조 하십시오.To see what permissions you need, see the "Federation and certificates" permissions entry in the Exchange and Shell infrastructure permissions topic.

  • 페더레이션 트러스트를 설정하는 데 사용되는 도메인을 인터넷에서 확인할 수 있어야 합니다. 이렇게 하려면 도메인 등록 기관에 도메인을 등록해야 하고 인터넷에서 액세스할 수 있는 DNS 서버에 도메인의 DNS(Domain Name System) 영역을 호스트해야 합니다. 조직이 도메인에 대한 인터넷 전자 메일을 받는 경우 이러한 요구 사항이 이미 충족된 것입니다.The domain used for establishing a federation trust should be resolvable from the Internet. This requires that the domain be registered with a domain registrar and the Domain Name System (DNS) zone for the domain to be hosted on a DNS server accessible from the Internet. If the organization receives Internet email for the domain, these requirements are already met.

  • 공용 DNS에 TXT 레코드를 추가해야 합니다. 공용 DNS 레코드를 호스트하는 조직의 TXT 레코드 추가를 위한 요구 사항을 검토하십시오.You will need to add a TXT record to your public DNS. Review the requirements for adding a TXT record with the organization that hosts your public DNS records.

  • 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

  • 페더레이션 공유 관계에서 두 Exchange 조직 모두 해당 페더레이션 트러스트에 대해 동일한 Azure AD 인증 시스템을 사용 해야 합니다.Both Exchange organizations in a federated sharing relationship must use the same Azure AD authentication system for their federation trusts. 두 온-프레미스 Exchange 조직 간 또는 온-프레미스 Exchange 조직과 Microsoft 365 또는 Office 365에서 호스팅하는 Exchange 조직 간에 페더레이션 공유를 구성할 때이 요구 사항이 적용 됩니다.This requirement applies when configuring federated sharing between two on-premises Exchange organizations or between an on-premises Exchange organization and an Exchange organization hosted by Microsoft 365 or Office 365.

  • Exchange 2013 조 직에 대 한 Azure AD 인증 시스템과의 페더레이션 트러스트를 만들 때 페더레이션 트러스트는 Azure AD 인증 시스템의 비즈니스 인스턴스를 사용 합니다.When you create a federation trust with the Azure AD authentication system for your Exchange 2013 organization, the federation trust will use the business instance of the Azure AD authentication system. 그러나 이전 버전의 Exchange와 기존 페더레이션 트러스트를 사용 하는 다른 페더레이션 Exchange 조직은 Azure AD 인증 시스템의 비즈니스 또는 소비자 인스턴스를 사용 하는 것일 수 있습니다.However, other federated Exchange organizations with previous versions of Exchange and existing federation trusts may be using either the business or consumer instance of the Azure AD authentication system.

    다음 Exchange 조직은 기본적으로 Azure AD 인증 시스템의 비즈니스 인스턴스를 사용 합니다.The following Exchange organizations use the business instance of the Azure AD authentication system by default:

    • 페더레이션 트러스트 사용 마법사와 페더레이션 트러스트에 자체 서명된 인증서를 사용하는 Exchange 2013 조직Exchange 2013 organizations by using the Enable federation trust wizard and self-signed certificates for a federation trust.

    • 새 페더레이션 트러스트 마법사와 페더레이션 트러스트에 자체 서명 된 인증서를 사용 하는 EXCHANGE 2010 SP1 이상 조직Exchange 2010 SP1 or later organizations by using the New Federation Trust wizard and self-signed certificates for a federation trust.

    • Microsoft 365 및 Office 365에서 호스팅하는 Exchange 조직Exchange organizations hosted by Microsoft 365 and Office 365.

      다음 Exchange 조직은 기본적으로 Azure AD 인증 시스템의 소비자 인스턴스를 사용 합니다.The following Exchange organizations use the consumer instance of the Azure AD authentication system by default:

    • 타사 인증 기관에서 발급 한 인증서를 사용 하는 RTM (Release to manufacturing) 버전의 Exchange 2010 조 직Release to manufacturing (RTM) version of Exchange 2010 organizations using certificates issued by third-party certification authorities.

      모든 Exchange 조직은 페더레이션 트러스트에 대해 Azure AD 인증 시스템의 비즈니스 인스턴스를 사용 하는 것이 좋습니다.We recommend that all Exchange organizations use the business instance of the Azure AD authentication system for federation trusts. 두 Exchange 조직 간에 페더레이션 공유를 구성 하기 전에 기존 페더레이션 트러스트에 대해 각 Exchange 조직이 사용 하는 Azure AD 인증 시스템 인스턴스를 확인 해야 합니다.Before configuring federated sharing between the two Exchange organizations, you need to verify which Azure AD authentication system instance each Exchange organization is using for any existing federation trusts. Exchange 조직에서 기존 페더레이션 트러스트에 대해 사용 하는 Azure AD 인증 시스템 인스턴스를 확인 하려면 다음 셸 명령을 실행 합니다.To determine which Azure AD authentication system instance an Exchange organization is using for an existing federation trust, run the following Shell command.

      Get-FederationInformation -DomainName <hosted Exchange domain namespace>
      

      비즈니스 인스턴스는 <uri:federation:MicrosoftOnline> TokenIssuerURIs 매개 변수에 대 한 값을 반환 합니다.The business instance returns a value of <uri:federation:MicrosoftOnline> for the TokenIssuerURIs parameter.

      소비자 인스턴스는 <uri:WindowsLiveID> TokenIssuerURIs 매개 변수에 대 한 값을 반환 합니다.The consumer instance returns a value of <uri:WindowsLiveID> for the TokenIssuerURIs parameter.

      Azure AD 인증 시스템의 비즈니스 인스턴스를 사용 하는 기존 페더레이션 트러스트가 있는 Exchange 조직과의 페더레이션 공유를 구성 하려면이 항목의 단계를 수행 합니다.To configure federated sharing with an Exchange organization that has an existing federation trust that's using the business instance of the Azure AD authentication system, follow the steps in this topic. 이러한 단계는 두 Exchange 2013 조직 간 또는 Exchange 2013 조직과 이미 Azure AD 인증 시스템의 비즈니스 인스턴스를 사용 하는 Exchange 2010 조직 간의 페더레이션 공유를 사용 하도록 설정 하는 데 사용할 수 있는 페더레이션 트러스트를 만들기 위해 수행 해야 하는 작업입니다.These steps are all you need to perform to create federation trusts that can be used to enable federated sharing between two Exchange 2013 organizations or between an Exchange 2013 organization and an Exchange 2010 organization that's already using the business instance of the Azure AD authentication system.

      Exchange 2013 조직과 Azure AD 인증 시스템의 소비자 인스턴스를 사용 하는 기존 페더레이션 트러스트가 있는 Exchange 조직 간에 페더레이션 공유를 구성 하려면 소비자 인스턴스를 사용 하는 Exchange 조직이 Exchange 2010 SP2 이상을 설치 하거나 Exchange 2013로 업그레이드 해야 합니다.To configure federated sharing between your Exchange 2013 organization and an Exchange organization that has an existing federation trust that's using the consumer instance of the Azure AD authentication system , the Exchange organization using the consumer instance should install Exchange 2010 SP2 or later, or upgrade to Exchange 2013. Exchange 2010 SP2 이상을 설치하려면 새 페더레이션 트러스트 마법사를 사용하여 기존 페더레이션 도메인 및 페더레이션 트러스트를 제거한 후 다시 만듭니다.If you decide to install Exchange 2010 SP2 or later, use the New Federation Trust wizard to remove and re-create the existing federated domains and federation trusts. 페더레이션 트러스트를 다시 만들면 Azure AD 인증 시스템의 비즈니스 인스턴스가 사용 됩니다.When the federation trusts are re-created, the business instance of the Azure AD authentication system will be used.

EAC를 사용하여 페더레이션 트러스트 만들기 및 구성Use the EAC to create and configure a federation trust

  1. 온-프레미스 조직의 Exchange 2013 서버에서 조직 > 공유로 이동합니다.On an Exchange 2013 server in your on-premises organization, navigate to Organization > Sharing.

  2. 사용을 클릭하고 페더레이션 트러스트 사용 마법사를 시작합니다.Click Enable to start the Enable federation trust wizard.

  3. 마법사가 완료되면 닫기를 클릭합니다.After the wizard completes, click Close.

  4. 공유 탭의 페더레이션 트러스트 섹션에서 수정을 클릭합니다.In the Federation Trust section of the Sharing tab, click Modify.

  5. 1단계 옆의 공유 사용 가능 도메인에서 찾아보기를 클릭합니다.In Sharing-Enabled Domains, next to Step 1, click Browse.

  6. 허용 도메인 선택의 목록에서 기본 공유 정책을 선택하고 확인을 클릭합니다.In Select Accepted Domains, select the primary shared domain from the list, and then click OK.

    참고

    선택한 도메인이 페더레이션 트러스트의 OrgID를 구성하는 데 사용됩니다. OrgID에 대한 자세한 내용은 페더레이션 항목을 참조하십시오.The domain you select will be used to configure the OrgID for the federation trust. For more information about the OrgID, see Federation.

  7. 기본 공유 도메인에 대해 생성된 페더레이션 도메인 증명을 기록해 둡니다. 이 문자열을 사용하여 공용 DNS 서버에 TXT 레코드를 만듭니다.Make a note of the federated domain proof that's generated for the primary shared domain. You'll use this string to create a TXT record on your public DNS server.

    중요

    페더레이션 도메인 증명은 영숫자 문자열입니다.The federated domain proof is a string of alphanumeric characters. 입력 오류가 발생 하지 않도록 EAC에서 문자열을 복사 하 여 메모장과 같은 텍스트 편집기에 붙여 넣는 것이 좋습니다.To avoid input errors, we recommend that you copy the string from the EAC, and paste it into a text editor such as Notepad. 그러면 텍스트 편집기의 문자열을 클립보드에 복사하고 TXT 레코드를 만들 때 텍스트 필드에 붙여 넣을 수 있습니다.You can then copy it from the text editor to the Clipboard, and then paste it into the Text field when creating the TXT record. 잘못 된 페더레이션 도메인 증명 문자열을 사용 하 여 TXT 레코드를 만드는 경우 Azure AD 인증 시스템은 도메인 소유권 증명을 확인할 수 없으며 페더레이션 조직 식별자에이를 추가할 수 없게 됩니다.If the TXT record is created by using an incorrect federated domain proof string, the Azure AD authentication system won't be able to verify proof of domain ownership, and you won't be able to add it to the federated organization identifier.

  8. 2 단계에서 추가 아이콘 추가 를 클릭 하 여 페더레이션 공유 기능이 필요한 조직의 사용자가 사용할 전자 메일 주소에 대 한 페더레이션 트러스트에 추가 도메인을 추가 합니다.In Step 2, click Add Add Icon to add additional domains to the federated trust for email addresses that will be used by users in your organization that require federated sharing features. 예를 들어 사용자가 sales.contoso.com 같은 전자 메일 주소에 하위 도메인을 사용 하는 경우에는 sales.contoso.com 도메인을 페더레이션 트러스트에 추가 합니다.For example, if you have users that use a subdomain in their email address such as sales.contoso.com, you would add the sales.contoso.com domain to the federation trust.

    참고

    선택한 각 추가 도메인에 대해 페더레이션 도메인 증명 문자열이 만들어집니다. 공용 DNS에 각 추가 도메인에 대한 개별 TXT 레코드를 만들어야 합니다.A federated domain proof string will be created for each additional domain selected. You must create separate TXT records on your public DNS for each additional domain.

  9. 각 도메인에 대해 만들어진 페더레이션 도메인 증명 문자열을 사용하여 공용 DNS 서버에서 이러한 각 도메인에 대한 TXT 레코드를 만듭니다. 공용 DNS 호스트의 업데이트 일정에 따라 DNS 변경 사항 복제에 15분 이상 걸릴 수 있습니다.Using the federated domain proof strings created for each domain, create TXT records for each of these domains on your public DNS server. Depending on the update schedule of your public DNS host, replication of DNS changes may take 15 minutes or longer.

  10. TXT 레코드가 만들어지고 복제된 후 업데이트를 클릭합니다.After the TXT records are created and replicated, click Update.

셸을 사용하여 페더레이션 트러스트 만들기 및 구성Use the Shell to create and configure a federation trust

  1. 다음 명령을 실행 하 여 페더레이션 트러스트 인증서에 대 한 고유한 주체 키 식별자를 만듭니다.Run this command to create a unique subject key identifier for the federation trust certificate:

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. 다음 구문을 사용 하 여 페더레이션 트러스트에 대 한 자체 서명 된 인증서를 만듭니다.Use this syntax to create a self-signed certificate for the federation trust:

    New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    

    이 예에서는 Azure AD 인증 시스템과의 페더레이션 트러스트에 대 한 자체 서명 된 인증서를 만듭니다.This example creates a self-signed certificate for the federation trust with the Azure AD authentication system. 인증서에서 Exchange 페더레이션 공유를 사용 하는 이름 값이 USERDNSDOMAIN 환경 변수에서 검색 됩니다.The certificate uses the friendly name value Exchange Federated Sharing, and the domain value is retrieved from the USERDNSDOMAIN environment variable.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. 페더레이션 트러스트를 만들고 이전 단계에서 만든 자체 서명 된 인증서를 조직의 Exchange 서버에 자동으로 배포 하려면 다음 구문을 사용 합니다.To create the federation trust and automatically deploy the self-signed certificate that you created in the previous step to the Exchange servers in your organization, use this syntax:

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
    

    이 예에서는 Azure AD Authentication 이라는 페더레이션 트러스트를 만들고 Exchange 페더레이션된 공유 라는 자체 서명 된 인증서를 배포 합니다.This example creates the federation trust named Azure AD Authentication and deploys the self-signed certificate named Exchange Federated Sharing.

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
    
  4. 이 구문을 사용 하 여 페더레이션 트러스트에 대해 구성할 도메인에 필요한 도메인 소유권 TXT 레코드의 증거를 반환 합니다.Use this syntax to return the proof of domain ownership TXT record that's required for any domain that you'll configure for the federation trust.

    Get-FederatedDomainProof -DomainName <domain>
    

    이 예에서는 기본 공유 도메인 contoso.com에 필요한 도메인 소유권 TXT 레코드의 증거를 반환 합니다.This example returns the proof of domain ownership TXT record that's required for the primary shared domain contoso.com.

    Get-FederatedDomainProof -DomainName contoso.com
    

    참고:Notes:

    • 페더레이션 트러스트에 대해 구성 된 각 도메인 또는 하위 도메인이 도메인 소유권 TXT 레코드를 사용 해야 하므로이 명령을 여러 번 실행 해야 하는 경우에는 여러 다른 DomainName 값을 사용할 수 있습니다.Each domain or subdomain that's configured for the federation trust requires a proof of domain ownership TXT record, so you might need to run this command multiple times using different DomainName values.

    • 셸을 마우스 오른쪽 단추로 클릭 하 고 표시를 선택한 다음 TXT 레코드를 만들 때 사용할 수 있도록 enter 키를 눌러 도메인 증명 문자열을 복사 하는 것이 좋습니다.We recommend that you copy the domain proof string by right-clicking in the Shell, selecting Mark, selecting the Proof value, and then pressing Enter so you can use it when you create the TXT record. 페더레이션 도메인 증명 문자열이 잘못 된 TXT 레코드를 만드는 경우 Azure AD 인증 시스템에서 도메인 소유권을 확인할 수 없으며 페더레이션 조직 식별자에이를 추가할 수 없게 됩니다.If you create the TXT record with an incorrect federated domain proof string, the Azure AD authentication system can't verify your ownership of the domain, and you won't be able to add it to the federated organization identifier.

  5. 이전 단계의 정보를 사용 하 여 페더레이션 트러스트에 포함 될 모든 도메인의 공용 DNS 서버에 TXT 레코드를 만듭니다.Using the information from the previous step, create TXT records on your public DNS server in every domain that will be included in the federation trust. 공용 DNS 호스트의 업데이트 일정에 따라 DNS 변경 사항 복제에 15분 이상 걸릴 수 있습니다.Depending on the update schedule of your public DNS host, replication of DNS changes may take 15 minutes or longer. 새 TXT 레코드를 사용할 수 있는지 확인 한 후 계속 합니다.Continue after you've verified that the new TXT records are available.

    중요

    페더레이션/공유 되는 모든 도메인에 대해 TXT 레코드를 만들어야 합니다.The TXT record should be created for every domain that is being federated/shared. 하이브리드 환경인 경우 Exchange Online에서 유효성이 검사 된 모든 허용 도메인은 TXT 레코드를 만들어야 합니다.If this is a hybrid environment then all accepted domains that are validated in Exchange Online should have TXT records created.

  6. Azure AD에서 메타 데이터 및 인증서를 검색 하려면이 명령을 실행 합니다.Run this command to retrieve the metadata and certificate from Azure AD:

    Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
    
  7. 이 구문을 사용 하 여 3 단계에서 만든 페더레이션 트러스트에 대 한 기본 공유 도메인을 구성 합니다.Use this syntax to configure the primary shared domain for the federation trust that you created in Step 3. 지정 하는 도메인은 페더레이션 트러스트에 대 한 OrgID (조직 식별자)를 구성 하는 데 사용 됩니다.The domain that you specify will be used to configure the organization identifier (OrgID) for the federation trust. OrgID에 대 한 자세한 내용은 페더레이션된 조직 식별자를 참조 하십시오.For more information about the OrgID, see Federated organization identifier.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
    

    이 예에서는 허용 도메인 contoso.com를 Azure AD Authentication 이라는 페더레이션 트러스트에 대 한 기본 공유 도메인으로 구성 합니다.This example configures the accepted domain contoso.com as the primary shared domain for the federation trust named Azure AD Authentication.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
    
  8. 페더레이션 트러스트에 다른 도메인을 추가 하려면 다음 구문을 사용 합니다.To add other domains to the federation trust, use this syntax:

    Add-FederatedDomain -DomainName <AdditionalDomain>
    

    이 예에서는 sales.contoso.com 도메인에 전자 메일 주소를 가진 사용자가 페더레이션 공유 기능을 필요로 하기 때문에 페더레이션 트러스트에 하위 도메인 sales.contoso.com를 추가 합니다.This examples adds the subdomain sales.contoso.com to the federated trust, because users with email addresses in the sales.contoso.com domain require federated sharing features.

    Add-FederatedDomain -DomainName sales.contoso.com
    

    페더레이션 트러스트에 추가 하는 도메인 또는 하위 도메인이 도메인 소유권 TXT 레코드를 증명 해야 한다는 것을 염두에 두어야 합니다.Remember, any domain or subdomain that you add to the federation trust requires a proof of domain ownership TXT record,

구문과 매개 변수에 대 한 자세한 내용은 get-exchangecertificate, get-federationtrust, get-federateddomainproof, get-federationtrust, set-federatedorganizationidentifierremove-federateddomain를 참조 하십시오.For detailed syntax and parameter information, see New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier, and Add-FederatedDomain.

작동 여부는 어떻게 확인합니까?How do you know this worked?

페더레이션 트러스트 사용공유 사용 가능 도메인 마법사가 성공적으로 완료되면 페더레이션 트러스트가 예상대로 구성된 것입니다.The successful completion of the Enable federation trust and Sharing-Enabled Domains wizards will be your first indication that the federation trust was configured as expected.

페더레이션 트러스트가 만들어지고 구성되었는지 확인하려면 다음을 수행합니다.To further verify that you have successfully created and configured the federation trust, do the following:

  1. 페더레이션 트러스트 정보를 확인하려면 다음 셸 명령을 실행합니다.Run the following Shell command to verify the federation trust information.

    Get-FederationTrust | Format-List
    
  2. <PrimarySharedDomain> 기본 공유 도메인으로 바꾸고, 다음 셸 명령을 실행 하 여 조직에서 페더레이션 정보를 검색할 수 있는지 확인 합니다.Replace <PrimarySharedDomain> with your primary shared domain, and run the following Shell command to verify that federation information can be retrieved from your organization.

    Get-FederationInformation -DomainName <PrimarySharedDomain>
    

구문과 매개 변수에 대한 자세한 내용은 Get-FederationTrustGet-FederationInformation을 참조하십시오.For detailed syntax and parameter information, see Get-FederationTrust and Get-FederationInformation.

문제가 있습니까?Having problems? Exchange 포럼에서 도움을 요청하세요.Ask for help in the Exchange forums. Exchange Server에서 포럼을 방문 합니다.Visit the forums at Exchange Server.