하이브리드 최신 인증을 사용하도록 비즈니스용 Skype 온-프레미스를 구성하는 방법

  • 아티클
  • 읽는 데 6분 걸림

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

최신 인증은 보다 안전한 사용자 인증 및 권한 부여를 제공하는 ID 관리 방법이며 비즈니스용 Skype 서버 온-프레미스 및 Exchange 서버 온-프레미스 및 분할 도메인 비즈니스용 Skype 하이브리드에 사용할 수 있습니다.

중요

MA(최신 인증)와 회사 또는 조직에서 이 인증을 사용하는 것을 선호하는 이유에 대해 자세히 알아보시겠습니까? 개요는 이 문서를 확인하세요. MA에서 지원되는 비즈니스용 Skype 토폴로지 알고 있어야 하는 경우 여기에 설명되어 있습니다.

시작하기 전에 다음 용어를 사용합니다.

  • MA(최신 인증)

  • HMA(하이브리드 최신 인증)

  • 온-프레미스 Exchange(EXCH)

  • Exchange Online(EXO)

  • 온-프레미스 비즈니스용 Skype(SFB)

  • 비즈니스용 Skype Online(SFBO)

또한 이 문서의 그래픽에 회색으로 표시되거나 흐리게 표시된 개체가 있는 경우 회색으로 표시된 요소가 MA별 구성에 포함되지 않습니다 .

요약 읽기

이 요약은 프로세스를 실행 중에 손실될 수 있는 단계로 나눕니다. 전체 검사 목록이 프로세스의 위치를 추적하는 데 적합합니다.

  1. 먼저 모든 필수 구성 요소를 충족하는지 확인합니다.

  2. 많은 필수 구성 요소가 비즈니스용 Skype 및 Exchange 모두에 대해 일반적이므로 사전 req 검사 목록에 대한 개요 문서를 참조하세요. 이 문서의 단계를 시작하기 전에 이 작업을 수행합니다.

  3. 파일 또는 OneNote 필요한 HMA 관련 정보를 수집합니다.

  4. EXO에 대한 최신 인증을 켭니다(아직 켜지지 않은 경우).

  5. SFBO에 대한 최신 인증을 켭니다(아직 설정되지 않은 경우).

  6. Exchange 온-프레미스에 대한 하이브리드 최신 인증을 켭니다.

  7. 비즈니스용 Skype 온-프레미스에 대한 하이브리드 최신 인증을 켭니다.

이러한 단계는 SFB, SFBO, EXCH 및 EXO에 대해 MA를 설정합니다. 즉, SFB 및 SFBO의 HMA 구성에 참여할 수 있는 모든 제품(EXCH/EXO에 대한 종속성 포함). 즉, 사용자가 하이브리드(EXO + SFBO, EXO + SFB, EXCH + SFBO 또는 EXCH + SFB) 일부에서 만든 사서함이 있는 경우 완성된 제품은 다음과 같습니다.

비즈니스 HMA 토폴로지용 혼합 6 Skype 가능한 4개 위치 모두에 MA가 있습니다.

당신이 볼 수 있듯이 MA를 설정하는 네 가지 장소가 있습니다! 최상의 사용자 환경을 위해 이러한 네 위치 모두에 MA를 설정하는 것이 좋습니다. 이러한 모든 위치에서 MA를 설정할 수 없는 경우 환경에 필요한 위치에서만 MA를 켜도록 단계를 조정합니다.

지원되는 토폴로지의 경우 MA를 사용한 비즈니스용 Skype 지원 가능성 항목을 참조하세요.

중요

시작하기 전에 모든 필수 구성 요소를 충족했는지 다시 확인합니다. 하이브리드 최신 인증 개요 및 필수 구성 요소에서 해당 정보를 찾을 수 있습니다.

필요한 모든 HMA 관련 정보 수집

최신 인증을 사용하기 위한 필수 구성 요소를 충족하는지 두 번 확인한 후(위의 참고 사항 참조) 앞으로의 단계에서 HMA를 구성하는 데 필요한 정보를 보관할 파일을 만들어야 합니다. 이 문서에 사용된 예제는 다음과 같습니다.

  • SIP/SMTP 도메인

    • 예: contoso.com(Office 365 페더레이션됨)

  • 테넌트 ID

    • Office 365 테넌트(contoso.onmicrosoft.com 로그인)를 나타내는 GUID입니다.

  • SFB 2015 CU5 웹 서비스 URL

배포된 모든 SfB 2015 풀에 대한 내부 및 외부 웹 서비스 URL이 필요합니다. 이를 가져오려면 비즈니스용 Skype 관리 셸에서 다음을 실행합니다.

Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL

Standard Edition 서버를 사용하는 경우 내부 URL은 비어 있습니다. 이 경우 내부 URL에 풀 fqdn을 사용합니다.

EXO에 대한 최신 인증 켜기

Exchange Online: 최신 인증을 위해 테넌트 사용 방법의 지침을 따릅니다.

SFBO에 대한 최신 인증 켜기

다음 지침을 따릅니다. 비즈니스용 Skype Online: 최신 인증을 위해 테넌트 사용

Exchange 온-프레미스에 대한 하이브리드 최신 인증 켜기

하이브리드 최신 인증을 사용하도록 온-프레미스에서 Exchange Server 구성하는 방법의 지침을 따릅니다.

비즈니스용 Skype 온-프레미스에 대한 하이브리드 최신 인증 켜기

Azure Active Directory 온-프레미스 웹 서비스 URL을 SPN으로 추가

이제 명령을 실행하여 SFBO에서 URL(이전에 수집됨)을 서비스 주체로 추가해야 합니다.

참고

서비스 주체 이름(SPN)은 웹 서비스를 식별하고 보안 주체(예: 계정 이름 또는 그룹)와 연결하여 서비스가 권한 있는 사용자를 대신하여 작동할 수 있도록 합니다. 서버에 인증하는 클라이언트는 SPN에 포함된 정보를 사용합니다.

  1. 먼저 이러한 지침을 사용하여 Azure Active Directory(Azure AD)에 연결합니다.

  2. 온-프레미스에서 이 명령을 실행하여 SFB 웹 서비스 URL 목록을 가져옵니다.

    AppPrincipalId는 .로 00000004시작합니다. 비즈니스용 Skype Online에 해당합니다.

    SE 및 WS URL을 포함하지만 주로 SPN으로 00000004-0000-0ff1-ce00-000000000000/구성된 이 명령의 출력(이후 비교를 위한 스크린샷)을 기록해 둡니다.

    Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNames

  3. 온-프레미스의 내부 또는 외부 SFB URL이 누락된 경우(예 https://lyncwebint01.contoso.com https://lyncwebext01.contoso.com) : 이 목록에 해당 특정 레코드를 추가해야 합니다.

    아래 예제 URL을 추가 명령의 실제 URL로 바꿔야 합니다.

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000
$x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")
$x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")
Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

  4. 2단계에서 Get-MsolServicePrincipal 명령을 다시 실행하고 출력을 확인하여 새 레코드가 추가되었는지 확인합니다. 이전의 목록 또는 스크린샷을 새 SPN 목록과 비교합니다. 레코드의 새 목록을 스크린샷으로 표시할 수도 있습니다. 성공한 경우 목록에 두 개의 새 URL이 표시됩니다. 이 예제에서 SPN 목록에는 이제 특정 URL https://lyncwebint01.contoso.comhttps://lyncwebext01.contoso.com/URL이 포함됩니다.

EvoSTS 인증 서버 개체 만들기

비즈니스용 Skype 관리 셸에서 다음 명령을 실행합니다.

New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD

하이브리드 최신 인증 사용

이것은 실제로 MA를 켜는 단계입니다. 클라이언트 인증 흐름을 변경하지 않고 이전의 모든 단계를 미리 실행할 수 있습니다. 인증 흐름을 변경할 준비가 되면 비즈니스용 Skype 관리 셸에서 이 명령을 실행합니다.

Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS

확인

HMA를 사용하도록 설정하면 클라이언트의 다음 로그인에서 새 인증 흐름을 사용합니다. HMA를 켜는 것만으로는 클라이언트에 대한 재인증이 트리거되지 않습니다. 클라이언트는 인증 토큰 및/또는 인증서의 수명에 따라 다시 인증합니다.

HMA를 사용하도록 설정한 후 HMA가 작동하는지 테스트하려면 테스트 SFB Windows 클라이언트에서 로그아웃하고 '내 자격 증명 삭제'를 클릭해야 합니다. 다시 로그인합니다. 이제 클라이언트는 최신 인증 흐름을 사용해야 하며, 이제 클라이언트가 서버에 연결하고 로그인하기 직전에 표시되는 '회사 또는 학교' 계정에 대한 Office 365 프롬프트가 로그인에 포함됩니다.

또한 'OAuth 기관'에 대한 비즈니스용 Skype 클라이언트에 대한 '구성 정보'를 확인해야 합니다. 클라이언트 컴퓨터에서 이 작업을 수행하려면 Ctrl 키를 누른 채 Windows 알림 트레이에서 비즈니스용 Skype 아이콘을 마우스 오른쪽 단추로 클릭합니다. 표시되는 메뉴에서 구성 정보를 클릭합니다. 바탕 화면에 표시되는 '비즈니스용 Skype 구성 정보' 창에서 다음을 찾습니다.

최신 인증을 사용하는 비즈니스용 Skype 클라이언트의 구성 정보에는 Lync 및 EWS OAUTH 기관 URL이 https://login.windows.net/common/oauth2/authorize표시됩니다.

또한 Ctrl 키를 누른 채 Outlook 클라이언트의 아이콘(Windows 알림 트레이)을 마우스 오른쪽 단추로 클릭하고 '연결 상태'를 클릭해야 합니다. OAuth에서 사용되는 전달자 토큰을 나타내는 'Bearer*'의 AuthN 형식에 대해 클라이언트의 SMTP 주소를 찾습니다.

최신 인증 개요에 다시 연결합니다.

비즈니스용 Skype 클라이언트에 최신 인증을 사용하는 방법을 알아야 합니까? 하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한 필수 구성 요소에 대한 단계가 있습니다.