고가용성 페더레이션 인증 5단계: Microsoft 365 대한 페더레이션 인증 구성
Azure 인프라 서비스의 Microsoft 365 대한 고가용성 페더레이션 인증을 배포하는 이 마지막 단계에서는 공용 인증 기관에서 발급한 인증서를 가져오고 설치하고, 구성을 확인한 다음, 디렉터리 동기화 서버에 Azure AD 커넥트 설치하고 실행합니다. Azure AD 커넥트 페더레이션 인증을 위해 Microsoft 365 구독과 AD FS(Active Directory Federation Services) 및 웹 애플리케이션 프록시 서버를 구성합니다.
모든 단계는 Azure에서 Microsoft 365 대한 고가용성 페더레이션 인증 배포를 참조하세요.
공용 인증서를 가져와서 디렉터리 동기화 서버에 복사
다음 속성을 사용하여 공용 인증 기관에서 디지털 인증서를 가져옵니다.
SSL 연결을 만드는 데 적합한 X.509 인증서입니다.
SAN(주체 대체 이름) 확장 속성은 페더레이션 서비스 FQDN(예: fs.contoso.com)으로 설정됩니다.
인증서에는 프라이빗 키가 있어야 하며 PFX 형식으로 저장되어야 합니다.
또한 조직 컴퓨터와 디바이스는 디지털 인증서를 발급하는 공용 인증 기관을 신뢰해야 합니다. 이 신뢰는 컴퓨터 및 디바이스의 신뢰할 수 있는 루트 인증 기관 저장소에 공용 인증 기관의 루트 인증서를 설치하여 설정합니다. Microsoft Windows 실행하는 컴퓨터에는 일반적으로 일반적으로 사용되는 인증 기관에서 설치되는 이러한 유형의 인증서 집합이 있습니다. 공용 인증 기관의 루트 인증서가 아직 설치되어 있지 않은 경우 조직의 컴퓨터 및 디바이스에 배포해야 합니다.
페더레이션 인증에 대한 인증서 요구 사항에 대한 자세한 내용은 페더레이션 설치 및 구성에 대한 필수 구성 요소를 참조하세요.
인증서를 받으면 디렉터리 동기화 서버의 C: 드라이브에 있는 폴더에 복사합니다. 예를 들어 파일 이름을 SSL.pfx로 지정하고 디렉터리 동기화 서버의 C:\Certs 폴더에 저장합니다.
구성 확인
이제 Microsoft 365 대한 Azure AD 커넥트 및 페더레이션 인증을 구성할 준비가 되었습니다. 사용자가 있는지 확인하기 위해 다음은 검사 목록입니다.
조직의 퍼블릭 도메인이 Microsoft 365 구독에 추가됩니다.
조직의 Microsoft 365 사용자 계정은 조직의 공용 도메인 이름으로 구성되며 성공적으로 로그인할 수 있습니다.
공용 도메인 이름을 기반으로 페더레이션 서비스 FQDN을 결정했습니다.
페더레이션 서비스 FQDN에 대한 공용 DNS A 레코드는 웹 애플리케이션 프록시 서버에 대한 인터넷 연결 Azure 부하 분산 장치의 공용 IP 주소를 가리킵니다.
페더레이션 서비스 FQDN에 대한 프라이빗 DNS A 레코드는 AD FS 서버에 대한 내부 Azure 부하 분산 장치의 개인 IP 주소를 가리킵니다.
페더레이션 서비스 FQDN으로 설정된 SAN과의 SSL 연결에 적합한 공용 인증 기관-isssued 디지털 인증서는 디렉터리 동기화 서버에 저장된 PFX 파일입니다.
공용 인증 기관의 루트 인증서는 컴퓨터 및 디바이스의 신뢰할 수 있는 루트 인증 기관 저장소에 설치됩니다.
Contoso 조직의 예는 다음과 같습니다.
Azure에서 고가용성 페더레이션 인증 인프라에 대한 예제 구성
Azure AD 커넥트 실행하여 페더레이션 인증 구성
Azure AD 커넥트 도구는 다음 단계를 사용하여 페더레이션 인증을 위해 AD FS 서버, 웹 애플리케이션 프록시 서버 및 Microsoft 365 구성합니다.
로컬 관리자 권한이 있는 도메인 계정으로 디렉터리 동기화 서버에 대한 원격 데스크톱 연결을 만듭니다.
디렉터리 동기화 서버의 바탕 화면에서 Internet Explorer를 열고 .https://aka.ms/aadconnect
Microsoft Azure Active Directory 커넥트 페이지에서 다운로드 를 클릭한 다음 실행을 클릭합니다.
Azure AD 커넥트 시작 페이지에서 동의 를 클릭한 다음 계속을 클릭합니다 .
기본 설정 페이지에서 사용자 지정 을 클릭합니다.
필수 구성 요소 설치 페이지에서 설치 를 클릭합니다.
사용자 로그인 페이지에서 AD FS로 페더레이션 을 클릭하고 다음 을 클릭합니다.
Azure AD로 커넥트 페이지에서 Azure AD DC 관리자 의 이름 및 암호 또는 Microsoft 365 구독의 전역 관리자 계정을 입력하고 다음 을 클릭합니다.
디렉터리 페이지의 커넥트 포리스트에서 온-프레미스 Active Directory Domain Services(AD DS) 포 리스트 가 선택되어 있는지 확인하고 도메인 관리자 계정의 이름과 암호를 입력하고 디렉터리 추가 를 클릭한 다음 다음 을 클릭합니다.
Azure AD 로그인 구성 페이지에서 다음 을 클릭합니다.
도메인 및 OU 필터링 페이지에서 다음 을 클릭합니다.
사용자 고유 식별 페이지에서 다음 을 클릭합니다.
사용자 및 디바이스 필터링 페이지에서 다음 을 클릭합니다.
선택적 기능 페이지에서 다음 을 클릭합니다.
AD FS 팜 페이지에서 새 AD FS 팜 구성을 클릭합니다.
찾아보기를 클릭하고 공용 인증 기관에서 SSL 인증서의 위치와 이름을 지정합니다.
메시지가 표시되면 인증서 암호를 입력한 다음 확인을 클릭합니다.
주체 이름 및 페더레이션 서비스 이름이 페더레이션 서비스 FQDN으로 설정되어 있는지 확인한 다음 다음을 클릭합니다.
AD FS 서버 페이지에서 첫 번째 AD FS 서버 이름(테이블 M - 항목 4 - 가상 머신 이름 열)을 입력한 다음 추가 를 클릭합니다.
두 번째 AD FS 서버 이름(테이블 M - 항목 5 - 가상 머신 이름 열)을 입력하고 추가 를 클릭한 다음 다음 을 클릭합니다.
웹 애플리케이션 프록시 서버 페이지에서 첫 번째 웹 애플리케이션 프록시 서버 이름(테이블 M - 항목 6 - 가상 머신 이름 열)을 입력한 다음 추가 를 클릭합니다.
두 번째 웹 애플리케이션 프록시 서버의 이름(테이블 M - 항목 7 - 가상 머신 이름 열)을 입력하고 추가 를 클릭한 다음 다음 을 클릭합니다.
도메인 관리자 자격 증명 페이지에서 도메인 관리자 계정의 사용자 이름 및 암호를 입력하고 다음 을 클릭합니다.
AD FS 서비스 계정 페이지에서 엔터프라이즈 관리자 계정의 사용자 이름과 암호를 입력하고 다음 을 클릭합니다.
Azure AD 도메인 페이지의 도메인 에서 조직의 DNS 도메인 이름을 선택하고 다음 을 클릭합니다.
구성 준비 완료 페이지에서 설치 를 클릭합니다.
설치 완료 페이지에서 확인 을 클릭합니다. 인트라넷과 인터넷 구성이 모두 확인되었음을 나타내는 두 개의 메시지가 표시됩니다.
인트라넷 메시지는 AD FS 서버에 대한 Azure 내부 부하 분산 장치의 개인 IP 주소를 나열해야 합니다.
인터넷 메시지는 웹 애플리케이션 프록시 서버에 대한 Azure 인터넷 연결 부하 분산 장치의 공용 IP 주소를 나열해야 합니다.
- 설치 완료 페이지에서 끝내기 를 클릭합니다.
서버의 자리 표시자 이름이 포함된 최종 구성은 다음과 같습니다.
5단계: Azure에서 고가용성 페더레이션 인증 인프라의 최종 구성
Azure에서 Microsoft 365 대한 고가용성 페더레이션 인증 인프라가 완료되었습니다.
참고 항목
Azure에서 Microsoft 365용 고가용성 페더레이션 인증 배포