Office 365, Azure 또는 Intune에서 페더레이션 도메인의 설정 업데이트 또는 복구

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

소개

Office 365, Microsoft Azure 또는 Microsoft Intune과 같은 Microsoft 클라우드 서비스의 SSO (Single sign-on)는 올바르게 작동 하는 AD FS (Active Directory Federation Services)의 온-프레미스 배포에 따라 달라 집니다. 기술적 문제를 해결 하기 위해 AD FS에서 페더레이션 도메인의 구성을 다시 작성 해야 하는 시나리오가 몇 가지 있습니다. 이 문서에서는 페더레이션 도메인의 구성을 업데이트 하거나 복구 하는 방법에 대 한 단계별 지침을 제공 합니다.

추가 정보

페더레이션 도메인의 구성을 업데이트 하는 방법

페더레이션 도메인의 구성은 다음 Microsoft 기술 자료 문서에 설명 된 시나리오에서 업데이트 되어야 합니다.

  • 2713898   " 페더레이션 사용자가 Office 365, Azure 또는 Intune에 로그인 하는 경우 AD FS에서 사이트에 액세스 하는 동안 문제가 발생 했습니다. 
  • 2535191 "" 죄송 하지만, 페더레이션 사용자가 Office 365, Azure 또는 Intune에 로그인 하려고 할 때 "및" 80048163 "오류가 발생 했습니다. 
  • 2647020   "죄송 합니다." 로그인에 80041317 문제가 발생 했지만 페더레이션 사용자가 Office 365, Azure 또는 Intune에 로그인 하려고 하면 "80043431" 오류가 표시 됩니다. 

Windows PowerShell 용 Azure Active Directory 모듈이 설치 되어 있는 도메인에 가입 된 컴퓨터에서 페더레이션 도메인의 구성을 업데이트 하려면 다음 단계를 수행 합니다.

  1. 시작, 모든 프로그램, windows azure active directory를 차례로 클릭 한 다음 Windows PowerShell 용 windows azure active directory 모듈을 클릭 합니다.

  2. 명령 프롬프트에서 다음 명령을 입력 하 고 각 명령 끝에서 enter 키를 누릅니다.

    $cred = get-credential
    

    참고

    메시지가 표시 되 면 클라우드 서비스 관리자 자격 증명을 입력 합니다.

    Connect-MSOLService –credential:$cred
    
    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
    

    참고

    이 명령에서 개체 틀 <AD fs 2.0 서버 이름> 는 기본 AD Fs 서버의 Windows 호스트 이름을 나타냅니다.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
    

    또는

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain 
    

    참고

    • 같은 AD FS 페더레이션 서비스를 사용 하 여 여러 최상위 도메인을 페더레이션 하는 경우 – supportmultipledomain 스위치를 사용 해야 합니다.
    • 이러한 명령에서 자리 표시자는 <Federated Domain Name> 이미 페더레이션 된 도메인의 이름을 나타냅니다.

중요

AD FS 토큰 서명 인증서의 변경 내용이 올바르게 복제 되도록 하기 위해 정기적으로 페더레이션 메타 데이터의 업데이트를 자동화 하는 스크립트를 사용할 수 있습니다.

이 스크립트는 기본 AD FS 서버에서 Windows 예약 작업을 만들어 신뢰 정보, 서명 인증서 업데이트 등의 AD FS 구성 변경 내용이 Azure Active Directory (Azure AD)에 정기적으로 전파 되는지 확인 합니다.

스크립트를 구현 하는 환경에서 토큰 서명 인증서가 자동으로 갱신 되는 경우, 스크립트는 만료 된 클라우드 인증서 정보로 인 한 가동 중지 시간을 방지 하기 위해 클라우드 트러스트 정보를 업데이트 합니다.

페더레이션 도메인의 구성을 복구 하는 방법

다음 Microsoft 기술 자료 문서에 설명 된 시나리오에서 페더레이션 도메인의 구성을 복구 해야 합니다.

  • 2523494   Office 365, Azure 또는 Intune에 로그인 하려고 하면 AD FS에서 인증서 경고가 표시 됩니다. 
  • 2618887   "AD FS 2.0 서버에 지정 된 페더레이션 서비스 id가 이미 사용 중입니다." Office 365, Azure 또는 Intune에서 다른 페더레이션 도메인을 설정 하려고 하면 오류가 발생 합니다. 
  • 2713898   페더레이션 사용자가 Office 365, Azure 또는 Intune에 로그인 하는 경우 AD FS에서 사이트에 액세스 하는 동안 문제가 발생 했습니다.  
  • 2647020 "조직에서이 서비스에 로그인 할 수 없습니다." 오류 및 페더레이션 사용자가 Office 365에 로그인 하려고 할 때 오류 코드가 "80041317" 또는 "80043431"
  • AD FS의 페더레이션 서비스 이름이 변경 되었습니다. 자세한 내용을 보려면 다음 Microsoft 웹 사이트로 이동: AD FS 2.0: 페더레이션 서비스 이름을 변경 하는 방법

Windows PowerShell 용 Azure Active Directory 모듈이 설치 되어 있는 도메인에 가입 된 컴퓨터의 페더레이션 도메인 구성을 복구 하려면 다음 단계를 수행 합니다.

경고

  • 다음 절차에서는 클라이언트 위치를 사용 하 여 Office 365 서비스에 대 한 액세스를 제한하 여 만든 사용자 지정 내용을 제거 합니다. 페더레이션 도메인의 구성을 복구한 후에는 제한 된 AD FS 액세스를 다시 구성 해야 할 수 있습니다.
  • 다음 단계는 신중 하 게 계획 해야 합니다. 페더레이션 도메인에서 SSO 기능을 사용할 수 있는 사용자는 5 단계가 완료 될 때까지 4 단계가 완료 되는 동안이 작업을 인증할 수 없습니다. 1 단계에서 New-msolfederateddomain cmdlet 테스트를 수행 하지 않은 경우 5 단계가 올바르게 완료 되지 않습니다. 페더레이션 사용자는 New-msolfederateddomain cmdlet을 성공적으로 실행할 수 있을 때까지 인증을 받을 수 없습니다.
  1. 이 문서 앞부분의 "페더레이션 도메인 구성 업데이트 방법" 섹션에 나와 있는 단계를 실행 하 여 New-msolfederateddomain cmdlet이 성공적으로 완료 되었는지 확인 합니다.
    • Cmdlet이 성공적으로 완료 되지 않은 경우이 절차를 계속 하지 마세요. 대신이 문서의 뒷부분에 나오는 "페더레이션 도메인을 업데이트 하거나 복구할 때 발생할 수 있는 알려진 문제" 섹션을 참조 하 여 문제를 해결 합니다.
    • Cmdlet이 성공적으로 완료 되 면 나중에 사용할 명령 프롬프트 창을 열어 두세요.
  2. AD FS 서버에 로그온 합니다. 이렇게 하려면 시작을 클릭 하 고 모든 프로그램, 관리 도구를 차례로 가리킨 다음 AD FS (2.0) 관리를 클릭 합니다.
  3. 왼쪽 탐색 창에서 AD FS (2.0), 트러스트 관계, 신뢰 당사자 트러스트를 차례로 클릭 합니다.
  4. 가장 오른쪽 창에서 Microsoft Office 365 Id 플랫폼 항목을 삭제 합니다.
  5. 1 단계에서 연 Windows PowerShell 창에서 삭제 된 트러스트 개체를 다시 만듭니다. 이렇게 하려면 다음 명령을 실행 하 고 enter 키를 누릅니다.
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    
    또는
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
    

    참고

    • 같은 AD FS 페더레이션 서비스를 사용 하 여 여러 최상위 도메인을 페더레이션 하는 경우 – supportmultipledomain 스위치를 사용 해야 합니다.
    • 이러한 명령에서 자리 표시자는 <Federated Domain Name> 이미 페더레이션 된 도메인의 이름을 나타냅니다.

페더레이션 도메인을 업데이트 하거나 복구할 때 발생할 수 있는 알려진 문제

다음 시나리오에서는 페더레이션 도메인을 업데이트 하거나 복구할 때 문제를 발생 시킵니다.

  • Windows PowerShell을 사용 하 여 연결할 수 없습니다. 이 문제에 대 한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오.

    2494043   Windows PowerShell 용 Azure Active Directory 모듈을 사용 하 여 연결할 수 없음

  • 필수 구성 요소가 없어 Windows PowerShell 용 Azure Active Directory 모듈을 로드할 수 없습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오.  

    2461873   Windows PowerShell 용 Azure Active Directory 모듈을 열 수 없음 

  • Set-msoladfscontext cmdlet을 실행 하려고 하면 "액세스가 거부 되었습니다." 라는 오류 메시지가 표시 됩니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오.

    2587730 <ServerName> set-msoladfscontext cmdlet을 사용 하는 경우 "Active Directory Federation Services 2.0 서버에 연결 하지 못했습니다." 오류가 발생 함

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트를 방문해 보세요.