연결

  • 아티클

적용 대상: Exchange Server 2013

정보 근로자는 외부 받는 사람, 공급업체, 파트너 및 고객과 공동 작업을 하고 약속 있음/없음(일정 있음/없음이라고도 함) 정보를 공유해야 하는 경우가 많습니다. Microsoft Exchange Server 2013의 페더레이션은 이러한 공동 작업에 도움이 됩니다. 페더레이션페더레이션 공유를 지원하는 기본 트러스트 인프라를 나타내며 사용자가 다른 외부 페더레이션 조직의 받는 사람과 일정 정보를 쉽게 공유할 수 있는 방법입니다. 페더레이션 공유에 대한 자세한 내용은 공유를 참조하십시오.

중요

Exchange Server 2013의 이 기능은 현재 중국에서 21Vianet에 의해 운영되는 Office 365와는 완전히 호환되지는 않으며 일부 기능 제한이 적용될 수 있습니다. 자세한 내용은 Office 365 21Vianet에서 작동을 참조하세요.

주요 용어

다음 목록에서는 Exchange 2013에서 페더레이션과 연결된 핵심 구성 요소를 정의합니다.

  • AppID(애플리케이션 식별자) : exchange 조직을 식별하기 위해 Microsoft Entra 인증 시스템에서 생성된 고유 번호입니다. AppID는 Microsoft Entra 인증 시스템과 페더레이션 트러스트를 만들 때 자동으로 생성됩니다.

  • 위임 토큰: 한 페더레이션된 organization 사용자를 다른 페더레이션된 organization 신뢰할 수 있는 Microsoft Entra 인증 시스템에서 발급한 SAML(보안 어설션 태그 언어) 토큰입니다. 위임 토큰에는 사용자의 전자 메일 주소, 변경할 수 없는 식별자, 그리고 작업을 위해 발급된 토큰에 대한 제안과 관련된 정보가 포함됩니다.

  • 외부 페더레이션된 organization: Microsoft Entra 인증 시스템과 페더레이션 트러스트를 설정한 외부 Exchange organization.

  • 페더레이션 공유: Microsoft Entra 인증 시스템과의 페더레이션 트러스트를 활용하여 프레미스 간 Exchange 배포를 포함하여 Exchange 조직 전체에서 작업하는 Exchange 기능 그룹입니다. 여러 Exchange 조직의 사용자를 대신하여 서버 간 인증된 요청을 만들기 위해 이러한 기능이 함께 사용됩니다.

  • 페더레이션된 도메인: Exchange organization 대한 organization 식별자(OrgID)에 추가된 허용된 신뢰할 수 있는 도메인입니다.

  • 도메인 증명 암호화 문자열: organization Microsoft Entra 인증 시스템과 함께 사용되는 도메인을 소유한다는 증거를 제공하기 위해 Exchange organization 사용하는 암호화 보안 문자열입니다. 이 문자열은 페더레이션 트러스트 사용 마법사를 사용할 때 자동으로 생성되거나 Get-FederatedDomainProof cmdlet을 사용하여 생성할 수 있습니다.

  • 페더레이션된 공유 정책: 일정 정보의 사용자 설정 개인 간 공유를 사용하도록 설정하고 제어하는 organization 수준 정책입니다.

  • 페더레이션: 공통의 목적을 달성하기 위한 두 Exchange 조직 간의 신뢰 기반 계약입니다. 페더레이션을 통해 두 조직은 한 조직의 인증 어설션이 다른 조직에서 인식되기를 원합니다.

  • 페더레이션 트러스트: Exchange organization 다음 구성 요소를 정의하는 Microsoft Entra 인증 시스템과의 관계입니다.

    • 계정 네임스페이스

    • AppID(응용 프로그램 식별자)

    • OrgID(조직 식별자)

    • 페더레이션 도메인

    다른 페더레이션된 Exchange 조직과의 페더레이션 공유를 구성하려면 Microsoft Entra 인증 시스템을 사용하여 페더레이션 트러스트를 설정해야 합니다.

  • 페더레이션되지 않은 organization: Microsoft Entra 인증 시스템과 페더레이션 트러스트가 설정되지 않은 조직입니다.

  • orgID(organization 식별자) : organization 구성된 신뢰할 수 있는 허용 도메인 중 페더레이션에 사용할 수 있는 도메인을 정의합니다. OrgID에 구성된 페더레이션된 도메인이 있는 전자 메일 주소가 있는 받는 사람만 Microsoft Entra 인증 시스템에서 인식되며 페더레이션된 공유 기능을 사용할 수 있습니다. 이 OrgID는 미리 정의된 문자열과 페더레이션 트러스트 사용 마법사에서 페더레이션에 대해 선택한 첫 번째 허용 도메인의 조합입니다. 예를 들어 페더레이션 도메인 contoso.com을 조직의 기본 SMTP 도메인으로 지정하면 계정 네임스페이스 FYDIBOHF25SPDLT.contoso.com이 페더레이션 트러스트에 대한 OrgID로 자동으로 만들어집니다.

  • organization 관계: 받는 사람이 약속 있음/없음(일정 가용성) 정보를 공유할 수 있도록 하는 두 페더레이션된 Exchange 조직 간의 일대일 관계입니다. organization 관계에는 Microsoft Entra 인증 시스템과의 페더레이션 트러스트가 필요하며 Exchange 조직 간에 Active Directory 포리스트 또는 도메인 트러스트를 사용해야 하는 필요성이 대체됩니다.

  • Microsoft Entra 인증 시스템: 페더레이션된 Microsoft Exchange 조직 간의 트러스트 브로커 역할을 하는 무료 클라우드 기반 ID 서비스입니다. Exchange 받는 사람이 다른 페더레이션 Exchange 조직에 있는 받는 사람의 정보를 요청하는 경우 전자에게 위임 토큰을 발급하는 일을 담당합니다. 자세한 내용은 Microsoft Entra ID를 참조하세요.

Microsoft Entra 인증 시스템

Microsoft에서 제공하는 무료 클라우드 기반 서비스인 Microsoft Entra 인증 시스템은 온-프레미스 Exchange 2013 organization 및 기타 페더레이션된 Exchange 2010 및 Exchange 2013 조직 간의 신뢰 브로커 역할을 합니다. Exchange organization 페더레이션을 구성하려면 organization 페더레이션 파트너가 될 수 있도록 Microsoft Entra 인증 시스템과 일회성 페더레이션 트러스트를 설정해야 합니다. 이 트러스트가 적용되면 Active Directory(ID 공급자라고 함)에서 인증된 사용자는 Microsoft Entra 인증 시스템에서 SAML(Security Assertion Markup Language) 위임 토큰을 발급합니다. 이러한 위임 토큰을 사용하면 한 페더레이션 Exchange 조직의 사용자를 다른 페더레이션 Exchange 조직의 사용자가 신뢰할 수 있습니다. Microsoft Entra 인증 시스템이 트러스트 브로커 역할을 하는 경우 조직은 다른 조직과 여러 개별 트러스트 관계를 설정할 필요가 없으며 사용자는 SSO(Single Sign-On) 환경을 사용하여 외부 리소스에 액세스할 수 있습니다. 자세한 내용은 Microsoft Entra ID를 참조하세요.

페더레이션 트러스트

Exchange 2013 페더레이션 공유 기능을 사용하려면 Exchange 2013 organization Microsoft Entra 인증 시스템 간에 페더레이션 트러스트를 설정해야 합니다. Microsoft Entra 인증 시스템과 페더레이션 트러스트를 설정하면 organization 디지털 보안 인증서를 Microsoft Entra 인증 시스템과 교환하고 Microsoft Entra 인증 시스템 인증서 및 페더레이션 메타데이터를 검색합니다. EAC(Exchange 관리 센터) 또는 Exchange 관리 셸의 New-FederationTrust cmdlet에서 페더레이션 트러스트 사용 마법사를 사용하여 페더레이션 트러스트를 설정할 수 있습니다. 자체 서명된 인증서는 페더레이션 신뢰 사용 마법사에서 자동으로 생성되며 외부 페더레이션 조직에서 사용자를 신뢰할 수 있도록 하는 Microsoft Entra 인증 시스템에서 위임 토큰에 서명하고 암호화하는 데 사용됩니다. 인증서 요구 사항에 대한 자세한 내용은 이 항목의 뒷부분에 있는 페더레이션에 대한 인증서 요구 사항을 참조하세요.

Microsoft Entra 인증 시스템으로 페더레이션 트러스트를 만들면 Exchange organization 대해 AppID(애플리케이션 식별자)가 자동으로 생성되고 Get-FederationTrust cmdlet의 출력에 제공됩니다. AppID는 Microsoft Entra 인증 시스템에서 Exchange organization 고유하게 식별하는 데 사용됩니다. 또한 Exchange organization organization Microsoft Entra 인증 시스템에 사용할 도메인을 소유하고 있다는 증거를 제공하는 데 사용됩니다. 이 작업을 수행하려면 각 페더레이션 도메인의 공용 DNS(Domain Name System) 영역에 텍스트(TXT) 레코드를 만듭니다.

페더레이션 조직 식별자

페더레이션 조직 식별자(OrgID)는 조직에 구성된 신뢰할 수 있는 허용 도메인 중에서 페더레이션에 사용되는 도메인을 정의합니다. OrgID에 구성된 허용된 도메인이 있는 전자 메일 주소가 있는 받는 사람만 Microsoft Entra 인증 시스템에서 인식되며 페더레이션된 공유 기능을 사용할 수 있습니다. 새 페더레이션 트러스트를 만들면 Microsoft Entra 인증 시스템을 사용하여 OrgID가 자동으로 만들어집니다. 이 OrgID는 미리 정의된 문자열과 마법사에서 기본 공유 도메인으로 선택한 허용 도메인의 조합입니다. 예를 들어 공유 사용 도메인 편집 마법사에서 페더레이션 도메인 contoso.com을 조직의 기본 공유 도메인으로 지정하면 FYDIBOHF25SPDLT.contoso.com 계정 네임스페이스가 Exchange 조직의 페더레이션 트러스트에 대한 OrgID로 자동으로 만들어집니다.

이 도메인은 일반적으로 Exchange 조직의 기본 SMTP 도메인이지만 반드시 Exchange 조직의 허용 도메인이 아니어도 되며 DNS(Domain Name System) 소유 증명 TXT 레코드를 필요로 하지 않습니다. 단, 페더레이션하기 위해 선택한 허용 도메인이 최대 32자로 제한되어야 합니다. 이 하위 도메인의 유일한 목적은 SAML 위임 토큰을 요청하는 받는 사람에 대한 고유 식별자를 유지하기 위해 Microsoft Entra 인증 시스템의 페더레이션 네임스페이스 역할을 하는 것입니다. SAML 토큰에 대한 자세한 내용은 SAML 토큰 및 클레임을 참조하십시오.

언제든지 허용 도메인을 페더레이션 트러스트에 추가하거나 페더레이션 트러스트에서 제거할 수 있습니다. 조직의 모든 페더레이션 공유 기능을 사용하도록 설정하거나 사용하지 않도록 설정하려면 페더레이션 트러스터에 대한 OrgID를 사용하도록 설정하거나 사용하지 않도록 설정하면 됩니다.

중요

OrgID, 허용 도메인 또는 페더레이션 트러스트에 사용되는 AppID를 변경하는 경우 조직의 모든 페더레이션 공유 기능이 영향을 받습니다. Exchange Online 및 하이브리드 배포 구성을 포함하여 모든 외부 페더레이션 Exchange 조직도 영향을 받습니다. 이러한 페더레이션 트러스트 구성 설정이 변경되면 모든 외부 페더레이션 파트너에게 해당 사항을 알리는 것이 좋습니다.

페더레이션 예

Contoso, Ltd. 및 Fabrikam, Inc.의 두 Exchange 조직에서는 사용자가 약속 있음/없음 일정 정보를 서로 공유할 수 있기를 원합니다. 각 organization Microsoft Entra 인증 시스템과 페더레이션 트러스트를 만들고 사용자의 전자 메일 주소 도메인에 사용되는 도메인을 포함하도록 계정 네임스페이스를 구성합니다.

Contoso 직원은 contoso.com, contoso.co.uk 또는 contoso.ca라는 전자 메일 주소 도메인 중 하나를 사용합니다. Fabrikam 직원은 fabrikam.com, fabrikam.org 또는 fabrikam.net이라는 전자 메일 주소 도메인 중 하나를 사용합니다. 두 조직 모두 허용된 모든 전자 메일 도메인이 Microsoft Entra 인증 시스템과의 페더레이션 트러스트를 위해 계정 네임스페이스에 포함되어 있는지 확인합니다. 두 조직 사이에 복잡한 Active Directory 포리스트 또는 도메인 트러스트 구성을 필요로 하는 대신 두 조직은 약속 있음/없음 일정 공유를 사용하도록 서로 간의 조직 관계를 구성합니다.

다음 그림은 Contoso, Ltd. 및 Fabrikam, Inc. 사이의 페더레이션 구성을 보여 줍니다.

페더레이션 공유 예

페더레이션 트러스트 및 페더레이션 공유.

페더레이션에 대한 인증서 요구 사항

Microsoft Entra 인증 시스템과 페더레이션 트러스트를 설정하려면 자체 서명된 인증서 또는 CA(인증 기관)가 서명한 X.509 인증서를 만들고 트러스트를 만드는 데 사용되는 Exchange 2013 서버에 설치해야 합니다. EAC에서 페더레이션 신뢰 사용 마법사를 사용하여 자동으로 만들어지고 설치되는 자체 서명된 인증서를 사용하는 것이 좋습니다. 이 인증서는 페더레이션된 공유에 사용되는 위임 토큰에 서명하고 암호화하는 데만 사용되며 페더레이션 트러스트에는 하나의 인증서만 필요합니다. Exchange 2013은 organization 다른 모든 Exchange 2013 서버에 인증서를 자동으로 배포합니다.

외부 CA에서 서명한 X.509 인증서를 사용하려는 경우 해당 인증서가 다음 요구 사항을 충족해야 합니다.

  • 신뢰할 수 있는 CA: 가능하면 Windows Live에서 신뢰할 수 있는 CA에서 X.509 SSL(Secure Sockets Layer) 인증서를 발급해야 합니다. 그러나 Microsoft가 현재 인증하지 않는 CA에서 발급한 인증서도 사용할 수 있습니다. 신뢰할 수 있는 CA의 최신 목록은 페더레이션 트러스트에 대한 신뢰할 수 있는 루트 인증 기관을 참조하십시오.

  • 주체 키 식별자: 인증서에는 주체 키 식별자 필드가 있어야 합니다. 상업용 CA에서 발급된 X.509 인증서에는 대부분 이 식별자가 있습니다.

  • CryptoAPI CSP(암호화 서비스 공급자) : 인증서는 CryptoAPI CSP를 사용해야 합니다. CNG(Cryptography API: Next Generation) 공급자를 사용하는 인증서는 페더레이션에서 지원되지 않습니다. Exchange를 사용하여 인증서를 요청하면 CryptoAPI 공급자가 사용됩니다. 자세한 내용은 암호화 API: 차세대를 참조하십시오.

  • RSA 서명 알고리즘: 인증서는 RSA를 서명 알고리즘으로 사용해야 합니다.

  • 내보낼 수 있는 프라이빗 키: 인증서를 생성하는 데 사용되는 프라이빗 키를 내보낼 수 있어야 합니다. EAC의 새 Exchange 인증서 마법사나 셸의 New-ExchangeCertificate cmdlet을 사용하여 인증서 요청을 만들 때 개인 키를 내보낼 수 있도록 지정할 수 있습니다.

  • 현재 인증서: 인증서는 현재 인증서여야 합니다. 만료되거나 해지된 인증서를 사용하여 페더레이션 트러스트를 만들 수는 없습니다.

  • 향상된 키 사용: 인증서에는 EKU(향상된 키 사용) 유형 클라이언트 인증(1.3.6.1.5.5.7.3.2)이 포함되어야 합니다. 이 사용 유형은 원격 컴퓨터에 ID를 증명하기 위해 사용됩니다. EAC 또는 셸을 사용하여 인증서 요청을 생성하면 이 사용 유형이 기본적으로 포함됩니다.

참고

인증서가 인증에 사용되지 않으므로 주체 이름이나 주체 대체 이름 요구 사항은 없습니다. 호스트 이름, 도메인 이름 또는 다른 이름과 동일한 이름의 주체 이름이 지정된 인증서를 사용할 수 있습니다.

새 인증서로 전환

페더레이션 트러스트를 만드는 데 사용한 인증서는 현재 인증서로 지정됩니다. 하지만 정기적으로 페더레이션 트러스트에 대한 새 인증서를 설치하고 사용해야 할 수 있습니다. 예를 들어 현재 인증서가 만료되는 경우 또는 새 비즈니스 또는 보안 요구 사항을 충족하도록 하기 위해 새 인증서를 사용해야 할 수 있습니다. 새 인증서로 원활하게 전환하려면 Exchange 2013 서버에 새 인증서를 설치하고 페더레이션 트러스트를 구성하여 새 인증서로 지정해야 합니다. 그러면 Exchange 2013에서 새 인증서를 조직의 다른 모든 Exchange 2013 서버에 자동으로 배포합니다. Active Directory 토폴로지에 따라 인증서 배포에 시간이 오래 걸릴 수도 있습니다. 셸의 Test-FederationTrustCertificate cmdlet을 사용하여 인증서 상태를 확인할 수 있습니다.

인증서의 배포 상태를 확인하고 나면 트러스트를 구성하여 새 인증서를 사용할 수 있습니다. 인증서 전환 후 현재 인증서가 이전 인증서로 지정되고 새 인증서가 현재 인증서로 지정됩니다. 새 인증서는 Microsoft Entra 인증 시스템에 게시되고 Microsoft Entra 인증 시스템과 교환되는 모든 새 토큰은 새 인증서를 사용하여 암호화됩니다.

참고

이 인증서 전환 프로세스는 페더레이션에서만 사용됩니다. 인증서를 필요로 하는 다른 Exchange 2013 기능에 동일한 인증서를 사용할 경우에는 새 인증서의 확보, 설치 또는 전환을 계획할 때 기능 요구 사항을 고려해야 합니다.

페더레이션에 대한 방화벽 고려 사항

페더레이션 기능을 사용하려면 조직에 있는 사서함 및 클라이언트 액세스 서버에서 HTTPS를 통해 아웃바운드 인터넷 액세스를 해야 합니다. 조직에 있는 모든 Exchange 2013 사서함 및 클라이언트 액세스 서버에서의 아웃바운드 HTTPS 액세스(TCP의 경우 포트 443)를 허용해야 합니다.

외부 조직에서 내부의 약속 있음/없음 정보에 액세스하게 만들려면 클라이언트 액세스 서버 하나를 인터넷에 게시해야 합니다. 그러려면 인터넷에서 클라이언트 액세스 서버로 인바운드 HTTPS 액세스를 해야 합니다. 인터넷에 클라이언트 액세스 서버를 게시하지 않은 Active Directory 사이트의 클라이언트 액세스 서버도 인터넷에서 액세스가 가능한 다른 Active Directory 사이트의 클라이언트 액세스 서버를 사용할 수 있습니다. 인터넷에 게시되지 않은 클라이언트 액세스 서버는 외부 조직에 표시되는 URL로 설정된 웹 서비스 가상 디렉터리의 외부 URL이 있어야 합니다.