이 브라우저는 더 이상 지원되지 않습니다.
최신 기능, 보안 업데이트, 기술 지원을 이용하려면 Microsoft Edge로 업그레이드하세요.
Exchange Server 조직에서 AD FS(Active Directory Federation Services)를 설치하고 구성하면 클라이언트가 AD FS 클레임 기반 인증을 사용하여 웹용 Outlook(이전의 Outlook Web App) 및 Exchange 관리 센터에 연결할 수 있습니다. (EAC). 클레임 기반 ID는 애플리케이션에서 인증 관리를 제거하고 인증을 중앙 집중화하여 계정을 더 쉽게 관리할 수 있도록 하는 인증에 대한 또 다른 방법입니다. 클레임 기반 인증을 사용하도록 설정하면 웹용 Outlook 및 EAC는 사용자를 인증하거나, 사용자 계정 및 암호를 저장하거나, 사용자 ID 세부 정보를 조회하거나, 다른 ID 시스템과 통합할 책임이 없습니다. 인증을 중앙 집중화하면 나중에 인증 방법을 더 쉽게 업그레이드할 수 있습니다.
AD FS 클레임 기반 인증은 웹용 Outlook 및 EAC에 사용할 수 있는 기존 인증 방법을 대체합니다. 예시:
웹용 Outlook 및 Exchange Server EAC에 대한 AD FS 클레임 기반 인증을 설정하려면 다음과 같은 추가 서버가 포함됩니다.
Windows Server 2012 이상 도메인 컨트롤러(Active Directory Domain Services 서버 역할)
Windows Server 2012 이상 AD FS 서버(Active Directory Federation Services 서버 역할) Windows Server 2012 AD FS 2.1을 사용하고 Windows Server 2012 R2는 AD FS 3.0을 사용합니다. AD FS를 설치하고 AD FS 서버에 필요한 신뢰 당사자 트러스트 및 클레임 규칙을 만들려면 도메인 관리자, 엔터프라이즈 관리자 또는 로컬 관리자 보안 그룹의 구성원이어야 합니다.
필요에 따라 Windows Server 2012 R2 이상 웹 애플리케이션 프록시 서버(원격 액세스 서버 역할, 웹 애플리케이션 프록시 역할 서비스)입니다.
웹 애플리케이션 프록시 회사 네트워크 내에 있는 웹 애플리케이션에 대한 역방향 프록시 서버입니다. 웹 애플리케이션 프록시 통해 많은 디바이스의 사용자가 회사 네트워크 외부에서 게시된 웹 애플리케이션에 액세스할 수 있습니다. 자세한 내용은 내부 애플리케이션 게시를 위한 웹 애플리케이션 프록시 설치 및 구성을 참조하세요.
일반적으로 외부 클라이언트에서 AD FS에 액세스할 수 있는 경우 웹 애플리케이션 프록시 권장되지만 웹 애플리케이션 프록시 통해 AD FS 인증을 사용하는 경우 웹용 Outlook 오프라인 액세스가 지원되지 않습니다.
Windows Server 2012 R2 서버에 웹 애플리케이션 프록시 설치하려면 로컬 관리자 권한이 필요합니다.
웹 애플리케이션 프록시 서버를 구성하기 전에 AD FS 서버를 배포하고 구성해야 하며, AD FS가 설치된 동일한 서버에 웹 애플리케이션 프록시 설치할 수 없습니다.
이 절차를 완료하는 예상 시간: 45분.
이 항목의 절차는 Windows Server 2012 R2를 기반으로 합니다.
장치에 대한 웹용 Outlook에서는 AD FS 클레임 기반 인증을 지원하지 않습니다.
Exchange organization 절차의 경우 조직 관리 권한이 있어야 합니다.
이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.
팁
문제가 있습니까? Exchange Server, Exchange Online 또는 Exchange Online Protection. 무슨 작업을 하고 싶으십니까?
AD FS에는 다음 두 가지 기본 유형의 인증서가 필요합니다.
AD FS 서버, 클라이언트, Exchange 서버 및 선택적 웹 애플리케이션 프록시 서버 간의 암호화된 웹 서비스 트래픽에 대한 서비스 통신 SSL(Secure Sockets Layer) 인증서입니다. 모든 클라이언트가 이 인증서를 신뢰해야 하므로 내부 또는 상용 CA(인증 기관)에서 발급한 인증서를 사용하는 것이 좋습니다.
AD FS 서버, Active Directory 도메인 컨트롤러 및 Exchange 서버 간의 암호화된 통신 및 인증을 위한 토큰 서명 인증서입니다. 기본 자체 서명된 AD FS 토큰 서명 인증서를 사용하는 것이 좋습니다.
Windows에서 SSL 인증서를 만들고 가져오는 방법에 대한 자세한 내용은 서버 인증서를 참조하세요.
이 시나리오에서 사용할 인증서의 요약은 다음과 같습니다.
| 인증서의 CN(일반 이름) (주체, 주체 대체 이름 또는 와일드카드 인증서 일치) | 유형 | 서버에 필요 | 설명 |
|---|---|---|---|
adfs.contoso.com |
CA에서 발급 | AD FS 서버 웹 애플리케이션 프록시 서버 |
클라이언트에 표시되는 호스트 이름이므로 클라이언트는 이 인증서의 발급자를 신뢰해야 합니다. |
ADFS Signing - adfs.contoso.com |
자체 서명됨 | AD FS 서버 Exchange 서버 웹 애플리케이션 프록시 서버 |
기본 자체 서명된 인증서는 선택적 웹 애플리케이션 프록시 서버를 구성하는 동안 자동으로 복사되지만 organization 모든 Exchange 서버의 신뢰할 수 있는 루트 인증서 저장소로 수동으로 가져와야 합니다. 기본적으로 자체 서명된 토큰 서명 인증서는 1년 동안 유효합니다. AD FS 서버는 만료되기 전에 자체 서명된 인증서를 자동으로 갱신(대체)하도록 구성되지만 Exchange 서버에서 인증서를 다시 가져와야 합니다. AD FS 서버 AD FS 관리 콘솔에서 인증서를 내보내려면 서비스>인증서> 를 선택하여 토큰 서명 인증서 > 를 마우스 오른쪽 단추로 클릭하고 인증서> 보기를 선택하고 세부 정보 탭 > 에서 파일로 복사를 클릭합니다. |
mail.contoso.com |
CA에서 발급 | Exchange 서버 웹 애플리케이션 프록시 서버 |
이 인증서는 외부 클라이언트 연결을 웹용 Outlook 암호화하는 데 사용되는 일반적인 인증서입니다(및 다른 Exchange IIS 서비스일 수 있음). 자세한 내용은 Exchange 서비스에 대한 인증서 요구 사항을 참조하세요. |
자세한 내용은 AD FS 요구 사항의 "인증서 요구 사항" 섹션을 참조하세요.
참고
SSL(Secure Sockets Layer)은 컴퓨터 시스템 간에 전송되는 데이터를 암호화하는 데 사용되는 프로토콜로 TLS(전송 계층 보안)로 대체됩니다. "SSL" 및 "TLS"(버전 없음)라는 용어가 서로 바꿔서 사용되는 경우가 많습니다. 이러한 유사성 때문에 Exchange topics, Exchange 관리 센터 및 Exchange 관리 셸의 "SSL"에 대한 참조는 종종 SSL 및 TLS 프로토콜을 모두 포괄하는 데 사용되었습니다. 일반적으로 "SSL"은 버전도 제공되는 경우에만 실제 SSL 프로토콜을 나타냅니다(예: SSL 3.0). SSL 프로토콜을 사용하지 않도록 설정하고 TLS로 전환해야 하는 이유를 알아보려면 SSL 3.0 취약성으로부터 보호를 검사.
서버 관리자 또는 Windows PowerShell 사용하여 대상 서버에 Active Directory Federation Services 역할 서비스를 설치할 수 있습니다.
서버 관리자 사용하여 AD FS를 설치하려면 다음 단계를 수행합니다.
대상 서버에서 서버 관리자 열고 관리를 클릭한 다음 역할 및 기능 추가를 선택합니다.
역할 및 기능 추가 마법사가 열립니다. 이전에 기본적으로 이 페이지 건너뛰기를 선택하지 않은 경우 시작하기 전에 페이지에서 시작합니다. 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치가 선택되어 있는지 확인하고 다음을 클릭합니다.
대상 서버 선택 페이지에서 서버 선택을 확인하고 다음을 클릭합니다.
서버 역할 선택 페이지의 목록에서 Active Directory Federation Services 선택한 다음, 다음을 클릭합니다.
기능 선택 페이지에서 다음(기본 기능 선택 적용)을 클릭합니다.
Active Directory Federation Services(AD FS) 페이지에서 다음을 클릭합니다.
Windows Server 2012 전용: 역할 서비스 선택 페이지에서 다음(기본 역할 서비스 선택 허용)을 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
설치 진행률 페이지에서 진행률 표시줄을 watch 설치가 성공했는지 확인할 수 있습니다. 설치가 완료되면 3b단계: AD FS서버 구성에서 이 서버에서 페더레이션 서비스 구성을 클릭할 수 있도록 마법사를 열어 둡니다.
Windows PowerShell 사용하여 AD FS를 설치하려면 다음 명령을 실행합니다.
Install-WindowsFeature ADFS-Federation -IncludeManagementTools
AD FS: 검사 목록: 페더레이션 서버 설정을 구성하는 데 도움이 되도록 이 검사 목록을 참조할 수도 있습니다.
AD FS 서버를 구성하기 전에 Windows Server 2012 이상 도메인 컨트롤러에 gMSA(그룹 관리 서비스 계정)를 만들어야 합니다. 도메인 컨트롤러의 관리자 권한 Windows PowerShell 창에서 이 작업을 수행합니다(관리자 권한으로 실행을 선택하여 여는 Windows PowerShell 창).
다음 명령을 실행합니다.
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
명령이 성공하면 GUID 값이 반환됩니다. 예시:
Guid
----
2570034b-ab50-461d-eb80-04e73ecf142b
AD FS 서버에 대한 새 gMSA 계정을 만들려면 다음 구문을 사용합니다.
New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
이 예제에서는 adfs.contoso.com 페더레이션 서비스에 대한 FSgMSA라는 새 gMSA 계정을 만듭니다. 페더레이션 서비스 이름은 클라이언트에 표시되는 값입니다.
New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
AD FS 서버를 구성하려면 서버 관리자 또는 Windows PowerShell 사용할 수 있습니다.
서버 관리자 사용하려면 다음 단계를 수행합니다.
2단계: AD FS 서버 배포에서 AD FS 서버에서 역할 및 기능 추가 마법사를 열어 놓은 경우 설치 진행률 페이지에서 이 서버에서 페더레이션 서비스 구성 링크를 클릭할 수 있습니다.
역할 및 기능 추가 마법사를 닫거나 Windows PowerShell 사용하여 AD FS를 설치한 경우 알림을 클릭한 다음 배포 후 구성 경고에서 이 서버에서 페더레이션 서비스 구성을 클릭하여 서버 관리자 동일한 위치에 도착할 수 있습니다.
Active Directory Federation Services 마법사가 열립니다. 시작 페이지에서 페더레이션 서버 팜에서 첫 번째 페더레이션 서버 만들기가 선택되어 있는지 확인하고 다음을 클릭합니다.
Active Directory Federation Services 연결 페이지에서 AD FS 서버가 있는 도메인에서 도메인 관리자 계정을 선택합니다(현재 자격 증명은 기본적으로 선택됨). 다른 사용자를 선택하려면 변경을 클릭합니다. 작업을 마친 후 다음을 클릭합니다.
서비스 속성 지정 페이지에서 다음 설정을 구성합니다.
SSL 인증서: 3a단계: 도메인 컨트롤러에서 gMSA 만들기 (예 adfs.contoso.com: )에서 구성한 페더레이션 서비스 이름이 포함된 SSL 인증서를 가져오거나 선택합니다. 서버에 아직 설치되지 않은 인증서를 가져올 때 .pfx 파일(인증서의 프라이빗 키가 포함된 암호로 보호된 파일)을 가져와야 합니다. 인증서의 주체 필드에 있는 CN(일반 이름) 값이 여기에 표시됩니다.
페더레이션 서비스 이름: 이 필드는 선택하거나 가져오는 SSL 인증서 유형에 따라 자동으로 채워집니다.
단일 주체 인증서: 인증서의 주체 필드의 CN 값이 표시되며 변경할 수 없습니다(예: adfs.contoso.com).
SAN 인증서: 인증서에 필요한 페더레이션 서비스 이름이 포함된 경우 해당 값이 표시됩니다(예: adfs.contoso.com). 드롭다운 목록을 사용하여 인증서의 다른 CN 값을 볼 수 있습니다.
와일드카드 인증서: 인증서의 주체 필드의 CN 값(예 *.contoso.com: )이 표시되지만 필요한 페더레이션 서비스 이름(예 adfs.contoso.com: )으로 변경해야 합니다.
참고: 선택한 인증서에 필요한 페더레이션 서비스 이름이 포함되지 않은 경우( 페더레이션 서비스 이름 필드에 필요한 값이 포함되지 않음) 다음 오류가 표시됩니다.
The federation service name does not match any of the subject names found in the certificate.
페더레이션 서비스 표시 이름: organization 이름을 입력합니다. 예를 들어 Contoso, Ltd..
작업을 마친 후 다음을 클릭합니다.
서비스 계정 지정 페이지에서 다음 설정을 구성합니다.
기존 도메인 사용자 계정 또는 그룹 관리 서비스 계정 사용을 선택합니다.
계정 이름: 선택을 클릭하고 3a단계: 도메인 컨트롤러에서 gMSA 만들기 (예 FSgMSA: )에서 만든 gMSA 계정을 입력합니다. 선택한 후 표시되는 값은 (예: CONTOSO\FSgMSA$)입니다 <Domain>\<gMSAAccountName>$ .
작업을 마친 후 다음을 클릭합니다.
구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스 사용하여 이 서버에 데이터베이스 만들기가 선택되어 있는지 확인하고 다음을 클릭합니다.
검토 옵션 페이지에서 선택 항목을 확인합니다. 스크립트 보기 단추를 클릭하여 나중에 사용하기 위해 선택한 것과 동일한 Windows PowerShell 복사할 수 있습니다. 작업을 마친 후 다음을 클릭합니다.
필수 구성 요소 검사 페이지에서 모든 필수 구성 요소 검사가 성공적으로 완료되었는지 확인한 다음 구성을 클릭합니다.
결과 페이지에서 결과를 검토하고 구성이 성공적으로 완료되었는지 확인합니다. 다음 단계(예: DNS 구성)에 대해 읽으려면 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭할 수 있습니다. 작업을 마쳤으면 닫기를 클릭합니다.
Windows PowerShell 사용하여 AD FS를 구성하려면 다음 단계를 수행합니다.
AD FS 서버에서 다음 명령을 실행하여 를 포함하는 설치된 인증서의 지문 값을 찾습니다.adfs.contoso.com
Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
다음 명령을 실행합니다.
Import-Module ADFS
다음 구문을 사용합니다.
Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
이 예제에서는 다음 설정을 사용하여 AD FS를 구성합니다.
인증서 지문 adfs.contoso.com: *.contoso.com 지문 값 5AE82C737900B29C2BAC3AB6D8C44D249EE05609이 인 인증서입니다.
페더레이션 서비스 이름: adfs.contoso.com
페더레이션 서비스 표시 이름: Contoso, Ltd.
페더레이션 gMSA SAM 계정 이름 및 도메인: 예를 들어 도메인에 contoso.com 명명된 FSgMSA gMSA 계정의 경우 필요한 값은 입니다contoso\FSgMSA$.
Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"
참고:
gMSA $ 를 만들 때 는 Name 값에 자동으로 추가되어 SamAccountName 값을 만듭니다. 이 값은 여기에 필요합니다.
SamAccountName의 에 이 $ 스케이프 문자(''')가 필요합니다.
자세한 정보와 구문은 Install-AdfsFarm을 참조하세요.
AD FS를 구성한 후 웹 브라우저에서 페더레이션 메타데이터의 URL을 성공적으로 열어 AD FS 서버에서 설치를 확인할 수 있습니다. URL은 구문을 https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml사용합니다. 예를 들면 https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml와 같습니다.
Exchange 서버에서 웹용 Outlook 라는 owa 가상 디렉터리를 사용하고 EAC는 라는 ecp가상 디렉터리를 사용합니다.
웹용 Outlook 및 EAC URL 값에 사용되는 후행 슬래시(/)는 의도적인 것입니다. AD FS 신뢰 당사자 트러스트와 Exchange 대상 그룹 URI는 동일해야 합니다.
둘 다 URL에서 후행 슬래시를 생략해야 하거나 둘 다 있어야 합니다. 이 섹션의 예제에는 owa 및 ecp URL(owa/ 및 ecp/)의 후행 슬래시가 포함됩니다.
별도의 네임스페이스(예eu.contoso.com: 및 na.contoso.com)를 사용하는 여러 Active Directory 사이트가 있는 조직에서는 웹용 Outlook 및 EAC 모두에 대해 각 네임스페이스에 대한 신뢰 당사자 트러스트를 구성해야 합니다.
AD FS 서버에서 신뢰 당사자 트러스트를 만들려면 AD FS 관리 콘솔 또는 Windows PowerShell 사용할 수 있습니다.
AD FS 관리 콘솔을 사용하여 신뢰 당사자 트러스트를 만들려면 다음 단계를 수행합니다.
참고: 이러한 단계를 두 번 수행해야 합니다. 웹용 Outlook 한 번, EAC의 경우 한 번 진행해야 합니다. 유일한 차이점은 5단계와 8단계에서 입력한 값입니다(마법사에서 표시 이름 지정 및 URL 구성 페이지).
Server Manager에서 도구를 클릭하고 AD FS 관리를 선택합니다.
AD FS 관리 콘솔에서 트러스트 관계를 확장한 다음 신뢰 당사자 트러스트를 선택합니다. 작업 창에서 신뢰 당사자 트러스트 추가를 선택합니다.
신뢰 당사자 트러스트 추가 마법사가 열립니다. 시작 페이지에서 시작을 클릭합니다.
데이터 원본 선택 페이지에서 신뢰 당사자에 대한 데이터 입력을 수동으로 선택하고 다음을 클릭합니다.
표시 이름 지정 페이지에서 다음 설정을 구성합니다.
웹용 Outlook 경우:
표시 이름: 웹용 Outlook 입력합니다.
참고: 설명을 입력합니다. 예를 들어 에 대한 https://mail.contoso.com/owa/신뢰입니다.
EAC의 경우:
표시 이름: EAC를 입력합니다.
참고: 설명을 입력합니다. 예를 들어 에 대한 https://mail.contoso.com/ecp/신뢰입니다.
작업을 마친 후 다음을 클릭합니다.
프로필 선택 페이지에서 AD FS 프로필이 선택되어 있는지 확인하고 다음을 클릭합니다.
인증서 구성 페이지에서 다음을 클릭합니다(선택적 토큰 암호화 인증서를 지정하지 않음).
URL 구성 페이지에서 WS-Federation 수동 프로토콜에 대한 지원 사용을 선택하고 신뢰 당사자 WS-Federation 수동 프로토콜 URL에서 다음 정보를 입력합니다.
웹용 Outlook: 외부 웹용 Outlook URL(예: )을 https://mail.contoso.com/owa/입력합니다.
EAC: 외부 EAC URL(예: )을 https://mail.contoso.com/ecp/입력합니다.
작업을 마친 후 다음을 클릭합니다.
식별자 구성 페이지에서 다음을 클릭합니다(이전 단계의 URL은 신뢰 당사자 트러스트 식별자에 나열됨).
다단계 인증 지금 구성? 페이지에서 현재 이 신뢰 당사자 트러스트에 대한 다단계 인증 설정을 구성하지 않으려는지 확인한 후 다음을 클릭합니다.
발급 권한 부여 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용이 선택되어 있는지 확인하고 다음을 클릭합니다.
트러스트 추가 준비 페이지에서 설정을 검토한 후 다음을 클릭하여 신뢰 당사자 트러스트 정보를 저장합니다.
마침 페이지에서 마법사가 닫히면 이 신뢰 당사자 트러스트에 대한 클레임 규칙 편집 대화 상자 열기를 선택 취소한 다음 닫기를 클릭합니다.
Windows PowerShell 프롬프트를 사용하여 신뢰 당사자 트러스트를 만들려면 다음 단계를 수행합니다.
관리자 권한 Windows PowerShell 창에서 다음 명령을 실행합니다.
Import-Module ADFS
다음 구문을 사용합니다.
Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
이 예제에서는 다음 값을 사용하여 웹용 Outlook 대한 신뢰 당사자 트러스트를 만듭니다.
Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
이 예제에서는 다음 값을 사용하여 EAC에 대한 신뢰 당사자 트러스트를 만듭니다.
Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
웹용 Outlook 및 EAC 모두에 대해 두 개의 클레임 규칙을 만들어야 합니다.
Active Directory 사용자 SID
Active Directory UPN
AD FS 서버에서 클레임 규칙을 만들려면 AD FS 관리 콘솔 또는 Windows PowerShell 사용할 수 있습니다.
AD FS 관리 콘솔을 사용하여 클레임 규칙을 만들려면 다음 단계를 수행합니다.
참고: 이러한 단계를 두 번 수행해야 합니다. 웹용 Outlook 한 번, EAC의 경우 한 번 진행해야 합니다. 유일한 차이점은 첫 번째 단계에서 선택한 신뢰 당사자 트러스트입니다. 프로시저의 다른 모든 값은 동일합니다.
필요한 클레임 규칙을 추가하려면 다음을 수행합니다.
AD FS 관리 콘솔에서 신뢰 관계를 확장하여 신뢰 당사자 트러스트를 선택한 다음, 웹용 Outlook 또는 EAC 신뢰 당사자 트러스트를 선택합니다. 작업 창에서 클레임 규칙 편집을 선택합니다.
열리는 RuleName>에 대한 <클레임 규칙 편집 창에서 발급 변환 규칙 탭이 선택되어 있는지 확인한 다음 규칙 추가를 클릭합니다.
변환 클레임 규칙 추가 마법사가 열립니다. 규칙 템플릿 선택 페이지에서 클레임 규칙 템플릿 드롭다운을 클릭한 다음 사용자 지정 규칙을 사용하여 클레임 보내기를 선택합니다. 작업을 마친 후 다음을 클릭합니다.
규칙 구성 페이지에서 다음 정보를 입력합니다.
클레임 규칙 이름: 클레임 규칙의 설명이 포함된 이름을 입력합니다. 예를 들어 ActiveDirectoryUserSID입니다.
사용자 지정 규칙: 다음 텍스트를 복사하여 붙여넣습니다.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
완료되면 마침을 클릭합니다.
RuleName>에 대한 <클레임 규칙 편집 창으로 돌아가서 발급 변환 규칙 탭이 선택되어 있는지 확인한 다음 규칙 추가를 클릭합니다.
변환 클레임 규칙 추가 마법사가 열립니다. 규칙 템플릿 선택 페이지에서 클레임 규칙 템플릿 드롭다운을 클릭한 다음 사용자 지정 규칙을 사용하여 클레임 보내기를 선택합니다. 작업을 마친 후 다음을 클릭합니다.
규칙 구성 페이지에서 다음 정보를 입력합니다.
클레임 규칙 이름: 클레임 규칙의 설명이 포함된 이름을 입력합니다. 예를 들어 ActiveDirectoryUPN입니다.
사용자 지정 규칙: 다음 텍스트를 복사하여 붙여넣습니다.
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
완료되면 마침을 클릭합니다.
RuleName에 대한 <클레임 규칙 편집 창으로> 돌아가서 확인을 클릭합니다.
Windows PowerShell 사용하여 사용자 지정 클레임 규칙을 만들려면 다음 단계를 수행합니다.
관리자 권한 Windows PowerShell 창을 열고 다음 명령을 실행합니다.
Import-Module ADFS
다음 구문을 사용합니다.
Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
웹용 Outlook 라는 기존 신뢰 당사자 트러스트에서 사용자 지정 클레임 규칙을 만들려면 다음 명령을 실행합니다.
Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
EAC라는 기존 신뢰 당사자 트러스트에서 사용자 지정 클레임 규칙을 만들려면 다음 명령을 실행합니다.
Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
참고
Windows Server 2019 이상 버전에 배포된 웹 애플리케이션 프록시 서버에 대해 HTTP2를 사용하지 않도록 설정해야 합니다. HTTP2를 사용하지 않도록 설정하는 명령은 다음과 같습니다.
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp' -name 'EnableDefaultHttp2' -value '0' -PropertyType 'DWord' -Force | Out-Null
이 섹션의 단계는 웹 애플리케이션 프록시 사용하여 웹용 Outlook 및 EAC를 게시하고 웹 애플리케이션 프록시 AD FS 인증을 수행하려는 경우에만 필요합니다. 중요:
웹 애플리케이션 프록시 통해 AD FS 인증을 사용하는 경우 웹용 Outlook 오프라인 액세스를 사용할 수 없습니다.
AD FS가 설치된 동일한 서버에 웹 애플리케이션 프록시 설치할 수 없습니다.
웹 애플리케이션 프록시 사용하지 않 않으면 6단계로 건너뜁니다.
서버 관리자 사용하여 웹 애플리케이션 프록시 설치하려면 다음 단계를 수행합니다.
대상 서버에서 서버 관리자 열고 관리를 클릭한 다음 역할 및 기능 추가를 선택합니다.
역할 및 기능 추가 마법사가 열립니다. 이전에 기본적으로 이 페이지 건너뛰기를 선택하지 않은 경우 시작하기 전에 페이지에서 시작합니다. 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치가 선택되어 있는지 확인하고 다음을 클릭합니다.
대상 서버 선택 페이지에서 서버 선택을 확인하고 다음을 클릭합니다.
서버 역할 선택 페이지의 역할 목록에서 원격 액세스를 선택하고 다음을 클릭합니다.
기능 페이지에서 다음을 클릭합니다(기본 기능 선택 적용).
원격 액세스 페이지에서 정보를 확인하고 다음을 클릭합니다.
역할 서비스 선택 페이지에서 웹 애플리케이션 프록시 선택합니다. 열리는 기능 추가 대화 상자에서 기능 추가 를 클릭하여 기본값을 적용하고 대화 상자를 닫습니다. 역할 서비스 선택 페이지에서 다음을 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
설치 진행률 페이지에서 진행률 표시줄을 watch 설치가 성공했는지 확인합니다. 설치가 완료되면 다음 단계(5b)에서 웹 애플리케이션 프록시 마법사 열기를 클릭할 수 있도록 마법사를 열어 둡니다.
Windows PowerShell 사용하여 웹 애플리케이션 프록시 설치하려면 다음 명령을 실행합니다.
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
웹 애플리케이션 프록시 서버를 배포한 후 다음 웹 애플리케이션 프록시 설정을 구성해야 합니다.
페더레이션 서비스 이름: 예를 들어 입니다 adfs.contoso.com.
페더레이션 서비스 신뢰 자격 증명: AD FS 서버의 로컬 관리자 계정의 사용자 이름 및 암호입니다.
AD FS 프록시 인증서: 웹 애플리케이션 프록시 서버에 설치되어 페더레이션 서비스의 프록시로 클라이언트에 서버를 식별하므로 페더레이션 서비스 이름(예adfs.contoso.com: )이 포함된 인증서입니다. 또한 페더레이션 서비스 이름은 웹 애플리케이션 프록시 서버(DNS에서 확인 가능)에 액세스할 수 있어야 합니다.
서버 관리자 또는 Windows PowerShell 사용하여 웹 애플리케이션 프록시 서버를 구성할 수 있습니다.
서버 관리자 사용하여 웹 애플리케이션 프록시 구성하려면 다음 단계를 수행합니다.
이전 단계의 웹 애플리케이션 프록시 서버에서 역할 및 기능 추가 마법사를 연 경우 설치 진행률 페이지에서 웹 애플리케이션 프록시 마법사 열기 링크를 클릭할 수 있습니다.
역할 및 기능 추가 마법사를 닫거나 Windows PowerShell 사용하여 웹 애플리케이션 프록시 설치한 경우 알림을 클릭한 다음 배포 후 구성 경고에서 웹 애플리케이션 프록시 마법사 열기를 클릭하여 동일한 위치로 이동합니다.
웹 애플리케이션 프록시 구성 마법사가 열립니다. 시작 페이지에서 다음을 클릭합니다.
페더레이션 서버 페이지에서 다음 정보를 입력합니다.
페더레이션 서비스 이름: 예를 들어 입니다 adfs.contoso.com.
사용자 이름 및 암호: AD FS 서버에서 로컬 관리자 계정의 자격 증명을 입력합니다.
작업을 마친 후 다음을 클릭합니다.
AD FS 프록시 인증서 페이지에서 페더레이션 서비스 이름(예adfs.contoso.com: )이 포함된 설치된 인증서를 선택합니다. 드롭다운 목록에서 인증서를 선택한 다음세부 정보보기를> 클릭하여 인증서에 대한 자세한 정보를 볼 수 있습니다. 작업을 마친 후 다음을 클릭합니다.
확인 페이지에서 설정을 검토합니다. Windows PowerShell 명령을 복사하여 추가 설치(특히 인증서 지문 값)를 자동화할 수 있습니다. 완료되면 구성을 클릭합니다.
결과 페이지에서 구성이 성공했는지 확인한 다음 닫기를 클릭합니다.
Windows PowerShell 사용하여 웹 애플리케이션 프록시 구성하려면 다음 단계를 수행합니다.
웹 애플리케이션 프록시 서버에서 다음 명령을 실행하여 를 포함하는 설치된 인증서의 지문 값을 찾습니다.adfs.contoso.com
Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
다음 명령을 실행하고 AD FS 서버에서 로컬 관리자 계정의 사용자 이름 및 암호를 입력합니다.
$ADFSServerCred = Get-Credential
다음 구문을 사용합니다.
Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
이 예제에서는 다음 설정을 사용하여 웹 애플리케이션 프록시 서버를 구성합니다.
페더레이션 서비스 이름: adfs.contoso.com
AD FS SSL 인증서 지문: *.contoso.com 지문 값 5AE82C737900B29C2BAC3AB6D8C44D249EE05609이 인 인증서입니다.
Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
웹 애플리케이션 프록시 신뢰 당사자 트러스트를 게시하려면 원격 액세스 관리 콘솔 또는 Windows PowerShell 사용할 수 있습니다.
원격 액세스 관리 콘솔을 사용하려면 다음 단계를 수행합니다.
참고: 이러한 단계를 두 번 수행해야 합니다. 웹용 Outlook 한 번, EAC의 경우 한 번 진행해야 합니다. 필요한 설정은 프로시저에 설명되어 있습니다.
웹 애플리케이션 프록시 서버에서 원격 액세스 관리 콘솔을 엽니다. 서버 관리자 도구>원격 액세스 관리를 클릭합니다.
원격 액세스 관리 콘솔의 구성에서 웹 애플리케이션 프록시 클릭한 다음 작업 창에서 게시를 클릭합니다.
새 애플리케이션 게시 마법사가 열립니다. 시작 페이지에서 다음을 클릭합니다.
사전 인증 페이지에서 Active Directory Federation Services(AD FS)가 선택되어 있는지 확인하고 다음을 클릭합니다.
신뢰 당사자 페이지에서 4단계: AD FS에서 신뢰 당사자 트러스트 및 사용자 지정 클레임 규칙 만들기에서 AD FS 서버에서 만든 신뢰 당사자를 웹용 Outlook 및 EAC를 선택합니다.
웹용 Outlook: 웹용 Outlook 선택합니다.
EAC: EAC를 선택합니다.
작업을 마친 후 다음을 클릭합니다.
게시 설정 페이지에서 다음 정보를 입력합니다.
웹용 Outlook
이름: 예를 들어 입니다 Outlook on the web. 이 이름은 원격 액세스 관리 콘솔에서만 볼 수 있습니다.
외부 URL: 예를 들어 입니다 https://mail.contoso.com/owa/.
외부 인증서: 웹용 Outlook 외부 URL의 호스트 이름이 포함된 설치된 인증서를 선택합니다(예: mail.contoso.com). 드롭다운 목록에서 인증서를 선택한 다음세부 정보보기를> 클릭하여 인증서에 대한 자세한 정보를 볼 수 있습니다.
백 엔드 서버 URL: 이 값은 외부 URL로 자동으로 채워집니다. 백 엔드 서버 URL이 외부 URL과 다른 경우에만 변경하면 됩니다. 예를 들면 https://server01.contoso.com/owa/와 같습니다. 외부 URL 및 백 엔드 서버 URL의 경로는 (/owa/)와 일치해야 하지만 호스트 이름 값은 다를 수 있습니다(예: mail.contoso.com 및 server01.contoso.com).
EAC의 경우
이름: 예를 들어 입니다 EAC. 이 이름은 원격 액세스 관리 콘솔에서만 볼 수 있습니다.
외부 URL: EAC의 외부 URL입니다. 예를 들면 https://mail.contoso.com/ecp/와 같습니다.
외부 인증서: EAC에 대한 외부 URL의 호스트 이름을 포함하는 설치된 인증서를 선택합니다(예: mail.contoso.com). 인증서는 와일드카드 인증서 또는 SAN 인증서일 수 있습니다. 드롭다운 목록에서 인증서를 선택한 다음세부 정보보기를> 클릭하여 인증서에 대한 자세한 정보를 볼 수 있습니다.
백 엔드 서버 URL: 이 값은 외부 URL로 자동으로 채워집니다. 백 엔드 서버 URL이 외부 URL과 다른 경우에만 변경하면 됩니다. 예를 들면 https://server01.contoso.com/ecp/와 같습니다. 외부 URL 및 백 엔드 서버 URL의 경로는 (/ecp/)와 일치해야 하지만 호스트 이름 값은 다를 수 있습니다(예: mail.contoso.com 및 server01.contoso.com).
작업을 마친 후 다음을 클릭합니다.
확인 페이지에서 설정을 검토합니다. Windows PowerShell 명령을 복사하여 추가 설치(특히 인증서 지문 값)를 자동화할 수 있습니다. 완료되면 게시를 클릭합니다.
결과 페이지에서 애플리케이션이 성공적으로 게시되었는지 확인한 다음 닫기를 클릭합니다.
Windows PowerShell 사용하여 신뢰 당사자 트러스트를 게시하려면 다음 단계를 수행합니다.
웹 애플리케이션 프록시 서버에서 다음 명령을 실행하여 웹용 Outlook 및 EAC URL의 호스트 이름(예mail.contoso.com: )이 포함된 설치된 인증서의 지문을 찾습니다.
Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
다음 구문을 사용합니다.
Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
이 예제에서는 다음 설정을 사용하여 웹 애플리케이션 프록시 웹용 Outlook 게시합니다.
*.contoso.com 지문 값 5AE82C737900B29C2BAC3AB6D8C44D249EE05609이 인 인증서입니다.Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
이 예제에서는 다음 설정을 사용하여 웹 애플리케이션 프록시 EAC를 게시합니다.
*.contoso.com 지문 값 5AE82C737900B29C2BAC3AB6D8C44D249EE05609이 인 인증서입니다.Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
참고: 웹 애플리케이션 프록시 통해 게시하려는 모든 AD FS 엔드포인트는 프록시를 사용하도록 설정해야 합니다. 서비스>엔드포인트의 AD FS 관리 콘솔에서 이 작업을 수행합니다(프록시 사용이 지정된 엔드포인트에 대해 예인지 확인).
AD FS 인증을 사용하도록 Exchange organization 구성하려면 Exchange 관리 셸을 사용해야 합니다. 온-프레미스 Exchange 조직에서 Exchange 관리 셸을 여는 방법을 확인하려면 Exchange 관리 셸 열기를 참조하세요.
다음 명령을 실행하여 가져온 AD FS 토큰 서명 인증서의 지문 값을 찾습니다.
Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
제목 값 CN=ADFS Signing - <FederationServiceName> (예: )을 CN=ADFS Signing - adfs.contoso.com찾습니다.
명령을 실행한 다음 명령을 Import-Module ADFS실행Get-AdfsCertificate -CertificateType Token-Signing하여 관리자 권한 Windows PowerShell 창의 AD FS 서버에서 이 지문 값을 확인할 수 있습니다.
다음 구문을 사용합니다.
Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
이 예제에서는 다음 값을 사용합니다.
AD FS URL: https://adfs.contoso.com/adfs/ls/
웹용 Outlook URL:https://mail.contoso.com/owa/
EAC URL: https://mail.contoso.com/ecp/
AD FS 토큰 서명 인증서 지문: ADFS Signing - adfs.contoso.com 지문 값 88970C64278A15D642934DC2961D9CCA5E28DA6B이 인 인증서입니다.
Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
참고: AdfsEncryptCertificateThumbprint 매개 변수는 이러한 시나리오에서 지원되지 않습니다.
웹용 Outlook 및 EAC 가상 디렉터리에서는 다른 모든 인증 방법을 사용하지 않도록 설정하여 AD FS 인증을 사용 가능한 유일한 인증 방법으로 구성해야 합니다.
웹용 Outlook 가상 디렉터리를 구성하기 전에 EAC 가상 디렉터리를 구성해야 합니다.
클라이언트가 웹용 Outlook 및 EAC에 연결하는 데 사용하는 인터넷 연결 Exchange 서버에서만 AD FS 인증을 구성할 수 있습니다.
기본적으로 웹용 Outlook 및 EAC 가상 디렉터리에 대해 기본 및 Forms 인증만 사용하도록 설정됩니다.
Exchange Management Shell을 사용하여 AD FS 인증만 허용하도록 EAC 또는 웹용 Outlook 가상 디렉터리를 구성하려면 다음 구문을 사용합니다.
Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
다음은 Mailbox01 서버의 기본 웹 사이트에서 EAC 가상 디렉터리를 구성하는 예제입니다.
Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
다음은 Mailbox01이라는 서버의 기본 사이트인 웹용 Outlook 가상 디렉터리를 구성하는 예제입니다.
Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
참고: organization 모든 Exchange 서버에서 모든 EAC 및 웹용 Outlook 가상 디렉터리를 구성하려면 다음 명령을 실행합니다.
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Exchange 서버에서 IIS 관리자를 엽니다. Windows Server 2012 이상에서 이 작업을 수행하는 쉬운 방법은 Windows 키 + Q를 누르고, inetmgr을 입력하고, 결과에서 IIS(인터넷 정보 서비스) 관리자를 선택하는 것입니다.
IIS 관리자에서 서버를 선택합니다.
작업 창에서 다시 시작을 클릭합니다.
참고: 명령줄에서 이 절차를 수행하려면 Exchange 서버에서 관리자 권한 명령 프롬프트( 관리자 권한으로 실행을 선택하여 여는 명령 프롬프트 창)를 열고 다음 명령을 실행합니다.
net stop w3svc /y
net start w3svc
웹용 Outlook 대한 AD FS 클레임을 테스트하려면 다음을 수행합니다.
웹 브라우저에서 웹용 Outlook(예: https://mail.contoso.com/owa)를 엽니다.
웹 브라우저에서 인증서 오류가 발생하면 웹용 Outlook 사이트로 계속 진행합니다. 자격 증명에 대한 AD FS 로그인 페이지 또는 AD FS 프롬프트로 리디렉션되어야 합니다.
사용자 이름(domain\user) 및 암호를 입력한 다음 로그인을 클릭합니다.
웹용 Outlook 창에 로드됩니다.
EAC에 대해 AD FS 클레임을 테스트하려면 다음을 수행합니다.
웹 브라우저에서 EAC(예: https://mail.contoso.com/ecp)를 엽니다.
웹 브라우저에서 인증서 오류가 발생하면 EAC 웹 사이트로 계속 진행합니다. 자격 증명에 대한 AD FS 로그인 페이지 또는 AD FS 프롬프트로 리디렉션되어야 합니다.
사용자 이름(domain\user) 및 암호를 입력한 다음 로그인을 클릭합니다.
EAC는 창에 로드됩니다.
클레임 기반 인증을 위해 AD FS를 배포하고 구성하면 웹용 Outlook 및 EAC에서 인증서 기반 인증, 인증 또는 보안 토큰, 지문 인증과 같은 다단계 인증을 지원할 수 있습니다. 다단계 인증에는 다음 세 가지 인증 요소 중 두 가지가 필요합니다.
사용자만 알 수 있는 항목(예: 암호, PIN 또는 패턴).
사용자에게만 있는 항목(예: ATM 카드, 보안 토큰, 스마트 카드 또는 휴대폰).
사용자만 있는 항목입니다(예: 지문과 같은 생체 인식 특성).
예를 들어 휴대폰으로 전송되는 암호 및 보안 코드 또는 PIN 및 지문이 있습니다.
Windows Server 2012 R2의 다단계 인증에 대한 자세한 내용은 개요: 추가 Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리 및 연습 가이드: Multi-Factor Authentication을 사용하여 중요한 응용 프로그램에 대한 위험 관리를 참조하세요.
AD FS 서버에서 페더레이션 서비스는 보안 토큰 서비스로 작동하며 클레임과 함께 사용되는 보안 토큰을 제공합니다. 페더레이션 서비스는 제공되는 자격 증명을 기준으로 토큰을 발급합니다. 계정 저장소에서 사용자 자격 증명을 확인하면 트러스트 정책의 규칙에 따라 사용자에 대한 클레임이 생성되어 클라이언트에게 발급된 보안 토큰에 추가됩니다. 클레임에 대한 자세한 내용은 클레임 이해를 참조하세요.
organization 둘 이상의 Exchange 버전이 배포된 경우 웹용 Outlook 및 EAC에 AD FS 인증을 사용할 수 있습니다. 이 시나리오는 모든 클라이언트가 Exchange 서버를 통해 연결 되고 모든 서버가 AD FS 인증을 위해 구성된 경우에만 지원됩니다.
Exchange 2016 조직에서 Exchange 2010 서버에 사서함이 있는 사용자는 AD FS 인증을 위해 구성된 Exchange 2016 서버를 통해 사서함에 액세스할 수 있습니다. Exchange 2016 서버에 대한 초기 클라이언트 연결은 AD FS 인증을 사용합니다. 그러나 Exchange 2010에 대한 프록시 연결은 Kerberos를 사용합니다. 직접 AD FS 인증을 위해 Exchange 2010을 구성하는 방법은 지원되지 않습니다.
Windows Server 2019 이상에서 웹 애플리케이션 프록시 서버를 배포한 환경의 경우 Exchange 사서함에 대한 OWA/ECP 로그인이 "계속 작동 중" 화면에서 영원히 멈춘 것을 확인할 수 있습니다. WAP를 바이패스할 때 문제가 발생하지 않습니다.
솔루션
다음 명령을 실행하여 HTTP2를 사용하지 않도록 설정합니다.
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp' -name 'EnableDefaultHttp2' -value '0' -PropertyType 'DWord' -Force | Out-Null
WAP 서버를 다시 시작합니다.
설명서
Outlook Web App 및 EAC에서 AD FS 클레임 기반 인증 사용
Microsoft Exchange Server SP1에서 Outlook Web App 및 EAC에서 Active Directory Federation Services 클레임 기반 인증 사용
Exchange Server 온-프레미스에서 최신 인증 사용
Microsoft Exchange Server 2019의 ADFS 최신 인증 및 구성하는 방법에 대해 자세히 알아봅니다.
Exchange Server 가상 디렉터리에서 기본 인증 사용 안 함
Exchange Server 가상 디렉터리에서 기본 인증을 사용하지 않도록 설정하는 방법을 알아봅니다.
학습
인증
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID 솔루션을 현대화하고, 하이브리드 솔루션을 구현하고, ID 거버넌스를 구현하는 Microsoft Entra ID의 기능을 시연합니다.