안녕하세요!
이번 포스팅에서는 "ADFS를 통한 Microsoft 365 로그인 구현" 방법에 대해 알아보겠습니다.
Microsoft 365 포탈사이트 (https://portal.office.com) 에 로그인을 진행하면
로그인 하는 계정의 도메인명을 확인해서, Azure 포탈의 'Azure Active Directory > 회사 브랜딩' 에서 설정한 로그인 페이지를 표시해줍니다.
cf) 아래 화면은 로그인 페이지 설정을 아무것도 하지 않은 테넌트 입니다.
그리고 아래 화면과 같이, Azure AD를 통한 Cloud 로그인이 아니라, On-Premise ADFS를 통해 로그인을 수행할 수 있게 설정할 수도 있습니다.
자~ 그럼! 지금부터 Microsoft 365 로그인 시 ADFS 를 통해 로그인을 수행하는 설정을 ADFS 서버에서 진행해보겠습니다.
먼저 PowerShell 을 통해, Microsoft 365에 ADFS를 연결 합니다.
실행 창(Windows Key + R Key)에서 'powershell' 입력후 'Ctrl Key + Shift Key + Enter Key' 를 동시에 눌러, PowerShell을 관리자 권한으로 실행 합니다.
PowerShell 창에서, Install-Module MSOnline cmdlet을 실행합니다. 그리고 ‘Y’, ‘A’를 차례대로 입력합니다.
다음 cmdlet을 실행합니다.
Connect-MsolService
사용자 계정 로그인 창이 발생하면, 관라자 계정 입력 후 ‘다음’ 을 클릭합니다.
cf1) 만약 Internet Explorer 보안 강화 구성 관련 아래 창이 발생하면
cf2) 서버 관리자 실행후, '로컬 서버 > IE 보안 강화 구성 > 사용' 을 클릭 합니다.
cf3) 그리고 Internet Explorer 보안 강화 구성 창에서, '관리자 > 사용 안 함' 선택 후 '확인' 을 클릭 합니다.
cf4) 마지막으로 열려 있는 PowerShell 창을 닫고 재실행 합니다. 그리고 Install-Module MSOnline 명령어 단계 부터 다시 진행하면 됩니다.
암호 입력 화면에서, ‘암호’ 입력 후 ‘로그인’ 을 클릭 합니다.
로그인이 완료되면, 다음 cmdlet을 실행 합니다.
Set-MsolADFSContext -Computer hope-adfs1.hope.pe.kr
그리고 다음 cmdlet을 실행하여, ADFS 신뢰 당사자 트러스트에 해당 테넌트를 추가 합니다.
Convert-MsolDomainToFederated -Domain hope.pe.kr
cf) 정상적으로 추가가 되면 ‘Successfully updated ‘hope.pe.kr’ domain.’ 메시지가 표시 됩니다.
cf) 만약 다음 에러 메세지 (Convert-MsolDomainToFederated : You cannot convert the specified domain to use identity federation because the account you are currently signed in with is a member of the domain hope.pe.kr. Please sign in to the service using an account that is a member of the company administrators role and is not part of the domain hope.pe.kr, and then tyr again.) 가 발생하면 관리자 계정을 추가한 도메인 형식 'hope.pe.kr' 이 아닌, 기본 테넌트 주소 'tenant-name.onmicrosoft.com' 로 변경해야 합니다.
ex) 'admin@hope.pe.kr' 을 'admin@M365x65963311.onmicrosoft.com' 으로 변경
명령이 성공적으로 실행되면 ADFS 신뢰 당사자 트러스트에 ‘Microsoft Office 365 Identity Platform Worldwide’ 가 추가 됩니다.
다음 cmdlet을 실행하여, 페더레이션 정보를 확인 합니다.
Get-MsolFederationProperty -Domain hope.pe.kr
다음으로, Azure AD Connect 실행 후 사용자 로그인 방법을 변경 합니다.
'시작 > Azure AD Connect > 자세히 > 관리자 권한으로 실행' 을 클릭 합니다.
Microsoft Azure Active Directory Connect 창의 Azure AD Connect 시작 화면에서, ‘구성’ 을 클릭 합니다.
추가 작업 화면에서, ‘사용자 로그인 변경’ 클릭 후 ‘다음’ 을 클릭 합니다.
Azure AD에 연결 화면에서, 전역 관리자 ‘암호’ 입력 후 ‘다음’ 을 클릭 합니다.
사용자 로그인 화면에서, ‘AD FS로 페더레이션’ 선택 후 ‘다음’ 을 클릭 합니다.
도메인 관리자 자격 증명 화면에서, 도메인 관리자 ‘암호’ 입력 후 ‘다음’ 을 클릭 합니다.
AD FS 팜 화면에서, ‘기존 AD FS 팜 사용’ 선택 후 ‘찾아보기’ 를 클릭 합니다.
페더레이션 서버 선택 창에서, 검색 박스에 ‘기본 페더레이션 서버 IP’ 입력 후 ‘검색’ 버튼을 클릭 합니다.
기본 페더레이션 서버가 검색되면 클릭 후 ‘확인’ 을 클릭 합니다.
‘다음’ 을 클릭 합니다.
Azure AD 도메인 화면에서, ‘다음’ 을 클릭 합니다.
Azure AD 트러스트 화면에서, ‘다음’ 을 클릭 합니다.
구성 준비 완료 화면에서, ‘구성’ 을 클릭 합니다.
구성 완료 화면에서, ‘다음’ 을 클릭 합니다.
페더레이션 연결 확인 화면에서, ‘확인’ 을 클릭 합니다.
‘끝내기’ 를 클릭 합니다.
작업이 완료 되었습니다.
이제 Microsoft 365 포탈 사이트에 접속 후 ‘hope.pe.kr' 도메인 계정으로 로그인을 진행하면
‘조직의 로그인 페이지로 이동하는 중’ 메시지가 발생하며
ADFS 로그인 페이지로 정상적으로 이동됨을 확인 후, 로그인을 진행 합니다.
로그인도 정상적으로 진행됨을 확인 합니다.
참고: 단일 Sign-On Microsoft 365용 AD FS 설정
단일 Sign-On Microsoft 365용 AD FS 설정 - Office 365
이 문서에는 Microsoft 365 for Single Sign-On 솔루션과 함께 작동하도록 AD FS를 구성하는 방법을 설명하는 단계별 비디오가 포함되어 있습니다.
learn.microsoft.com
이상으로 "ADFS를 통한 Microsoft 365 로그인 구현" 방법에 대해 알아보았습니다.
감사합니다.
'Microsoft Cloud > Office 365' 카테고리의 다른 글
Office 365로 메일 발송 실패시 조치 방법 - Office 365 스팸 방지 IP 목록 해제 포털 (0) | 2022.12.31 |
---|---|
Microsoft Teams Premium 소개 (0) | 2022.10.24 |
PowerShell로 비즈니스용 OneDrive 휴지통 비우기 (0) | 2022.08.03 |
Microsoft 365 서비스 장애시 'Microsoft 365 Status' 트위터를 확인해보자! (0) | 2022.07.21 |
비즈니스용 OneDrive 공간 부족시 동작 방식 (0) | 2022.07.13 |
최근댓글