Microsoft 365, Azure 또는 Intune 페더레이션된 도메인의 설정을 업데이트하거나 복구합니다.

  • 아티클
  • 적용 대상:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

소개

Microsoft 365, Microsoft Azure 또는 Microsoft Intune 같은 Microsoft 클라우드 서비스의 SSO(Single Sign-On)는 올바르게 작동하는 AD FS(Active Directory Federation Services)의 온-프레미스 배포에 따라 달라집니다. 여러 시나리오에서는 기술 문제를 해결하기 위해 AD FS에서 페더레이션된 도메인의 구성을 다시 빌드해야 합니다. 이 문서에는 페더레이션된 도메인의 구성을 업데이트하거나 복구하는 방법에 대한 단계별 지침이 포함되어 있습니다.

추가 정보

페더레이션된 도메인의 구성을 업데이트하는 방법

페더레이션된 도메인의 구성은 다음 Microsoft 기술 자료 문서에 설명된 시나리오에서 업데이트해야 합니다.

  • 2713898 페더레이션된 사용자가 Microsoft 365, Azure 또는 Intune 로그인할 때 AD FS에서 "사이트에 액세스하는 데 문제가 발생했습니다." 오류
  • 더레이션된 사용자가 Microsoft 365, Azure 또는 Intune 로그인하려고 할 때 "죄송합니다.하지만 로그인하는 데 문제가 있습니다" 및 "80048163" 오류가 2535191.
  • 더레이션된 사용자가 Microsoft 365, Azure 또는 Intune 로그인하려고 할 때 "죄송합니다. 로그인하는 데 문제가 있습니다" 및 "80041317" 또는 "80043431" 오류가 2647020

참고

Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Entra ID(이전의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.

Windows PowerShell 대한 Azure Active Directory 모듈이 설치된 도메인 가입 컴퓨터에서 페더레이션된 도메인의 구성을 업데이트하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 모든 프로그램을 클릭하고 Windows Azure Active Directory를 클릭한 다음 Windows PowerShell Windows Azure Active Directory 모듈을 클릭합니다.

  2. 명령 프롬프트에서 다음 명령을 입력하고 각 명령 다음에 Enter 키를 누릅니다.

    $cred = get-credential

    참고

    메시지가 표시되면 클라우드 서비스 관리자 자격 증명을 입력합니다.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    참고

    이 명령에서 자리 표시자 <AD FS 2.0 서버 이름은> 기본 AD FS 서버의 Windows 호스트 이름을 나타냅니다.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    또는

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    참고

    • 여러 최상위 도메인이 동일한 AD FS 페더레이션 서비스를 사용하여 페더레이션되는 경우 –supportmultipledomain 스위치를 사용해야 합니다.
    • 이러한 명령에서 자리 표시자 <페더레이션된 도메인 이름은> 이미 페더레이션된 도메인의 이름을 나타냅니다.

중요

AD FS 토큰 서명 인증서에 대한 변경 내용이 올바르게 복제되도록 정기적으로 페더레이션 메타데이터 업데이트를 자동화하는 스크립트를 사용할 수 있습니다.

스크립트는 기본 AD FS 서버에 Windows 예약된 작업을 만들어 트러스트 정보, 서명 인증서 업데이트 등과 같은 AD FS 구성의 변경 내용이 Microsoft Entra ID 정기적으로 전파되도록 합니다.

스크립트가 구현된 환경에서 토큰 서명 인증서가 자동으로 갱신되면 스크립트는 클라우드 신뢰 정보를 업데이트하여 오래된 클라우드 인증서 정보로 인한 가동 중지 시간을 방지합니다.

페더레이션된 도메인의 구성을 복구하는 방법

페더레이션된 도메인의 구성은 다음 Microsoft 기술 자료 문서에 설명된 시나리오에서 복구해야 합니다.

  • 2523494 Microsoft 365, Azure 또는 Intune 로그인하려고 할 때 AD FS에서 인증서 경고를 받습니다.
  • 2618887 "AD FS 2.0 서버에 지정된 페더레이션 서비스 식별자가 이미 사용 중입니다." Microsoft 365, Azure 또는 Intune 다른 페더레이션 도메인을 설정하려고 할 때 오류가 발생합니다.
  • 2713898 페더레이션된 사용자가 Microsoft 365, Azure 또는 Intune 로그인할 때 AD FS에서 "사이트에 액세스하는 데 문제가 발생했습니다." 오류
  • 더레이션된 사용자가 Microsoft 365에 로그인하려고 할 때 "organization 이 서비스에 로그인할 수 없습니다." 오류 및 "80041317" 또는 "80043431" 오류 코드 2647020
  • AD FS의 페더레이션 서비스 이름이 변경되었습니다.

Windows PowerShell 대한 Azure Active Directory 모듈이 설치된 도메인 가입 컴퓨터에서 페더레이션된 도메인 구성을 복구하려면 다음 단계를 수행합니다.

경고

  • 다음 절차에서는 클라이언트의 위치를 사용하여 Microsoft 365 서비스에 대한 액세스를 제한하여 만든 모든 사용자 지정을 제거합니다. 페더레이션된 도메인의 구성을 복구한 후 제한된 AD FS 액세스를 다시 구성해야 할 수 있습니다.
  • 다음 단계를 신중하게 계획해야 합니다. 페더레이션된 도메인에서 SSO 기능을 사용하도록 설정한 사용자는 4단계 완료부터 5단계 완료까지 이 작업 중에 인증할 수 없습니다. 1단계의 update-MSOLFederatedDomain cmdlet 테스트가 성공적으로 수행되지 않으면 5단계가 올바르게 완료되지 않습니다. 페더레이션된 사용자는 update-MSOLFederatedDomain cmdlet을 성공적으로 실행할 수 있을 때까지 인증할 수 없습니다.
  1. 이 문서의 앞부분에 있는 "페더레이션된 도메인 구성을 업데이트하는 방법" 섹션의 단계를 실행하여 update-MSOLFederatedDomain cmdlet이 성공적으로 완료되었는지 확인합니다.
    • cmdlet이 성공적으로 완료되지 않은 경우 이 절차를 계속하지 마세요. 대신 이 문서의 뒷부분에 있는 "페더레이션된 도메인을 업데이트하거나 복구할 때 발생할 수 있는 알려진 문제" 섹션을 참조하여 문제를 해결합니다.
    • cmdlet이 성공적으로 완료되면 나중에 사용할 수 있는 명령 프롬프트 창을 열어 둡니다.
  2. AD FS 서버에 로그온합니다. 이렇게 하려면 시작을 클릭하고 모든 프로그램을 가리킨 다음 관리 도구를 가리킨 다음 AD FS(2.0) 관리를 클릭합니다.
  3. 왼쪽 탐색 창에서 AD FS(2.0)를 클릭하고 트러스트 관계를 클릭한 다음 신뢰 당사자 트러스트를 클릭합니다.
  4. 맨 오른쪽 창에서 Microsoft Office 365 ID 플랫폼 항목을 삭제합니다.
  5. 1단계에서 연 Windows PowerShell 창에서 삭제된 트러스트 개체를 다시 만듭니다. 이렇게 하려면 다음 명령을 실행한 다음 Enter 키를 누릅니다.
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    또는
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    참고

    • 여러 최상위 도메인이 동일한 AD FS 페더레이션 서비스를 사용하여 페더레이션되는 경우 –supportmultipledomain 스위치를 사용해야 합니다.
    • 이러한 명령에서 자리 표시자 <페더레이션된 도메인 이름은> 이미 페더레이션된 도메인의 이름을 나타냅니다.

페더레이션된 도메인을 업데이트하거나 복구할 때 발생할 수 있는 알려진 문제

다음 시나리오에서는 페더레이션된 도메인을 업데이트하거나 복구할 때 문제가 발생합니다.

  • Windows PowerShell 사용하여 연결할 수 없습니다. 이 문제에 대한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.

    2494043 Azure Active Directory 모듈을 사용하여 연결할 수 없습니다Windows PowerShell

  • 필수 구성 요소가 누락되어 Windows PowerShell Azure Active Directory 모듈을 로드할 수 없습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.

    2461873 Windows PowerShell 대한 Azure Active Directory 모듈을 열 수 없습니다.

  • set-MSOLADFSContext cmdlet을 실행하려고 하면 "액세스 거부됨" 오류 메시지가 표시됩니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.

    Set-MsolADFSContext cmdlet을 <사용할 때 "ServerName> Active Directory Federation Services 2.0 서버에 대한 연결이 실패했습니다." 오류 2587730

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Microsoft Entra 포럼 웹 사이트로 이동합니다.