페더레이션 사용자는 자격 증명을 묻는 메시지를 받거나 Microsoft Online Services에 로그인하여 조직의 single sign-on을 설정할 수 없음

현상

조직의 single sign-on을 설정한 후에 회사 자격 증명을 사용하여 Microsoft Office 365에 액세스하려고 하면 자격 증명을 묻는 예상치 못한 메시지를 받게 됩니다.

원인

이 문제는 일반적으로 사용자가 페더레이션 도메인에 속하지 않는 UPN(사용자 이름)을 사용하고 있을 때 발생합니다. 이 경우 사용자의 클라우드 UPN은 초기 도메인(user@domain.microsoftonline.com)에 있을 수 있습니다. 또는 선택된 도메인이 Microsoft Office 365와 올바르게 페더레이션되지 못할 수 있습니다.

해결 방법

이 문제를 해결하려면 온-프레미스 Active Directory 환경 및 클라우드 디렉터리 둘 다에서 페더레이션 도메인 접미어를 반영하도록 사용자 계정 UPN을 업데이트해야 합니다(DirSync를 통해 수행). 이렇게 하려면 다음 단계를 수행하십시오.

  1. 페더레이션 도메인이 UPN 접미어로 추가되었는지 확인하십시오.
    1. 온-프레미스 Active Directory 도메인 컨트롤러에서 시작을 클릭하고 모든 프로그램을 가리킨 다음 관리 도구를 클릭하고 Active Directory 도메인 및 트러스터를 클릭합니다.
    2. Active Directory 도메인 및 트러스터의 루트 노드를 마우스 오른쪽 단추로 클릭하고 속성을 선택하고 ID 페더레이션에 사용되는 도메인 이름이 있는지 확인하십시오.
    참고domain.internal과 같은 라우팅 불가능 도메인 접두어 또는 domain.microsoftonline.com 도메인은 Single-Sign-On 기능 또는 페더레이션 서비스를 활용할 수 없으며 이 단계에서는 사용하면 안 됩니다.
  2. 문제의 사용자 계정에 포함된 UPN 접미어 수동 업데이트:
    1. 온-프레미스 Active Directory 도메인 컨트롤러에서 시작을 클릭하고 모든 프로그램을 가리킨 다음 관리 도구를 클릭하고 Active Directory 사용자 및 컴퓨터를 클릭합니다.
    2. 문제의 사용자 계정을 찾은 후 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
    3. 계정 탭에서 왼쪽 위에 있는 드롭다운 목록을 사용하여 UPN 접미어를 베니티 도메인으로 변경한 다음 확인을 클릭합니다.
  3. (옵션) 다음과 같이 PowerShell을 사용하여 모든 사용자 계정의 UPN 접미어를 업데이트합니다.
    1. 로컬 Active Directory 도메인 컨트롤러에서 시작을 클릭하고 모든 프로그램을 가리킨 다음 관리 도구를 클릭하고 Active Directory Module for Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.
    2. 모든 계정에 대해 값을 설정하려면 다음 명령을 실행합니다.

      $UPNSuffix = UPN Domain Suffix
      Get-ADUser –Filter:* | foreach {[string]$newUPN = $_.SamAccountName + "@" + $UPNSuffix; Set-ADUser $_ –UserPrincipalName:$newUPN }

      다음 코드 예에서는 OU 이름을 기준으로 UPN 업데이트를 필터링합니다.

      $UPNSuffix = <UPN Domain Suffix>



      $filterByOU = <OU Name>



      Get-ADUser –Filter:* | foreach { if ([string]$($_.DistinguishedName).tolower –like [string]$(“*” + $filterByOU + “*”).tolower()) {[string]$newUPN = $_.SamAccountName + “@” + $UPNSuffix; Set-ADUser $_ –UserPrincipalName:$newUPN}}
참고: 변경이 수행되는 즉시, 다음 웹 페이지에 설명된 절차를 사용하여 디렉터리 동기화를 강제로 실행할 수 있습니다.


다른 페더레이션 로그온을 시도하여 계정 변경 내용을 테스트하기 전에 다음 동기화 간격을 대기할 수도 있습니다. 기본적으로 3시간 간격으로 동기화 간격이 발생합니다.

속성

문서 ID: 2392130 - 마지막 검토: 2011. 7. 21. - 수정: 1

피드백