페더레이션된 사용자가 Exchange Online 사서함에 연결할 수 없음

  • 아티클
  • 적용 대상:
    Exchange Online, Exchange, Outlook, Azure Active Directory

증상

페더레이션된 사용자는 Exchange Online 스마트폰을 사용하여 Microsoft Outlook 또는 Microsoft Exchange ActiveSync 인증할 수 없습니다.

원인

이 문제는 다음 조건 중 하나가 true인 경우 발생할 수 있습니다.

  • 온-프레미스 Active Directory 페더레이션 서비스(AD FS) 2.0 페더레이션 서비스는 공용 인터넷에서 사용할 수 없습니다.
  • AD FS 2.0 엔드포인트에서 사용하는 SSL(Secure Sockets Layer) 인증서는 Exchange Online 데이터 센터에서 신뢰할 수 없는 인증 기관에서 발급합니다.

Outlook용 현재 Exchange Online 엔드포인트는 기본 인증 또는 프록시 인증을 사용합니다. 즉, Outlook 클라이언트는 기본 인증을 사용하여 Outlook.com 서비스에 인증합니다. Outlook.com 사용자가 페더레이션된 사용자임을 확인하는 경우 SSL을 통한 기본 인증을 클라이언트를 대신하여 사용자의 AD FS 2.0 서버에 프록시합니다. 이 작업은 사용자를 로컬로 인증하고 사용자에 대한 SAML(Security Assertion Markup Language) 클레임 또는 액세스 토큰을 요청합니다. 공개적으로 사용할 수 있는 AD FS 2.0 엔드포인트를 사용할 수 없는 경우 인증 프로세스가 성공하지 못하고 사용자에게 서비스 엔드포인트에 대한 액세스가 거부됩니다.

Microsoft 원격 연결 분석기를 사용하여 온-프레미스 AD FS 2.0 페더레이션 서비스가 페더레이션된 사용자의 Outlook 로그온 문제를 일으키는지 여부를 테스트합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 인터넷 Explorer Microsoft 원격 연결 분석기로 이동합니다.

  2. 이메일 주소 및 자격 증명을 입력하고, 페이지 아래쪽에 있는 승인 검사 상자를 선택하고, 확인 코드를 입력한 다음, 테스트 수행을 선택합니다. 이 테스트는 두 번 실행해야 합니다. 다음 자격 증명을 각각 사용하여 테스트를 실행합니다.

    • Exchange Online 사서함이 있는 페더레이션된 계정
    • Exchange Online 사서함이 있는 표준 사용자 계정

    Microsoft 원격 연결 분석기 페이지의 스크린샷.

  3. 두 테스트의 결과를 확인하여 AD FS 2.0이 Outlook 로그인 문제를 일으키는지 확인합니다.

    1. 테스트 세부 정보 트리의 다음 노드로 드릴다운합니다.

      RPC/HTTP 연결 테스트

      • ExRCA가 에 대한 자동 검색을 테스트하려고 합니다. john@contoso.com

      • 자동 검색 서비스에 연락하는 각 방법 시도

      • HTTP 리디렉션 방법을 사용하여 자동 검색 서비스에 연결하려고 시도

      • 자동 검색 POST 요청을 잠재적인 자동 검색 URL로 보내려고 시도

      • ExRCA가 사용자의 URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml 에서 XML 자동 검색 응답을 검색하려고 합니다.

        SSO 사용 사서함 및 표준 사서함 테스트 결과의 스크린샷.

    2. 다음 조건이 모두 참인지 확인합니다.

      • 페더레이션된 계정은 자동 검색에 액세스할 수 없으며 "HTTP 401 권한 있는 응답" 오류 메시지를 받습니다.
      • 표준 사용자 계정은 자동 검색에 액세스할 수 있습니다.

    두 조건이 모두 충족되면 SSO 오류로 인해 Outlook 인증이 실패하는 것을 확인했습니다.

해결 방법 1 - 온-프레미스 AD FS 2.0 페더레이션 서비스를 인터넷에 노출

온-프레미스 AD FS 2.0 환경에 대한 AD FS 2.0 페더레이션 서버 프록시를 설정하거나 SSO를 지원하는 AD FS 2.0 페더레이션 서비스의 방화벽 역방향 프록시를 설정한 다음, 프록시를 인터넷에 게시합니다.

해결 방법 2 - AD FS 2.0 프록시 서버 문제 해결

AD FS 2.0 프록시 서버 문제를 해결하는 방법에 대한 자세한 내용은 사용자가 Microsoft 365, Intune 또는 Azure에 로그인할 때 AD FS 엔드포인트 연결 문제를 해결하는 방법을 참조하세요.

아직 해결되지 않았습니까? Microsoft 커뮤니티 웹 사이트로 이동합니다.