문제
새로 페더레이션된 사용자는 Office 365, Microsoft Azure 또는 Microsoft Intune 같은 Microsoft 클라우드 서비스에 로그인할 수 없습니다. 사용자는 다음 증상 중 하나를 경험합니다.
-
사용자가 login.microsoftonline.com 웹 페이지에서 사용자 ID를 입력하면 사용자 ID를 홈 영역 검색을 통해 페더레이션된 사용자로 식별할 수 없으며 사용자가 SSO(Single Sign-On)를 통해 로그인하도록 자동으로 리디렉션되지 않습니다.
-
Active Directory Federation Services(AD FS)에 대한 인증이 실패하고 사용자는 다음과 같은 양식 기반 인증 오류 메시지를 받습니다.
사용자 이름 또는 암호가 잘못되었습니다.
-
사용자는 login.microsoftonline.com 웹 페이지에서 다음 오류 메시지를 받습니다.
죄송합니다. 로그아웃하는 데 문제가 있습니다.
원인
이러한 증상은 심하게 파일럿된 SSO 사용 사용자 ID로 인해 발생할 수 있습니다. SSO 사용 사용자 ID를 파일럿하기 위한 일반적인 요구 사항은 다음과 같습니다.
-
온-프레미스 Active Directory 사용자 계정은 페더레이션된 도메인 이름을 UPN(사용자 계정 이름) 접미사로 사용해야 합니다.
-
연결된 Microsoft Exchange Online 사서함의 사용자 ID 및 기본 전자 메일 주소는 동일한 도메인 접미사를 공유하지 않습니다.
-
Azure Active Directory 동기화 도구는 온-프레미스 Active Directory 사용자 계정을 클라우드 기반 사용자 ID와 동기화해야 합니다.
-
온-프레미스 Active Directory 사용자 계정 및 클라우드 기반 사용자 ID의 UPN이 일치해야 합니다.
잘못 파일럿된 SSO 사용 사용자 ID가 이 문제의 원인이라고 가정하기 전에 다음 조건이 충족되는지 확인합니다.
-
사용자에게 일반적인 로그인 문제가 발생하지 않습니다. 일반적인 로그인 문제를 해결하는 방법에 대한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.
2412085 Office 365, Azure 또는 Intune 같은 조직 계정에 로그인할 수 없습니다.
-
페더레이션된 도메인은 다음과 같이 SSO를 지원하도록 올바르게 준비됩니다.
-
페더레이션된 도메인은 DNS에서 공개적으로 확인할 수 있습니다. 기본 "onmicrosoft.com" 도메인은 포함되지 않습니다.
-
페더레이션된 도메인은 다음 Microsoft 웹 사이트에 따라 SSO에 대해 준비되었습니다.
참고 도메인 페더레이션 변환을 전파하는 데 다소 시간이 걸릴 수 있습니다. 도메인 구성에 결함이 있다고 가정하기 전에 도메인을 페더레이션한 후 2시간 정도 기다려야 합니다.
-
솔루션
이 문제를 해결하려면 사용자 계정이 SSO 사용 사용자 ID로 올바르게 파일럿되었는지 확인합니다. 이렇게 하려면 다음 방법 중 하나 이상을 사용합니다.
방법 1: 사용자가 "죄송합니다. 로그인하는 데 문제가 있는 경우 기술 자료 문서 2615736 참조하세요.
사용자가 "죄송합니다. 로그인하는 데 문제가 있습니다." 오류 메시지가 표시되면 다음 Microsoft 기술 자료 문서를 사용하여 문제를 해결합니다.
사용자가 Office 365, Azure 또는 Intune 로그인하려고 할 때 "죄송합니다. 로그인하는 데 문제가 있습니다" 오류가 2615736
방법 2: 페더레이션된 도메인을 접미사로 사용하도록 온-프레미스 사용자 계정의 UPN 업데이트
경고 Active Directory 사용자 계정의 UPN을 변경하면 사용자의 온-프레미스 Active Directory 기능에 상당한 영향을 미칠 수 있습니다. UPN 변경에 대한 주의 및 심의를 사용하는 것이 좋습니다.
효과에는 다음과 같은 내용이 포함될 수 있습니다.
-
캐시된 자격 증명을 사용하여 운영 체제에 로그온하는 사용자를 로밍하여 온-프레미스 리소스에 대한 원격 액세스
-
사용자 인증서를 사용하여 원격 액세스 인증 기술
-
SMIME(보안 MIME), IRM(정보 권한 관리) 기술 및 NTFS의 EFS(파일 시스템 암호화) 기능과 같은 사용자 인증서를 기반으로 하는 암호화 기술
-
스마트 카드 기능
UPN 업데이트가 사용자 액세스에 미치는 영향을 더 잘 이해하려면 단일 사용자 계정을 파일럿하는 것이 좋습니다. 이 정보는 이러한 기술을 사용하여 데이터에 대한 접근성을 유지하는 데 필요한 인증서 재발행, 데이터 복구 및 기타 수정을 미리 계획하거나 줄이는 데 유용합니다.
온-프레미스 Active Directory 환경과 Azure AD 페더레이션된 도메인 접미사를 반영하도록 사용자 계정 UPN을 업데이트해야 합니다. 이렇게 하려면 다음과 같이 하십시오.
-
페더레이션된 도메인이 UPN 접미사로 추가되었는지 확인합니다.
-
온-프레미스 Active Directory 도메인 컨트롤러에서 시작을 클릭하고 모든 프로그램을 가리킨 다음 관리 도구를 클릭한 다음 Active Directory 도메인 및 트러스트를 클릭합니다.
-
Active Directory 도메인 및 트러스트의 루트 노드를 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 SSO에 사용되는 도메인 이름이 있는지 확인합니다.
참고 domain.internal 또는 domain.microsoftonline.com 도메인과 같은 라우팅할 수 없는 도메인 접미사는 SSO 기능 또는 페더레이션 서비스를 활용할 수 없습니다. 라우팅할 수 없는 도메인 접미사는 이 단계에서 사용하면 안 됩니다.
-
-
문제 사용자 계정의 UPN 접미사를 수동으로 업데이트합니다.
-
온-프레미스 Active Directory 도메인 컨트롤러에서 시작을 클릭하고 모든 프로그램을 가리킨 다음 관리 도구를 클릭한 다음 Active Directory 사용자 및 컴퓨터 클릭합니다.
-
문제 사용자 계정을 찾아 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
-
계정 탭에서 왼쪽 위 모서리에 있는 드롭다운 목록을 사용하여 UPN 접미사를 사용자 지정 도메인으로 변경한 다음 확인을 클릭합니다.
-
방법 3: Exchange Online 사서함의 사용자 ID 및 기본 SMTP(Simple Mail Transfer Protocol) 주소에 동일한 도메인이 있는지 확인합니다.
온-프레미스 Exchange 관리 도구를 사용하여 온-프레미스 사용자의 기본 SMTP 주소를 메서드 2에 설명된 UPN 특성의 동일한 도메인으로 설정합니다. 자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하세요.
전자 메일 주소 정책
편집 사용자 및 리소스 사서함 속성 구성 Exchange가 온-프레미스 환경에 설치되지 않은 경우 Active Directory 사용자 및 컴퓨터 사용하여 SMTP 주소 값을 관리할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.
-
Active Directory 사용자 및 컴퓨터 사용자 개체를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
-
일반 탭에서 전자 메일 필드를 업데이트한 다음 확인을 클릭합니다.
방법 4: 사용자 계정 UPN에 대한 Active Directory 동기화 설정
SSO가 올바르게 작동하려면 Active Directory 동기화 클라이언트를 설정해야 합니다. Active Directory 동기화를 설정하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.
Active Directory 동기화: 로드맵동기화를 강제하고 확인하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.
방법 5: 특정 사용자 계정에 대한 UPN 업데이트 문제 해결
동기화를 확인할 수 있지만 파일럿된 사용자 ID의 UPN이 아직 업데이트되지 않은 경우 특정 사용자에 대해 동기화 문제가 발생할 수 있습니다.
특정 Active Directory 개체 동기화와 관련된 잠재적인 문제를 해결하는 방법에 대한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.
2643629 Azure Active Directory 동기화 도구를 사용할 때 하나 이상의 개체가 동기화되지 않음
아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트로 이동합니다.
