다음을 통해 공유

iOS에서 페더레이션을 사용한 Microsoft Entra 인증서 기반 인증

보안을 강화하기 위해 iOS 디바이스는 다음 애플리케이션 또는 서비스에 연결할 때 CBA(인증서 기반 인증)를 사용하여 디바이스에서 클라이언트 인증서를 사용하여 Microsoft Entra ID에 인증할 수 있습니다.

  • Microsoft Outlook 및 Microsoft Word와 같은 Office 모바일 응용 프로그램
  • EAS(Exchange ActiveSync) 클라이언트

인증서를 사용하면 모바일 장치의 특정 메일 및 Microsoft Office 응용 프로그램에 사용자 이름과 암호 조합을 입력할 필요가 없습니다.

Microsoft 모바일 애플리케이션 지원

지원
Azure Information Protection 앱 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
회사 포털 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
Microsoft 팀 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
Office(모바일) 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
Microsoft OneNote (마이크로소프트 원노트) 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
OneDrive 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
아웃룩 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
Power BI 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
비즈니스용 Skype 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
Word / Excel / PowerPoint 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시
Yammer (야머) 이 애플리케이션을 지원한다는 것을 나타내는 체크 표시

요구 사항

iOS에서 CBA를 사용하려면 다음 요구 사항 및 고려 사항이 적용됩니다.

  • 디바이스 OS 버전은 iOS 9 이상이어야 합니다.
  • iOS의 Office 애플리케이션에는 Microsoft Authenticator가 필요합니다.
  • AD FS 서버의 인증 URL을 포함하는 macOS 키 집합에서 ID 기본 설정을 만들어야 합니다. 자세한 내용은 Mac의 Keychain Access에서 ID 우선순위 만들기을 참조하세요.

다음 AD FS(Active Directory Federation Services) 요구 사항 및 고려 사항이 적용됩니다.

  • AD FS 서버는 인증서 인증을 사용하도록 설정하고 페더레이션 인증을 사용해야 합니다.
  • 인증서는 확장 키 사용(EKU)을 필수로 하고, 유저의 UPN이 포함된 대상 대체 이름(NT 보안 주체 이름)을 포함해야 합니다.

AD FS 구성

Microsoft Entra ID가 클라이언트 인증서를 해지하려면 AD FS 토큰에 다음 클레임이 있어야 합니다. Microsoft Entra ID는 AD FS 토큰(또는 다른 SAML 토큰)에서 사용할 수 있는 경우 이러한 클레임을 새로 고침 토큰에 추가합니다. 새로 고침 토큰의 유효성을 검사해야 하는 경우 이 정보를 사용하여 해지를 확인합니다.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber> - 클라이언트 인증서의 일련 번호 추가
  • http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer> - 클라이언트 인증서 발급자의 문자열 추가

또한 조직의 AD FS 오류 페이지를 다음 정보로 업데이트하는 것이 가장 좋습니다.

  • iOS에 Microsoft Authenticator를 설치하기 위한 요구 사항입니다.
  • 사용자 인증서를 가져오는 방법에 대한 지침입니다.

자세한 내용은 AD FS 로그인 페이지 사용자 지정참조하세요.

Office 앱에서 최신 인증 사용

최신 인증을 사용하도록 설정된 일부 Office 앱은 요청 시 Microsoft Entra ID로 prompt=login 보냅니다. 기본적으로 Microsoft Entra ID는 요청의 prompt=login을 AD FS에서 wauth=usernamepassworduri(AD FS에 U/P 인증을 수행하도록 요청함) 및 wfresh=0로 변환합니다(AD FS에 SSO 상태를 무시하고 새 인증을 수행하도록 요청함). 이러한 앱에 인증서 기반 인증을 사용하도록 설정하려면 기본 Microsoft Entra 동작을 수정합니다.

기본 동작을 업데이트하려면 페더레이션된 도메인 설정에서 'PromptLoginBehavior'를 사용 안 함 설정합니다. 다음 예제와 같이 New-MgDomainFederationConfiguration cmdlet을 사용하여 이 작업을 수행할 수 있습니다.

New-MgDomainFederationConfiguration -DomainId <___domain> -PromptLoginBehavior "disabled"

Exchange ActiveSync 클라이언트에 대한 지원

iOS 9 이상에서는 네이티브 iOS 메일 클라이언트가 지원됩니다. 다른 모든 Exchange ActiveSync 애플리케이션에서 이 기능이 지원되는지 확인하려면 애플리케이션 개발자에게 문의하세요.

다음 단계

사용자 환경에서 인증서 기반 인증을 구성하려면 인증서 기반 인증 시작하기를 참조하세요.