자체 관리형 Active Directory Domain Services, Microsoft Entra ID 및 관리형 Microsoft Entra Domain Services 비교
중앙 ID에 대한 애플리케이션, 서비스 또는 디바이스 액세스를 제공하기 위해 Azure에서 Active Directory 기반 서비스를 사용하는 세 가지 일반적인 방법이 있습니다. ID 솔루션에서 이 옵션을 선택하면 조직의 요구에 가장 적합한 디렉터리를 유연하게 사용할 수 있습니다. 예를 들어 모바일 디바이스를 실행하는 클라우드 전용 사용자를 주로 관리하는 경우 자체 AD DS(Active Directory Domain Services) ID 솔루션을 빌드하고 실행하는 것은 의미가 없을 수 있습니다. 대신 Microsoft Entra ID만 사용할 수 있습니다.
세 가지 Active Directory 기반 ID 솔루션은 일반적인 이름과 기술을 공유하지만 다양한 고객 요구를 충족하는 서비스를 제공하도록 설계되었습니다. 높은 수준에서 이러한 ID 솔루션 및 기능 집합은 다음과 같습니다.
-
AD DS(Active Directory Domain Services) - ID 및 인증, 컴퓨터 개체 관리, 그룹 정책 및 트러스트와 같은 주요 기능을 제공하는 엔터프라이즈 지원 LDAP(경량 디렉터리 액세스 프로토콜) 서버입니다.
- AD DS는 온-프레미스 IT 환경을 갖춘 많은 조직의 중앙 구성 요소이며 핵심 사용자 계정 인증 및 컴퓨터 관리 기능을 제공합니다.
- 자세한 내용은 Windows Server 설명서
Active Directory Domain Services 개요를 참조하세요.
- Microsoft Entra ID - Microsoft 365, Microsoft Entra 관리 센터 또는 SaaS 애플리케이션과 같은 리소스에 대한 사용자 계정 및 인증 서비스를 제공하는 클라우드 기반 ID 및 모바일 디바이스 관리입니다.
- Microsoft Entra ID를 온-프레미스 AD DS 환경과 동기화하여 클라우드에서 기본적으로 작동하는 사용자에게 단일 ID를 제공할 수 있습니다.
- Microsoft Entra ID에 대한 자세한 내용은 Microsoft Entra ID란?을 참조하세요.
- microsoft Entra Domain Services
- 도메인 가입, 그룹 정책, LDAP 및 Kerberos/NTLM 인증과 같은 완전히 호환되는 기존 AD DS 기능의 하위 집합을 사용하여 관리되는 도메인 서비스를 제공합니다.
이 개요 문서에서는 조직의 요구 사항에 따라 이러한 ID 솔루션이 함께 작동하거나 독립적으로 사용되는 방법을 비교하고 대조합니다.
Domain Services 및 자체 관리형 AD DS
Kerberos 또는 NTLM과 같은 기존 인증 메커니즘에 액세스해야 하는 애플리케이션 및 서비스가 있는 경우 클라우드에서 Active Directory Domain Services를 제공하는 두 가지 방법이 있습니다.
- Microsoft Entra Domain Services를 사용하여 만든 도메인 중 관리되는 도메인. Microsoft는 필요한 리소스를 만들고 관리합니다.
- VM(가상 머신), Windows Server 게스트 OS 및 AD DS(Active Directory Domain Services)와 같은 기존 리소스를 사용하여 만들고 구성하는 자체 관리형 도메인입니다. 그런 다음 이러한 리소스를 계속 관리합니다.
Domain Services를 사용하면 Microsoft에서 관리되는 도메인 환경으로 핵심 서비스 구성 요소를 배포하고 유지 관리합니다. VM, Windows Server OS 또는 DC(도메인 컨트롤러)와 같은 구성 요소에 대한 AD DS 인프라를 배포, 관리, 패치 및 보호하지 않습니다.
Domain Services는 기존의 자체 관리형 AD DS 환경에 더 작은 기능 하위 집합을 제공하여 일부 디자인 및 관리 복잡성을 줄입니다. 예를 들어 디자인 및 유지 관리를 위한 AD 포리스트, 도메인, 사이트 및 복제 링크가 없습니다. Domain Services와 온-프레미스 환경간에 포리스트 트러스트를 만들 수
클라우드에서 실행되고 Kerberos 또는 NTLM과 같은 기존 인증 메커니즘에 액세스해야 하는 애플리케이션 및 서비스의 경우 Domain Services는 최소한의 관리 오버헤드로 관리되는 도메인 환경을 제공합니다. 자세한 내용은 Domain Services사용자 계정, 암호 및 관리에 대한
자체 관리형 AD DS 환경을 배포하고 실행하는 경우 연결된 모든 인프라 및 디렉터리 구성 요소를 유지 관리해야 합니다. 자체 관리형 AD DS 환경의 추가 유지 관리 오버헤드가 있지만 스키마를 확장하거나 포리스트 트러스트를 만드는 등의 추가 작업을 수행할 수 있습니다.
클라우드의 애플리케이션 및 서비스에 ID를 제공하는 자체 관리형 AD DS 환경에 대한 일반적인 배포 모델은 다음과 같습니다.
- 독립 실행형 클라우드 전용 AD DS
- Azure VM은 도메인 컨트롤러로 구성되고 별도의 클라우드 전용 AD DS 환경이 만들어집니다. 이 AD DS 환경은 온-프레미스 AD DS 환경과 통합되지 않습니다. 다른 자격 증명 집합은 클라우드에서 VM에 로그인하고 관리하는 데 사용됩니다. -
온-프레미스 도메인을 Azure로 확장: Azure 가상 네트워크는 VPN/ExpressRoute 연결을 사용하여 온-프레미스 네트워크에 연결합니다. Azure VM은 이 Azure 가상 네트워크에 연결하여 온-프레미스 AD DS 환경에 도메인 조인할 수 있습니다.
- 대안은 Azure VM을 만들고 온-프레미스 AD DS 도메인에서 복제본 도메인 컨트롤러로 승격하는 것입니다. 이러한 도메인 컨트롤러는 온-프레미스 AD DS 환경에 대한 VPN/ExpressRoute 연결을 통해 복제됩니다. 온-프레미스 AD DS 도메인은 Azure로 효과적으로 확장됩니다.
다음 표에서는 조직에 필요한 몇 가지 기능과 관리되는 도메인 또는 자체 관리형 AD DS 도메인 간의 차이점을 간략하게 설명합니다.
| 기능 | 관리되는 도메인 | 자체 관리형 AD DS |
|---|---|---|
| 관리 서비스 | ✓ | ✕ |
| 안전한 배포 | ✓ | 관리자가 배포를 보호합니다. |
| DNS 서버 | ✓(관리 서비스) | ✓ |
| 도메인 또는 엔터프라이즈 관리자 권한 | ✕ | ✓ |
| 도메인 가입 | ✓ | ✓ |
| NTLM 및 Kerberos 사용하여 도메인 인증 |
✓ | ✓ |
| Kerberos 제한 위임 | 리소스 기반 | 리소스 기반 & 계정 기반 |
| 사용자 지정 OU 구조 | ✓ | ✓ |
| 그룹 정책 | ✓ | ✓ |
| 스키마 확장 | ✕ | ✓ |
| AD 도메인/포리스트 트러스트 | ✓ (미리 보기에는 Enterprise SKU 필요) | ✓ |
| LDAPS(Secure LDAP) | ✓ | ✓ |
| LDAP 읽기 | ✓ | ✓ |
| LDAP 쓰기 | ✓(관리되는 도메인 내) | ✓ |
| 지역 분산 배포 |
✓ | ✓ |
Domain Services 및 Microsoft Entra ID
Microsoft Entra ID를 사용하면 조직에서 사용하는 디바이스의 ID를 관리하고 해당 디바이스에서 회사 리소스에 대한 액세스를 제어할 수 있습니다. 사용자는 디바이스에 ID를 제공하는 Microsoft Entra ID를 사용하여 개인 디바이스(BYO(Bring-your-own) 모델)를 등록할 수도 있습니다. 그러면 Microsoft Entra ID는 사용자가 Microsoft Entra ID에 로그인하고 디바이스를 사용하여 보안 리소스에 액세스할 때 디바이스를 인증합니다. Microsoft Intune과 같은 MDM(모바일 디바이스 관리) 소프트웨어를 사용하여 디바이스를 관리할 수 있습니다. 이 관리 기능을 사용하면 중요한 리소스에 대한 액세스를 관리 및 정책 규격 디바이스로 제한할 수 있습니다.
기존 컴퓨터와 노트북은 Microsoft Entra ID에 가입할 수도 있습니다. 이 메커니즘은 사용자가 회사 자격 증명을 사용하여 디바이스에 로그인할 수 있도록 허용하는 것과 같은 Microsoft Entra ID를 사용하여 개인 디바이스를 등록할 때와 동일한 이점을 제공합니다.
Microsoft Entra 조인 디바이스는 다음과 같은 이점을 제공합니다.
- Microsoft Entra ID로 보호되는 애플리케이션에 대한 SSO(Single Sign-On)입니다.
- 엔터프라이즈 정책에 준수하는 사용자 설정의 장치 간 로밍
- 회사 자격 증명을 사용하여 비즈니스용 Windows 스토어에 액세스합니다.
- 비즈니스용 Windows Hello.
- 회사 정책을 준수하는 디바이스에서 앱 및 리소스에 대한 액세스가 제한되었습니다.
온-프레미스 AD DS 환경을 포함하는 하이브리드 배포를 사용하거나 사용하지 않고 디바이스를 Microsoft Entra ID에 조인할 수 있습니다. 다음 표에서는 일반적인 디바이스 소유권 모델 및 일반적으로 도메인에 조인되는 방법을 간략하게 설명합니다.
| 장치 유형 | 디바이스 플랫폼 | 메커니즘 |
|---|---|---|
| 개인 디바이스 | Windows 10, iOS, Android, macOS | Microsoft Entra 등록됨 |
| 조직 소유 디바이스가 온-프레미스 AD DS에 조인되지 않음 | Windows 10 | Microsoft Entra에 합류함 |
| 온-프레미스 AD DS에 조인된 조직 소유 디바이스 | Windows 10 | Microsoft Entra 하이브리드 조인됨 |
Microsoft Entra 조인 또는 등록된 디바이스에서 사용자 인증은 최신 OAuth/OpenID Connect 기반 프로토콜을 사용하여 발생합니다. 이러한 프로토콜은 인터넷을 통해 작동하도록 설계되었기 때문에 사용자가 어디서나 회사 리소스에 액세스하는 모바일 시나리오에 적합합니다.
Domain Services에 가입된 디바이스를 사용하면 애플리케이션이 인증에 Kerberos 및 NTLM 프로토콜을 사용할 수 있으므로 리프트 앤 시프트 전략의 일환으로 Azure VM에서 실행되도록 마이그레이션된 레거시 애플리케이션을 지원할 수 있습니다. 다음 표에서는 디바이스가 표현되는 방식의 차이점을 간략하게 설명하고 디렉터리에 대해 자신을 인증할 수 있습니다.
| 측면 | Microsoft Entra에 합류했습니다 | 도메인 서비스에 가입된 |
|---|---|---|
| ~에 의해 제어되는 디바이스 | Microsoft Entra ID | Domain Services에서 관리하는 도메인 |
| 디렉터리에서의 표현 방식 | Microsoft Entra 디렉터리의 디바이스 개체 | Domain Services 관리되는 도메인의 컴퓨터 개체 |
| 인증 | OAuth/OpenID Connect 기반 프로토콜 | Kerberos 및 NTLM 프로토콜 |
| 경영 | Intune과 같은 MDM(모바일 디바이스 관리) 소프트웨어 | 그룹 정책 |
| 네트워킹 | 인터넷을 통해 작동 | 관리되는 도메인이 배포된 가상 네트워크에 연결되거나, 또는 통신이 가능해야 합니다. |
| 에 적합한... | 최종 사용자 모바일 또는 데스크톱 디바이스 | Azure에 배포된 서버 VM |
온-프레미스 AD DS 및 Microsoft Entra ID가 AD FS를 사용하여 페더레이션 인증에 대해 구성된 경우 Azure DS에서 사용할 수 있는(현재/유효한) 암호 해시가 없습니다. 연합 인증이 구현되기 전에 생성된 Microsoft Entra 사용자 계정에는 이전 암호 해시가 있을 수 있지만, 이는 온-프레미스 암호의 해시와 일치하지 않을 가능성이 높습니다. 따라서 Domain Services는 사용자 자격 증명의 유효성을 검사할 수 없습니다.
다음 단계
Domain Services 사용을 시작하려면 Microsoft Entra 관리 센터를 사용하여 Domain Services 관리 도메인
또한 Domain Services에서 사용자 계정, 암호 및 관리를 위한