Azure Virtual Desktop에 대한 ID 및 액세스 관리 고려 사항
Azure Virtual Desktop은 가상 데스크톱 인프라에 대한 Microsoft 컨트롤 플레인을 제공하는 관리되는 서비스입니다. Azure Virtual Desktop의 ID 및 액세스 관리는 이 문서에 설명된 특정 조건과 함께 Azure RBAC(역할 기반 액세스 제어)를 사용합니다.
RBAC 디자인
RBAC는 Azure Virtual Desktop 배포를 관리하는 다양한 팀과 개인에 대한 업무 분리를 지원합니다. 랜딩 존 디자인의 일환으로 누가 다양한 역할을 맡을지 결정해야 합니다. 그런 다음 역할에서 사용자를 추가 및 제거하는 작업을 간소화하기 위해 각 역할에 대한 보안 그룹을 만들어야 합니다.
Azure Virtual Desktop은 각 기능 영역에 대해 설계된 사용자 지정 Azure 역할을 제공합니다. 이러한 역할을 구성하는 방법에 대한 자세한 내용은 Azure Virtual Desktop에 대한 기본 제공 역할을 참조 하세요.
Azure 기본 제공 역할은 Azure 배포를 위한 클라우드 채택 프레임워크의 일부로 만들고 정의할 수 있습니다. Azure Virtual Desktop과 관련된 RBAC 역할은 사용자가 Azure Virtual Desktop 및 가상 머신 및 네트워킹과 같은 다른 Azure 서비스에 필요한 전체 권한 집합을 제공하기 위해 다른 Azure RBAC 역할과 결합되어야 할 수 있습니다.
Azure Virtual Desktop 디자인 고려 사항
- 세션 호스트에서 데스크톱 및 애플리케이션에 액세스하려면 사용자가 인증할 수 있어야 합니다. Microsoft Entra ID는 이 기능을 사용하도록 설정하는 Microsoft의 중앙 집중식 클라우드 ID 서비스입니다. Microsoft Entra ID는 항상 Azure Virtual Desktop에 대한 사용자를 인증하는 데 사용됩니다. 세션 호스트는 AD DS(Active Directory Domain Services) 또는 Azure AD DS(Azure Active Directory Domain Services)를 사용하여 동일한 Microsoft Entra 테넌트 또는 Active Directory 도메인에 조인할 수 있으므로 유연한 구성 옵션을 선택할 수 있습니다.
참고 항목
Azure Virtual Desktop은 B2B 또는 Microsoft 계정을 지원하지 않습니다.
- 도메인 가입에 사용되는 계정에는 다단계 인증 또는 기타 대화형 프롬프트가 있을 수 없으며 다른 요구 사항이 있습니다. 자세한 내용은 가상 머신 세부 정보를 참조하세요.
- Azure Virtual Desktop에는 도메인 서비스에 대한 호스팅 전략이 필요합니다. AD DS 또는 Microsoft Entra Do기본 서비스를 선택합니다.
- Microsoft Entra Do기본 Services는 지원되는 옵션이지만 다음과 같은 제한 사항이 있습니다.
- 암호 해시 동기화를 사용하도록 설정해야 합니다.
- Azure Virtual Desktop VM에 하이브리드 조인을 사용하여 Microsoft 365 서비스에 대해 Microsoft Entra Seamless Single Sign-On을 사용하도록 설정할 수 없습니다.
자세한 내용은 Microsoft Entra Do기본 Services에 대한 FAQ(질문과 대답)를 참조하세요.
- Microsoft Entra Do기본 Services do기본에 가입할 때 계정은 Microsoft Entra DC 관리자 그룹의 일부여야 하며 계정 암호는 Microsoft Entra Do기본 Services에서 작동해야 합니다. 자세한 내용은 가상 머신 세부 정보를 참조하세요.
- 조직 구성 단위를 지정할 때 따옴표 없이 고유 이름을 사용합니다.
- 권한 있는 작업에 필요한 최소 권한을 할당하여 최소 권한 원칙을 따릅니다.
- Azure Virtual Desktop을 구독하는 데 사용되는 사용자 계정 이름은 세션 호스트 가상 머신이 조인된 Active Directory 도메인에 있어야 합니다. 사용자 요구 사항에 대한 자세한 내용은 Azure Virtual Desktop 요구 사항을 참조하세요.
- 스마트 카드를 사용하는 경우 Kerberos 인증을 위해 Active Directory 도메인 컨트롤러와 직접 연결(가시선)이 필요합니다. 자세한 내용은 Kerberos 키 배포 센터 프록시 구성을 참조하세요.
- 비즈니스용 Windows Hello를 사용하려면 하이브리드 인증서 신뢰 모델이 Azure Virtual Desktop과 호환되어야 합니다. 자세한 내용은 Microsoft Entra 하이브리드 조인 인증서 신뢰 배포를 참조하세요.
- 비즈니스용 Windows Hello 또는 스마트 카드 인증을 사용하는 경우 이러한 인증 방법은 Kerberos를 사용하여 로그인하기 때문에 시작 클라이언트가 도메인 컨트롤러와 통신할 수 있어야 합니다. 자세한 내용은 지원되는 인증 방법을 참조하세요.
- Single Sign-On은 사용자 환경을 개선할 수 있지만 추가 구성이 필요하며 Active Directory Federation Services를 사용하는 경우에만 지원됩니다. 자세한 내용은 Azure Virtual Desktop에 대한 AD FS Single Sign-On 구성을 참조하세요.
지원되는 ID 시나리오
다음 표에는 Azure Virtual Desktop이 현재 지원하는 ID 시나리오가 요약되어 있습니다.
| ID 시나리오 | 세션 호스트 | 사용자 계정 |
|---|---|---|
| Microsoft Entra ID + AD DS | AD DS에 조인 | Microsoft Entra ID 및 AD DS에서 동기화됨 |
| Microsoft Entra ID + AD DS | Microsoft Entra ID에 조인됨 | Microsoft Entra ID 및 AD DS에서 동기화됨 |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra Domain Services에 조인됨 | Microsoft Entra ID 및 Microsoft Entra Domain Services에서 동기화됨 |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Microsoft Entra Domain Services에 조인됨 | Microsoft Entra ID 및 AD DS에서 동기화됨 |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra ID에 조인됨 | Microsoft Entra ID 및 Microsoft Entra Domain Services에서 동기화됨 |
| Microsoft Entra 전용 | Microsoft Entra ID에 조인됨 | Microsoft Entra ID에서 |
디자인 권장 사항
- Microsoft Entra 커넥트 사용하여 모든 ID를 단일 Microsoft Entra 테넌트에 동기화합니다. 자세한 내용은 Microsoft Entra Connect란?를 참조하세요.
- Azure Virtual Desktop 세션 호스트가 Microsoft Entra Do기본 Services 또는 AD DS와 통신할 수 있는지 확인합니다.
- Kerberos 키 배포 센터 프록시 솔루션을 사용하여 스마트 카드 인증 트래픽을 프록시하고 원격 로그인을 사용하도록 설정합니다. 자세한 내용은 Kerberos 키 배포 센터 프록시 구성을 참조하세요.
- 세션 호스트 가상 머신을 각 호스트 풀에 대한 Active Directory 조직 구성 단위로 분리하여 정책 및 분리된 개체를 보다 쉽게 관리할 수 있습니다. 자세한 내용은 가상 머신 세부 정보를 참조하세요.
- 로컬 관리 LAPS(Istrator Password Solution)와 같은 솔루션을 사용하여 Azure Virtual Desktop 세션 호스트에서 로컬 관리자 암호를 자주 회전합니다. 자세한 내용은 보안 평가: Microsoft LAPS 사용량을 참조하세요.
- 사용자의 경우 보안 그룹에 Desktop Virtualization User 기본 제공 역할을 할당하여 Azure Virtual Desktop 애플리케이션 그룹에 대한 액세스 권한을 부여합니다. 자세한 내용은 Azure Virtual Desktop에서 위임된 액세스를 참조하세요.
- Azure Virtual Desktop에 대한 조건부 액세스 정책을 만듭니다. 이러한 정책은 위험한 로그인과 같은 조건에 따라 다단계 인증을 적용하여 조직의 보안 태세를 강화할 수 있습니다. 자세한 내용은 Azure Virtual Desktop에 대한 Microsoft Entra 다단계 인증 사용을 참조 하세요.
- 회사 네트워크의 사용자에 대해 Single Sign-On을 사용하도록 AD FS를 구성합니다.
다음 단계
Azure Virtual Desktop 엔터프라이즈 규모 시나리오의 네트워크 토폴로지 및 연결에 대해 알아봅니다.