다음을 통해 공유

SMB 액세스를 위한 Azure Files ID 기반 인증 개요

  • 아티클

이 문서에서는 온-프레미스 또는 Azure에서 ID 기반 인증을 사용하여 SMB를 통해 Azure 파일 공유에 대한 ID 기반 액세스를 사용하도록 설정하는 방법을 설명합니다. Windows 파일 서버와 마찬가지로 공유, 디렉터리 또는 파일 수준에서 ID에 권한을 부여할 수 있습니다. 스토리지 계정에서 ID 기반 인증을 사용하도록 설정하는 추가 서비스 요금은 없습니다.

ID 기반 인증은 현재 NFS(네트워크 파일 시스템) 공유에서 지원되지 않습니다. 그러나 Windows 및 Linux 클라이언트 모두에 대해 SMB를 통해 사용할 수 있습니다.

보안상의 이유로 스토리지 계정 키를 사용하는 이상 ID 기반 인증을 사용하여 파일 공유에 액세스하는 것이 좋습니다.

Important

스토리지 계정 키를 공유하지 마세요. 대신 ID 기반 인증을 사용합니다.

작동 방식

Azure 파일 공유는 Kerberos 프로토콜을 사용하여 ID 원본으로 인증합니다. 클라이언트에서 실행되는 사용자 또는 애플리케이션과 연결된 ID가 Azure 파일 공유의 데이터에 액세스하려고 하면 ID를 인증하기 위해 요청이 ID 원본으로 전송됩니다. 인증에 성공하면 ID 원본은 Kerberos 티켓을 반환합니다. 그런 다음 클라이언트는 Kerberos 티켓을 포함하는 요청을 보내고 Azure Files는 해당 티켓을 사용하여 요청에 권한을 부여합니다. Azure Files 서비스는 사용자의 액세스 자격 증명이 아닌 Kerberos 티켓만 받습니다.

일반 사용 예

SMB Azure 파일 공유를 사용한 ID 기반 인증은 다양한 시나리오에서 유용할 수 있습니다.

온-프레미스 파일 서버 바꾸기

분산된 온-프레미스 파일 서버를 교체하는 것은 모든 조직이 IT 현대화 과정에서 직면하는 과제입니다. Azure Files에서 ID 기반 인증을 사용하면 원활한 마이그레이션 환경을 제공하여 최종 사용자가 동일한 자격 증명으로 데이터에 계속 액세스할 수 있습니다.

Azure로 애플리케이션 리프트 앤 시프트

애플리케이션을 클라우드로 리프트 앤 시프트하는 경우 파일 공유 액세스에 대해 동일한 인증 모델을 유지할 수 있습니다. ID 기반 인증을 사용하면 디렉터리 서비스를 변경할 필요가 없어 클라우드 채택이 신속합니다.

백업 및 재해 복구(DR)

기본 파일 스토리지를 온-프레미스에 유지하는 경우 Azure Files는 비즈니스 연속성을 개선하기 위해 백업 및 DR에 이상적인 솔루션입니다. Azure 파일 공유를 사용하여 Windows DACL(임의 액세스 제어 목록)을 유지하면서 파일 서버를 백업할 수 있습니다. DR 시나리오의 경우 장애 조치(failover) 시 적절한 액세스 제어 적용을 지원하도록 인증 옵션을 구성할 수 있습니다.

스토리지 계정에 대한 ID 원본 선택

스토리지 계정에서 ID 기반 인증을 사용하도록 설정하기 전에 사용할 ID 원본을 알아야 합니다. 대부분의 회사와 조직에는 일부 유형의 도메인 환경이 구성되어 있으므로 이미 있는 것일 수 있습니다. AD(Active Directory) 또는 IT 관리자에게 문의하세요. ID 원본이 아직 없는 경우 ID 기반 인증을 사용하도록 설정하려면 ID 원본을 구성해야 합니다.

지원되는 인증 시나리오

온-프레미스 AD DS(Active Directory 도메인 Services), Microsoft Entra Domain Services 또는 Microsoft Entra Kerberos(하이브리드 ID만 해당)의 세 가지 ID 원본 중 하나를 사용하여 SMB를 통해 ID 기반 인증을 사용하도록 설정할 수 있습니다. 스토리지 계정당 파일 액세스 인증에 하나의 ID 원본만 사용할 수 있으며 계정의 모든 파일 공유에 적용됩니다.

  • 온-프레미스 AD DS: 온-프레미스 AD DS 클라이언트 및 VM(가상 머신)은 온-프레미스 Active Directory 자격 증명을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 온-프레미스 AD DS 환경은 Microsoft Entra Connect 애플리케이션 또는 Microsoft Entra Admin Center에서 설치할 수 있는 경량 에이전트인 Microsoft Entra Connect 클라우드 동기화를 사용하여 Microsoft Entra ID와 동기화되어야 합니다. 이 인증 방법을 사용하려면 클라이언트가 도메인에 가입되어 있거나 AD DS에 연결되지 않은 네트워크 연결이 있어야 합니다. 필수 구성 요소의 전체 목록을 참조하세요.

  • 하이브리드 ID용 Microsoft Entra Kerberos: Microsoft Entra ID를 사용하여 하이브리드 사용자 ID를 인증할 수 있으므로 최종 사용자가 도메인 컨트롤러에 대한 네트워크 연결 없이 Azure 파일 공유에 액세스할 수 있습니다. 이 옵션을 사용하려면 기존 AD DS 배포가 필요합니다. 그러면 Microsoft Entra ID가 하이브리드 ID를 인증할 수 있도록 Microsoft Entra 테넌트에 동기화됩니다. 클라우드 전용 ID는 현재 이 방법을 사용하여 지원되지 않습니다. 필수 구성 요소의 전체 목록을 참조하세요.

  • Microsoft Entra Domain Services: Microsoft Entra Domain Services에 가입된 클라우드 기반 VM은 Microsoft Entra 자격 증명을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 이 솔루션에서 Microsoft Entra ID는 고객의 Microsoft Entra 테넌트의 자식인 기존 Windows Server AD 도메인을 실행합니다. Microsoft Entra Domain Services는 현재 클라우드 전용 ID를 인증하는 유일한 옵션입니다. 필수 구성 요소의 전체 목록을 참조하세요.

다음 지침을 사용하여 선택해야 하는 ID 원본을 결정합니다.

  • 조직에 이미 온-프레미스 AD가 있고 ID를 클라우드로 이동할 준비가 되지 않았으며 클라이언트, VM 및 애플리케이션이 도메인에 가입되어 있거나 해당 도메인 컨트롤러에 대한 네트워크 연결이 방해받지 않는 경우 AD DS를 선택합니다.

  • 일부 또는 모든 클라이언트가 AD DS에 대한 방해받지 않는 네트워크 연결이 없거나 Microsoft Entra 조인 VM에 대한 Azure 파일 공유에 FSLogix 프로필을 저장하는 경우 Microsoft Entra Kerberos를 선택합니다.

  • 기존 온-프레미스 AD가 있지만 애플리케이션을 클라우드로 이동할 계획이며 ID가 온-프레미스와 클라우드에 모두 존재하도록 하려면 Microsoft Entra Kerberos를 선택합니다.

  • 기존 ID 원본이 없는 경우, 클라우드 전용 ID를 인증해야 하거나 이미 Microsoft Entra Domain Services를 사용하는 경우 Microsoft Entra Domain Services를 선택합니다. 아직 Azure에 도메인 서비스를 배포하지 않은 경우 이 서비스에 대한 Azure 청구서에 새 요금이 청구됩니다.

ID 원본 사용

ID 원본을 선택한 후에는 스토리지 계정에서 ID 원본을 사용하도록 설정해야 합니다.

AD DS

AD DS 인증의 경우 클라이언트 컴퓨터 또는 VM을 도메인에 가입해야 합니다. Azure VM 또는 온-프레미스에서 AD 도메인 컨트롤러를 호스트할 수 있습니다. 어느 원본을 사용하든 도메인 가입된 클라이언트는 도메인 컨트롤러에 대한 방해받지 않는 네트워크 연결이 있어야 하므로 도메인 서비스의 회사 네트워크 또는 VNET(가상 네트워크) 내에 있어야 합니다.

다음 다이어그램은 SMB를 통해 Azure 파일 공유에 대한 온-프레미스 AD DS 인증을 보여 줍니다. Microsoft Entra Connect Sync 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 온-프레미스 AD DS를 Microsoft Entra ID로 동기화해야 합니다. 온-프레미스 AD DS 및 Microsoft Entra ID 모두에 있는 하이브리드 사용자 ID만 Azure 파일 공유 액세스에 대해 인증 및 권한을 부여받을 수 있습니다. 이는 디렉터리/파일 수준 사용 권한은 AD DS의 ID에 적용되는 반면, 공유 수준 권한은 Microsoft Entra ID에 표시된 ID에 대해 구성되기 때문입니다. 동일한 하이브리드 사용자에 대해 사용 권한을 올바르게 구성해야 합니다.

SMB를 통해 Azure 파일 공유에 대한 온-프레미스 AD DS 인증을 보여 주는 다이어그램.

AD DS 인증을 사용하도록 설정하려면 먼저 개요 - Azure 파일 공유에 대한 SMB를 통한 Domain Services 인증을 온-프레미스 Active Directory 다음 Azure 파일 공유에 대한 AD DS 인증 사용을 참조하세요.

하이브리드 ID용 Microsoft Entra Kerberos

하이브리드 사용자 ID를 인증하기 위해 Microsoft Entra ID를 사용하도록 설정하고 구성하면 Microsoft Entra 사용자가 Kerberos 인증을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 이 구성은 Microsoft Entra ID를 사용하여 Kerberos 티켓을 발급하여 업계 표준 SMB 프로토콜을 사용하여 파일 공유에 액세스합니다. 즉, 최종 사용자는 Microsoft Entra 하이브리드 조인 및 Microsoft Entra 조인 VM에서 도메인 컨트롤러에 대한 네트워크 연결 없이도 Azure 파일 공유에 액세스할 수 있습니다. 그러나 사용자 및 그룹에 대한 디렉터리 및 파일 수준 권한을 구성하려면 온-프레미스 도메인 컨트롤러에 대한 방해받지 않는 네트워크 연결이 필요합니다.

Important

Microsoft Entra Kerberos 인증은 하이브리드 사용자 ID만 지원하며 클라우드 전용 ID는 지원하지 않습니다. 기존 AD DS 배포가 필요하며 Microsoft Entra Connect Sync 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 Microsoft Entra ID로 동기화해야 합니다. 클라이언트는 Microsoft Entra 가입 또는 Microsoft Entra 하이브리드 가입되어야 합니다. Microsoft Entra Kerberos는 Microsoft Entra Domain Services에 가입하거나 AD에만 가입된 클라이언트에서 지원되지 않습니다.

SMB를 통한 하이브리드 ID에 대한 Microsoft Entra Kerberos 인증에 대한 구성 다이어그램

하이브리드 ID에 대해 Microsoft Entra Kerberos 인증을 사용하도록 설정하려면 Azure Files에서 하이브리드 ID에 대한 Microsoft Entra Kerberos 인증 사용을 참조하세요.

이 기능을 사용하여 Microsoft Entra 가입 VM에 대한 Azure 파일 공유에 FSLogix 프로필을 저장할 수도 있습니다. 자세한 내용은 Azure Files 및 Microsoft Entra ID를 사용하여 프로필 컨테이너 만들기를 참조하세요.

Microsoft Entra Domain Services

Microsoft Entra Domain Services 인증의 경우 Microsoft Entra Domain Services를 사용하도록 설정하고 파일 데이터에 액세스하려는 VM을 도메인 조인해야 합니다. 도메인에 가입된 VM은 Microsoft Entra Domain Services 호스팅 도메인과 동일한 VNET에 있어야 합니다.

다음 다이어그램은 Azure 파일 공유에 대한 SMB를 통한 Microsoft Entra Domain Services 인증 워크플로를 나타냅니다. 이것은 온-프레미스 AD DS 인증과 유사한 패턴을 따르지만 두 가지 큰 차이점이 있습니다.

  • 스토리지 계정을 나타내기 위해 Microsoft Entra Domain Services에서 ID를 만들 필요가 없습니다. 이 작업은 백그라운드에서 활성화 프로세스를 통해 수행됩니다.

  • Microsoft Entra ID에 있는 모든 사용자는 인증 및 권한을 부여받을 수 있습니다. 사용자는 클라우드 전용 또는 하이브리드일 수 있습니다. Microsoft Entra ID에서 Microsoft Entra Domain Services로의 동기화는 사용자 구성 필요 없이 플랫폼에서 관리됩니다. 그러나 클라이언트는 Microsoft Entra Domain Services 호스팅 도메인에 가입해야 합니다. Microsoft Entra에 가입하거나 등록할 수 없습니다. Microsoft Entra Domain Services는 비 Azure 클라이언트(예: 사용자 랩톱, 워크스테이션, 다른 클라우드의 VM 등)가 Microsoft Entra Domain Services 호스팅 도메인에 도메인 가입되는 것을 지원하지 않습니다. 그러나 DOMAINNAME\username과 같은 명시적 자격 증명을 제공하거나 정규화된 도메인 이름(username@FQDN)을 사용하여 비도메인 조인 클라이언트에서 파일 공유를 탑재할 수 있습니다.

SMB를 통해 Azure Files를 사용하여 Microsoft Entra Domain Services 인증을 위한 구성 다이어그램

Microsoft Entra Domain Services 인증을 사용하도록 설정하려면 Azure Files에서 Microsoft Entra Domain Services 인증 사용을 참조 하세요.

권한 부여 및 액세스 제어

어떤 ID 원본을 선택하든, 사용하도록 설정하면 권한 부여를 구성해야 합니다. Azure Files는 공유 수준과 디렉터리/파일 수준 모두에서 사용자 액세스에 대한 권한 부여를 적용합니다.

Azure RBAC를 통해 관리되는 Microsoft Entra 사용자 또는 그룹에 공유 수준 권한을 할당할 수 있습니다. Azure RBAC에서는 파일 액세스에 사용하는 자격 증명을 사용할 수 있거나 Microsoft Entra ID와 동기화해야 합니다. 스토리지 파일 데이터 SMB 공유 읽기 권한자와 같은 Azure 기본 제공 역할을 Microsoft Entra ID의 사용자 또는 그룹에 할당하여 파일 공유에 대한 액세스 권한을 부여할 수 있습니다.

디렉터리/파일 수준에서 Azure Files는 Windows ACL 유지, 상속 및 적용을 지원합니다. 기존 파일 공유와 Azure 파일 공유 간에 SMB를 통해 데이터를 복사할 때 Windows ACL을 유지하도록 선택할 수 있습니다. 권한 부여를 적용할지 여부와 관계없이 Azure 파일 공유를 사용하여 데이터와 함께 ACL을 백업할 수 있습니다.

공유 수준 권한 구성

스토리지 계정에서 ID 원본을 사용하도록 설정한 후에는 다음 중 하나를 수행하여 파일 공유에 액세스해야 합니다.

  • 모든 인증된 사용자 및 그룹에 적용되는 기본 공유 수준 권한 설정
  • 사용자 및 그룹에 기본 제공 Azure RBAC 역할 할당
  • Microsoft Entra ID에 대한 사용자 지정 역할을 구성하고 스토리지 계정의 파일 공유에 대한 액세스 권한을 할당합니다.

할당된 공유 수준 사용 권한을 사용하면 권한이 부여된 ID에서 공유만 액세스할 수 있으며 그 외에는 루트 디렉터리도 액세스할 수 없습니다. 디렉터리 및 파일 수준 권한을 별도로 구성해야 합니다.

참고 항목

컴퓨터 계정을 Microsoft Entra ID의 ID와 동기화할 수 없으므로 Azure RBAC를 사용하여 컴퓨터 계정(컴퓨터 계정)에 공유 수준 권한을 할당할 수 없습니다. 컴퓨터 계정이 ID 기반 인증을 사용하여 Azure 파일 공유에 액세스할 수 있게 하려면 기본 공유 수준 권한을 사용하거나 서비스 로그인 계정을 대신 사용하는 것이 좋습니다.

디렉터리 또는 파일 수준 권한 구성

Azure 파일 공유는 루트 디렉터리를 포함하여 디렉터리와 파일 수준 모두에 표준 Windows ACL을 적용합니다. 디렉터리 또는 파일 수준 권한 구성은 SMB와 REST를 통해서 지원됩니다. VM에서 대상 파일 공유를 탑재하고 Windows 파일 탐색기, Windows icacls 또는 Set-ACL 명령을 사용하여 권한을 구성합니다.

Azure Files로 데이터를 가져올 때 디렉터리 및 파일 ACL 유지

Azure Files는 Azure 파일 공유에 데이터를 복사할 때 디렉터리 또는 파일 수준 ACL 유지를 지원합니다. Azure 파일 동기화 또는 일반적인 파일 이동 도구 집합을 사용하여 디렉터리 또는 파일의 ACL을 Azure 파일 공유에 복사할 수 있습니다. 예를 들어 robocopy/copy:s 플래그와 함께 사용하여 데이터와 ACL을 Azure 파일 공유로 복사할 수 있습니다. ACL은 기본적으로 유지되므로 사용자가 ACL을 유지하기 위해 스토리지 계정에서 ID 기반 인증을 사용하도록 설정할 필요는 없습니다.

용어 설명

Azure 파일 공유용 ID 기반 인증과 관련된 몇 가지 핵심 용어를 알고 있는 것이 좋습니다.

  • Kerberos 인증

    Kerberos는 사용자 또는 호스트의 ID를 확인하는 데 사용되는 인증 프로토콜입니다. Kerberos에 대한 자세한 내용은 Kerberos 인증 개요를 참조하세요.

  • SMB(서버 메시지 블록) 프로토콜

    SMB는 산업 표준 네트워크 파일 공유 프로토콜입니다. SMB에 대한 자세한 내용은 Microsoft SMB Protocol and CIFS Protocol Overview(Microsoft SMB 프로토콜 및 CIFS 프로토콜 개요)를 참조하세요.

  • Microsoft Entra ID

    Microsoft Entra ID(이전의 Azure AD)는 Microsoft의 다중 테넌트 클라우드 기반 디렉터리 및 ID 관리 서비스입니다. Microsoft Entra ID에서는 핵심 디렉터리 서비스, 애플리케이션 액세스 관리 및 ID 보호가 하나의 솔루션으로 결합되어 있습니다.

  • Microsoft Entra Domain Services

    Microsoft Entra Domain Services는 도메인 가입, 그룹 정책, LDAP, Kerberos/NTLM 인증 등 관리되는 도메인 서비스를 제공합니다. 이러한 서비스는 Active Directory Domain Services와 완벽하게 호환됩니다. 자세한 내용은 Microsoft Entra Domain Services를 참조하세요.

  • 온-프레미스 AD DS(Active Directory Domain Services)

    AD DS는 일반적으로 온-프레미스 환경 또는 클라우드 호스트 VM에서 기업에 의해 채택되며 AD DS 자격 증명이 액세스 제어를 위해 사용됩니다. 자세한 내용은 Active Directory Domain Services 개요를 참조하세요.

  • Azure RBAC(Azure 역할 기반 액세스 제어)

    Azure RBAC를 사용하면 Azure에 대한 액세스를 세부적으로 관리할 수 있습니다. Azure RBAC를 사용하면 사용자에게 작업을 수행하는 데 필요한 최소한의 권한을 부여하여 리소스에 대한 액세스를 관리할 수 있습니다. 자세한 내용은 Azure 역할 기반 액세스 제어가 무엇인가요?를 참조하세요.

  • 하이브리드 ID

    하이브리드 사용자 ID는 온-프레미스 Microsoft Entra Connect Sync 애플리케이션 또는 Microsoft Entra Connect 클라우드 동기화(Microsoft Entra Admin Center에서 설치할 수 있는 간단한 에이전트)를 사용하여 Microsoft Entra ID에 동기화되는 AD DS의 ID입니다.

다음 단계

자세한 내용은 다음을 참조하세요.