다음을 통해 공유

클라우드 변환 상태

  • 아티클

Active Directory, Microsoft Entra ID 및 기타 Microsoft 도구는 IAM(ID 및 액세스 관리)의 핵심입니다. 예를 들어 Active Directory에서 AD DS(Active Directory Domain Services) 및 Microsoft Configuration Manager는 장치 관리를 제공합니다. Microsoft Entra ID에서 Intune도 동일한 기능을 제공합니다.

대부분의 현대화, 마이그레이션 또는 제로 트러스트 이니셔티브의 일환으로 조직은 IAM 작업을 온-프레미스 또는 IaaS(Infrastructure-as-a-Service) 솔루션 사용에서 클라우드용으로 빌드된 솔루션 사용으로 전환합니다. Microsoft 제품 및 서비스를 사용하는 IT 환경의 경우 Active Directory 및 Microsoft Entra ID에서 역할을 수행합니다.

Active Directory에서 Microsoft Entra ID로 마이그레이션하는 많은 회사는 다음 다이어그램과 비슷한 환경에서 시작합니다. 이 다이어그램에서는 다음 세 가지 핵심 요소를 오버레이합니다.

  • 애플리케이션: 애플리케이션, 리소스 및 기본 도메인 조인 서버를 포함합니다.

  • 디바이스: 도메인 조인 클라이언트 디바이스에 중점을 둡니다.

  • 사용자 및 그룹: 거버넌스 및 정책 만들기를 위한 리소스 액세스 및 그룹 멤버 자격에 대한 사용자 및 워크로드 ID 및 특성을 나타냅니다.

애플리케이션, 디바이스 및 사용자의 핵심 요소에 포함된 일반 기술을 나타내는 아키텍처 다이어그램

Microsoft는 일반적으로 고객의 비즈니스 목표에 부합하는 5가지 변환 상태를 모델링했습니다. 고객의 목표가 성숙함에 따라 리소스 및 문화에 맞는 속도로 한 상태에서 다음 상태로 이동하는 것이 일반적입니다.

5개 상태에는 현재 환경의 위치를 확인하는 데 도움이 되는 종료 기준이 있습니다. 애플리케이션 마이그레이션과 같은 일부 프로젝트는 5가지 상태 모두에 걸쳐 있습니다. 다른 프로젝트는 단일 상태에 걸쳐 있습니다.

그런 다음, 콘텐츠는 사용자, 프로세스 및 기술에 대한 의도적인 변경을 지원하도록 구성된 더 자세한 지침을 제공합니다. 이 지침을 통해 다음을 수행할 수 있습니다.

  • Microsoft Entra 공간 확보

  • 클라우드 우선 접근 방식을 구현합니다.

  • Active Directory 환경에서 마이그레이션을 시작합니다.

이 지침은 위의 핵심 요소에 따라 사용자 관리, 장치 관리 및 애플리케이션 관리로 구성되어 있습니다.

Active Directory가 아닌 Microsoft Entra에서 구성된 조직에는 더 많은 기성 조직에서 경쟁해야 하는 레거시 온-프레미스 환경이 없습니다. 이러한 조직 또는 클라우드에서 IT 환경을 완전히 다시 만드는 고객의 경우 새 IT 환경이 구축됨에 따라 100% 클라우드 중심이 될 수 있습니다.

온-프레미스 IT 기능이 구축된 고객의 경우 변환 프로세스는 신중한 계획이 필요한 복잡성을 도입합니다. 또한 Active Directory와 Microsoft Entra ID는 서로 다른 IT 환경을 대상으로 하는 별도의 제품이므로 유사한 기능이 없습니다. 예를 들어 Microsoft Entra ID에는 Active Directory 도메인 및 포리스트 트러스트라는 개념이 없습니다.

5가지 변환 상태

엔터프라이즈급 조직에서 IAM 변환 또는 Active Directory에서 Microsoft Entra ID로의 변환은 일반적으로 여러 상태를 거치는 수년간의 작업입니다. 환경을 분석하여 현재 상태를 확인한 다음, 다음 상태에 대한 목표를 설정합니다. 목표는 Active Directory에 대한 필요성을 완전히 제거하거나 일부 기능을 Microsoft Entra ID로 마이그레이션하지 않고 그대로 유지하도록 결정하는 것일 수 있습니다.

상태는 변환을 완료하기 위한 여러 프로젝트로 이니셔티브를 논리적으로 그룹화합니다. 상태 전환 중에 중간 솔루션을 배치합니다. 중간 솔루션을 사용하면 IT 환경에서 Active Directory 및 Microsoft Entra ID 모두의 IAM 작업을 지원할 수 있습니다. 또한 중간 솔루션은 두 환경이 상호 운용되도록 지원해야 합니다.

다음 다이어그램은 5개 상태를 보여줍니다.

클라우드 연결, 하이브리드, 클라우드 우선, Active Directory 최소화 및 100% 클라우드의 5가지 네트워크 아키텍처를 보여 주는 다이어그램

참고 항목

이 다이어그램의 상태는 클라우드 변환의 논리적 진행을 나타냅니다. 한 상태에서 다음 상태로 이동하는 기능은 구현한 기능과 클라우드로 이동하는 해당 기능 내의 기능에 따라 달라집니다.

상태 1: 클라우드 연결

클라우드 연결 상태에서는 조직에서 Microsoft Entra 테넌트를 만들어 사용자 생산성 및 협업 도구를 사용하도록 설정했습니다. 이 테넌트는 완전히 작동합니다.

IT 환경에 Microsoft 제품 및 서비스를 사용하는 대부분의 회사는 이미 이 상태에 있거나 이 상태를 지났습니다. 이 상태에서는 유지 관리하고 상호 작용할 수 있는 온-프레미스 환경과 클라우드 환경이 있으므로 운영 비용이 더 높을 수 있습니다. 사용자와 조직을 지원하려면 두 환경 모두에 대한 전문 지식이 있어야 합니다.

이 상태의 특징은 다음과 같습니다.

  • 디바이스가 Active Directory에 조인되고 그룹 정책 또는 온-프레미스 장치 관리 도구를 통해 관리됩니다.
  • 사용자가 Active Directory에서 관리되고, 온-프레미스 ID 관리(IDM) 시스템을 통해 프로비전되며, Microsoft Entra Connect를 통해 Microsoft Entra ID와 동기화됩니다.
  • 앱이 WAM(웹 액세스 관리) 도구, Microsoft 365 또는 기타 도구(예: SiteMinder 및 Oracle Access Manager)를 통해 Active Directory 및 페더레이션 서버(예: AD FS(Active Directory Federation Services))에 인증됩니다.

상태 2: 하이브리드

하이브리드 상태에서는 조직에서 클라우드 기능을 통해 온-프레미스 환경을 개선하기 시작합니다. 복잡성을 줄이고, 보안 태세를 강화하고, 온-프레미스 환경의 공간을 줄이기 위한 솔루션을 계획할 수 있습니다.

전환하는 동안 그리고 이 상태에서 운영하는 동안 조직에서는 Microsoft Entra ID를 IAM 솔루션에 사용하기 위한 기술과 전문 지식을 구축합니다. 사용자 계정 및 디바이스 연결은 비교적 쉽고 일상적인 IT 작업의 일반적인 부분이므로 대부분 조직은 이 접근 방식을 사용했습니다.

이 상태의 특징은 다음과 같습니다.

  • Windows 클라이언트는 Microsoft Entra 하이브리드 조인됩니다.

  • SaaS(Software as a Service)를 기반으로 하는 타사 플랫폼이 Microsoft Entra ID와 통합되기 시작합니다. 예를 들어 Salesforce와 ServiceNow가 있습니다.

  • 레거시 앱에서 보안 하이브리드 액세스를 제공하는 애플리케이션 프록시 또는 파트너 솔루션을 통해 Microsoft Entra ID에 인증합니다.

  • 사용자에게 SSPR(셀프 서비스 암호 재설정) 및 암호 보호를 사용하도록 설정됩니다.

  • 일부 레거시 앱은 Microsoft Entra Domain Services 및 애플리케이션 프록시를 통해 클라우드에서 인증됩니다.

상태 3: 클라우드 우선

클라우드 우선 상태에서는 조직 전체의 팀에서 성공 추적 레코드를 구축하고 더 까다로운 워크로드를 Microsoft Entra ID로 이동하려는 계획을 시작합니다. 조직은 일반적으로 이 변환 상태에서 가장 많은 시간을 보냅니다. 시간이 지나면서 복잡성, 워크로드 수 및 Active Directory 사용이 증가함에 따라 조직은 클라우드로 전환하기 위한 작업과 이니셔티브 수를 늘려야 합니다.

이 상태의 특징은 다음과 같습니다.

  • 새 Windows 클라이언트가 Microsoft Entra ID에 조인되고 Intune을 통해 관리됩니다.
  • ECMA 커넥터가 온-프레미스 앱에 대한 사용자 및 그룹을 프로비전하는 데 사용됩니다.
  • 이전에 AD FS와 같은 AD DS 통합 페더레이션 ID 공급자를 사용한 모든 앱에서 Microsoft Entra ID를 인증에 사용하도록 업데이트됩니다. 해당 ID 공급자를 통한 암호 기반 인증을 Microsoft Entra ID에 사용했다면 암호 해시 동기화로 마이그레이션됩니다.
  • 파일 및 인쇄 서비스를 Microsoft Entra ID로 이동하려는 계획이 전개됩니다.
  • Microsoft Entra ID는 B2B(기업 간) 협업 기능을 제공합니다.
  • 새 그룹이 만들어져 Microsoft Entra ID에서 관리됩니다.

상태 4: Active Directory 최소화

Microsoft Entra ID는 대부분의 IAM 기능을 제공하지만, 에지 사례 및 예외는 온-프레미스 Active Directory를 계속 사용합니다. Active Directory 최소화 상태는 특히 온-프레미스 기술 문제가 많은 대규모 조직의 경우 달성하기가 더 어렵습니다.

조직의 변환이 성숙함에 따라 Microsoft Entra ID는 계속 발전하여 사용할 수 있는 새로운 기능과 도구를 제공합니다. 조직은 기능을 사용 중단하거나 새 기능을 빌드하여 대체 기능을 제공해야 합니다.

이 상태의 특징은 다음과 같습니다.

  • HR 프로비전 기능을 통해 프로비전된 새 사용자가 Microsoft Entra ID에 직접 만들어집니다.

  • Active Directory를 사용하고 향후 상태의 Microsoft Entra 환경에 대한 비전에 포함된 앱을 이동하려는 계획이 실행되고 있습니다. 이동하지 않는 서비스(파일, 인쇄 또는 팩스 서비스)를 대체하는 계획이 준비되어 있습니다.

  • 온-프레미스 워크로드가 Windows Virtual Desktop, Azure Files 또는 Universal Print와 같은 클라우드 대안으로 대체되었습니다. Azure SQL Managed Instance는 SQL Server를 대체합니다.

상태 5: 100% 클라우드

100% 클라우드 상태에서는 Microsoft Entra ID 및 기타 Azure 도구에서 모든 IAM 기능을 제공합니다. 이 상태는 많은 조직에서 장기적으로 추구하는 상태입니다.

이 상태의 특징은 다음과 같습니다.

  • 온-프레미스 IAM 공간이 필요하지 않습니다.

  • 모든 디바이스가 Microsoft Entra ID에서 관리되거나 Intune과 같은 클라우드 솔루션에서 관리됩니다.

  • 사용자 ID 수명 주기는 Microsoft Entra ID를 통해 관리됩니다.

  • 모든 사용자와 그룹은 클라우드 네이티브입니다.

  • Active Directory를 사용하는 네트워크 서비스가 재배치됩니다.

변환 유추

상태 간 변환은 다음과 같은 이동 위치와 유사합니다.

  1. 새 위치 설정: 대상을 구매하고 현재 위치와 새 위치 간의 연결을 설정합니다. 이러한 작업을 통해 생산성과 운영 능력을 유지할 수 있습니다. 자세한 내용은 Microsoft Entra 공간 확보를 참조하세요. 결과가 상태 2로 전환됩니다.

  2. 이전 위치의 새 항목 제한: 이전 위치에 대한 투자를 중지하고, 새 항목을 새 위치에 스테이징하는 정책을 설정합니다. 자세한 내용은 클라우드 우선 접근 방식 구현을 참조하세요. 이러한 작업은 규모에 맞게 마이그레이션하고 상태 3에 도달할 수 있는 기반을 설정합니다.

  3. 기존 항목을 새 위치로 이동: 항목을 이전 위치에서 새 위치로 이동합니다. 항목의 비즈니스 가치를 평가하여 항목을 있는 그대로 이동할지, 업그레이드할지, 교체할지 아니면 사용 중단할지 여부를 결정합니다. 자세한 내용은 클라우드로 전환을 참조하세요.

    이러한 작업을 통해 상태 3을 완료하고 상태 4 및 5에 도달할 수 있습니다. 비즈니스 목표에 따라 목표로 삼을 최종 상태를 결정합니다.

클라우드로의 전환은 ID 팀의 책임만이 아닙니다. 조직에서 기술과 함께 사용자와 프로세스 변경을 포함하는 정책을 정의하기 위해 팀 간에 조정해야 합니다. 조정된 접근 방식을 사용하면 일관된 진행을 보장하고 온-프레미스 솔루션으로 회귀하는 위험을 줄일 수 있습니다. 다음을 관리하는 팀을 참여시킵니다.

  • 디바이스/엔드포인트
  • 네트워크
  • 보안/위험
  • 애플리케이션 소유자
  • 인적 자원
  • 협업
  • 조달
  • 작업

높은 수준의 경험

조직에서 IAM을 Microsoft Entra ID로 마이그레이션하기 시작하면 특정 요구 사항에 따라 작업의 우선 순위를 결정해야 합니다. 운영 직원과 지원 직원은 새로운 환경에서 작업을 수행할 수 있도록 교육을 받아야 합니다. 다음 차트에서는 Active Directory에서 Microsoft Entra ID로 마이그레이션하기 위한 대략적인 과정을 보여 줍니다.

Active Directory에서 Microsoft Entra ID로 마이그레이션하는 세 가지 주요 마일스톤(Microsoft Entra 기능 설정, 클라우드 우선 접근 방식 구현, 워크로드를 클라우드로 이동)을 보여 주는 차트입니다.

  • Microsoft Entra 공간 확보: 최종 상태 배포에 대한 비전을 지원하기 위해 새 Microsoft Entra 테넌트를 초기화합니다. 여정의 초기에 온-프레미스 손상으로부터 테넌트를 보호하는 제로 트러스트 접근 방식 및 보안 모델을 채택합니다.

  • 클라우드 우선 접근 방식 구현: 모든 새 디바이스, 앱 및 서비스가 클라우드 우선이어야 한다는 정책을 설정합니다. 레거시 프로토콜(예: NTLM, Kerberos 또는 LDAP)을 사용하는 새 애플리케이션 및 서비스는 예외로만 사용해야 합니다.

  • 클라우드로 전환: 사용자, 앱 및 디바이스의 관리 및 통합을 온-프레미스에서 클라우드 우선 대안으로 전환합니다. Microsoft Entra ID와 통합되는 클라우드 우선 프로비전 기능을 활용하여 사용자 프로비전을 최적화합니다.

변환은 사용자가 작업을 수행하는 방법과 지원 팀에서 사용자 지원을 제공하는 방법을 변경합니다. 조직은 사용자 생산성에 미치는 영향을 최소화하는 방식으로 이니셔티브 또는 프로젝트를 설계하고 구현해야 합니다.

변환의 일환으로 조직에서 셀프 서비스 IAM 기능을 도입합니다. 일부 인력은 클라우드 기반 비즈니스에서 널리 사용되는 셀프 서비스 사용자 환경에 더 쉽게 적응합니다.

클라우드 기반 IT 환경에서 제대로 작동하려면 오래된 애플리케이션을 업데이트하거나 교체해야 할 수 있습니다. 애플리케이션 업데이트 또는 교체는 비용이 많이 들고 시간이 오래 걸릴 수 있습니다. 계획 및 기타 단계에서도 조직의 애플리케이션에 대한 수명과 기능을 고려해야 합니다.

다음 단계