Microsoft Entra 통합 모델 선택
Microsoft Entra ID는 클라우드 기반 및 웹 기반 애플리케이션을 위해 설계된 디렉터리 서비스로, 기존 AD DS 배포와 일부 기능을 공유합니다. Contoso IT 팀은 Microsoft Entra ID를 구현하고 온-프레미스 ID를 클라우드에 동기화할 수 있습니다. 이러한 단계를 통해 Contoso 직원은 SSO를 사용하여 온-프레미스 리소스 및 Azure 테넌트의 관련 리소스에 모두 액세스할 수 있습니다.
IT 팀은 Microsoft Entra ID를 사용하여 직원 생산성을 높이고, IT 프로세스를 간소화하며, 다양한 클라우드 서비스 채택을 위한 보안을 강화할 수 있습니다. Contoso의 직원은 단일 사용자 계정을 사용하여 온라인 애플리케이션에 액세스할 수 있습니다. Contoso는 잘 알려진 Windows PowerShell cmdlet을 사용하여 중앙 사용자 관리를 수행할 수도 있습니다. Microsoft Entra ID는 설계상 확장성과 가용성이 뛰어나므로 IT 팀이 관련 인프라를 유지 관리하거나 재해 복구에 대해 걱정할 필요가 없다는 점도 주목할 가치가 있습니다.
Azure의 구성 요소인 Microsoft Entra ID는 클라우드 서비스에 대한 전체 액세스 전략의 일부로 다단계 인증을 지원하여 추가 보안 계층을 제공할 수 있습니다. RBAC(역할 기반 액세스 제어), 셀프 서비스 암호, 그룹 관리 및 디바이스 등록을 통한 엔터프라이즈급 ID 관리 솔루션을 제공합니다. Microsoft Entra ID는 위협을 보다 효율적으로 인식하는 데 도움이 되는 향상된 보고 및 경고 외에도 고급 ID 보호 기능도 제공합니다.
Microsoft Entra ID 개요
Microsoft Entra ID는 PaaS(서비스 제품 플랫폼) 제품의 일부이며 클라우드에서 Microsoft 관리 디렉터리 서비스로 작동합니다. 고객이 소유하고 관리하는 핵심 인프라에 속하지 않으며 IaaS 제품도 아닙니다. 구현에 대한 통제력이 줄어들지만 배포 또는 유지 관리에 리소스를 전담시킬 필요가 없음을 의미하기도 합니다.
Microsoft Entra ID를 사용하면 다단계 인증, ID 보호, 셀프 서비스 암호 재설정 지원 등 AD DS에서 기본적으로 사용할 수 없는 기능 집합에도 액세스할 수 있습니다. Microsoft Entra ID를 사용하면 다음과 같은 방법으로 조직 및 개인에게 클라우드 기반 리소스에 대한 보다 안전한 액세스를 제공할 수 있습니다.
- 애플리케이션에 대한 액세스 구성.
- 클라우드 기반 SaaS 애플리케이션에 대한 SSO 구성.
- 사용자 및 그룹 관리.
- 사용자 프로비저닝.
- 조직 간 페더레이션 사용.
- ID 관리 솔루션 제공.
- 비정상적인 로그인 활동을 식별.
- 다단계 인증을 구성합니다.
- 기존 온-프레미스 Active Directory 구현을 Microsoft Entra ID로 확장합니다.
- 클라우드 및 로컬 애플리케이션에 대한 애플리케이션 프록시 구성.
- 사용자 및 디바이스에 대한 조건부 액세스 구성.
Microsoft Entra 테넌트
온-프레미스 AD DS와 달리 Microsoft Entra ID는 설계상 다중 테넌트이며 개별 디렉터리 인스턴스 간의 격리를 보장하기 위해 특별히 구현되었습니다. 이는 세계에서 가장 큰 다중 테넌트 디렉터리로, 100만 개의 디렉터리 서비스 인스턴스를 호스팅하고 있으며, 여기서 매주 10억 건의 인증 요청이 이루어지고 있습니다. 이 컨텍스트에서 테넌트라는 용어는 일반적으로 각각 Microsoft Entra ID를 사용하는 Microsoft 365, Microsoft Intune 또는 Azure와 같은 Microsoft 클라우드 기반 서비스 구독에 등록한 회사 또는 조직을 나타냅니다.
그러나 기술적인 관점에서 볼 때 테넌트라는 용어는 개별 Microsoft Entra 인스턴스를 나타냅니다. Azure 구독 내에서 여러 Microsoft Entra 테넌트를 만들 수 있습니다. 다른 테넌트에 영향을 주지 않고 한 테넌트에서 Microsoft Entra 기능을 테스트하려는 경우 여러 Microsoft Entra 테넌트를 갖는 것이 편리할 수 있습니다.
참고 항목
언제든지 Azure 구독은 하나의 Microsoft Entra 테넌트에만 연결되어야 합니다. 그러나 동일한 Microsoft Entra 테넌트를 여러 Azure 구독과 연결할 수 있습니다.
각 Microsoft Entra 테넌트에는 고유한 접두사로 구성된 기본 DNS 도메인 이름이 할당됩니다. 접두사는 Azure 구독을 만드는 데 사용하는 Microsoft 계정의 이름에서 파생되거나 Microsoft Entra 테넌트를 만들 때 명시적으로 제공되며, 뒤에 onmicrosoft.com 접미사가 옵니다. 동일한 Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가하는 것이 가능하며, 그렇게 하는 것이 일반적입니다. 이름에는 해당 회사 또는 조직이 소유한 DNS 도메인 네임스페이스를 활용합니다(예: Contoso.com). Microsoft Entra 테넌트는 사용자, 그룹, 애플리케이션과 같은 Microsoft Entra 개체에 대한 보안 경계 및 컨테이너 역할을 합니다.
Microsoft Entra ID의 특징
Microsoft Entra ID는 AD DS와 유사점이 많지만 차이점도 많습니다. Microsoft Entra ID를 사용하는 것은 Azure VM에 AD DS 도메인 컨트롤러를 배포한 다음 온-프레미스 도메인에 추가하는 것과는 다르다는 점을 인식해야 합니다.
Microsoft Entra ID를 AD DS와 비교할 때 AD DS와 다른 Microsoft Entra 특성을 알아두는 것이 중요합니다.
- Microsoft Entra ID는 주로 ID 솔루션으로, HTTP(포트 80) 및 HTTPS(포트 443) 통신을 사용하여 인터넷 기반 애플리케이션용으로 설계되었습니다.
- Microsoft Entra ID는 다중 테넌트 디렉터리 서비스입니다.
- Microsoft Entra 사용자 및 그룹은 플랫 구조로 만들어지며 OU(조직 구성 단위) 또는 GPO(그룹 정책 개체)가 없습니다.
- LDAP를 사용하여 Microsoft Entra ID를 쿼리할 수 없습니다. 대신 Microsoft Entra ID는 HTTP 및 HTTPS를 통해 REST API를 사용합니다.
- Microsoft Entra ID는 Kerberos 인증을 사용하지 않는 대신 인증에 SAML(Security Assertion Markup Language), WS-Federation(Web Services Federation) 및 OpenID Connect와 같은 HTTP 및 HTTPS 프로토콜을 사용합니다. 또한 권한 부여에 OAuth(Open Authorization)를 사용합니다.
- Microsoft Entra ID에는 페더레이션된 서비스가 포함되어 있고 많은 타사 서비스가 Microsoft Entra ID와 페더레이션되며 Microsoft Entra ID를 신뢰합니다.
Microsoft Entra 통합 옵션
AD DS와 같은 온-프레미스 디렉터리가 없는 소규모 조직은 Microsoft Entra ID를 인증 및 권한 부여 서비스로 전적으로 사용할 수 있습니다. 그러나 이러한 조직의 수는 여전히 적으므로 대부분의 회사는 온-프레미스 AD DS를 Microsoft Entra ID와 통합하는 방법을 검색합니다. Microsoft는 AD DS를 Azure와 통합하기 위한 여러 옵션을 제공하는 Microsoft Entra ID를 통해 클라우드 규모 ID 및 액세스 관리를 제공합니다. 이 옵션에 대한 자세한 내용은 다음 표를 참조하십시오.
| 옵션 | 설명 |
|---|---|
| Azure로 온-프레미스 AD DS 확장 | 이 옵션을 사용하면 Azure에서 VM을 호스트한 다음 온-프레미스 AD DS에서 도메인 컨트롤러로 승격할 수 있습니다. |
| 온-프레미스 AD DS를 Microsoft Entra ID와 동기화 | 디렉터리 동기화는 사용자, 그룹 및 연락처 정보를 Microsoft Entra ID에 전파하고 해당 정보를 동기화된 상태로 유지합니다. 이 시나리오에서는 사용자가 다른 암호를 활용하여 클라우드 및 온-프레미스 리소스에 액세스하며, 인증 프로세스가 별도로 마련되어 있습니다. |
| 암호 해시 동기화를 사용하여 AD DS를 Microsoft Entra ID와 동기화 | 이 방식에서 온-프레미스 AD DS는 개체를 Microsoft Entra ID와 동기화할 뿐만 아니라 사용자 개체에 대한 암호 해시도 Microsoft Entra ID로 보냅니다. 이 옵션을 사용하면 사용자는 현재 온-프레미스 로그인과 동일한 암호를 제공하여 Microsoft Entra ID 인식 애플리케이션 및 리소스에 액세스할 수 있습니다. 이 접근 방식은 최종 사용자에게 동일한 로그인 환경을 제공합니다. |
| 온-프레미스 AD DS와 Microsoft Entra ID 간에 SSO 구현 | 이 옵션은 가장 광범위한 통합 기능을 지원하며 사용자가 온-프레미스 AD DS를 통해 인증한 후 Azure에 로그인할 수 있도록 합니다. 이 기능을 제공하는 기술을 페더레이션이라 하며 AD FS(Active Directory Federation Services)를 사용하여 페더레이션을 구현할 수 있습니다. AD FS는 웹 애플리케이션 프록시 서버 역할 서비스의 형식을 사용하는 페더레이션 서버 및 프록시를 활용합니다. AD FS를 배포하는 대신 AD FS와 거의 동일한 결과를 제공하는 통과 인증 기술을 사용할 수도 있습니다. 그러나 Azure AD는 웹 애플리케이션 프록시를 사용하지 않으며, AD FS보다 덜 복잡한 인프라를 필요로 합니다. |
Microsoft Entra 디렉터리는 온-프레미스 디렉터리의 확장이 아닙니다. 오히려 동일한 개체와 ID를 포함하는 복사본입니다. 온-프레미스에서 이러한 항목에 대한 변경 내용은 Microsoft Entra ID에 복사되지만 Microsoft Entra ID의 변경 내용은 온-프레미스 도메인에 다시 복제되지 않습니다.
팁
온-프레미스 디렉터리를 사용하지 않고도 Microsoft Entra ID를 사용할 수도 있습니다. 이 경우 Microsoft Entra ID는 온-프레미스 디렉터리에서 복제된 데이터를 포함하는 대신 모든 ID 정보의 기본 출처 역할을 합니다.