Microsoft Entra Domain Services 설명
Contoso IT 팀은 도메인 구성원인 컴퓨터 및 디바이스에 여러 LOB(기간 업무) 애플리케이션을 배포합니다. Contoso는 인증에 AD DS 기반 자격 증명을 사용하고 관련 디바이스 및 앱 관리에 GPO를 사용합니다. 이제 이들은 Azure에서 실행할 앱을 이동하는 것을 고려하고 있습니다. 주요 문제는 관련 앱에 인증 서비스를 제공하는 방법입니다.
해당 요구를 충족하기 위해 Contoso IT 팀은 다음을 선택할 수 있습니다.
- 로컬 인프라와 Azure IaaS 사이에 사이트 간 VPN(가상 사설망)을 구현합니다.
- 로컬 AD DS에서 복제본 도메인 컨트롤러를 VM 형태로 Azure에 배포합니다.
그러나 이러한 접근 방식에는 추가적인 비용과 관리 작업이 수반될 수 있습니다. 또한 두 방법의 차이점은 첫 번째 옵션의 경우 인증 트래픽이 VPN을 통과하며, 두 번째 옵션의 경우 복제 트래픽이 VPN을 통과하고 인증 트래픽이 클라우드에 남는다는 것입니다. Microsoft는 이러한 방식에 대한 대안으로 Microsoft Entra Domain Services를 제공합니다.
Microsoft Entra Domain Services란?
Microsoft Entra ID P1 또는 P2 계층의 일부로 실행되는 Microsoft Entra Domain Services는 그룹 정책 관리, 도메인 가입, Kerberos 인증과 같은 도메인 서비스를 Microsoft Entra 테넌트에 제공합니다. 해당 서비스는 온-프레미스 AD DS와 완전히 호환되므로 클라우드에서 추가 도메인 컨트롤러를 배포하고 관리할 필요 없이 사용할 수 있습니다.
Microsoft Entra ID는 온-프레미스 AD DS와 통합될 수 있으므로 Microsoft Entra Connect를 구현하면 사용자는 온-프레미스 AD DS와 Microsoft Entra Domain Services 모두에서 조직 자격 증명을 활용할 수 있습니다. AD DS를 로컬에 배포하지 않은 경우에도 Microsoft Entra Domain Services를 클라우드 전용 서비스로 사용하도록 선택할 수 있습니다. 이를 통해 온-프레미스 또는 클라우드에 단일 도메인 컨트롤러를 배포할 필요 없이 로컬로 배포된 AD DS에서와 유사한 기능을 사용할 수 있습니다.
예를 들어, Contoso IT 담당자는 Microsoft Entra 테넌트를 만들고 Microsoft Entra Domain Services를 사용하도록 설정한 다음 온-프레미스 리소스와 Microsoft Entra 테넌트 간에 VNet(가상 네트워크)를 배포하도록 선택할 수 있습니다. Contoso IT 담당자는 모든 온-프레미스 사용자 및 서비스가 Microsoft Entra ID의 도메인 서비스를 사용할 수 있도록 이 VNet에 대해 Microsoft Entra Domain Services를 사용하도록 설정할 수 있습니다.
Microsoft Entra Domain Services는 조직에 다음과 같은 여러 가지 이점을 제공합니다.
- 관리자가 도메인 컨트롤러를 관리, 업데이트 및 모니터링할 필요가 없습니다.
- 관리자가 Active Directory 복제본을 배포하고 관리할 필요가 없습니다.
- Microsoft Entra Domain Services가 관리하는 도메인에 대해서는 도메인 관리자 또는 엔터프라이즈 관리자 그룹이 필요하지 않습니다.
Microsoft Entra Domain Services를 구현하기로 선택한 경우 서비스의 현재 제한 사항을 이해해야 합니다. 여기에는 다음이 포함됩니다.
- 기본 컴퓨터 Active Directory 개체만 지원됩니다.
- Microsoft Entra Domain Services 도메인에 대한 스키마를 확장하는 것은 불가능합니다.
- OU 구조는 플랫이며 OU 중첩은 현재 지원되지 않습니다.
- 컴퓨터 및 사용자 계정을 위한 기본 제공 GPO가 있습니다.
- 기본 제공 GPO를 사용하는 OU는 대상으로 할 수 없습니다. 또한 WMI(Windows Management Instrumentation) 필터 또는 보안 그룹 필터링을 사용할 수 없습니다.
Microsoft Entra Domain Services를 사용하면 LDAP, NTLM(NT LAN Manager) 또는 Kerberos 프로토콜을 사용하는 애플리케이션을 온-프레미스 인프라에서 클라우드로 자유롭게 마이그레이션할 수 있습니다. VM에 Microsoft SQL Server 또는 SharePoint Server와 같은 애플리케이션을 사용하거나 Azure IaaS에 배포할 수도 있습니다. 클라우드의 도메인 컨트롤러 또는 로컬 인프라에 대한 VPN이 필요하지 않습니다. 다음 표에서는 Microsoft Entra Domain Services를 활용하는 몇 가지 일반적인 시나리오를 식별합니다.
| 장점 | 설명 |
|---|---|
| Azure VM의 보안 관리 | Azure VM을 Microsoft Entra Domain Services 관리되는 도메인에 조인하면 단일 Active Directory 자격 증명 집합을 사용할 수 있습니다. 해당 접근 방식은 각 VM의 로컬 관리자 계정의 유지 관리 또는 환경마다 다른 계정 및 암호와 같은 자격 증명 관리 문제를 줄여 줍니다. Microsoft Entra Domain Services 관리되는 도메인에 조인한 VM을 관리하고 보호할 수 있습니다. 또한 VM에 필요한 보안 기준을 적용할 수 있으며 회사 보안 지침에 따라 잠글 수 있습니다. 예를 들어 그룹 정책 관리 기능을 사용하여 이러한 VM에서 시작될 수 있는 애플리케이션 종류를 제한할 수 있습니다. |
| LDAP 바인딩 인증을 사용하는 온-프레미스 애플리케이션 | 이 시나리오에서 Microsoft Entra Domain Services를 사용하면 애플리케이션이 인증 프로세스의 일부로 LDAP 바인딩을 수행할 수 있습니다. 레거시 온-프레미스 애플리케이션을 Azure로 리프트 앤 시프트하면 구성 또는 사용자 환경을 변경하지 않고 계속해서 원활하게 사용자를 인증할 수 있습니다. |
| LDAP 읽기를 사용하여 디렉터리에 액세스하는 온-프레미스 애플리케이션 | 이 시나리오에서는 Microsoft Entra Domain Services를 통해 애플리케이션이 관리되는 도메인에 대해 LDAP 읽기를 수행하여 필요한 특성 정보를 검색할 수 있습니다. 애플리케이션을 다시 작성하지 않아도 되므로 Azure로 리프트 앤 시프트하면 앱의 실행 위치가 바뀌더라도 사용자가 앱을 계속 사용할 수 있습니다. |
| 온-프레미스 서비스 또는 디먼 애플리케이션 | 일부 애플리케이션에는 계층 중 하나가 데이터베이스와 같은 백 엔드 계층에 대해 인증된 호출을 수행해야 하는 여러 계층이 포함되어 있습니다. 해당 시나리오에서는 Active Directory 서비스 계정이 일반적으로 사용됩니다. 애플리케이션을 Azure로 리프트 앤 시프트하는 경우 Microsoft Entra Domain Services에서 동일한 방식으로 서비스 계정을 계속 사용할 수 있습니다. 온-프레미스 디렉터리에서 Microsoft Entra ID로 동기화되는 동일한 서비스 계정을 사용하도록 선택하거나 사용자 지정 OU를 만든 다음 해당 OU에 별도의 서비스 계정을 만들 수 있습니다. 어느 방법을 사용하든 애플리케이션은 다른 계층 및 서비스에 대해 인증된 호출을 수행하기 위해 계속해서 동일한 방식으로 작동합니다. |
| Azure의 원격 데스크톱 서비스 | Microsoft Entra Domain Services를 사용하여 Azure에 배포된 원격 데스크톱 서버에 관리되는 도메인 서비스를 제공할 수도 있습니다. |
고려 사항
이전 시나리오를 구현할 때 다음 배포 고려 사항이 적용됩니다.
- Microsoft Entra Domain Services 관리되는 도메인은 기본적으로 단일 플랫 OU 구조를 사용합니다. 모든 도메인 조인 VM은 단일 OU에 있습니다. 원하는 경우 사용자 지정 OU를 만들 수 있습니다.
- Microsoft Entra Domain Services는 개별 사용자 및 컴퓨터 컨테이너에 기본 제공 GPO를 사용합니다. 추가 제어를 위해 사용자 지정 GPO를 만들고 이를 사용자 지정 OU의 대상으로 지정할 수 있습니다.
- Microsoft Entra Domain Services는 기본 Active Directory 컴퓨터 개체 스키마를 지원합니다. 그러나 컴퓨터 개체의 스키마를 확장할 수는 없습니다.
- Microsoft Entra Domain Services 관리되는 도메인에서는 직접 암호를 변경할 수 없습니다. 최종 사용자는 Microsoft Entra ID의 셀프 서비스 암호 변경 메커니즘을 사용하거나 온-프레미스 디렉터리에 대해 암호를 변경할 수 있습니다. 이러한 변경 내용은 자동으로 동기화되어 Microsoft Entra Domain Services 관리되는 도메인에서 사용할 수 있습니다.
또한 확인할 사항은 다음과 같습니다.
- 모든 애플리케이션은 LDAP 디렉터리를 수정하거나 쓸 필요가 없습니다. Microsoft Entra Domain Services 관리되는 도메인에 대한 LDAP 쓰기 권한은 지원되지 않습니다.
- 애플리케이션에는 사용자 지정/확장 Active Directory 스키마가 필요하지 않습니다. 스키마 확장은 Microsoft Entra Domain Services에서 지원되지 않습니다.
- 애플리케이션은 인증에 사용자 이름과 암호를 사용합니다. 인증서 또는 스마트 카드 기반 인증은 Microsoft Entra Domain Services에서 지원되지 않습니다.