Microsoft Entra Domain Services 검사

  • 4분

현재 대부분의 조직에서 LOB(기간 업무) 애플리케이션은 도메인 구성원인 컴퓨터와 디바이스에 배포됩니다. 이러한 조직은 인증에 AD DS 기반 자격 증명을 사용하고 그룹 정책에서 이를 관리합니다. Azure에서 이러한 앱을 실행하도록 이동시키고자 할 때 중요한 문제는 앱에 인증 서비스를 제공하는 방법입니다. 이러한 요구 사항을 충족하기 위해 로컬 인프라와 Azure IaaS 간에 사이트 간 VPN(가상 사설망)을 구현하거나 Azure에서 로컬 AD DS의 복제본 도메인 컨트롤러를 VM(가상 머신)으로 배포할 수 있습니다. 그러나 이 방식 때문에 비용과 관리 작업이 추가적으로 수반될 수 있습니다. 또한 두 방법에는 차이점이 있습니다. 첫 번째 옵션의 경우 인증 트래픽이 VPN을 통과하며, 두 번째 옵션의 경우 복제 트래픽이 VPN을 통과하고 인증 트래픽이 클라우드에 남습니다.

Microsoft는 이러한 방식에 대한 대안으로 Microsoft Entra Domain Services를 제공합니다. Microsoft Entra ID P1 또는 P2 계층의 일부로 실행되는 이 서비스는 그룹 정책 관리, 도메인 가입, Kerberos 인증과 같은 도메인 서비스를 Microsoft Entra 테넌트에 제공합니다. 해당 서비스는 로컬로 배포된 AD DS와 완전히 호환되므로 클라우드에서 추가 도메인 컨트롤러를 배포하고 관리할 필요 없이 사용할 수 있습니다.

Microsoft Entra Domain Services 개요를 보여 주는 다이어그램.

Microsoft Entra ID는 로컬 AD DS와 통합될 수 있으므로 Microsoft Entra Connect를 구현하면 사용자는 온-프레미스 AD DS와 Microsoft Entra Domain Services 모두에서 조직 자격 증명을 활용할 수 있습니다. AD DS를 로컬에 배포하지 않은 경우에도 Microsoft Entra Domain Services를 클라우드 전용 서비스로 사용하도록 선택할 수 있습니다. 이를 통해 온-프레미스 또는 클라우드에 단일 도메인 컨트롤러를 배포할 필요 없이 로컬로 배포된 AD DS에서와 유사한 기능을 사용할 수 있습니다. 예를 들어, 조직은 Microsoft Entra 테넌트를 만들고 Microsoft Entra Domain Services를 사용하도록 설정한 다음 온-프레미스 리소스와 Microsoft Entra 테넌트 간에 가상 네트워크를 배포하도록 선택할 수 있습니다. 모든 온-프레미스 사용자 및 서비스가 Microsoft Entra ID의 도메인 서비스를 사용할 수 있도록 이 가상 네트워크에 대해 Microsoft Entra Domain Services를 사용하도록 설정할 수 있습니다.

Microsoft Entra Domain Services는 조직에 다음과 같은 여러 가지 이점을 제공합니다.

  • 관리자가 도메인 컨트롤러를 관리, 업데이트, 모니터링할 필요가 없습니다.
  • 관리자가 Active Directory 복제본을 배포하고 관리할 필요가 없습니다.
  • Microsoft Entra ID가 관리하는 도메인에 대해서는 도메인 관리자 또는 엔터프라이즈 관리자 그룹이 필요하지 않습니다.

Microsoft Entra Domain Services를 구현하도록 선택하는 경우 서비스의 현재 제한 사항을 알고 있어야 합니다. 여기에는 다음이 포함됩니다.

  • 기본 컴퓨터 Active Directory 개체만 지원됩니다.
  • Microsoft Entra Domain Services 도메인에 대한 스키마를 확장하는 것은 불가능합니다.
  • OU(조직 구성 단위) 구조는 수평적이며 중첩된 OU는 현재 지원되지 않습니다.
  • 기본으로 제공되는 GPO(그룹 정책 개체)가 있으며 컴퓨터와 사용자 계정에 대해 존재합니다.
  • 기본 제공 GPO를 사용하는 OU를 대상으로 할 수 없습니다. 또한 WMI(Windows Management Instrumentation) 필터 또는 보안 그룹 필터링을 사용할 수 없습니다.

Microsoft Entra Domain Services를 사용하면 LDAP, NTLM 또는 Kerberos 프로토콜을 사용하는 애플리케이션을 온-프레미스 인프라에서 클라우드로 자유롭게 마이그레이션할 수 있습니다. 클라우드의 도메인 컨트롤러 또는 로컬 인프라에 대한 VPN이 없어도 Microsoft SQL Server나 Microsoft SharePoint Server와 같은 애플리케이션을 VM에서 사용하거나 Azure IaaS에 배포할 수도 있습니다.

Azure Portal을 사용하여 Microsoft Entra Domain Services를 사용하도록 설정할 수 있습니다. 이 서비스는 디렉터리 크기에 따라 시간당 요금이 청구됩니다.