다음을 통해 공유


Azure 랜딩 존에서 Active Directory 및 Microsoft Entra ID를 사용한 하이브리드 ID

이 문서에서는 Azure 랜딩 존에 대한 Microsoft Entra ID 및 하이브리드 ID를 디자인하고 구현하는 방법에 대한 지침을 제공합니다.

클라우드에서 작동하는 조직에는 사용자 ID 및 리소스에 대한 액세스를 관리하기 위한 디렉터리 서비스가 필요합니다. Microsoft Entra ID는 사용자 및 그룹을 관리하는 강력한 기능을 제공하는 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID를 독립 실행형 ID 솔루션으로 사용하거나 Microsoft Entra Domain Services 인프라 또는 AD DS(온-프레미스 Active Directory Domain Services) 인프라와 통합할 수 있습니다.

Microsoft Entra ID는 Azure 및 Microsoft 365 서비스에 대한 최신 보안 ID 및 액세스 관리를 제공합니다. 다양한 조직 및 워크로드에 Microsoft Entra ID를 사용할 수 있습니다. 예를 들어 온-프레미스 AD DS 인프라와 클라우드 기반 워크로드가 있는 조직은 Microsoft Entra ID와 디렉터리 동기화를 사용할 수 있습니다. 디렉터리 동기화를 통해 온-프레미스 및 클라우드 환경에서 일관된 ID, 그룹 및 역할 집합을 공유할 수 있습니다. 레거시 인증 메커니즘이 필요한 애플리케이션은 클라우드의 관리되는 도메인 서비스에 대한 Domain Services를 필요로 하고 온-프레미스 AD DS 인프라를 Azure로 확장해야 할 수 있습니다.

클라우드 기반 ID 관리는 반복적인 프로세스입니다. 초기 배포를 위한 작은 사용자 집합과 해당 역할이 있는 클라우드 네이티브 솔루션으로 시작할 수 있습니다. 마이그레이션이 성숙함에 따라 디렉터리 동기화를 사용하여 ID 솔루션을 통합하거나 클라우드 배포의 일부로 클라우드 호스팅 도메인 서비스를 추가해야 할 수 있습니다.

워크로드 인증 요구 사항 및 기타 요구 사항(예: 조직 ID 전략 및 보안 요구 사항 변경 또는 다른 디렉터리 서비스와의 통합)에 따라 시간이 지남에 따라 ID 솔루션을 조정합니다. Windows Server Active Directory 솔루션을 평가할 때 Windows Server에서 Microsoft Entra ID, Domain Services 및 AD DS 간의 차이점을 이해합니다.

자세한 내용은 ID 결정 가이드를 참조 하세요.

Azure 랜딩 존의 ID 및 액세스 관리 서비스

플랫폼 팀은 ID 및 액세스 관리 관리를 담당합니다. ID 및 액세스 관리 서비스는 조직 보안의 기본 사항입니다. 조직에서는 Microsoft Entra ID를 사용하여 관리 액세스를 제어하고 플랫폼 리소스를 보호할 수 있습니다. 이 방법을 사용하면 플랫폼 팀 외부의 사용자가 구성을 변경하거나 Microsoft Entra ID에 포함된 보안 주체를 변경할 수 없습니다.

AD DS 또는 Domain Services를 사용하는 경우 도메인 컨트롤러를 무단 액세스로부터 보호해야 합니다. 도메인 컨트롤러는 공격에 매우 취약하며 엄격한 보안 제어 및 애플리케이션 워크로드와 분리되어야 합니다.

플랫폼 관리 그룹에 있는 ID 구독에 도메인 컨트롤러 및 관련 구성 요소(예: Microsoft Entra Connect 서버)를 배포합니다. 도메인 컨트롤러는 애플리케이션 팀에 위임되지 않습니다. 이러한 격리를 통해 애플리케이션 소유자는 ID 서비스를 유지 관리하지 않고도 ID 서비스를 사용할 수 있으므로 ID 및 액세스 관리 서비스에 대한 손상 위험이 줄어듭니다. ID 플랫폼 구독의 리소스는 클라우드 및 온-프레미스 환경에 중요한 보안 지점입니다.

애플리케이션 소유자가 워크로드 요구 사항에 맞게 Microsoft Entra ID 또는 AD DS 및 Domain Services를 선택할 수 있도록 랜딩 존을 프로비전합니다. ID 솔루션에 따라 다른 서비스를 구성해야 할 수도 있습니다. 예를 들어 ID 가상 네트워크에 대한 네트워크 연결을 사용하도록 설정하고 보호해야 할 수 있습니다. 구독 자동 판매 프로세스를 사용하는 경우 구독 요청에 이 구성 정보를 포함합니다.

Azure 및 온-프레미스 도메인(하이브리드 ID)

Microsoft Entra ID에서 완전히 만드는 사용자 개체를 클라우드 전용 계정이라고 합니다. 클라우드 전용 계정은 최신 인증 및 Azure 및 Microsoft 365 리소스에 대한 액세스를 지원하며 Windows 10 또는 Windows 11을 사용하는 로컬 디바이스에 대한 액세스를 지원합니다.

조직에는 LDAP(Lightweight Directory Access Protocol)를 통해 LOB(기간 업무) 또는 ERP(엔터프라이즈 리소스 계획)와 같은 다른 시스템과 통합하는 오랜 AD DS 디렉터리가 이미 있을 수 있습니다. 이러한 도메인에는 인증을 위해 Kerberos 또는 이전 NTLMv2 프로토콜을 사용하는 많은 도메인 가입 컴퓨터 및 애플리케이션이 있을 수 있습니다. 이러한 환경에서는 사용자가 단일 ID로 온-프레미스 시스템과 클라우드 리소스 모두에 로그인할 수 있도록 사용자 개체를 Microsoft Entra ID와 동기화할 수 있습니다. 온-프레미스 및 클라우드 디렉터리 서비스를 통합하는 것을 하이브리드 ID라고 합니다. 온-프레미스 도메인을 Azure 랜딩 존으로 확장할 수 있습니다.

  • 클라우드 및 온-프레미스 환경 모두에서 단일 사용자 개체를 유지 관리하려면 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync를 통해 AD DS 도메인 사용자를 Microsoft Entra ID와 동기화할 수 있습니다. 사용자 환경에 권장되는 구성을 확인하려면 Microsoft Entra Connect 의 토폴로지 및 Microsoft Entra Cloud Sync의 토폴로지를 참조하세요.

  • Windows VM(가상 머신) 및 기타 서비스를 도메인에 가입하려면 Azure에서 AD DS 도메인 컨트롤러 또는 Domain Services를 배포할 수 있습니다. AD DS 사용자가 Windows 서버, Azure 파일 공유 및 Active Directory를 인증 원본으로 사용하는 기타 리소스에 로그인할 수 있도록 이 방법을 사용합니다. 그룹 정책과 같은 다른 Active Directory 기술을 인증 원본으로 사용할 수도 있습니다. 자세한 내용은 Microsoft Entra Domain Services에 대한 일반적인 배포 시나리오를 참조 하세요.

하이브리드 ID 권장 사항

  • ID 솔루션 요구 사항을 확인하려면 각 애플리케이션에서 사용하는 인증 공급자를 문서화합니다. ID 결정 가이드사용하여 조직에 적합한 서비스를 선택합니다. 자세한 내용은 Active Directory와 Microsoft Entra ID 비교를 참조하세요.

  • 도메인 서비스를 사용하고 이전 프로토콜을 사용하는 애플리케이션에 Domain Services를 사용할 수 있습니다. 기존 AD DS 도메인은 때때로 이전 버전과의 호환성을 지원하고 레거시 프로토콜을 허용하므로 보안에 부정적인 영향을 줄 수 있습니다. 온-프레미스 도메인을 확장하는 대신 Domain Services를 사용하여 레거시 프로토콜을 허용하지 않는 새 도메인을 만드는 것이 좋습니다. 클라우드 호스팅 애플리케이션에 대한 디렉터리 서비스로 새 도메인을 사용합니다.

  • 복원력을 Azure의 하이브리드 ID 전략에 대한 중요한 디자인 요구 사항으로 고려합니다. Microsoft Entra ID는 전역적으로 중복된 클라우드 기반 시스템 이지만 Domain Services 및 AD DS는 그렇지 않습니다. Domain Services 및 AD DS를 구현할 때 복원력을 신중하게 계획합니다. 두 서비스 중 하나를 디자인할 때는 지역 인시던트 발생 시 지속적인 서비스 작업을 보장하기 위해 다중Region 배포를 사용하는 것이 좋습니다.

  • 온-프레미스 AD DS 인스턴스를 Azure로 확장하고 배포를 최적화하려면 Azure 지역을 Active Directory 사이트 디자인에 통합합니다. 워크로드를 배포하려는 각 Azure 지역에 대한 AD DS 사이트 및 서비스에 사이트를 만듭니다. 그런 다음, 지역에 배포하려는 각 IP 주소 범위에 대한 AD DS 사이트 및 서비스에 새 서브넷 개체를 만듭니다. 새 서브넷 개체를 만든 AD DS 사이트와 연결합니다. 이 구성을 사용하면 도메인 컨트롤러 로케이터 서비스가 권한 부여 및 인증 요청을 동일한 Azure 지역 내의 가장 가까운 AD DS 도메인 컨트롤러로 보내도록 합니다.

  • 게스트, 고객 또는 파트너가 리소스에 액세스할 수 있도록 설정하는 시나리오를 평가합니다. 이러한 시나리오에 Microsoft Entra B2B가 포함되는지 또는 고객을 위한 Microsoft Entra 외부 ID 포함되는지 확인합니다. 자세한 내용은 Microsoft Entra 외부 ID 참조하세요.

  • 사용자 환경에 대기 시간이 추가되므로 인트라넷 액세스에 Microsoft Entra 애플리케이션 프록시를 사용하지 마세요. 자세한 내용은 Microsoft Entra 애플리케이션 프록시 계획Microsoft Entra 애플리케이션 프록시 보안 고려 사항을 참조하세요.

  • 조직의 요구 사항을 충족하기 위해 Azure와 온-프레미스 Active Directory 통합하는 데 사용할 수 있는 다양한 방법을 고려합니다.

  • Microsoft Entra ID와 AD FS(Active Directory Federation Services) 페더레이션이 있는 경우 암호 해시 동기화를 백업으로 사용할 수 있습니다. AD FS는 Microsoft Entra Seamless SSO(Single Sign-On)를 지원하지 않습니다.

  • 클라우드 ID에 적합한 동기화 도구를 결정합니다.

  • AD FS를 사용하기 위한 요구 사항이 있는 경우 Azure에서 AD FS 배포를 참조하세요.

  • Microsoft Entra Connect를 동기화 도구로 사용하는 경우 재해 복구를 위해 기본 Microsoft Entra Connect 서버와 다른 지역에 스테이징 서버를 배포하는 것이 좋습니다. 또는 여러 지역을 사용하지 않는 경우 고가용성을 위해 가용성 영역을 구현합니다.

  • Microsoft Entra Cloud Sync를 동기화 도구로 사용하는 경우 재해 복구를 위해 여러 지역의 여러 서버에 3개 이상의 에이전트를 설치하는 것이 좋습니다. 또는 고가용성을 위해 여러 가용성 영역에 서버 간에 에이전트를 설치할 수 있습니다.

Important

특별히 AD FS가 필요하지 않은 경우 Microsoft Entra ID로 마이그레이션하는 것이 좋습니다. 자세한 내용은 AD FS를 서비스 해제하고 AD FS에서 Microsoft Entra ID로 마이그레이션하기 위한 리소스를 참조하세요.

Microsoft Entra ID, Domain Services 및 AD DS

Microsoft 디렉터리 서비스를 구현하려면 관리자에게 다음 옵션을 숙지합니다.

  • AD DS 도메인 컨트롤러를 플랫폼 또는 ID 관리자가 완전히 제어하는 Windows VM으로 Azure에 배포할 수 있습니다. 이 방법은 IaaS(Infrastructure as a Service) 솔루션입니다. 도메인 컨트롤러를 기존 Active Directory 도메인에 가입하거나 기존 온-프레미스 도메인과 선택적 트러스트 관계가 있는 새 도메인을 호스트할 수 있습니다. 자세한 내용은 Azure 랜딩 존의 Azure Virtual Machines 기준 아키텍처를 참조 하세요.

  • Domain Services 는 Azure에서 호스트되는 새 관리형 Active Directory 도메인을 만드는 데 사용할 수 있는 Azure 관리형 서비스입니다. 도메인은 기존 도메인과 트러스트 관계를 가질 수 있으며 Microsoft Entra ID의 ID를 동기화할 수 있습니다. 관리자는 도메인 컨트롤러에 직접 액세스할 수 없으며 패치 및 기타 유지 관리 작업을 담당하지 않습니다.

  • Domain Services를 배포하거나 온-프레미스 환경을 Azure에 통합하는 경우 가능한 경우 가용성을 높이기 위해 가용성 영역이 있는 지역을 사용합니다. 또한 복원력을 높이기 위해 여러 Azure 지역에 배포하는 것이 좋습니다.

AD DS 또는 Domain Services를 구성한 후 온-프레미스 컴퓨터와 동일한 방법을 사용하여 Azure VM 및 파일 공유를 도메인에 가입할 수 있습니다. 자세한 내용은 Microsoft 디렉터리 기반 서비스 비교를 참조 하세요.

Microsoft Entra ID 및 AD DS 권장 사항

  • Microsoft Entra 애플리케이션 프록시를 사용하여 Microsoft Entra ID를 통해 원격으로 온-프레미스 인증을 사용하는 애플리케이션에 액세스합니다. 이 기능은 온-프레미스 웹 애플리케이션에 대한 보안 원격 액세스를 제공합니다. Microsoft Entra 애플리케이션 프록시에는 VPN 또는 네트워크 인프라를 변경할 필요가 없습니다. 그러나 Microsoft Entra ID에 단일 인스턴스로 배포되므로 애플리케이션 소유자와 플랫폼 또는 ID 팀이 공동 작업하여 애플리케이션이 올바르게 구성되었는지 확인해야 합니다.

  • Windows Server 및 Domain Services에서 AD DS에 대한 워크로드의 호환성을 평가합니다. 자세한 내용은 일반적인 사용 사례 및 시나리오를 참조 하세요.

  • 도메인 컨트롤러 VM 또는 Domain Services 복제본 집합을 플랫폼 관리 그룹 내의 ID 플랫폼 구독에 배포합니다.

  • 도메인 컨트롤러를 포함하는 가상 네트워크를 보호합니다. 가상 네트워크 및 도메인 컨트롤러와의 직접 인터넷 연결을 방지하려면 NSG(네트워크 보안 그룹)를 사용하여 격리된 서브넷에 AD DS 서버를 배치합니다. NSG는 방화벽 기능을 제공합니다. 인증에 도메인 컨트롤러를 사용하는 리소스에는 도메인 컨트롤러 서브넷에 대한 네트워크 경로가 있어야 합니다. ID 구독의 서비스에 액세스해야 하는 애플리케이션에 대해서만 네트워크 경로를 사용하도록 설정합니다. 자세한 내용은 Azure 가상 네트워크에서 AD DS 배포를 참조하세요.

  • Azure Virtual Network Manager를 사용하여 가상 네트워크에 적용되는 표준 규칙을 적용합니다. 예를 들어 Azure Policy 또는 가상 네트워크 리소스 태그를 사용하여 Active Directory ID 서비스가 필요한 경우 네트워크 그룹에 랜딩 존 가상 네트워크를 추가할 수 있습니다. 그런 다음, 네트워크 그룹을 사용하여 도메인 컨트롤러 서브넷을 필요로 하는 애플리케이션에서만 도메인 컨트롤러 서브넷에 액세스하고 다른 애플리케이션의 액세스를 차단할 수 있습니다.

  • 도메인 컨트롤러 VM 및 기타 ID 리소스에 적용되는 RBAC(역할 기반 액세스 제어) 권한을 보호합니다. 기여자, 소유자 또는 가상 머신 참가자와 같은 Azure 컨트롤 플레인에서 RBAC 역할 할당을 사용하는 관리자는 VM에서 명령을 실행할 수 있습니다. 권한 있는 관리자만 ID 구독의 VM에 액세스할 수 있고 지나치게 허용되는 역할 할당이 상위 관리 그룹에서 상속되지 않는지 확인합니다.

  • 대기 시간을 최소화하기 위해 복제본 집합에 대한 가상 네트워크에 가까운 또는 동일한 지역에 핵심 애플리케이션을 유지합니다. 다단계 조직에서 핵심 플랫폼 구성 요소를 호스트하는 지역에 Domain Services를 배포합니다. 단일 구독에만 Domain Services를 배포할 수 있습니다. Domain Services를 추가 지역으로 확장하려면 주 가상 네트워크에 피어되는 별도의 가상 네트워크에 최대 4개의 복제본 집합을 더 추가할 수 있습니다.

  • 복원력과 가용성을 높이기 위해 여러 Azure 지역 및 가용성 영역에 AD DS 도메인 컨트롤러를 배포하는 것이 좋습니다. 자세한 내용은 가용성 영역에서 VM 만들기 및 VM을 가용성 영역으로 마이그레이션을 참조하세요.

  • ID 계획의 일부로 Microsoft Entra ID에 대한 인증 방법을 살펴봅니다. 인증은 클라우드 및 온-프레미스 또는 온-프레미스에서만 발생할 수 있습니다.

  • Windows 사용자에게 Azure Files 파일 공유에 Kerberos가 필요한 경우 클라우드에 도메인 컨트롤러를 배포하는 대신 Microsoft Entra ID에 Kerberos 인증을 사용하는 것이 좋습니다.

다음 단계