각서 22-09 전사적 ID 관리 시스템
M 22-09 행정부 및 기관장을 위한 각서에 따라 기관은 ID 플랫폼에 대한 통합 계획을 개발해야 합니다. 목표는 발행일(2022년 3월 28일)로부터 60일 이내에 기관이 관리하는 ID 시스템을 최대한 적게 유지하는 것입니다. ID 플랫폼을 통합하면 다음과 같은 몇 가지 이점이 있습니다.
- ID 수명 주기, 정책 적용 및 감사 가능한 제어의 중앙 집중식 관리
- 균일한 기능과 집행의 동등성
- 여러 시스템에 걸쳐 리소스를 학습할 필요성 감소
- 사용자가 한 번 로그인하면 IT 환경의 애플리케이션과 서비스에 액세스할 수 있습니다.
- 가능한 한 많은 기관 애플리케이션과 통합합니다.
- 공유 인증 서비스 및 신뢰 관계를 사용하여 기관 간 통합을 촉진합니다.
Microsoft Entra ID를 사용해야 하는 이유는 무엇인가요?
Microsoft Entra ID를 사용하여 각서 22-09의 권장 사항을 구현합니다. Microsoft Entra ID에는 제로 트러스트 이니셔티브를 지원하는 ID 제어가 있습니다. Microsoft Office 365 또는 Azure에서 Microsoft Entra ID는 IdP(ID 공급자)입니다. 애플리케이션과 리소스를 전사적 ID 시스템으로 Microsoft Entra ID에 연결합니다.
Single Sign-On 요구 사항
메모에서는 사용자가 한 번 로그인한 후 애플리케이션에 액세스하도록 요구합니다. Microsoft SSO(Single Sign-On)를 사용하면 사용자는 한 번 로그인한 후 클라우드 서비스 및 애플리케이션에 액세스할 수 있습니다. Microsoft Entra Seamless Single Sign-On을 참조하세요.
기관 간 통합
Microsoft Entra B2B 협업을 사용하여 기관 간 통합 및 협업을 촉진해야 하는 요구 사항을 충족합니다. 사용자는 동일한 클라우드의 Microsoft 테넌트에 상주할 수 있습니다. 테넌트는 다른 Microsoft 클라우드에 있거나 Azure AD가 아닌 테넌트(SAML/WS-Fed ID 공급자)에 있을 수 있습니다.
Microsoft Entra 테넌트 간 액세스 설정을 통해 기관은 다른 Microsoft Entra 조직 및 기타 Microsoft Azure 클라우드와 협력하는 방법을 관리합니다.
- Microsoft 테넌트 사용자가 액세스할 수 있는 항목을 제한합니다.
- 다단계 인증 적용 및 디바이스 신호를 포함한 외부 사용자 액세스 설정
자세히 보기:
애플리케이션 연결
Microsoft Entra ID를 전사적 ID 시스템으로 통합하고 사용하려면 범위 내에 있는 자산을 검토합니다.
애플리케이션 및 서비스 문서화
사용자가 액세스하는 애플리케이션 및 서비스의 인벤토리를 만듭니다. ID 관리 시스템은 알고 있는 정보를 보호합니다.
자산 분류
- 데이터의 민감도
- 주요 시스템의 데이터 및/또는 정보의 기밀성, 무결성 또는 가용성에 대한 법률 및 규정
- 시스템 정보 보호 요구 사항에 적용되는 해당 법률 및 규정
애플리케이션 인벤토리의 경우 클라우드 지원 프로토콜 또는 레거시 인증 프로토콜을 사용하는 애플리케이션을 결정합니다.
- 클라우드 지원 애플리케이션은 인증을 위한 최신 프로토콜을 지원합니다.
- SAML
- WS-페더레이션/신뢰
- OpenID Connect(OIDC)
- OAuth 2.0.
- 레거시 인증 애플리케이션은 이전 또는 독점 인증 방법을 사용합니다.
- Kerberos/NTLM(Windows 인증)
- 헤더 기반 인증
- LDAP
- 기본 인증
인증 프로토콜과 Microsoft Entra 통합에 대해 자세히 알아봅니다.
애플리케이션 및 서비스 검색 도구
Microsoft는 애플리케이션 및 서비스 검색을 지원하기 위해 다음 도구를 제공합니다.
| 도구 | 사용 |
|---|---|
| AD FS(Active Directory Federation Services) 사용량 현황 분석 | 페더레이션된 서버 인증 트래픽을 분석합니다. Microsoft Entra Connect Health를 사용하여 AD FS 모니터링을 참조하세요. |
| Microsoft Defender for Cloud 앱 | 방화벽 로그를 검사하여 클라우드 앱, IaaS(서비스 제공 인프라) 서비스 및 PaaS(서비스 제공 플랫폼) 서비스를 검사합니다. 클라우드용 Defender Apps를 엔드포인트용 Defender와 통합하여 Windows 클라이언트 디바이스에서 분석된 데이터를 발견합니다. 클라우드용 Microsoft Defender Apps 개요를 참조하세요. |
| 애플리케이션 검색 워크시트 | 애플리케이션의 현재 상태를 문서화합니다. 애플리케이션 검색 워크시트를 참조하세요. |
앱이 Microsoft가 아닌 시스템에 있을 수 있으며 Microsoft 도구가 해당 앱을 발견하지 못할 수도 있습니다. 완전한 재고를 보장합니다. 공급자는 자신의 서비스를 사용하는 애플리케이션을 발견하는 메커니즘이 필요합니다.
연결을 위한 애플리케이션 우선 순위 지정
환경에서 애플리케이션을 발견한 후 마이그레이션 우선 순위를 지정합니다. 고려할 사항은 다음과 같습니다.
- 비즈니스 중요성
- 사용자 프로필
- 사용
- 수명
자세히 알아보기: Microsoft Entra ID로 애플리케이션 인증 마이그레이션.
클라우드 지원 앱을 우선 순위에 따라 연결합니다. 레거시 인증 프로토콜을 사용하는 앱을 확인합니다.
레거시 인증 프로토콜을 사용하는 앱의 경우:
- 최신 인증을 사용하는 앱의 경우 Microsoft Entra ID를 사용하도록 다시 구성합니다.
- 최신 인증이 없는 앱의 경우 두 가지 선택이 있습니다.
- MSAL(Microsoft 인증 라이브러리)을 통합하여 최신 프로토콜을 사용하도록 애플리케이션 코드를 업데이트합니다.
- 보안 액세스를 위해 Microsoft Entra 애플리케이션 프록시 또는 보안 하이브리드 파트너 액세스를 사용합니다.
- 더 이상 필요하지 않거나 지원되지 않는 앱에 대한 액세스를 해제합니다.
자세한 정보
디바이스 연결
ID 관리 시스템 중앙 집중화의 일부는 사용자가 실제 디바이스와 가상 디바이스에 로그인할 수 있도록 하는 것입니다. 중앙 집중식 Microsoft Entra 시스템에서 Windows 및 Linux 디바이스를 연결할 수 있으므로 여러 개의 별도 ID 시스템이 필요하지 않습니다.
인벤토리 및 범위 지정 중에 Microsoft Entra ID와 통합할 디바이스 및 인프라를 식별합니다. 통합은 Microsoft Entra ID를 통해 적용되는 다단계 인증과 함께 조건부 액세스 정책을 사용하여 인증 및 관리를 중앙 집중화합니다.
디바이스 검색 도구
Azure Automation 계정을 사용하여 Azure Monitor에 연결된 인벤토리 컬렉션을 통해 디바이스를 식별할 수 있습니다. 엔드포인트용 Microsoft Defender에는 디바이스 인벤토리 기능이 있습니다. 엔드포인트용 Defender가 구성된 디바이스와 그렇지 않은 디바이스를 발견합니다. 디바이스 인벤토리는 System Center Configuration Manager 또는 디바이스와 클라이언트를 관리하는 기타 시스템과 같은 온-프레미스 시스템에서 제공됩니다.
자세히 보기:
디바이스를 Microsoft Entra ID와 통합
Microsoft Entra ID와 통합된 디바이스는 하이브리드 조인 디바이스 또는 Microsoft Entra 조인 디바이스입니다. 클라이언트 및 사용자 디바이스, 그리고 인프라로 작동하는 실제 및 가상 머신별로 별도의 디바이스 온보딩을 수행합니다. 사용자 디바이스의 배포 전략에 대한 자세한 내용은 다음 지침을 참조하세요.
- Microsoft Entra 디바이스 배포 계획
- Microsoft Entra 하이브리드 조인 디바이스
- Microsoft Entra 조인 디바이스
- 암호 없는 인증을 포함하여 Azure에서 Microsoft Entra ID를 사용하여 Windows 가상 머신에 로그인
- Microsoft Entra ID 및 OpenSSH를 사용하여 Azure에서 Linux 가상 머신에 로그인
- Azure Virtual Desktop에 대한 Microsoft Entra 조인
- 장치 ID 및 데스크탑 가상화
다음 단계
다음 문서는 이 설명서 세트의 일부입니다.