다음을 통해 공유


Microsoft Entra 테넌트 소개

교육 기관으로서 Microsoft 365 Education 무료 평가판에 등록하고 자격 확인 마법사를 완료하여 저렴한 가격으로 구독을 구매할 수 있습니다.

Microsoft Entra 테넌트 만들기

Microsoft 365 Education 유료 또는 평가판 구독에 등록하면 기본 Office 365 서비스의 일부로 Microsoft Entra 테넌트가 만들어집니다. 마찬가지로 Azure에 등록할 때 Microsoft Entra 테넌트가 만들어집니다.

고객은 추가 Microsoft Entra 테넌트를 만들려면 유료 Microsoft 라이선스 플랜을 소유해야 합니다.

중요

Microsoft Entra 테넌트 만들 때 데이터 센터의 위치를 결정하는 논리 영역을 지정해야 합니다. 만든 후에는 변경할 수 없으므로 매우 신중하게 선택해야 합니다.

자세한 내용은 Microsoft 365 Education 배포 가이드를 참조하세요.

Microsoft Entra 테넌트란?

Microsoft Entra 테넌트는 organization 사용하는 애플리케이션 및 리소스에 IAM(ID 및 액세스 관리) 기능을 제공합니다. ID는 리소스에 액세스하기 위해 인증 및 권한을 부여할 수 있는 디렉터리 개체입니다. 학생 및 교사와 같은 인간 ID와 교실 및 학생 장치, 애플리케이션 및 서비스 원칙과 같은 비인간 ID에 대한 ID 개체가 존재합니다.

Microsoft Entra 테넌트는 organization IT 부서의 제어 하에 있는 ID 보안 경계입니다. 이 보안 경계 내에서 개체(예: 사용자 개체) 관리 및 테넌트 전체 설정 구성은 IT 관리자가 제어합니다.

Azure 테넌트.

테넌트 내 리소스

테넌트 내의 리소스입니다.

Microsoft Entra ID 데이터베이스 및 LMS(학습 관리 시스템)를 포함할 수 있는 애플리케이션 및 기본 Azure 리소스와 같은 리소스에 대한 액세스 권한을 ID를 나타내는 개체에 부여하는 데 사용됩니다.

Microsoft Entra ID 사용하는 앱에 대한 액세스

ID는 다음을 포함하지만 이에 국한되지 않는 다양한 유형의 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다.

  • Exchange Online, Microsoft Teams 및 SharePoint Online과 같은 Microsoft 생산성 서비스

  • Azure Sentinel, Microsoft Intune 및 Microsoft Defender ATP와 같은 Microsoft IT 서비스

  • Azure DevOps와 같은 Microsoft 개발자 도구

  • LMS(학습 관리 시스템)와 같은 타사 애플리케이션

  • Microsoft Entra 애플리케이션 프록시와 같은 하이브리드 액세스 기능과 통합된 온-프레미스 애플리케이션

  • 사용자 지정 사내 개발 애플리케이션

Microsoft Entra ID 사용하는 애플리케이션은 신뢰할 수 있는 Microsoft Entra 테넌트에서 디렉터리 개체를 구성하고 관리해야 합니다. 디렉터리 개체의 예로는 애플리케이션 등록, 서비스 주체, 그룹 및 스키마 특성 확장이 있습니다.

일부 애플리케이션은 테넌트당 여러 인스턴스(예: 테스트 instance 및 프로덕션 instance)를 가질 수 있지만 Exchange Online 같은 일부 Microsoft 서비스는 테넌트당 하나의 instance 가질 수 있습니다.

디렉터리 개체에 대한 액세스

ID, 리소스 및 해당 관계는 Microsoft Entra 테넌트에서 디렉터리 개체로 표시됩니다. 디렉터리 개체의 예로는 사용자, 그룹, 서비스 주체 및 앱 등록이 있습니다.

테넌트에서 디렉터리 개체입니다.

개체가 Microsoft Entra 테넌트에서 발생하는 경우 다음이 발생합니다.

  • 표시 유형. ID는 적절한 권한이 있는 경우 리소스, 사용자, 그룹을 검색하거나 열거하고 사용 보고 및 감사 로그에 액세스할 수 있습니다. 예를 들어 디렉터리의 멤버는 기본 사용자 권한이 있는 디렉터리에서 사용자를 검색할 수 있습니다.

  • 애플리케이션은 개체에 영향을 줄 수 있습니다. 애플리케이션은 비즈니스 논리의 일부로 Microsoft Graph를 통해 디렉터리 개체를 조작할 수 있습니다. 일반적인 예로는 사용자 특성을 읽거나 설정하고, 사용자의 일정을 업데이트하고, 사용자를 대신하여 전자 메일을 보내는 것이 있습니다. 애플리케이션이 테넌트에게 영향을 줄 수 있도록 하려면 동의가 필요합니다. 관리자는 모든 사용자에 대해 동의할 수 있습니다. 자세한 내용은 Microsoft ID 플랫폼 권한 및 동의를 참조하세요.

    참고

    애플리케이션 권한을 사용할 때는 주의해야 합니다. 예를 들어 Exchange Online 경우 애플리케이션 권한을 특정 사서함 및 권한에 scope 합니다.

  • 제한 및 서비스 제한. 리소스의 런타임 동작은 초과 사용 또는 서비스 저하를 방지하기 위해 제한을 트리거할 수 있습니다. 제한은 애플리케이션, 테넌트 또는 전체 서비스 수준에서 발생할 수 있습니다. 가장 일반적으로 애플리케이션에 테넌트 내 또는 테넌트 간에 많은 수의 요청이 있을 때 발생합니다.

모든 테넌트는 총 개체 제한이 있습니다. 기본적으로 테넌트는 총 50,000개의 개체로 제한됩니다. 사용자 지정 도메인이 추가되면 제한이 300,000으로 증가합니다. EDU 고객 성공 팀 팀에 문의하여 이 개체 제한을 더 늘릴 수 있습니다. 단일 Microsoft Entra 테넌트가 100만 명의 사용자를 초과하지 않는 것이 좋습니다. 일반적으로 총 개체는 약 300만 개에 해당합니다. Microsoft Entra ID 서비스 제한에 대한 자세한 내용은 Microsoft Entra 서비스 제한 및 제한을 참조하세요.

테넌트에서 구성

Microsoft Entra ID 정책 및 설정은 대상 또는 테넌트 전체 구성을 통해 Microsoft Entra 테넌트의 리소스에 영향을 줍니다. 테넌트에서 구성.

테넌트 전체 정책 및 설정의 예는 다음과 같습니다.

  • 외부 ID. 테넌트 전역 관리자는 테넌트에서 프로비전할 수 있는 외부 ID를 식별하고 제어합니다.

    • 테넌트에서 외부 ID를 허용할지 여부

    • 외부 ID를 추가할 수 있는 도메인

    • 사용자가 다른 테넌트에서 사용자를 초대할 수 있는지 여부

  • 명명된 위치입니다. 전역 관리자는 명명된 위치를 만들 수 있으며, 이 위치를 사용하여 다음을 수행할 수 있습니다.

    • 특정 위치에서 로그인을 차단합니다.

    • MFA와 같은 조건부 액세스 정책을 트리거합니다.

  • 허용되는 인증 방법. 전역 관리자는 테넌트에서 허용되는 인증 방법을 설정합니다.

  • 셀프 서비스 옵션. 전역 관리자는 셀프 서비스 암호 재설정과 같은 셀프 서비스 옵션을 설정하고 테넌트 수준에서 Office 365 그룹을 만듭니다.

일부 테넌트 전체 구성의 구현은 전역 관리 정책에 의해 재정의되지 않는 한 범위를 지정할 수 있습니다. 예를 들면

  • 테넌트가 외부 ID를 허용하도록 구성된 경우 리소스 관리자는 해당 ID를 리소스 액세스에서 제외할 수 있습니다.

  • 테넌트가 개인 디바이스 등록을 허용하도록 구성된 경우 리소스 관리자는 해당 디바이스를 특정 리소스에 액세스하지 못하도록 제외할 수 있습니다.

  • 명명된 위치가 구성된 경우 리소스 관리자는 해당 위치에서 액세스를 허용하거나 제외하는 정책을 구성할 수 있습니다.

테넌트에서 관리

관리에는 ID 개체 관리 및 테넌트 전체 구성의 범위가 지정된 구현이 포함됩니다. 개체에는 사용자, 그룹 및 디바이스 및 서비스 원칙이 포함됩니다. 인증, 권한 부여, 셀프 서비스 옵션 등에 대한 테넌트 전체 구성의 효과를 scope 수 있습니다.

테넌트에서 관리.

테넌트 전체 관리자 또는 전역 관리자는 다음을 수행할 수 있습니다.

  • 모든 사용자에게 모든 리소스에 대한 액세스 권한 부여

  • 모든 사용자에게 리소스 역할 할당

  • 모든 사용자에게 하위 범위의 관리자 역할 할당

디렉터리 개체 관리

관리자는 ID 개체가 리소스에 액세스할 수 있는 방법과 어떤 상황에서도 관리할 수 있습니다. 권한에 따라 디렉터리 개체를 사용하지 않도록 설정, 삭제 또는 수정할 수도 있습니다. ID 개체는 다음과 같습니다.

  • 다음과 같은 조직 ID는 사용자 개체로 표시됩니다.

    • 관리자

    • 조직 사용자

    • 조직 개발자

    • 테스트 사용자 **

  • 외부 ID는 다음과 같은 organization 외부에서 온 사용자를 나타냅니다.

    • organization 환경에 로컬 계정으로 프로비전된 파트너 또는 기타 교육 기관

    • Azure B2B 협업을 통해 프로비전되는 파트너 또는 기타 교육 기관

  • 그룹은 다음과 같은 개체로 표시됩니다.

    • 보안 그룹

    • Office 365 그룹

  • 디바이스 는 다음과 같은 개체로 표시됩니다.

    • Microsoft Entra 하이브리드 조인 디바이스(온-프레미스 Active Directory 동기화된 온-프레미스 컴퓨터)

    • 조인된 디바이스 Microsoft Entra

    • 직원이 회사 애플리케이션에 액세스하는 데 사용하는 등록된 모바일 디바이스를 Microsoft Entra.

참고

하이브리드 환경에서 ID는 일반적으로 Microsoft Entra Connect를 사용하여 온-프레미스 Active Directory 환경에서 동기화됩니다.

ID 서비스 관리

적절한 권한이 있는 관리자는 리소스 그룹, 보안 그룹 또는 애플리케이션 수준에서 테넌트 전체 정책을 구현하는 방법을 관리할 수 있습니다. 리소스 관리를 고려할 때 다음 사항에 유의하세요. 리소스를 함께 유지하거나 격리해야 하는 이유가 될 수 있습니다.

  • 인증 관리자 역할이 할당된 ID는 관리자가 아닌 사용자가 MFA 또는 FIDO 인증을 위해 다시 등록하도록 요구할 수 있습니다.

  • CA(조건부 액세스) 관리자는 사용자가 특정 앱에 로그인하여 organization 소유 디바이스에서만 로그인하도록 요구하는 CA 정책을 만들 수 있습니다. 구성을 scope 수도 있습니다. 예를 들어 테넌트에서 외부 ID가 허용되는 경우에도 해당 ID를 리소스 액세스에서 제외할 수 있습니다.

  • 클라우드 애플리케이션 관리자는 모든 사용자를 대신하여 애플리케이션 권한에 동의할 수 있습니다.

  • 전역 관리자는 구독을 제어할 수 있습니다.

라이선싱

Office 365 같은 Microsoft 유료 클라우드 서비스에는 라이선스가 필요합니다. 이러한 라이선스는 서비스에 액세스해야 하는 각 사용자에게 할당됩니다. Microsoft Entra ID 모든 Microsoft 클라우드 서비스에 대한 ID 관리를 지원하고 사용자의 라이선스 할당 상태에 대한 정보를 저장하는 기본 인프라입니다. 일반적으로 관리자는 관리 포털(Office 또는 Azure) 및 PowerShell cmdlet 중 하나를 사용하여 라이선스를 관리합니다. Microsoft Entra ID 사용자 그룹에 하나 이상의 제품 라이선스를 할당할 수 있는 그룹 기반 라이선스를 지원합니다.

Microsoft 365 Education 시나리오의 Microsoft Entra ID

Microsoft Entra ID 학생과 교직원은 다음을 포함하여 로그인하고 리소스 및 서비스에 액세스하는 데 도움이 됩니다.

  • 리소스에 로그인 및 권한 부여

    • 로그인 및 전자 메일에 대한 도메인은 Microsoft Entra ID 클라우드 인증을 위해 구성됩니다.

    • 대부분의 외부 협업 기능은 Microsoft Entra B2B 협업을 사용합니다.

  • Microsoft Office 365 기능

    • Microsoft Entra ID에는 프로비저닝을 트리거하는 Office 365 라이선스가 할당됩니다.

    • 메일 그룹, 최신 그룹, 연락처 및 Microsoft Teams와 같은 Office 365 개체는 Microsoft Entra 디렉터리 개체로 표시되고 Microsoft Entra ID 관리됩니다.

    • Office 365 서비스는 Microsoft Entra 그룹을 사용하여 권한 부여를 제공합니다.

    • Office 365 대한 액세스는 Microsoft Entra ID 통해 제어됩니다.

  • 거버넌스 및 보안

    • 교육용 Intune 같은 관리 및 보안 기능은 Microsoft Entra 사용자, 그룹, 디바이스 및 정책에 의존합니다.

    • 권한 있는 작업에 대한 JIT(Just-In-Time) 및 JEA(Just Enough Administration) 액세스를 허용하는 Privileged Identity Management.

    • 로그인 로그 및감사 활동 보고서.

    • 액세스 검토와 같은 거버넌스 기능.

  • 하이브리드 환경

    • Microsoft Entra ID 온-프레미스 Active Directory Microsoft Entra Connect를 통해 동기화하는 하이브리드 기능을 제공합니다.

    • Microsoft Entra Connect를 사용하면 암호 해시 동기화, 통과 인증 또는 AD FS 또는 타사 SAML ID 공급자와의 페더레이션 통합을 포함하여 organization 적합한 인증 방법을 구성할 수 있습니다.

    • 학교 데이터 동기화를 사용하여 SIS에서 디렉터리 개체를 프로비전하는 API

다음 단계