3단계. 엔터프라이즈 테넌트용 Microsoft 365 ID
Microsoft 365 테넌트는 로그인에 대한 ID 및 인증을 관리하는 Microsoft Entra 테넌트가 포함되어 있습니다. ID 인프라를 올바르게 구성하는 것은 organization 대한 Microsoft 365 사용자 액세스 및 권한을 관리하는 데 매우 중요합니다.
클라우드 전용 및 하이브리드
다음은 두 가지 유형의 ID 모델과 최상의 적합성과 이점입니다.
| 모델 | 설명 | Microsoft 365에서 사용자 자격 증명을 인증하는 방법 | 가장 적합합니다. | 최대 이점 |
|---|---|---|---|---|
| 클라우드 전용 | 사용자 계정은 Microsoft 365 테넌트용 Microsoft Entra 테넌트에서만 존재합니다. | Microsoft 365 테넌트용 Microsoft Entra 테넌트는 클라우드 ID 계정으로 인증을 수행합니다. | 온-프레미스 Active Directory 없거나 필요한 조직입니다. | 간단하게 사용할 수 있습니다. 추가 디렉터리 도구 또는 서버가 필요하지 않습니다. |
| 하이브리드 | 사용자 계정은 온-프레미스 Active Directory Domain Services(AD DS)에 있으며 복사본은 Microsoft 365 테넌트용 Microsoft Entra 테넌트에도 있습니다. Microsoft Entra Connect는 온-프레미스 서버에서 실행되어 AD DS 변경 내용을 Microsoft Entra 테넌트와 동기화합니다. Microsoft Entra ID의 사용자 계정에는 이미 해시된 AD DS 사용자 계정 암호의 해시된 버전이 포함될 수도 있습니다. | Microsoft 365 테넌트용 Microsoft Entra 테넌트는 인증 프로세스를 처리하거나 사용자를 다른 ID 공급자로 리디렉션합니다. | AD DS 또는 다른 ID 공급자를 사용하는 조직. | 사용자는 온-프레미스 또는 클라우드 기반 리소스에 액세스할 때 동일한 자격 증명을 사용할 수 있습니다. |
클라우드 전용 ID의 기본 구성 요소는 다음과 같습니다.
이 그림에서는 온-프레미스 및 원격 사용자가 Microsoft 365 테넌트 Microsoft Entra 테넌트에서 계정으로 로그인합니다.
하이브리드 ID의 기본 구성 요소는 다음과 같습니다.
이 그림에서 온-프레미스 및 원격 사용자는 온-프레미스 AD DS에서 복사된 Microsoft Entra 테넌트에서 계정을 사용하여 Microsoft 365 테넌트로 로그인합니다.
온-프레미스 AD DS 동기화
비즈니스 요구 사항 및 기술 요구 사항에 따라 하이브리드 ID 모델 및 디렉터리 동기화는 Microsoft 365를 채택하는 엔터프라이즈 고객에게 가장 일반적인 선택입니다. 디렉터리 동기화를 사용하면 AD DS의 ID를 관리할 수 있으며 사용자 계정, 그룹 및 연락처에 대한 모든 업데이트가 Microsoft 365 테넌트 Microsoft Entra 테넌트와 동기화됩니다.
참고
AD DS 사용자 계정이 처음으로 동기화되면 자동으로 Microsoft 365 라이선스가 할당되지 않으며 전자 메일과 같은 Microsoft 365 서비스에 액세스할 수 없습니다. 먼저 사용 위치를 할당해야 합니다. 그런 다음 그룹 멤버 자격을 통해 개별적으로 또는 동적으로 이러한 사용자 계정에 라이선스를 할당합니다.
하이브리드 ID 모델을 사용할 때 두 가지 유형의 인증은 다음과 같습니다.
| 인증 유형 | 설명 |
|---|---|
| 관리 인증 | Microsoft Entra ID는 로컬로 저장된 해시된 버전의 암호를 사용하여 인증 프로세스를 처리하거나 온-프레미스 AD DS에서 인증할 온-프레미스 소프트웨어 에이전트에 자격 증명을 보냅니다. 관리 인증에는 PHS(암호 해시 동기화) 및 PTA(통과 인증)의 두 가지 유형이 있습니다. PHS를 사용하면 Microsoft Entra ID가 인증 자체를 수행합니다. PTA를 사용하면 Microsoft Entra ID에 AD DS가 인증을 수행합니다. |
| 페더레이션 인증 | Microsoft Entra ID는 인증을 요청하는 클라이언트 컴퓨터를 다른 ID 공급자로 리디렉션합니다. |
자세한 내용은 올바른 인증 방법 선택을 참조하세요.
강력한 로그인 적용
사용자 로그인의 보안을 강화하려면 다음 표의 기능과 기능을 사용합니다.
| 기능 | 설명 | 추가 정보 | 라이선스 요구사항 |
|---|---|---|---|
| 비즈니스용 Windows Hello | Windows 디바이스에서 서명할 때 암호를 강력한 2단계 인증으로 대체합니다. 2단계 인증 요소는 장치에 연결된 새로운 유형의 사용자 자격 증명과 생체 인식 또는 PIN입니다. | 비즈니스용 Windows Hello 개요 | Microsoft 365 E3 혹은 E5 |
| 암호 보호 Microsoft Entra | 알려진 약한 암호 및 해당 변형을 검색하고 차단하며 organization 관련된 추가 약한 용어를 차단할 수도 있습니다. | Microsoft Entra 암호 보호 구성 | Microsoft 365 E3 혹은 E5 |
| MFA(다단계 인증) 사용 | MFA를 사용하려면 사용자 로그인에 스마트폰 앱으로 확인 또는 스마트폰으로 전송된 문자 메시지와 같은 사용자 계정 암호 이외의 다른 확인이 적용되어야 합니다. 사용자가 MFA를 설정하는 방법에 대한 지침은 이 비디오를 참조하세요. | 엔터프라이즈용 Microsoft 365용 MFA | Microsoft 365 E3 혹은 E5 |
| ID 및 장치 액세스 구성 | 조건부 액세스, Intune 및 Microsoft Entra ID Protection 정책과 결합된 권장 필수 구성 요소 기능 및 해당 설정으로 구성된 설정 및 정책은 지정된 액세스 요청을 부여해야 하는지 여부와 어떤 조건에서 부여해야 하는지를 결정합니다. | ID 및 장치 액세스 구성 | Microsoft 365 E3 혹은 E5 |
| Microsoft Entra ID Protection | 공격자가 사용자의 계정 이름과 암호를 결정하여 organization 클라우드 서비스 및 데이터에 액세스하는 자격 증명 손상으로부터 보호합니다. | Microsoft Entra ID Protection | ID & 위협 방지 추가 기능을 사용하여 Microsoft 365 E5 또는 Microsoft 365 E3 |
3단계의 결과
Microsoft 365 테넌트 ID의 경우 다음을 결정했습니다.
- 사용할 ID 모델입니다.
- 강력한 사용자 및 디바이스 액세스를 적용하는 방법
다음은 새 하이브리드 ID 요소가 강조 표시된 테넌트 예제입니다.
이 그림에서 테넌트는 다음과 같습니다.
- 디렉터리 동기화 서버 및 Microsoft Entra Connect를 사용하여 Microsoft Entra 테넌트와 동기화되는 AD DS 포리스트입니다.
- AD DS 포리스트의 AD DS 사용자 계정 및 기타 개체의 복사본입니다.
- 사용자 계정에 따라 보안 사용자 로그인 및 액세스를 적용하는 조건부 액세스 정책 집합입니다.
ID에 대한 지속적인 유지 관리
지속적으로 다음을 수행해야 할 수 있습니다.
- 사용자 계정 및 그룹을 추가하거나 수정합니다. 클라우드 전용 ID의 경우 Microsoft 365 관리 센터 또는 PowerShell과 같은 Microsoft Entra 도구를 사용하여 클라우드 기반 사용자 및 그룹을 유지 관리합니다. 하이브리드 ID의 경우 AD DS 도구를 사용하여 온-프레미스 사용자 및 그룹을 유지 관리합니다.
- ID 및 디바이스 액세스 구성을 추가하거나 수정하여 로그인 보안 요구 사항을 적용합니다.
다음 단계
마이그레이션을 계속하여 온-프레미스 Office 서버와 해당 데이터를 Microsoft 365로 마이그레이션합니다.