Azure Active Directory 기능 이해
Microsoft Entra의 일부인 Azure Active Directory(Azure AD)는 Microsoft 365용 클라우드 기반 ID 및 액세스 관리 서비스입니다.
Azure AD를 사용하여 비즈니스 요구 사항에 따라 앱 및 앱 리소스에 대한 액세스를 제어할 수 있습니다. 예를 들어 Azure AD를 사용하여 중요한 조직 리소스에 액세스할 때 다단계 인증을 요구할 수 있습니다. 또한 Azure AD를 사용하여 기존 Windows Server AD와 Microsoft 365를 포함한 클라우드 앱 간의 사용자 프로비전을 자동화할 수 있습니다. 마지막으로 Azure AD는 사용자 ID 및 자격 증명을 자동으로 보호하고 액세스 거버넌스 요구 사항을 충족하는 데 도움이 되는 강력한 도구를 제공합니다.
Azure AD의 기능
| 범주 | 설명 |
|---|---|
| 응용 프로그램 관리 | 애플리케이션 프록시, 싱글 사인온, 내 앱 포털(액세스 패널이라고도 함) 및 SaaS(Software as a Service) 앱을 사용하여 클라우드 및 온-프레미스 앱을 관리합니다. |
| 인증 | Azure Active Directory 셀프 서비스 암호 재설정, 다단계 인증, 사용자 지정 금지 암호 목록 및 스마트 잠금을 관리합니다. |
| 개발자용 Azure Active Directory | 모든 Microsoft ID에 로그인하는 앱을 빌드하고, Microsoft Graph, 기타 Microsoft API 또는 사용자 지정 API를 호출하기 위한 토큰을 가져옵니다. |
| 기업간 거래(B2B) | 게스트와 외부 파트너를 관리하는 동시에 회사 데이터를 계속 제어할 수 있습니다. |
| B2C(기업 대 고객) | 앱을 사용할 때 사용자가 가입, 로그인 및 프로필을 관리하는 방법을 사용자 지정하고 제어합니다. |
| 조건부 액세스 | 클라우드 앱에 대한 액세스를 관리합니다. |
| 디바이스 관리 | 클라우드 또는 온-프레미스 장치가 회사 데이터에 액세스하는 방법을 관리합니다. |
| 도메인 서비스 | 도메인 컨트롤러를 사용하지 않고 Azure 가상 머신을 도메인에 조인합니다. |
| 엔터프라이즈 사용자 | 그룹 및 관리자 역할을 사용하여 라이선스 할당, 앱 액세스를 관리하고 대리인을 설정합니다. |
| 하이브리드 ID | Azure Active Directory Connect 및 Connect Health를 사용하여 위치(클라우드 또는 온-프레미스)에 관계없이 모든 리소스에 대한 인증 및 권한 부여를 위한 단일 사용자 ID를 제공합니다. |
| ID 거버넌스 | 직원, 비즈니스 파트너, 공급업체, 서비스 및 앱 액세스 제어를 통해 조직의 ID를 관리합니다. 액세스 검토를 수행할 수도 있습니다. |
| ID 보호 | 조직의 ID에 영향을 미치는 잠재적인 취약성을 감지하고 의심스러운 작업에 대응하도록 정책을 구성한 다음 적절한 조치를 취하여 문제를 해결합니다. |
| Azure 리소스에 대한 관리 ID | Key Vault를 포함하여 모든 Azure AD 지원 인증 서비스를 인증할 수 있는 Azure AD에서 자동으로 관리되는 ID를 Azure 서비스에 제공합니다. |
| 권한 있는 ID 관리(PIM) | 조직 내에서 액세스를 관리, 제어 및 모니터링합니다. 이 기능에는 Azure AD 및 Azure, 그리고 Microsoft 365 및 Intune과 같은 기타 Microsoft Online Services의 리소스에 대한 액세스가 포함됩니다. |
| 보고 및 모니터링 | 사용자 환경의 보안 및 사용 패턴에 대한 인사이트를 얻습니다. |
Azure Active Directory 및 Microsoft 365의 외부 공동 작업
Microsoft Teams, SharePoint 및 OneDrive는 외부 사용자와 공동 작업하고 콘텐츠를 공유하는 데 가장 많이 사용되는 세 가지 방법입니다.
Azure AD(Azure Active Directory) B2B(기업 간) 공동 작업은 조직과 공동 작업하도록 게스트를 초대할 수 있는 외부 ID 내의 기능입니다. B2B 공동 작업을 통해 Microsoft 365 응용 프로그램 및 서비스를 다른 조직의 게스트와 안전하게 공유하는 동시에 회사 데이터에 대한 제어를 유지할 수 있습니다.
Azure AD B2B를 사용하면 파트너가 자체 ID 관리 솔루션을 사용하므로 조직에 대한 외부 관리 오버헤드가 없습니다. 게스트는 자신의 직장, 학교 또는 소셜 ID로 앱 및 서비스에 로그인합니다.
파트너는 자신의 ID와 자격 증명을 사용합니다. Azure AD는 필요하지 않습니다.
외부 계정 또는 암호를 관리할 필요가 없습니다.
계정을 동기화하거나 계정 수명 주기를 관리할 필요가 없습니다.
Azure AD 권한 관리
조직의 직원은 작업을 수행하기 위해 다양한 그룹과 애플리케이션, 사이트에 액세스해야 합니다. 변화하는 요구 사항에 따라 이 액세스를 관리하는 일은 쉽지 않습니다. 엔터프라이즈 조직은 다음과 같은 리소스에 대한 직원 액세스를 관리할 때 종종 어려움을 겪습니다.
사용자가 어떤 액세스 권한이 필요한지 모를 수도 있고, 알더라도 액세스를 승인할 적절한 개인을 찾는 데 어려움을 겪을 수 있습니다.
리소스에 대한 액세스를 찾아서 받은 후 비즈니스에 필요한 것보다 더 오랫동안 액세스를 유지할 수도 있습니다.
공급망 조직이나 다른 비즈니스 파트너의 외부 사용자와 같이 다른 조직에서 액세스해야 하는 사용자의 경우 이 문제는 더욱 복잡해집니다. 예를 들어 다른 조직의 어떤 사용자에게 조직 리소스에 대한 액세스가 필요한지 알지 못할 수 있으며, 이러한 사용자의 경우 귀하의 조직에서 어떤 애플리케이션, 그룹 또는 사이트를 사용하는지 알지 못합니다.
Azure Active Directory(Azure AD) 권한 관리는 조직에서 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID를 관리하고 수명 주기에 대규모로 액세스할 수 있도록 하는 ID 거버넌스 기능 입니다. Azure AD 권한 관리를 사용하면 내부 사용자 및 해당 리소스에 액세스해야 하는 조직 외부 사용자의 그룹, 애플리케이션, SharePoint 사이트에 대한 액세스를 더욱더 효율적으로 관리할 수 있습니다.
권한 관리를 사용하면 관리자가 아닌, 어떤 사용자에게 얼마 동안, 어떤 리소스에 대한 액세스 권한이 필요한지 가장 잘 아는 당사자에게 액세스 거버넌스를 위임할 수 있습니다. 관리자가 아닌 사용자에게 위임하면 적절한 사용자가 본인 담당 부서에 대한 액세스를 관리할 수 있습니다.
액세스 패키지
권한 관리는 Azure AD에 액세스 패키지의 개념을 도입합니다. 액세스 패키지는 사용자가 프로젝트 관련 작업을 하거나 업무를 수행하는 데 필요한 모든 액세스 권한을 포함하는 리소스 번들입니다. 액세스 패키지는 내부 직원과 조직 외부 사용자에 대한 액세스를 제어하는 데 사용됩니다. 권한 관리를 사용하여 다음 리소스에 대한 사용자 액세스를 관리할 수 있습니다.
- Azure AD 보안 그룹 멤버십.
- Microsoft 365 그룹 및 Teams 멤버십.
- 페더레이션/Single Sign-On 및/또는 프로비전을 지원하는 SaaS 애플리케이션, 사용자 지정 통합 애플리케이션 등 Azure AD 엔터프라이즈 애플리케이션에 대한 할당.
- SharePoint 사이트 멤버십.
Azure AD 보안 그룹 또는 Microsoft 365 그룹에 의존하는 기타 리소스에 대한 액세스를 제어할 수도 있습니다. 다음은 제공 가능한 항목에 대한 예시입니다.
- 액세스 패키지에서 Azure AD 보안 그룹을 사용하고 해당 그룹에 대한 그룹 기반 라이선스를 구성하여 Microsoft 365 라이선스 제공.
- 액세스 패키지에서 Azure AD 보안 그룹을 사용하고 해당 그룹에 대한 Azure 역할 할당을 만들어 Azure 리소스를 관리하는 액세스 제공.
- 액세스 패키지에서 Azure AD 역할에 할당할 수 있는 그룹을 사용하고 해당 그룹에 Azure AD 역할을 할당하여 Azure AD 역할을 관리하는 액세스 제공.
