Microsoft Entra ID란?

  • 10분

비슷한 이름을 공유했지만 Microsoft Entra ID는 Windows Server Active Directory의 클라우드 버전이 아닙니다. 또한 Azure AD는 온-프레미스 Active Directory를 완전히 대체하기 위한 것이 아닙니다. 대신, 이미 Windows AD 서버를 사용하고 있는 경우 이를 Microsoft Entra ID에 연결하여 디렉터리를 Azure로 확장할 수 있습니다. 이 방법을 사용하면 사용자가 동일한 크리덴셜로 로컬 및 클라우드 기반 리소스에 모두 액세스할 수 있습니다.

Windows AD와 Microsoft Entra ID가 리소스를 제어하는 ​​것을 보여 주는 개념 아트.

사용자는 Windows AD와 별도로 Microsoft Entra ID를 사용할 수도 있습니다. 소규모 회사에서는 Microsoft Entra ID를 유일한 디렉터리 서비스로 사용하여 Microsoft 365, Salesforce, Dropbox 등의 애플리케이션 및 SaaS 제품에 대한 액세스를 제어할 수 있습니다.

참고 항목

이 방법은 완전한 중앙 집중식 관리 모델을 제공하지 않습니다. 예를 들어 로컬 Windows 머신은 로컬 자격 증명을 사용하여 인증합니다. 사용자는 Microsoft Entra ID를 사용하는 애플리케이션을 작성하고 사용자가 한 곳에서 관리할 인증 및 권한 부여를 제공할 수 있습니다.

디렉터리, 구독 , 사용자

Microsoft는 현재 여러 가지 클라우드 기반 제품을 제공하고 있으며, 모두 Microsoft Entra ID를 사용하여 사용자를 식별하고 액세스를 제어할 수 있습니다.

  • Microsoft Azure
  • Microsoft 365
  • Microsoft Intune
  • Microsoft Dynamics 365

회사나 조직이 이러한 서비스 중 하나를 사용하기 위해 등록하면 Microsoft Entra ID의 인스턴스인 기본 디렉터리가 할당됩니다. 이 디렉터리에는 회사에서 구매한 각 서비스에 액세스할 수 있는 사용자와 그룹이 포함됩니다. 이 기본 디렉터리를 테넌트로 참조할 수 있습니다. 이 기본 디렉터리를 ‘테넌트’라고도 합니다. 테넌트는 조직과 조직에 할당된 기본 디렉터리를 의미합니다.

Azure에서 구독은 청구 엔터티인 동시에 보안 경계입니다. 가상 머신, 웹 사이트, 데이터베이스와 같은 리소스들은 하나의 구독에 연결됩니다. 각 구독에는 구독의 리소스에서 발생한 비용을 책임지는 단일 계정 ‘소유자’도 있습니다. 당신의 회사 또는 조직에서 하나의 구독이 다른 계정에서 청구되기를 원하는 경우에는 구독을 양도할 수 있습니다. 구독은 단일 Microsoft Entra 디렉터리와 연결됩니다. 다수의 구독은 동일한 디렉터리를 신뢰할 수 있지만, 하나의 구독은 하나의 디렉터리만 신뢰할 수 있습니다.

여러 구독에 사용자 및 그룹을 추가할 수 있습니다. 이렇게 하면 사용자가 구독의 리소스를 작성, 제어 및 액세스할 수 있습니다. 구독에 사용자를 추가하면, 다음 그림과 같이 사용자가 관련 디렉터리에 알려져야 합니다.

Azure의 사용자, 디렉터리 및 구독을 보여 주는 개념 아트

여러 디렉터리에 속해 있는 경우 Azure Portal 헤더의 디렉터리 + 구독 단추를 통해 현재 작업 중인 디렉터리를 전환할 수 있습니다.

Azure Portal의 디렉터리 선택 대화 상자를 보여 주는 스크린샷

기본 디렉터리를 선택하는 방법(마지막으로 방문한 디렉터리 또는 특정 디렉터리)을 결정할 수도 있습니다. 표시된 구독의 기본 필터를 설정할 수도 있습니다. 기본 필터는 여러 개의 구독에 액세스할 수 있지만 일반적으로 그중 일부에서만 작업하는 경우에 유용합니다.

새 디렉터리 만들기

참고 항목

이러한 작업의 대부분은 Azure Portal이나 Microsoft Entra 관리 센터에서 수행할 수 있습니다. 이 자습서에서는 특별히 언급된 경우를 제외하고 대부분의 작업에 Microsoft Entra 관리 센터를 사용합니다.

조직(테넌트)에는 연결된 기본 Microsoft Entra 디렉터리가 하나 있습니다. 하지만 소유자는 개발 또는 테스트 목적을 지원하거나 별도의 디렉터리를 로컬 Windows Server AD 포리스트와 동기화하기 위해 추가 디렉터리를 만들 수 있습니다.

Important

새 디렉터리를 만드는 단계는 다음과 같습니다. 그러나 Azure 계정의 소유자인 경우에만 이 옵션을 사용할 수 있습니다. Azure Sandbox에서는 새 Microsoft Entra 디렉터리를 만들 수 없습니다.

  1. Azure Portal에 로그인합니다.

  2. Azure 홈페이지의 Azure 서비스에서 리소스 만들기를 선택합니다.

  3. 왼쪽 메뉴 창에서 ID를 선택한 다음 Microsoft Entra ID를 검색하여 선택합니다.

  4. 만들기를 실행합니다.

  5. 테넌트 형식으로 Microsoft Entra ID를 선택한 후 다음: 구성을 선택합니다.

  6. 각 설정에 다음 값을 입력합니다.

    • 조직 이름: 다른 디렉터리와 구분할 수 있도록 디렉터리의 이름을 입력합니다. 생성할 디렉터리는 추후 프로덕션에서 사용되므로 사용자가 인식할 수 있는 이름으로 제공되어야 합니다. 필요한 경우 나중에 이름을 변경할 수 있습니다.

    • 초기 도메인 이름: 조직과 연결된 도메인 이름을 입력합니다. 알 수 없는 도메인이나 누락된 도메인으로 인해 유효성 검사 오류가 발생합니다. 기본 도메인 이름은 항상 접미사 .onmicrosoft.com 를 포함합니다. 기본 도메인은 변경할 수 없습니다. 변경하고자 한다면 정의된 사용자가 john@contoso.com 등의 일반적인 회사 이메일을 사용할 수 있도록 조직이 소유한 사용자 지정 도메인을 추가할 수 있습니다.

    • 국가 또는 지역: 디렉터리가 상주할 국가/지역을 선택합니다. 국가/지역은 Microsoft Entra 인스턴스가 있는 지역 및 데이터 센터를 식별하며 나중에 변경할 수 없습니다.

    AD 만들기 프로세스를 보여 주는 스크린샷

  7. 만들기를 선택하여 새 디렉터리를 만듭니다. 무료 계층 디렉터리가 생성되며, 여기서 사용자를 추가하고, 역할을 만들고, 앱과 디바이스를 등록하고, 라이선스를 제어할 수 있습니다.

디렉터리를 만든 후에는 새 테넌트를 관리하려면 여기를 클릭하세요.를 선택하여 모든 디렉터리 측면을 제어할 수 있는 개요 대시보드로 이동합니다.

Microsoft Entra 대시보드의 스크린샷.

Microsoft Entra ID에서 작업하게 될 기본 요소 중 하나인 사용자를 살펴보겠습니다.

지식 점검

1.

Azure 구독은 _______________.입니다.

2.

다음 중 구독과 Microsoft Entra 디렉터리 간의 관계를 가장 잘 설명하는 것은 무엇인가요?

3.

참 또는 거짓, 조직은 둘 이상의 Microsoft Entra 디렉터리를 가질 수 있습니다.