Microsoft Entra ID 검사

• 7분

학생들은 Active Directory Domain Services(AD DS 또는 일반적으로 “Active Directory”라고 함)에 대해 잘 알고 있어야 합니다. AD DS는 사용자 계정 및 암호와 같은 디렉터리 데이터를 저장하는 방법을 제공하고 네트워크 사용자, 관리자, 기타 디바이스 및 서비스에서 이 데이터를 사용할 수 있도록 하는 디렉터리 서비스입니다. 도메인 컨트롤러라고 하는 Windows Server에서 서비스로 실행됩니다.

Microsoft Entra ID는 PaaS(서비스 제품 플랫폼) 제품의 일부이며 클라우드에서 Microsoft 관리 디렉터리 서비스로 작동합니다. 고객이 소유하고 관리하는 핵심 인프라에 속하지 않으며 서비스 제공 인프라 제품도 아닙니다. 구현에 대한 통제력이 줄어들지만 배포 또는 유지 관리에 리소스를 전담시킬 필요가 없음을 의미하기도 합니다.

Microsoft Entra ID를 사용하면 다단계 인증, ID 보호, 셀프 서비스 암호 재설정 지원 등 AD DS에서 기본적으로 사용할 수 없는 기능 집합에도 액세스할 수 있습니다.

Microsoft Entra ID를 사용하면 다음과 같은 방법으로 조직 및 개인에게 클라우드 기반 리소스에 대한 보다 안전한 액세스를 제공할 수 있습니다.

• 애플리케이션에 대한 액세스를 구성합니다.
• 클라우드 기반 SaaS 애플리케이션에 SSO(Single Sign-On) 구성
• 사용자 및 그룹 관리
• 사용자 프로비전
• 조직 간 페더레이션 사용
• ID 관리 솔루션 제공
• 비정상적인 로그인 활동 식별
• 다단계 인증 구성
• 기존 온-프레미스 Active Directory 구현을 Microsoft Entra ID로 확장합니다.
• 클라우드 및 로컬 애플리케이션의 애플리케이션 프록시 구성
• 사용자 및 디바이스의 조건부 액세스 구성

Microsoft Entra는 별도의 Azure 서비스를 구성합니다. 새 Azure 구독에 자동으로 포함되는 가장 기본적인 양식은 추가 비용이 발생하지 않으며 무료 계층이라고 합니다. Microsoft Online 비즈니스 서비스(예: Microsoft 365 또는 Microsoft Intune)를 구독하는 경우 모든 무료 기능에 액세스할 수 있는 Microsoft Entra ID가 자동으로 제공됩니다.

고급 ID 관리 기능 중 일부에는 기본 및 프리미엄 계층의 형태로 제공되는 유료 버전의 Microsoft Entra ID가 필요합니다. 이러한 기능 중 일부는 Microsoft 365 구독의 일부로 생성된 Microsoft Entra 인스턴스에도 자동으로 포함됩니다. Microsoft Entra 버전 간의 차이점은 이 모듈의 뒷부분에서 설명합니다.

Microsoft Entra ID를 구현하는 것은 Azure에서 가상 머신을 배포하고 AD DS를 추가한 다음, 새 포리스트 및 도메인에 대한 일부 도메인 컨트롤러를 배포하는 것과는 다릅니다. Microsoft Entra ID는 온-프레미스 앱에 더 중점을 둔 AD DS와 달리 웹 기반 앱에 ID 관리 서비스를 제공하는 데 훨씬 더 중점을 둔 다른 서비스입니다.

Microsoft Entra 테넌트

AD DS와 달리 Microsoft Entra ID는 설계상 다중 테넌트이며 개별 디렉터리 인스턴스 간의 격리를 보장하기 위해 특별히 구현되었습니다. 이는 세계에서 가장 큰 다중 테넌트 디렉터리로, 100만 개의 디렉터리 서비스 인스턴스를 호스트하고 있으며 여기서 매주 10억 건의 인증 요청이 이루어지고 있습니다. 이 컨텍스트에서 테넌트라는 용어는 일반적으로 각각 Microsoft Entra ID를 사용하는 Microsoft 365, Intune 또는 Azure와 같은 Microsoft 클라우드 기반 서비스 구독에 등록한 회사 또는 조직을 나타냅니다. 그러나 기술적인 관점에서 테넌트라는 용어는 개별 Microsoft Entra 인스턴스를 나타냅니다. Azure 구독 내에서 여러 Microsoft Entra 테넌트를 만들 수 있습니다. 다른 테넌트에 영향을 주지 않고 한 테넌트에서 Microsoft Entra 기능을 테스트하려는 경우 여러 Microsoft Entra 테넌트를 갖는 것이 편리할 수 있습니다.

언제든지 Azure 구독은 하나의 Microsoft Entra 테넌트에만 연결되어야 합니다. 이 연결을 사용하면 RBAC를 통해 Azure 구독의 리소스에 대한 권한을 특정 Microsoft Entra 테넌트에 있는 사용자, 그룹, 애플리케이션에 부여할 수 있습니다.

각 Microsoft Entra 테넌트에는 고유한 접두사로 구성된 기본 DNS(Domain Name System) 도메인 이름이 할당됩니다. Azure 구독을 만드는 데 사용하는 Microsoft 계정 이름에서 파생되거나 Microsoft Entra 테넌트를 만들 때 명시적으로 제공되며 접두사 뒤에는 onmicrosoft.com 접미사가 이어집니다. 동일한 Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가하는 것이 가능하며, 그렇게 하는 것이 일반적입니다. 이름에는 해당 회사 또는 조직이 소유한 DNS 도메인 네임스페이스를 활용합니다. Microsoft Entra 테넌트는 사용자, 그룹, 애플리케이션과 같은 Microsoft Entra 개체에 대한 보안 경계 및 컨테이너 역할을 합니다. 단일 Microsoft Entra 테넌트는 여러 Azure 구독을 지원할 수 있습니다.

Microsoft Entra 스키마

Microsoft Entra 스키마에는 AD DS보다 적은 개체 형식이 포함되어 있습니다. 특히 컴퓨터 클래스의 정의는 포함되어 있지 않지만 디바이스 클래스는 포함되어 있습니다. 디바이스를 Microsoft Entra에 조인하는 프로세스는 컴퓨터를 AD DS에 조인하는 프로세스와 상당히 다릅니다. Microsoft Entra 스키마도 쉽게 확장할 수 있으며 해당 확장명은 완전히 되돌릴 수 있습니다.

기존 컴퓨터 도메인 멤버 자격에 대한 지원이 부족하다는 것은 Microsoft Entra ID를 사용하여 GPO(그룹 정책 개체)와 같은 기존 관리 기술을 사용하여 컴퓨터 또는 사용자 설정을 관리할 수 없다는 것을 의미합니다. 대신 Microsoft Entra ID 및 해당 서비스는 최신 관리의 개념을 정의합니다. Microsoft Entra ID의 주된 강점은 사용자, 디바이스, 애플리케이션 데이터를 저장 및 게시하고 사용자, 디바이스, 애플리케이션의 인증 및 권한 부여를 처리하는 디렉터리 서비스를 제공하는 데 있습니다. 이러한 기능의 효과와 효율성은 Microsoft 365와 같은 기존의 클라우드 서비스 배포를 기반으로 하며 Microsoft Entra ID를 ID 공급자로 사용하고 수백만 명의 사용자를 지원합니다.

Microsoft Entra ID에는 OU(조직 구성 단위) 클래스를 포함하지 않으므로 해당 개체를 온-프레미스 AD DS 배포에서 자주 사용되는 사용자 지정 컨테이너의 계층 구조로 정렬할 수 없습니다. 그러나 AD DS의 OU는 주로 그룹 정책 범위 지정 및 위임에 사용되기 때문에 이는 큰 단점이 아닙니다. 그룹 멤버 자격에 따라 개체를 구성하여 동등한 정렬을 수행할 수 있습니다.

Application 및 servicePrincipal 클래스의 개체는 Microsoft Entra ID의 애플리케이션을 나타냅니다. Application 클래스의 개체는 애플리케이션 정의를 포함하고 servicePrincipal 클래스의 개체는 현재 Microsoft Entra 테넌트에서 해당 인스턴스를 구성합니다. 이러한 두 특성 집합을 분리하면 한 테넌트에서 애플리케이션을 정의하고 각 테넌트에서 이 애플리케이션에 대한 서비스 주체 개체를 만들어 여러 테넌트에서 사용할 수 있습니다. Microsoft Entra ID는 해당 Microsoft Entra 테넌트에 해당 애플리케이션을 등록할 때 서비스 주체 개체를 만듭니다.