Microsoft에서 제공하는 클라우드 기반 ID 및 액세스 관리 서비스
구) Azure Active Directory
Microsoft Entra ID 검사
Active Directory Domain Services(AD DS)
•
사용자 계정 및 암호와 같은 디렉터리 데이터를 저장하는 방법을 제공
•
네트워크 사용자, 관리자, 기타 디바이스 및 서비스에서 이 데이터를 사용할 수 있도록 하는 디렉터리 서비스
•
도메인 컨트롤러라고 하는 Windows Server에서 서비스로 실행
Microsoft Entra ID
•
다단계 인증, ID 보호, 셀프 서비스 암호 재설정 지원 등 AD DS에서 기본적으로 사용할 수 없는 기능 집합에도 액세스
•
PaaS(서비스 제품 플랫폼) 제품의 일부
◦
클라우드에서 Microsoft 관리 디렉터리 서비스로 작동
◦
고객이 소유하고 관리하는 핵심 인프라에 속하지 않으며 서비스 제공 인프라 제품도 아님
•
조직 및 개인에게 클라우드 기반 리소스에 대한 보다 안전한 액세스를 제공
•
온-프레미스 앱에 더 중점을 둔 AD DS와 달리 웹 기반 앱에 ID 관리 서비스를 제공하는 데 훨씬 더 중점을 둔 다른 서비스
Microsoft Entra Tenant
설계상 다중 테넌트이며, 개별 디렉터리 인스턴스 간의 격리를 보장하기 위해 특별히 구현
Tenant
•
일반적 관점
◦
각각 Microsoft Entra ID를 사용하는 Microsoft 365, Intune 또는 Azure와 같은 Microsoft 클라우드 기반 서비스 구독에 등록한 회사 또는 조직
•
기술적 관점
◦
개별 Microsoft Entra 인스턴스
▪
Azure 구독 내에서 여러 Microsoft Entra 테넌트를 만들 수 있음
▪
언제든지 Azure 구독은 하나의 Microsoft Entra 테넌트에만 연결되어야 함
•
연결되어 있는 경우, RBAC를 통해 Azure 구독의 리소스에 대한 권한을 특정 Microsoft Entra 테넌트에 있는 사용자, 그룹, 애플리케이션에 부여 가능
•
각 Microsoft Entra 테넌트에는 고유한 접두사로 구성된 기본 DNS(Domain Name System) 도메인 이름이 할당
◦
Azure 구독을 만드는 데 사용하는 Microsoft 계정 이름에서 파생
◦
Microsoft Entra 테넌트를 만들 때 명시적으로 제공되며 접두사 뒤에는 onmicrosoft.com 접미사가 이어짐
◦
동일한 Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가하는 것이 가능(일반적)
▪
해당 회사 또는 조직이 소유한 DNS 도메인 네임스페이스를 활용
•
사용자, 그룹, 애플리케이션과 같은 Microsoft Entra 개체에 대한 보안 경계 및 컨테이너 역할 수행
•
단일 Microsoft Entra 테넌트는 여러 Azure 구독을 지원 가능
Microsoft Entra Schema
AD DS보다 적은 개체 형식이 포함
Microsoft Entra ID의 주된 강점은 사용자, 디바이스, 애플리케이션 데이터를 저장 및 게시하고 사용자, 디바이스, 애플리케이션의 인증 및 권한 부여를 처리하는 디렉터리 서비스를 제공하는 데 있음
Microsoft Entra ID 및 Active Directory Domain Services 비교
Microsoft Entra ID를 단순히 AD DS의 클라우드 기반 대응 버전으로 볼 수도 있지만, Microsoft Entra ID와 AD DS는 공통된 특성을 공유하면서도 몇 가지 중요한 차이점 존재
AD DS
•
물리적 서버 또는 가상 서버에 Windows Server 기반 Active Directory를 기존 방식으로 배포한 것
•
일반적으로 디렉터리 서비스로 여겨지지만, 디렉터리 서비는 Windows Active Directory 기술 제품군의 구성 요소 중 하나일 뿐
•
특징
◦
계층적 X.500 기반 구조를 사용하는 디렉터리 서비스
◦
DNS(Domain Name System)를 사용하여 도메인 컨트롤러와 같은 리소스를 찾음
◦
LDAP(Lightweight Directory Access Protocol) 호출을 사용하여 AD DS를 쿼리하고 관리
◦
인증하기 위해 Kerberos 프로토콜을 주로 사용
◦
관리를 위해 OU 및 GPO를 사용
◦
Active Directory 도메인에 가입하는 컴퓨터를 나타내는 컴퓨터 개체가 포함
◦
위임된 관리를 위해 도메인 간의 트러스트를 사용
Microsoft Entra ID
•
특징
◦
주로 ID 솔루션으로, HTTP(포트 80) 및 HTTPS(포트 443) 통신을 사용하여 인터넷 기반 애플리케이션용으로 설계
◦
다중 테넌트 디렉터리 서비스
◦
Microsoft Entra 사용자 및 그룹은 플랫 구조로 생성(OU나 GPO는 X)
◦
LDAP를 사용하여 Microsoft Entra ID를 쿼리할 수 없음. 대신 Microsoft Entra ID는 HTTP 및 HTTPS를 통해 REST API를 사용
◦
Kerberos 인증을 사용하지 않는 대신, SAML, WS-Federation 및 OpenID Connect와 같은 HTTP 및 HTTPS 프로토콜을 사용하여 인증하고 권한 부여에 OAuth를 사용
◦
페더레이션된 서비스가 포함되어 있고 많은 타사 서비스가 Microsoft Entra ID와 페더레이션되며 Microsoft Entra ID를 신뢰
클라우드 앱용 디렉터리 서비스인 Microsoft Entra ID를 살펴봅니다.
•
클라우드 서비스를 배포할 때 이러한 서비스에 대한 인증 및 권한 부여를 제공하려면 클라우드에 디렉터리 서비스도 있어야 함
•
Microsoft Entra ID는 개발자에게 다른 ID 공급자 또는 온-프레미스 AD DS를 사용하여 Azure의 애플리케이션에 대한 중앙 집중식 인증 및 권한 부여를 제공
•
애플리케이션을 사용할 때 사용자에게 SSO 환경을 제공
•
Microsoft Entra 테넌트를 지정하면 해당 디렉터리에 계정이 있는 사용자만 웹 사이트에 액세스할 수 있도록 할 수 있음
Microsoft Entra ID P1 및 P2 계획 비교
P1 또는 P2 계층은 무료 및 Office 365 버전과 비교해 추가 기능을 제공. 그러나 프리미엄 버전에는 사용자 프로비저닝당 추가 비용이 필요.
•
P1 버전에서 제공하는 기능
◦
셀프 서비스 그룹 관리
◦
고급 보안 보고서 및 경고
◦
다단계 인증(MFA)
◦
Microsoft Identity Manager(MIM) 라이선싱
◦
99.9%의 엔터프라이즈 SLA
◦
쓰기 저장을 사용하여 암호 재설정
◦
Microsoft Entra ID의 Cloud App Discovery 기능
◦
디바이스나 그룹, 위치를 기반으로 하는 조건부 액세스
◦
Microsoft Entra Connect Health
•
P2 라이선스에서 제공하는 추가 기능(P1 기능도 제공하면서)
위험 기반 로그인 구현
◦
Microsoft Entra ID 보호
◦
Microsoft Entra Privileged Identity Management
Microsoft Entra Domain Services 검사
대부분의 조직에서 LOB(기간 업무) 애플리케이션은 도메인 구성원인 컴퓨터와 디바이스에 배포(on-premise)
•
즉, AD DS 기반 자격 증명을 사용 → 그룹 정책에서 이를 관리
◦
Azure에서 앱을 실행하는 경우, 문제는 앱에 인증 서비스를 제공하는 방법(클라우드 네이티브가 아니므로)
•
인증 서비스 제공 문제를 해결하기 위해 Microsoft Entra Domain Services를 제공(클라우드 네이티브 솔루션)
◦
Microsoft Entra ID P1 또는 P2 계층의 일부로 실행됨
▪
Microsoft Entra ID(Azure AD)와 통합된 완전 관리형 도메인 서비스
◦
그룹 정책 관리, 도메인 가입, Kerberos 인증과 같은 도메인 서비스를 Microsoft Entra 테넌트에 제공
◦
로컬로 배포된 AD DS와 완전히 호환되므로 클라우드에서 추가 도메인 컨트롤러를 배포하고 관리할 필요 없이 사용 가능
•
Microsoft Entra ID는 로컬 AD DS와 통합 가능
◦
Microsoft Entra Connect를 구현하면 사용자는 온-프레미스 AD DS와 Microsoft Entra Domain Services 모두에서 조직 자격 증명을 활용 가능
◦
AD DS를 로컬에 배포하지 않은 경우에도 Microsoft Entra Domain Services를 클라우드 전용 서비스로 사용하도록 선택 가능
•
Microsoft Entra Domain Services를 사용하면 LDAP, NTLM 또는 Kerberos 프로토콜을 사용하는 애플리케이션을 온-프레미스 인프라에서 클라우드로 자유롭게 마이그레이션 가능
◦
클라우드의 도메인 컨트롤러 또는 로컬 인프라에 대한 VPN이 없어도 Microsoft SQL Server나 Microsoft SharePoint Server와 같은 애플리케이션을 VM에서 사용하거나 Azure IaaS에 배포할 수 있음