워크로드를 클라우드로 전환하려면 서버, 웹 사이트, 데이터를 이동하는 것 이상의 작업이 필요
회사가 사용하는 각 서비스에 대한 각각의 사용자들에 대한 명확한 ID를 제공하고, 직원들과 공급업체가 업무를 수행할 수 있도록 충분한 접근 권한 소유를 보장함으로써 회사 데이터에 접근하는 사용자들을 중앙에서 제어해야 함
Microsoft Entra ID는 99.9%의 사이버 보안 공격으로부터 사용자를 보호할 수 있도록 Single Sign-On 및 다단계 인증을 제공하는 Microsoft 클라우드 기반 ID 및 액세스 관리 서비스
Microsoft Entra ID란?
클라우드에서 사용자 관리를 위한 허브
Microsoft Entra ID는 Windows Server Active Directory의 클라우드 버전이 아님
Azure AD는 온-프레미스 Active Directory를 완전히 대체하기 위한 것이 아님
대신, 이미 Windows AD 서버를 사용하고 있는 경우 이를 Microsoft Entra ID에 연결하여 디렉터리를 Azure로 확장 가능
WIndow Server AD & Azure AD 기능 : 사용자 및 그룹 인증 + 권한 부여
디렉터리
Microsoft는 현재 여러 가지 클라우드 기반 제품을 제공하고 있으며, 모두 Microsoft Entra ID를 사용하여 사용자를 식별하고 액세스 제어 가능
Microsoft Azure, Microsoft 365, Microsoft Intune, Microsoft Dynamics 365와 같은 서비스 중 하나를 사용하기 위해 등록하면 Microsoft Entra ID의 기본 인스터스인 기본 디렉터리(테넌트)를 할당
테넌트는, 조직 & 조직에 할당된 기본 디렉터리 의미
처음에는 조직 디렉터리가 1개 생성되지만, 경계 간 보안을 나누기 위해 추가 디렉터리를 생성 가능
구독
청구 엔티티 & 보안 경계
가상 머신, 웹 사이트, 데이터베이스와 같은 리소스들은 하나의 구독에 연결
각 구독에는 구독의 리소스에서 발생한 비용을 책임지는 단일 계정 ‘소유자’ 존재
하나의 구독이 다른 계정에서 청구되기를 원하는 경우에는 구독을 양도할 수 있음
구독은 단일 Microsoft Entra 디렉터리와 연결(다수의 구독은 동일한 디렉터리를 신뢰할 수 있지만, 하나의 구독은 하나의 디렉터리만 신뢰)
즉, 구독과 디렉터리는 N:1 관계
사용자
여러 구독에 사용자 및 그룹을 추가 → 사용자가 구독의 리소스를 작성, 제어 및 액세스 가능
구독에 사용자를 추가하면, 다음 그림과 같이 사용자가 관련 디렉터리에 알려져야함
사용자 생성 및 관리
- Azure 리소스에 액세스해야 하는 모든 사용자에게 Azure 사용자 계정이 필요
- 사용자 계정에는 로그인 프로세스에서 인증하는 데 필요한 모든 정보가 포함
- 인증되면 Microsoft Entra ID는 액세스 토큰을 빌드하여 사용자에게 권한을 부여하고, 액세스할 수 있는 리소스를 결정하며, 해당 리소스로 수행할 수 있는 작업을 결정
- Microsoft Entra 제품을 위한 웹 기반 ID 포털
- 조직, 관리자가 중앙에서 Microsoft Entra 솔루션을 구성하고 관리할 수 있는 통합된 관리 환경 제공
사용자 보기
3가지 방법으로 사용자 정의
•
클라우드 ID
Microsoft Entra ID 외부 Microsoft Entra ID
◦
Microsoft Entra ID에만 존재 : 주 디렉터리에서 제거할 경우 삭제됨
•
디렉터리 동기화된 ID
Windows Server AD
◦
온-프레미스 Active Directory에 존재하는 사용자
◦
Microsoft Entra Connect를 통해 발생하는 동기화 작업은 이러한 사용자를 Azure로 가져옴
•
게스트 사용자
초대된 사용자
◦
Azure 외부에 존재하는 사용자
◦
외부 공급업체나 계약자가 Azure 리소스에 액세스해야 하는 경우에 유용 : 더 이상 도움이 필요하지 않으면 계정과 모든 액세스 권한을 제거 가능
사용자 추가
Microsoft Entra ID에 클라우드 ID를 추가하는 여러 방법들
•
온-프레미스 Windows Server Active Directory 동기화
•
Microsoft Entra 관리 센터 사용
•
Azure Portal 사용
•
명령줄 사용
•
기타
온-프레미스 Windows Server Active Directory 동기화
Microsoft Entra Connect
기존 Active Directory를 Microsoft Entra 인스턴스와 동기화할 수 있는 별도의 서비스(대부분의 엔터프라이즈 고객은 이 방법으로 디렉터리에 사용자를 추가)
사용자가 SSO(Single Sign-On)를 사용하여 로컬 및 클라우드 기반 리소스에 액세스할 수 있다는 이점 존재
Microsoft Entra 관리 센터 사용
Microsoft Entra 관리 센터
수동으로 새 사용자를 추가 가능
소규모 사용자 집합을 추가하는 가장 쉬운 방법
이 기능을 수행하려면 사용자 관리자 역할에 있어야 함
명령줄 사용
# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }
# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled
PowerShell
복사
이 명령은 새로 만든 사용자 개체를 반환
DisplayName Id UserPrincipalName
----------- -- -----------------
Abby Brown f36634c8-8a93-4909-9248-0845548bc515 AbbyB@contoso.com
PowerShell
복사
표준 명령줄 인터페이스를 선호하는 경우 Azure CLI를 사용할 수 있음
az ad user create --display-name "Abby Brown" --password "<password>" --user-principal-name "AbbyB@contoso.com" --force-change-password-next-login true --mail-nickname "AbbyB"
Bash
복사
명령줄 도구를 사용하면 스크립팅을 통해 사용자를 대량으로 추가 가능
가장 일반적 방법은, 쉼표로 구분된 값(CSV) 파일을 사용하는 것
CSV를 사용할 경우 고려할 몇 가지 사항
•
명명 규칙
•
암호
Azure PowerShell에서 CSV를 사용하려고 한다면:
•
Connect-MgGraph 명령을 실행하여 디렉터리에 대한 PowerShell 연결 생성
•
새 사용자의 새로운 암호 프로필을 만듦
•
Import-CSV를 사용하여 CSV를 가져오기 : 파일 경로와 이름 지정
•
파일의 사용자를 반복하여 각 사용자에게 필요한 사용자 매개 변수를 생성 : 사용자 계정 이름, 표시 이름, 이름, 부서, 직위 등
•
New-MgUser 명령을 실행하여 각 사용자를 만듦
그룹 생성 및 관리
•
Microsoft Entra 그룹은 사용자를 구성하는 데 도움이 되므로 권한을 더 쉽게 관리 가능
•
그룹을 사용하면 리소스 소유자(또는 Microsoft Entra 디렉터리 소유자)가 권한을 하나씩 제공할 필요 없이 모든 그룹 구성원에게 일련의 액세스 권한을 할당 가능
•
그룹을 사용하여 보안 경계를 정의한 다음, 특정 사용자를 추가 및 제거하여 최소한의 노력으로 액세스를 허용하거나 거부 가능
•
Microsoft Entra ID는 사용자가 근무하는 부서, 직함 등의 규칙을 기반으로 멤버 자격을 정의하는 기능을 지원
두 가지 형식의 그룹 정의
1.
보안 그룹
- 가장 일반적인 그룹이며, 사용자 그룹의 공유 리소스에 대한 구성원 및 컴퓨터 액세스를 관리하는 데 사용
- 각 구성원에게 개별적으로 사용 권한을 추가하는 대신, 모든 구성원에게 사용 권한 집합을 동시에 제공 가능
- 이 옵션을 사용하려면 Microsoft Entra 관리자가 필요
2.
Microsoft 365 그룹
- 공유 사서함, 일정, 파일, SharePoint 사이트 등에 대한 액세스 권한을 구성원에게 부여하여 협업 기회 제공
- 조직 외부의 사용자에게 그룹에 대한 액세스 권한을 제공 가능
- 이 옵션은 사용자와 관리자가 모두 사용 가능
사용 가능 그룹 보기, Microsoft Entra ID에 그룹 추가, 그룹 멤버십 변경
역할을 사용해 리소스 액세스 제어
Azure 리소스에 대한 기본 제공 역할(PowerShell 사용)
모든 리소스 종류에 적용되는 다음 3가지 역할
•
소유자
•
기여자
•
읽기 권한자
역할 정의
각 역할은 JSON(JavaScript Object Notation) 파일에 정의된 속성 집합
Get-AzRoleDefinition Owner
PowerShell
복사
역할 정보 가져오기
Name : Owner
Id : 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
IsCustom : False
Description : Lets you manage everything, including access to resources.
Actions : {*}
NotActions : {}
DataActions : {}
NotDataActions : {}
AssignableScopes : {/}
PowerShell
복사
역할 정보 결과
기본 제공 역할
역할 정의란?
사용 권한 컬렉션
•
역할 정의에는 읽기, 쓰기, 삭제 등 역할이 수행할 수 있는 작업이 나열
수행할 수 없는 작업이나 기본 데이터와 관련된 작업도 나열될 수 있음
Actions 및 NotActions
역할에 허용되는 관리 기능 제공
필요한 사용 권한을 정확히 부여하고 거부 가능
항상 {Company}.{ProviderName}/{resourceType}/{action} 형식
3가지 역할의 작업
•
Actions의 와일드카드(*) 작업은 이 역할에 할당된 보안 주체가 모든 작업을 수행할 수 있음을 나타냄
◦
즉, 새 리소스 종류가 Azure에 추가될 때 나중에 정의된 작업을 포함하여 모든 항목 관리 가능
◦
읽기 권한자 역할의 경우 read 작업만 허용
•
NotActions에 포함된 작업은 Actions에서 제외
◦
NotActions는 리소스에 대한 액세스를 관리하는 이 역할의 기능을 제거하고, 리소스에 액세스를 할당하는 기능도 제거
DataActions 및 NotDataActions
역할이 조작할 수 있는 데이터 결정
•
데이터 작업은 DataActions 및 NotDataActions 속성에 명시. 관리 작업과 별도로 데이터 작업을 지정 가능. 이렇게 하면 와일드카드(*)를 사용한 현재 역할 조정이 갑자기 데이터에 액세스할 수 있게 되는 경우를 방지 가능
•
할 수 있는 데이터 작업 몇 가지
◦
컨테이너의 Blob 목록 읽기
◦
컨테이너에서 Storage Blob 작성
◦
큐의 메시지 삭제
•
DataActions 및 NotDataActions 속성에만 데이터 작업을 추가 가능. 리소스 공급자는 isDataAction 속성을 true로 설정하여 데이터 작업을 확인. NotDataActions 컬렉션에서 제거할 특정 작업 목록을 제공
할당 가능한 범위
역할이 적용되는 리소스 결정
•
역할의 범위도 지정해야 역할을 완전히 구현 가능
•
역할의 AssignableScopes 속성은 역할을 할당할 수 있는 범위(구독, 리소스 그룹 또는 리소스)를 지정
◦
역할이 필요한 구독이나 리소스 그룹에만 사용자 지정 역할을 할당할 수 있도록 설정하여, 그 외의 구독이나 리소스 그룹에서는 사용자 환경이 복잡해지는 것을 방지 가능
역할 만들기
Microsoft Entra ID에는 사용자가 원하는 작업의 99%를 처리할 수 있는 기본 제공 역할이 포함됨. 가능하면 기본 제공 역할을 사용하는 것이 좋음. 그러나 필요한 경우에는 사용자 지정 역할을 생성 가능
사용자 지정 역할을 만들려면 Microsoft Entra ID P1 또는 P2가 필요. 무료 계층에서는 사용자 지정 역할을 만들 수 없음
1.
Microsoft Entra 관리 센터
역할 및 관리자 → 새 사용자 지정 역할
2.
Azure Portal
Microsoft Entra ID > 역할 및 관리자 > 새 사용자 지정 역할
3.
Azure PowerShell
New-AzRoleDefinition cmdlet을 사용하여 새 역할을 정의
4.
Azure Graph API
Graph API에 대한 REST 호출을 사용하여 프로그래밍 방식으로 새 역할 생성
Microsoft Entra Connect를 사용해 Active Directory를 Microsoft Entra ID에 연결
•
온-프레미스 Windows Server Active Directory 솔루션을 사용하는 회사는 Microsoft Entra Connect를 사용하여 기존 사용자 및 그룹을 Microsoft Entra ID와 통합 가능
◦
Microsoft Entra Connect를 사용하면 하이브리드 ID 환경에서 Microsoft Entra ID와 통합된 Microsoft 365, Azure 및 SaaS 애플리케이션에 대한 공통 ID를 사용자에게 제공
Microsoft Entra Connect에는 무엇이 포함되어 있나요?
Microsoft Entra Connect는 하이브리드 ID 시스템을 만들기 위해 설치할 수 있는 여러 구성 요소를 제공
•
서비스 동기화
•
상태 모니터링
•
AD FS(Active Directory Federation Services)
•
암호 해시 동기화
•
패스스루 인증
혜택
온-프레미스 디렉터리를 Microsoft Entra ID와 통합 → 클라우드 및 온-프레미스 리소스에 액세스하기 위한 공통 ID를 제공 → 생산성 향상
•
사용자가 단일 ID로 온-프레미스 애플리케이션과 Microsoft 365 등의 클라우드 서비스에 모두 액세스
•
단일 도구를 통해 동기화 및 로그인을 위한 간편한 배포 환경을 제공
•
통합을 통해 시나리오에 필요한 최신 기능을 제공