📌 Microsoft Entra ID vs Directory Domain Services
✔️ Active Directory Domain Services (AD DS 또는 Active Directory)
- 로컬 환경에서 사용자와 리소스를 관리하는 전통적인 도구
- 도메인 컨트롤러를 통해 인증과 권한을 부여
도메인 컨트롤러❓ : Activity Directory 환경에서 사용자 인증, 디렉토리 서비스 제공, 그룹 정책 적용 등의 기능을 담당하는 서버 - 사용자 계정 및 암호와 같은 디렉토리 데이터를 저장하는 방법을 제공하고, 네트워크 사용자, 관리자, 기타 디바이스 및 서비스에서 이 데이터를 사용할 수 있도록 하는 디렉토리 서비스
- 온 프레미스로 기업 내 서버(Window Server)에 설치되어 있음
- 데이터는 계층적 X.500 기반 구조로 저장됨
- DNS(Domain Name System)를 사용하여 도메인 컨트롤러와 같은 리소스를 찾음
- LDAP 호출을 사용하여 AD DS를 쿼리 및 관리
- 사용자, 그룹, 컴퓨터 등을 논리적으로 그룹화 하는 OU(조직 단위) 및 OU에 적용할 할 수 있는 보안설정, 배포 등의 GPO(그룹 정책 객체) 사용
- 도메인 간의 트러스트 사용으로 한 도메인에서 다른 도메인의 리소스에 접근할 수 있는 권한 부여
✔️ Microsoft Entra ID
- Microsoft에서 제공하는 클라우드 기반의 ID 및 액세스 관리 서비스로 사용자 인증과 권한 관리 제공
- 다중 테넌트 디렉터리 서비스
- PaaS 제품의 일부로서 Microsoft 관리 디렉토리 서비스로 작동
- AD DS에서 제공할 수 없는 다단계 인증, ID 보호 등 다양한 기능에 액세스할 수 있음
- OU, GPO 없음
- LDAP를 사용하여 Microsoft ID 쿼리 할 수 없음, HTTP, HTTPS를 통한 REST API로만 가능
📌 Microsoft Entra ID의 기능
- 애플리케이션에 대한 액세스 구성 및 클라우드 기반 SaaS 애플리케이션에 SSO(Single Sign-On) 구성
SSO❓ : 사용자가 한 번의 로그인으로 애플리케이션에 접근할 수 있도록 하는 기능
즉, 사용자는 Entra ID에 로그인 하면 Google Workspace, Office 365등 SaaS 프로그램에 별도의 로그인없이 접근할 수 있음 - 사용자 및 그룹관리, 사용자 프로비전
새로운 사용자가 조직에 합류할 때 자동으로 계정을 생성하고 애플리케이션 접근 권한을 부여함 - 조직 간 페더레이션 사용
서로 다른 조직간의 사용자 인증정보를 공유할 수 있는 기능
ex) 파트너 회사 직원이 자사의 애플리케이션에 접근할 때, 자신의 조직 자격 증명을 통해 로그인 할 수 있음 - 비정상적 로그인 활동 식별
- 보안 강화를 위한 다단계 인증(MFA) 구성
- 클라우드 및 로컬 애플리케이션의 프록시 구성으로 기존 온프레미스 Acitive Directory를 Microsoft Entra ID 로 확장
클라우드와 온프레미스 애플리케이션 간의 연결을 관리하는 프록시 기능을 통해 사용자가 온프레미스에서 사용했던 자격 증명으로 클라우드 애플리케이션에 접근할 수 있게 함 - 특정 조건에 따라 사용자와 디바이스의 접근 권한 제어 기능 제공
📌 Microsoft Entra 테넌트
테넌트❓
일반적 관점 : Microsoft EntraID 를 사용하는 Azure와 같은 Microsoft 클라우드 기반 서비스를 구독하는 회사, 조직을 나타냄
기술적인 관점: 개별 Microsoft Entra 인스턴스를 나타냄
- AD DS와 달리, Microsoft Entra ID는 다중 테넌트로 구현됨
- 다중 테넌트는 하나의 소프트웨어가 여러 고객(테넌트)를 동시에 지원할 수 있는 구조, 각 고객은 독립적인 환경을 가지기에 여러 조직이 동일한 시스템을 공유하더라도 서로의 데이터에 접근할 수 없음
- Azure 구독은 무조건 하나의 Microsoft Entra 테넌트에 연결되어야함
- 이 연결을 통해 RBAC(역할 기반 Access Controller)가 구독의 리소스에 대한 권한을 특정 테넌트에 있는 사용자에게 부여할 수 있음
📌 Microsoft Entra 스키마
- Microsoft Entra 스키마에는 컴퓨터 클래스가 아닌 더 넓은 범위의 장치를 포함하는 디바이스 클래스가 정의되어있음
ex) 모바일 기기, IoT 장치 등 - 기존의 AD DS 는 디바이스를 Microsoft Entra에 조인하기 위해 컴퓨터가 네트워크에 연결되어있어야하고, 도메인 관리자 권한이 필요하는 등 비교적 복잡함
- 하지만 Entra ID는 클라우드 기반이기 때문에, 인터넷만 있으면 어디서든 디바이스를 조인할 수 있음
- Microsoft Entra 스키마는 필요에 따라 쉽게 확장할 수 있으며 해 추가한 속성을 삭제하거나 원래 상태로 복원할 수 있음
📌Microsoft Entra ID P1, P2
P2 전체 기능을 체험할 수 있는 평가판 기간을 제공
✔️ Microsoft Entra ID P1 기능
- 셀프 서비스 그룹 관리
그룹 관리 기능을 간소화하여 사용자가 보다 쉽게 다른 그룹에 가입 요청을 하고 승인할 수 있도록 함 - 고급 보안 보고서 및 경고
비정상과 일관성 없는 액세스 패턴에 대한 고급 보고서를 보여주는 상세 로그를 확인하여 애플리케이션에 대한 액세스를 모니터링하고 보호할 수 있음 - 다단계 인증
- Microsoft Identity Manager(MIM) 라이선싱
Microsoft Entra ID P1 또는 P2와 통합하여 하이브리드 ID 솔루션을 제공 - 99.9%의 엔터프라이즈 SLA(서비스 수준 계약)
Microsoft Entra ID P1 또는 P2 서비스의 가용성이 99.9% 이상 보장 - 쓰기 저장을 사용하여 암호 재설정
- 디바이스나 그룹, 위치를 기반으로하는 조건부 액세스
- Microsoft Entra Connect Health를 통해 경고, 성능 카운터, 구성 설정 등 운영 인사이트 제공
✔️ Microsoft Entra ID P2 기능
Microsoft Entra ID P2는 기존의 P1에 다음의 추가 기능을 제공한다.
- 사용자 위험 정책 및 로그인 정책을 통해 Microsoft Entra ID 에 대한 향상된 보호 기능 제공
- Microsoft Entra Privileged Identity Management를 통해 관리자 권한이 있는 사용자에게 추가적인 보안 수준을 제공
📌 Microsoft Entra Domain Services
Entra ID의 일부로, 클라우드에서 AD DS 와 유사한 기능을 제공하는 서비스
이를 통해 온 프레미스 AD DS 없이도 클라우드에서 도메인 서비스를 사용할 수 있음
✔️ 배경
대부분의 조직에는 도메인 컴퓨터를 사용하여 AD DS 기반의 인증을 사용하여 애플리케이션을 배포함
조직에서 이러한 온 프레미스 애플리케이션을 Azure 클라우드로 이전하고자 할 때, 어떻게 인증 서비스를 제공할 것인가?
✔️ 과거 인증 방식의 한계
비용 및 관리의 복잡성 문제
- 로컬 인프라와 Azure 간의 VPN 설정을 통해 인증 요청 처리
- Azure에 AD DS의 복제본 도메인 컨트롤러를 VM으로 배포
✔️ Microsoft Domain Services 의 대안 및 기능
1. Microsoft Entra Connect
로컬 AD DS와 Microsoft Entra ID를 연결하는 도구로 사용자는 AD DS와 Entra Domain Services 모두에서 동일한 계정으로 인증받을 수 있음
2. 클라우드 전용 서비스
로컬 AD DS를 배포하지 않아도 Microsoft Entra Domain Services를 사용할 수 있음
즉, 클라우드에서 도메인 컨트롤러를 별도로 관리할 필요 없이 AD DS와 유사한 기능을 사용할 수 있음
✔️ Microsoft Entra Domain Services의 제한사항
- 기본 컴퓨터 Active Directory만 지원
- 스키마 변경 및 확장 불가
- OU(조직 구성 단위) 구조 : 하위 OU를 지원하지 않고 수평적인 구조로만 구성 가능, 복잡한 조직 구조 반영 X
- 기본 GPO(그룹 정책 개체)에 OU 적용 불가
- 특정 사용자나 컴퓨터에만 정책을 적용할 수 있는 필터링 기능 제한
✔️ Microsoft Entra Domain Services의 요금 청구
요금은 Azure Portal 에서 설정할 수 있으며, 사용한 디렉터리 크기에 따라 시간당 요금 청구
🧐 Test
Q1. AD(Active Directory) 대비 Microsoft Entra ID 사용의 이점은 무엇인가요?
1. Microsoft Entra ID는 애플리케이션 간 액세스에 Kerberos 인증을 사용합니다.
2. Microsoft Entra ID는 클라우드 기반 ID 솔루션입니다.
3. Microsoft Entra ID는 LDAP(Lightweight Directory Access Protocol)를 사용하여 쿼리할 수 있습니다.
답) 2번
Microsoft Entra는 Microsoft 서비스(예: Microsoft 365, Dynamics 365, Azure)에서 하나의 ID를 사용하여 인증함
AD는 디렉터리 서비스로서 인증 및 액세스를 위해 저장된 암호, 인증서를 사용함
Q2. Microsoft Entra ID의 무료 기능 외에도 위험 기반 로그인을 구현하는 데 필요한 최소 프리미엄 버전 라이선스는 무엇인가요?
1. Office 365
2. Microsoft Entra ID P2
3. Microsoft Entra ID P1
답) 2번
Microsoft Entra ID P2 버전은 위험 기반 조건부 액세스와 같은 추가 ID 보호 기능을 제공함
'클라우드네이티브 > MS Azure' 카테고리의 다른 글
| [Azure-104] Dump 한글판 문제풀이 #3 (TOPIC 2 No.1~ No.20) (4) | 2024.10.20 |
|---|---|
| [Azure-104] Dump 한글판 문제풀이 #2 (TOPIC 1 No.21~ No.40) (1) | 2024.10.17 |
| [Azure-104] Dump 한글판 문제풀이 #1 (TOPIC 1 No.01~ No.20) (0) | 2024.09.26 |
