[ AZ-104 ] Entra ID, Domain Service

[ Entra ID ]

Entra ID는 Microsoft에서 제공하는 클라우드 기반 ID 및 액세스 관리 서비스입니다. PaaS의 일부이며 마이크로소프트 관리 디렉터리 서비스로 동작합니다. 고객이 소유하고 관리하는 핵심 인프라에 속하지 않으며, 서비스 제공 인프라 제품도 아닙니다. 구현에 대한 통제력이 줄어들지만, 배포 또는 유지 관리에 리소스를 전담시킬 필요가 없음을 뜻하기도 합니다.

 

다시 말해, 중앙집중식 사용자 및 그룹 관리 서비스로, 조직 내 사용자와 리소스에 대한 인증 및 권한 관리를 하나의 플랫폼에서 통합적으로 제공합니다. 이를 통해 온프레미스, 클라우드, 하이브리드 환경 전반에 걸쳐 사용자와 그룹을 관리할 수 있습니다.

• 중앙 집중식 관리: 모든 사용자를 Azure Entra ID에 등록하여 단일 위치에서 관리
• 통합 인증: Microsoft 365, Azure 서비스, SaaS 애플리케이션, 온프레미스 애플리케이션을 단일 계정으로 접근
• 권한 제어: 역할 기반 접근 제어(RBAC)를 통해 그룹별 또는 사용자별 세부 권한 설정 가능
• 다중 환경 지원: 하이브리드 디렉터리 설정으로 온프레미스 Active Directory와 연동

 

Entra ID를 사용하면 다단계 인증, ID 보호, 셀프 서비스 암호 재설정 지원 등 AD(Active Directory)에서 기본적으로 사용할 수 없는 기능 집합에서도 액세스 할 수 있습니다. 다음과 같은 방법으로 조직 및 개인에게 클라우드 기반 리소스에 대한 보다 안전한 액세스를 제공합니다.

• 애플리케이션에 대한 액세스를 구성합니다.
• 클라우드 기반 SaaS 애플리케이션에 SSO(Single Sign-On) 구성
• 사용자 및 그룹 관리
• 사용자 프로비전
• 조직 간 페더레이션 사용
• ID 관리 솔루션 제공
• 비정상적인 로그인 활동 식별
• 다단계 인증 구성
• 기존 온-프레미스 Active Directory 구현을 Microsoft Entra ID로 확장합니다.
• 클라우드 및 로컬 애플리케이션의 애플리케이션 프록시 구성
• 사용자 및 디바이스의 조건부 액세스 구성

 

Entra는 별도의 Azure 서비스를 구성하며, 새 Azure 구독에 자동으로 포함되는 기본적인 양식은 무료이고 Microsoft 온라인 비지니스 서비스를 구독하는 경우 모든 무료 기능에 액세스할 수 있는 Entra ID가 자동으로 제공됩니다.

기본적으로 새 Azure 구독을 만들면 구독에 기본 디렉터리는 새 Entra 테넌트가 자동으로 포합됩니다.

 

Microsoft Entra ID는 설계상 다중 테넌트(여러 개의 테넌트들이 공유하여 사용하는 구조 - SaaS 애플리케이션이 대표적)이며, 개별 디렉터리 인스턴스 간의 격리를 보장하기 위해 특별히 구현되었습니다. 세계에서 가장 큰 다중 테넌트 디렉터리로 100만 개의 디렉터리 서비스 인스턴스를 호스팅하고 있으며, 매주 10억 건의 인증 요청이 이루어집니다.

 

언제든지 Azure 구독은 하나의 Entra 테넌트에만 연결되어야 하며, 이 연결을 사용하면 RBAC을 통해 Azure 구독의 리소스에 대한 권한을 특정 Entra 테넌트에 있는 사용자, 그룹, 애플리케이션에 부여할 수 있습니다. 참고로 Entra 테넌트는 여러 Azure 구독과 연결할 수 있고, 이를 통해 동일한 사용자, 그룹, 애플리케이션을 사용하여 여러 Azure 구독에서 리소스를 관리할 수 있습니다.

Entra 테넌트에는 고유한 접두사로 구성된 기본 DNS 도메인 이름이 할당되며, 접두사 뒤에는 onmicrosoft.com접미사가 이어집니다.

동일한 Microsoft Entra 테넌트에 하나 이상의 사용자 지정 도메인 이름을 추가하는 것이 가능하며, 그렇게 하는 것이 일반적입니다. 이름에는 해당 회사 또는 조직이 소유한 DNS 도메인 네임스페이스를 활용합니다. 

 

 

Entra 스키마에는 AD 보다 적은 개체 형식이 포함되어 있습니다. 스키마도 쉽게 확장할 수 있으며 확장명은 완전히 되돌릴 수 있습니다.

주된 강점은 사용자, 디바이스, 애플리케이션 데이터를 저장 및 게시하고 사용자, 디바이스, 애플리케이션의 인증 및 권한 부여를 처리하는 디렉터리 서비스를 제공하는데 있습니다.

 

 

애플리케이션 및 servicePrincipal 클래스의 개체는 Entra ID 애플리케이션을 나타냅니다. 애플리케이션 클래스는 전역적인 정의를 나타내며 모든 테넌트에서 사용 가능한 템플릿 역할을 하는 반면, servicePrincipal은 특정 테넌트에서 활성화된 인스턴스를 구성합니다.

• 하나의 Application (Template) 개체는 여러 테넌트에서 재사용됩니다.
• 애플리케이션을 한 테넌트에 등록하면, Microsoft Entra ID는 해당 테넌트에서 애플리케이션을 실행하기 위해 자동으로 ServicePrincipal 개체를 생성합니다.

 

Entra ID P1 또는 P2 계층은 추가 비용이 필요하지만, 여러 기능을 제공합니다.

P1은 셀프 서비스 그룹 관리, 고급 보안 보고서 및 경고, 다단계 인증, MIM 라이선싱, 99.9% SLA, Cloud App Discovery 기능, 조건부 액세스, Entra Connect Health와 같은 기능을 제공하며, P2는 위험 기반 조건부 액세스와 같은 추가 Entra ID 보호, Entra Previleged Identity Management 등을 제공합니다.

 

 

Entra ID는 로컬 AD DS와 통합될 수 있으므로 Entra Connect를 구현하면 사용자는 온프레미스와 AD DS와 Entra Domain Service모두에서 조직 자격 증명을 활용할 수 있습니다. AD DS를 로컬에 배포하지 않은 경우에도 Microsoft Entra Domain Services를 클라우드 전용 서비스로 사용하도록 선택할 수 있습니다. 이를 통해 온프레미스 또는 클라우드에 단일 도메인 컨트롤러를 배포할 필요 없이 로컬로 배포된 AD DS에서와 유사한 기능을 사용할 수 있습니다.

• 관리자가 도메인 컨트롤러를 관리, 업데이트, 모니터링할 필요가 없습니다.
• 관리자가 Active Directory 복제본을 배포하고 관리할 필요가 없습니다.
• Microsoft Entra ID가 관리하는 도메인에 대해서는 도메인 관리자 또는 엔터프라이즈 관리자 그룹이 필요하지 않습니다.

Microsoft Entra Domain Services를 구현하도록 선택하는 경우 서비스의 현재 제한 사항을 알고 있어야 합니다.
여기에는 다음이 포함됩니다.

• 기본 컴퓨터 Active Directory 개체만 지원됩니다.
• Microsoft Entra Domain Services 도메인에 대한 스키마를 확장하는 것은 불가능합니다.
• OU(조직 구성 단위) 구조는 수평적이며 중첩된 OU는 현재 지원되지 않습니다.
• 기본으로 제공되는 GPO(그룹 정책 개체)가 있으며 컴퓨터와 사용자 계정에 대해 존재합니다.
• 기본 제공 GPO를 사용하는 OU를 대상으로 할 수 없습니다. 또한 WMI(Windows Management Instrumentation) 필터 또는 보안 그룹 필터링을 사용할 수 없습니다.

Microsoft Entra Domain Services를 사용하면 LDAP, NTLM 또는 Kerberos 프로토콜을 사용하는 애플리케이션을 온프레미스 인프라에서 클라우드로 자유롭게 마이그레이션할 수 있습니다. 클라우드의 도메인 컨트롤러 또는 로컬 인프라에 대한 VPN이 없어도 Microsoft SQL Server나 Microsoft SharePoint Server와 같은 애플리케이션을 VM에서 사용하거나 Azure IaaS에 배포할 수도 있습니다.

Azure Portal을 사용하여 Microsoft Entra Domain Services를 사용하도록 설정할 수 있습니다. 이 서비스는 디렉터리 크기에 따라 시간당 요금이 청구됩니다.

 

 

 

[ EntraID와 AD Domain Service의 비교 ]

AD DS는 물리적 / 가상 서버에 Windows Server기반 AD를 기존 방식으로 배포한 것으로, 일반적으로 디렉터리 서비스로 여겨지지만 CS, LDS, FS, RMS을 포함하는 Windows AD 기술 제품군의 구성 요소 중 하나일 뿐입니다.

AD DS를 Microsoft Entra ID 비교할 때 AD DS의 다음과 같은 특성에 유의해야 합니다.

• AD DS는 계층적 X.500 기반 구조를 사용하는 진정한 디렉터리 서비스입니다.
• AD DS는 DNS(Domain Name System)를 사용하여 도메인 컨트롤러와 같은 리소스를 찾습니다.
• LDAP(Lightweight Directory Access Protocol) 호출을 사용하여 AD DS를 쿼리하고 관리할 수 있습니다.
• AD DS는 인증하기 위해 Kerberos 프로토콜을 주로 사용합니다.
• AD DS는 관리를 위해 OU 및 GPO를 사용합니다.
• AD DS에는 Active Directory 도메인에 가입하는 컴퓨터를 나타내는 컴퓨터 개체가 포함됩니다.
• AD DS는 위임된 관리를 위해 도메인 간의 트러스트를 사용합니다.

Azure 가상 머신에 AD DS를 배포하여 온-프레미스 AD DS에 대한 스케일링 성능과 가용성을 사용할 수 있습니다. 그러나 Azure 가상 머신에 AD DS를 배포해도 Microsoft Entra ID는 사용되지 않습니다.

 

Entra ID는 AD DS와 유사점이 많지만 차이점도 많습니다. 

Microsoft Entra ID를 AD DS와 비교할 때 Microsoft Entra ID의 다음과 같은 특성에 유의해야 합니다.

• Microsoft Entra ID는 주로 ID 솔루션으로, HTTP(포트 80) 및 HTTPS(포트 443) 통신을 사용하여 인터넷 기반 애플리케이션용으로 설계되었습니다.
• Microsoft Entra ID는 다중 테넌트 디렉터리 서비스입니다.
• Microsoft Entra 사용자 및 그룹은 플랫 구조로 생성되며 OU나 GPO는 없습니다.
• LDAP를 사용하여 Microsoft Entra ID를 쿼리할 수 없습니다. 대신 Microsoft Entra ID는 HTTP 및 HTTPS를 통해 REST API를 사용합니다.
• Microsoft Entra ID는 Kerberos 인증을 사용하지 않는 대신, SAML, WS-Federation 및 OpenID Connect와 같은 HTTP 및 HTTPS 프로토콜을 사용하여 인증하고 권한 부여에 OAuth를 사용합니다.
• Microsoft Entra ID에는 페더레이션된 서비스가 포함되어 있고 Facebook과 같은 많은 타사 서비스가 Microsoft Entra ID와 페더레이션되며 Microsoft Entra ID를 신뢰합니다.

 

 

Entra Group은 사용자를 구성하는데 도움이 되며 권한을 더 쉽게 관리할 수 있습니다. 리소스 소유자가 권한을 하나씩 제공할 필요 없이 그룹의 모든 멤버에게 일련의 액세스 권한을 할당할 수 있습니다. 보안 그룹과 Microsoft 365 그룹이 있으며 보안 그룹은 공유 리소스에 대한 구성원 및 컴퓨터 액세스를 관리하는데 사용되고, 365는 공유 사서함, 일정, 파일, 쉐어포인트 등에 대한 권한을 일괄로 부여합니다.

마지막으로 동적 그룹은 구성원의 자격은 그룹이 사용될 때마다 수식에 의해 생성됩니다. 필터와 일치하는 특성 값을 가진 AD의 수신자가 모두 포함되며 수신자는 의도치 않게 그룹 구성원이 될 수 있습니다.

 

 

Azure 등록 디바이스는 Entra ID에 등록되지만 조직의 직접적인 관리 대상은 아니며, 주로 BYOD(Bring Your Own Device)환경에서 사용됩니다. 개인 소유의 디바이스로 회사 리소스에 접근할 때 사용됩니다. 조직 정책은 제한적으로 적용되며, 전체적인 제어 권한은 사용자에게 있습니다. 조인 디바이스는 디바이스가 Entra ID에 조인되어 조직에서 디바이스를 완전히 관리할 수 있는 상태가 됩니다. 주로 조직 소유의 디바이스에서 사용되며, 정책과 관리도구를 통해 완전한 관리가 가능해집니다. 디바이스의 상태와 보안 설정이 조건부 액세스 정책에 완전히 통합되는 특징이 있습니다.

 

 

 

[ Intune ]

Microsoft Intune은 클라우드 기반 엔드포인트 관리 솔루션입니다. 이는 모바일 디바이스, 데스크톱 컴퓨터, 가상 엔드포인트를 비롯한 여러 디바이스에서 조직 리소스에 대한 사용자 액세스를 관리하고 앱과 디바이스 관리를 간소화

 

 

 

[ System SCIM, HCM ]

• HCM 시스템 - 직원 수명 주기 동안 HR 프로세스를 지원하고 자동화하는 Human Capital Management 프로세스 및 사례를 사용하도록 설정하는 애플리케이션 및 기술입니다.
  
• Microsoft Entra 프로비전 서비스 - 자동 프로비전을 위해 SCIM 2.0 프로토콜을 사용합니다. 이 서비스는 애플리케이션의 SCIM 엔드포인트에 연결하고 SCIM 사용자 개체 스키마 및 REST API를 사용하여 사용자와 그룹의 프로비저닝 및 프로비저닝 해제를 자동화합니다.
  
• Microsoft Entra ID - ID 및 ID 권리 유형의 수명 주기를 관리하는 데 사용하는 사용자 리포지토리입니다.
  
• 대상 시스템 - SCIM 엔드포인트를 포함하며 Microsoft Entra 프로비전과 연동하여 사용자 및 그룹의 자동 프로비전을 사용하도록 설정하는 애플리케이션 또는 시스템입니다.

SCIM은 ID 도메인과 IT 시스템 간의 사용자 ID 정보 교환을 자동화하기 위한 개방형 표준 프로토콜입니다. SCIM을 사용하면 HCM 시스템에 추가된 직원이 Entra ID또는 AD에서 만든 계정을 자동으로 갖게 됩니다. 시스템 간에 동기화되어 사용자 상태 또는 역할 변경에 따라 사용자 제거를 업데이트합니다. 핵심은 ID 시스템을 최신 상태로 유지하는 것입니다.