Microsoft Entra Domain Services란?

  • 아티클

Microsoft Entra Domain Services는 도메인 가입, 그룹 정책, LDAP(Lightweight Directory Access Protocol) 및 Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. 클라우드에서 DC(도메인 컨트롤러)를 배포, 관리 및 패치하지 않고도 이러한 도메인 서비스를 사용합니다.

Domain Services 관리형 도메인을 사용하면 최신 인증 방법을 사용할 수 없거나 디렉터리 조회가 항상 온-프레미스 AD DS 환경으로 돌아가지 않도록 하는 레거시 애플리케이션을 클라우드에서 실행할 수 있습니다. 클라우드에서 AD DS 환경을 관리할 필요 없이 레거시 애플리케이션을 온-프레미스 환경에서 관리되는 도메인으로 리프트 앤 시프트할 수 있습니다.

Domain Services는 기존 Microsoft Entra 테넌트와 통합됩니다. 이러한 통합을 통해 사용자는 기존 자격 증명을 사용하여 관리되는 도메인에 연결된 서비스 및 애플리케이션에 로그인할 수 있습니다. 또한 기존 그룹 및 사용자 계정을 사용하여 리소스에 대한 액세스를 보호할 수도 있습니다. 이러한 기능은 Azure에 대한 온-프레미스 리소스의 원활한 리프트 앤 시프트를 제공합니다.

시작하려면 Microsoft Entra 관리 센터를 사용하여 Domain Services 관리되는 도메인을 만듭니다.

Domain Services에 대해 자세히 알아보려면 간단한 동영상을 시청합니다.

Domain Services는 어떻게 작동하나요?

Domain Services 관리되는 도메인을 만들 때 고유한 네임스페이스를 정의합니다. 이 네임스페이스는 aaddscontoso.com과 같은 도메인 이름입니다. 그런 다음, 두 개의 Windows Server DC(도메인 컨트롤러)가 선택한 Azure 지역에 배포됩니다. 이 DC 배포를 복제본 세트라고 합니다.

이러한 DC를 관리, 구성 또는 업데이트할 필요가 없습니다. Azure 플랫폼은 Azure Disk Encryption을 사용한 저장 데이터 백업 및 암호화를 포함하여 관리되는 도메인의 일부로 DC를 처리합니다.

관리되는 도메인은 Microsoft Entra ID에서 단방향 동기화를 수행하여 중앙 사용자, 그룹 및 자격 증명 집합에 대한 액세스를 제공하도록 구성됩니다. 관리되는 도메인에서 직접 리소스를 만들 수 있지만 Microsoft Entra ID로 다시 동기화되지는 않습니다. 그러면 관리되는 도메인에 연결되는 Azure의 애플리케이션, 서비스 및 VM에서 도메인 조인, 그룹 정책, LDAP 및 Kerberos/NTLM 인증과 같은 일반적인 AD DS 기능을 사용할 수 있습니다.

온-프레미스 AD DS 환경이 포함된 하이브리드 환경에서 Microsoft Entra Connect는 ID 정보를 Microsoft Entra ID와 동기화한 다음 관리되는 도메인과 동기화합니다.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Domain Services는 Microsoft Entra ID의 ID 정보를 복제하므로 클라우드 전용이거나 온-프레미스 AD DS 환경과 동기화되는 Microsoft Entra 테넌트와 작동합니다. 두 환경 모두에 동일한 Domain Services 기능 집합이 존재합니다.

Microsoft Entra 테넌트당 둘 이상의 복제본 세트를 갖도록 관리되는 도메인을 확장할 수 있습니다. Domain Services를 지원하는 모든 Azure 지역의 피어링된 가상 네트워크에 복제본 세트를 추가할 수 있습니다. 다양한 Azure 지역에 복제본 세트를 추가하면 Azure 지역이 오프라인이 되는 경우 레거시 애플리케이션에 대한 지리적 재해 복구를 제공할 수 있습니다. 자세한 내용은 관리되는 작업에 대한 복제본 집합 개념 및 기능을 참조하세요기본.

Domain Services가 애플리케이션 및 워크로드와 통합되어 클라우드에서 ID 서비스를 제공하는 방법에 대한 다음 동영상을 살펴봅니다.


실제 Domain Services 배포 시나리오를 보려면 다음 예를 살펴봅니다.

Domain Services 기능 및 이점

ID 서비스를 클라우드의 애플리케이션 및 VM에 제공하기 위해 Domain Services는 도메인 조인, LDAPS(보안 LDAP), 그룹 정책, DNS 관리, LDAP 바인딩 및 읽기 지원과 같은 작업에서 기존 AD DS 환경과 완벽하게 호환됩니다. LDAP 쓰기 지원은 관리되는 도메인에서 만들어진 개체에 사용할 수 있지만 Microsoft Entra ID에서 동기화된 리소스에는 사용할 수 없습니다.

ID 옵션에 대해 자세히 알아보려면 Domain Services를 Microsoft Entra ID, Azure VM의 AD DS 및 온-프레미스 AD DS와 비교합니다.

Domain Services의 다음 기능은 배포 및 관리 작업을 간소화합니다.

  • 간소화된 배포 환경: Microsoft Entra 관리 센터의 단일 마법사를 사용하여 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다.
  • Microsoft Entra ID와 통합: 사용자 계정, 그룹 멤버 자격 및 자격 증명은 Microsoft Entra 테넌트에서 자동으로 사용할 수 있습니다. Microsoft Entra 테넌트 또는 온-프레미스 AD DS 환경의 새 사용자, 그룹 또는 특성 변경 내용은 Domain Services에 자동으로 동기화됩니다.
    • Microsoft Entra ID에 연결된 외부 디렉터리의 계정은 Domain Services에서 사용할 수 없습니다. 이러한 외부 디렉터리에 대해 자격 증명을 사용할 수 없으므로 관리되는 도메인으로 동기화할 수 없습니다.
  • 회사 자격 증명/암호 사용: Domain Services 사용자의 암호는 Microsoft Entra 테넌트의 암호와 동일합니다. 사용자는 도메인 조인 머신에 대해 회사 자격 증명을 사용할 수 있고, 대화형으로 또는 원격 데스크톱을 통해 로그인할 수 있으며 관리되는 도메인에 대해 인증할 수 있습니다.
  • NTLM 및 Kerberos 인증: NTLM 및 Kerberos 인증을 지원하므로 Windows 통합 인증을 사용하는 애플리케이션을 배포할 수 있습니다.
  • 고가용성: Domain Services에는 관리되는 도메인에 고가용성을 제공하는 여러 도메인 컨트롤러가 포함되어 있습니다. 이 고가용성은 서비스 가동 시간과 장애 복구를 보장합니다.

관리되는 도메인의 몇 가지 주요 측면은 다음을 포함합니다.

  • 관리된 도메인은 독립 실행형 도메인입니다. 온-프레미스 도메인의 확장이 아닙니다.
    • 필요한 경우 Domain Services에서 온-프레미스 AD DS 환경으로의 단방향 아웃바운드 포리스트 트러스트를 만들 수 있습니다. 자세한 내용은 Domain Services의 포리스트 개념 및 기능을 참조하세요.
  • IT 팀은 이 관리되는 도메인에 대한 도메인 컨트롤러를 관리, 패치 또는 모니터링할 필요가 없습니다.

AD DS를 온-프레미스에서 실행하는 하이브리드 환경의 경우 관리되는 도메인에 대한 AD 복제를 관리할 필요가 없습니다. 온-프레미스 디렉터리의 사용자 계정, 그룹 멤버 자격 및 자격 증명은 Microsoft Entra Connect를 통해 Microsoft Entra ID에 동기화됩니다. 이러한 사용자 계정, 그룹 멤버 자격 및 자격 증명은 자동으로 관리된 도메인 내에서 사용할 수 있습니다.

다음 단계

Domain Services를 다른 ID 솔루션과 비교하고 동기화 작동 방식에 대해 자세히 알아보려면 다음 문서를 참조하세요.

시작하려면 Microsoft Entra 관리 센터를 사용하여 관리되는 기본 만듭니다.