다음을 통해 공유

Microsoft Entra 기본 사항

  • 아티클

Microsoft Entra ID는 Azure 리소스 및 신뢰 애플리케이션에 대한 ID 및 액세스 경계를 제공합니다. 대부분의 환경 분리 요구 사항은 단일 Microsoft Entra 테넌트에서 위임된 관리를 통해 충족될 수 있습니다. 이 구성은 시스템의 관리 오버헤드를 줄입니다. 그러나 일부 특정 사례(예: 전체 리소스 및 ID 격리)에는 여러 테넌트가 필요합니다.

필요에 따라 환경 분리 아키텍처를 결정해야 합니다. 고려해야 할 영역은 다음과 같습니다.

  • 리소스 분리. 리소스가 사용자 개체와 같은 디렉터리 개체를 변경할 수 있고 변경 내용이 다른 리소스를 방해하는 경우 리소스를 다중 테넌트 아키텍처에 격리해야 할 수 있습니다.

  • 구성 분리. 테넌트 전체 구성은 모든 리소스에 영향을 줍니다. 일부 테넌트 전체 구성의 효과는 조건부 액세스 정책 및 기타 방법으로 범위를 지정할 수 있습니다. 조건부 액세스 정책으로 범위를 지정할 수 없는 다양한 테넌트 구성이 필요한 경우 다중 테넌트 아키텍처가 필요할 수 있습니다.

  • 관리 분리. 관리 그룹, 구독, 리소스 그룹, 리소스 및 단일 테넌트 내의 일부 정책 관리를 위임할 수 있습니다. 전역 관리자는 항상 테넌트 내의 모든 항목에 액세스할 수 있습니다. 환경이 관리자를 다른 환경과 공유하지 않도록 해야 하는 경우 다중 테넌트 아키텍처가 필요합니다.

보안을 유지하려면 모든 테넌트에서 일관되게 ID 프로비전, 인증 관리, ID 거버넌스, 수명 주기 관리 및 작업에 대한 모범 사례를 따라야 합니다.

용어

이 용어 목록은 일반적으로 Microsoft Entra ID와 연결되며 이 콘텐츠와 관련이 있습니다.

Microsoft Entra 테넌트. 조직에서 Microsoft 클라우드 서비스 구독에 등록할 때 자동으로 생성되는 Microsoft Entra ID의 신뢰할 수 있는 전용 인스턴스입니다. 구독에는 Microsoft Azure, Microsoft Intune 또는 Microsoft 365가 있습니다. Microsoft Entra 테넌트는 일반적으로 단일 조직 또는 보안 경계를 나타냅니다. Microsoft Entra 테넌트는 사용자, 그룹, 디바이스 및 애플리케이션을 포함하며 테넌트 리소스에 대한 IAM(ID 및 액세스 관리)을 수행하는 데 사용됩니다.

환경. 이 콘텐츠의 컨텍스트에서 환경은 하나 이상의 Microsoft Entra 테넌트와 연결된 Azure 구독, Azure 리소스 및 애플리케이션의 컬렉션입니다. Microsoft Entra 테넌트는 이러한 리소스에 대한 액세스를 제어하는 ID 컨트롤 플레인을 제공합니다.

프로덕션 환경. 이 콘텐츠의 컨텍스트에서 프로덕션 환경은 최종 사용자가 직접 상호 작용하는 인프라 및 서비스가 있는 라이브 환경입니다. 예를 들어 회사 또는 고객 지향 환경입니다.

비프로덕션 환경. 이 콘텐츠의 컨텍스트에서 개발 및 테스팅 환경은 다음 용도로 사용되는 환경을 나타냅니다.

  • 개발

  • 테스트

  • 랩 목적

비프로덕션 환경을 일반적으로 샌드박스 환경이라고 합니다.

ID. ID는 리소스에 대한 액세스를 인증하고 권한을 부여할 수 있는 디렉터리 개체입니다. ID 개체는 인간 ID 및 비인간 ID에 대해 존재합니다. 사람이 아닌 엔터티는 다음과 같습니다.

  • 애플리케이션 개체

  • 워크로드 ID(이전의 서비스 원칙으로 설명됨)

  • 관리 ID

  • 장치

인간 ID는 일반적으로 조직의 사용자를 나타내는 사용자 개체입니다. 이러한 ID는 Microsoft Entra ID에서 직접 만들어지고 관리되거나 지정된 조직의 온-프레미스 Active Directory에서 Microsoft Entra ID로 동기화됩니다. 이러한 유형의 ID를 로컬 ID라고 합니다. Microsoft Entra B2B 협업을 사용하여 파트너 조직 또는 소셜 ID 공급자로부터 초대된 사용자 개체도 있을 수 있습니다. 이 콘텐츠에서는 이러한 유형의 ID를 외부 ID라고 합니다.

비인간 ID에는 인간과 연결되지 않은 ID가 포함됩니다. 이 형식의 ID는 ID를 실행해야 하는 애플리케이션과 같은 개체입니다. 이 콘텐츠에서는 이 유형의 ID를 워크로드 ID라고 합니다. 애플리케이션 개체 및 서비스 주체를 포함한 이 유형의 ID를 설명하는 데 다양한 용어가 사용됩니다.

  • 애플리케이션 개체. Microsoft Entra 애플리케이션은 해당 애플리케이션 개체로 정의됩니다. 개체는 애플리케이션이 등록된 Microsoft Entra 테넌트에 있습니다. 테넌트는 애플리케이션의 “홈” 테넌트라고 합니다.

    • 단일 테넌트 애플리케이션은 “홈” 테넌트에서 오는 ID에만 권한을 부여하기 위해 만들어집니다.

    • 다중 테넌트 애플리케이션을 사용하면 모든 Microsoft Entra 테넌트의 ID를 인증할 수 있습니다.

  • 서비스 주체 개체. 예외가 있긴 하지만, 애플리케이션 개체는 애플리케이션의 정의로 간주될 수 있습니다. 서비스 주체 개체는 애플리케이션의 인스턴스로 간주될 수 있습니다. 서비스 주체는 일반적으로 애플리케이션 개체를 참조하며, 하나의 애플리케이션 개체는 전체 디렉터리에서 여러 서비스 주체에 의해 참조됩니다.

서비스 주체 개체는 사람의 개입과 독립적으로 작업을 수행할 수 있는 디렉터리 ID이기도 합니다. 서비스 주체는 Microsoft Entra 테넌트의 사용자 또는 애플리케이션에 대한 액세스 정책 및 권한을 정의합니다. 이 메커니즘을 통해 로그인 동안의 사용자 또는 애플리케이션의 인증과, 리소스 액세스 동안의 권한 부여 같은 핵심 기능이 허용됩니다.

Microsoft Entra ID를 사용하면 애플리케이션 및 서비스 주체 개체가 암호(애플리케이션 비밀이라고도 함) 또는 인증서를 사용하여 인증할 수 있습니다. 서비스 주체에 대한 암호 사용은 권장되지 않으며 가능하면 인증서를 사용하는 것이 좋습니다.

  • Azure 리소스에 대한 관리 ID 관리 ID는 Microsoft Entra ID의 특별한 서비스 주체입니다. 이 유형의 서비스 주체는 코드에 자격 증명을 저장하거나 비밀 관리를 처리할 필요 없이 Microsoft Entra 인증을 지원하는 서비스에 대해 인증하는 데 사용할 수 있습니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.

  • 디바이스 ID: 디바이스 ID는 인증 흐름에서 디바이스가 적법하고 기술 요구 사항을 충족함을 증명하는 프로세스를 거쳤는지 확인합니다. 디바이스가 이 프로세스를 성공적으로 완료하면 연결된 ID를 사용하여 조직의 리소스에 대한 액세스를 추가로 제어할 수 있습니다. Microsoft Entra ID를 사용하면 디바이스가 인증서로 인증할 수 있습니다.

일부 레거시 시나리오에서는 비인간 시나리오에서 인간 ID를 사용해야 했습니다. 예를 들어 스크립트 또는 일괄 처리 작업과 같은 온-프레미스 애플리케이션에서 사용되는 서비스 계정이 Microsoft Entra ID에 액세스해야 하는 경우입니다. 이 패턴은 권장되지 않으며 인증서를 사용하는 것이 좋습니다. 그러나 인증을 위한 암호가 있는 사용자 ID를 사용하는 경우 Microsoft Entra 다단계 인증을 사용하여 Microsoft Entra 계정을 보호합니다.

하이브리드 ID. 하이브리드 ID는 온-프레미스 및 클라우드 환경에 걸쳐 있는 ID입니다. 이는 동일한 ID를 사용하여 온-프레미스 및 클라우드 리소스에 액세스할 수 있다는 이점이 있습니다. 이 시나리오의 인증 원본은 일반적으로 온-프레미스 디렉터리이며 프로비전, 프로비저닝 해제 및 리소스 할당과 관련된 ID 수명 주기도 온-프레미스에서 구동됩니다. 자세한 내용은 하이브리드 ID 설명서를 참조하세요.

디렉터리 개체. Microsoft Entra 테넌트에는 다음과 같은 일반적인 개체가 포함됩니다.

  • 사용자 개체는 현재 서비스 주체를 지원하지 않는 서비스에 대한 인간 ID 및 비인간 ID를 나타냅니다. 사용자 개체에는 개인 정보, 그룹 멤버 자격, 디바이스 및 사용자에게 할당된 역할을 포함하여 사용자에 대한 필수 정보가 있는 특성이 포함되어 있습니다.

  • 디바이스 개체는 Microsoft Entra 테넌트에 연결된 디바이스를 나타냅니다. 디바이스 개체에는 디바이스에 대한 필수 정보가 있는 특성이 포함되어 있습니다. 여기에는 운영 체제, 연결된 사용자, 규정 준수 상태 및 Microsoft Entra 테넌트와의 연결 특성이 포함됩니다. 이 연결은 디바이스의 상호 작용 및 신뢰 수준의 특성에 따라 여러 형태를 취할 수 있습니다.

    • 하이브리드 도메인 조인. 조직이 소유하고 온-프레미스 Active Directory 및 Microsoft Entra ID 모두에 조인된 디바이스입니다. 일반적으로 조직에서 구매 및 관리하고 System Center Configuration Manager에서 관리하는 디바이스입니다.

    • Microsoft Entra 도메인이 조인됨. 조직이 소유하고 조직의 Microsoft Entra 테넌트에 조인된 디바이스입니다. 일반적으로 Microsoft Entra ID에 조인되어 Microsoft Intune 같은 서비스에서 관리하는 조직에서 구매 및 관리하는 디바이스입니다.

    • Microsoft Entra 등록됨. 조직에서 소유하지 않은 디바이스(예: 회사 리소스에 액세스하는 데 사용되는 개인 디바이스)입니다. 조직에서는 MDM(모바일 장치 관리)을 통해 디바이스를 등록하거나 리소스 액세스를 위한 등록 없이 MAM(모바일 애플리케이션 관리)을 통해 디바이스를 적용해야 할 수 있습니다. 이 기능은 Microsoft Intune과 같은 서비스에서 제공할 수 있습니다.

  • 그룹 개체에는 리소스 액세스 할당, 컨트롤 적용 또는 구성을 위한 개체가 포함되어 있습니다. 그룹 개체에는 이름, 설명, 그룹 구성원, 그룹 소유자 및 그룹 유형을 포함한 그룹에 대한 필수 정보가 있는 특성이 포함되어 있습니다. Microsoft Entra ID의 그룹은 조직의 요구 사항에 따라 여러 양식을 사용하며 Microsoft Entra ID에서 마스터되거나 온-프레미스 AD DS(Active Directory Domain Services)에서 동기화될 수 있습니다.

    • 할당된 그룹. 할당된 그룹에서 사용자는 수동으로 그룹에 추가 또는 제거되거나, 온-프레미스 AD DS에서 동기화되거나, 자동화된 스크립트 워크플로의 일부로 업데이트됩니다. 할당된 그룹은 온-프레미스 AD DS에서 동기화되거나 Microsoft Entra ID에 속할 수 있습니다.

    • 동적 멤버 자격 그룹. 동적 그룹에서 사용자는 정의된 특성에 따라 자동으로 그룹에 할당됩니다. 이렇게 하면 사용자 개체 내에 저장된 데이터에 따라 그룹 멤버 자격을 동적으로 업데이트할 수 있습니다. 동적 그룹은 Microsoft Entra ID에 속할 수 있습니다.

MSA(Microsoft 계정). MSA(Microsoft 계정)를 사용하여 Azure 구독 및 테넌트를 만들 수 있습니다. Microsoft 계정은 조직 계정이 아닌 개인 계정이며 개발자 및 평가판 시나리오에 일반적으로 사용됩니다. 사용하는 경우 개인 계정은 항상 Microsoft Entra 테넌트에서 게스트로 설정됩니다.

Microsoft Entra 기능 영역

이러한 영역은 격리된 환경과 관련된 Microsoft Entra ID에서 제공하는 기능 영역입니다. Microsoft Entra ID의 기능에 대한 자세한 내용은 Microsoft Entra ID란?을 참조하세요.

인증

인증. Microsoft Entra ID는 Open ID Connect, OAuth 및 SAML과 같은 개방형 표준을 준수하는 인증 프로토콜에 대한 지원을 제공합니다. 또한 Microsoft Entra ID는 조직이 AD FS(Active Directory Federation Services)와 같은 기존 온-프레미스 ID 공급자를 페더레이션하여 Microsoft Entra 통합 애플리케이션에 대한 액세스를 인증할 수 있는 기능도 제공합니다.

Microsoft Entra ID는 조직이 리소스에 대한 액세스를 보호하는 데 사용할 수 있는 업계 최고 수준의 강력한 인증 옵션을 제공합니다. 디바이스 인증 및 암호 없는 기능인 Microsoft Entra 다단계 인증을 통해 조직은 직원의 요구 사항에 맞는 강력한 인증 옵션을 배포할 수 있습니다.

SSO(Single Sign-On). Single Sign-On을 통해 사용자는 한 계정으로 한 번 로그인하면 도메인 조인 디바이스, 회사 리소스, SaaS(Software as a Service) 애플리케이션 및 모든 Microsoft Entra 통합 애플리케이션과 같은 디렉터리를 신뢰하는 모든 리소스에 액세스할 수 있습니다. 자세한 내용은 Microsoft Entra ID에서 애플리케이션에 대한 Single Sign-On을 참조하세요.

Authorization

리소스 액세스 할당. Microsoft Entra ID는 리소스에 대한 액세스를 제공하고 보호합니다. Microsoft Entra ID의 리소스에 대한 액세스 권한을 할당하는 작업은 다음 두 가지 방법으로 수행할 수 있습니다.

  • 사용자 할당: 사용자에게 리소스에 대한 액세스 권한이 직접 할당되고 적절한 역할 또는 권한이 사용자에게 할당됩니다.

  • 그룹 할당: 하나 이상의 사용자를 포함하는 그룹이 리소스에 할당되고 적절한 역할 또는 권한이 그룹에 할당됩니다.

애플리케이션 액세스 정책. Microsoft Entra ID는 조직의 애플리케이션에 대한 액세스를 추가로 제어하고 보호하는 기능을 제공합니다.

조건부 액세스 Microsoft Entra 조건부 액세스 정책은 Microsoft Entra 리소스에 액세스할 때 사용자 및 디바이스 컨텍스트를 권한 부여 흐름으로 가져오는 도구입니다. 조직은 조건부 액세스 정책의 사용을 탐색하여 사용자, 위험, 디바이스 및 네트워크 컨텍스트에 따라 인증을 허용, 거부 또는 향상해야 합니다. 자세한 내용은 Microsoft Entra 조건부 액세스 설명서를 참조하세요.

Microsoft Entra ID 보호. 이 기능을 통해 조직은 ID 기반 위험의 검색 및 수정을 자동화하고, 위험을 조사하며, 추가 분석을 위해 위험 검색 데이터를 타사 유틸리티로 내보낼 수 있습니다. 자세한 내용은 Microsoft Entra ID 보호 개요를 참조하세요.

관리

ID 관리. Microsoft Entra ID는 사용자, 그룹 및 디바이스 ID의 수명 주기를 관리하는 도구를 제공합니다. Microsoft Entra Connect를 통해 조직은 현재 온-프레미스 ID 관리 솔루션을 클라우드로 확장할 수 있습니다. Microsoft Entra Connect는 Microsoft Entra ID의 이러한 ID에 대한 프로비전, 프로비저닝 해제 및 업데이트를 관리합니다.

또한 Microsoft Entra ID는 조직이 ID를 관리하거나 Microsoft Entra ID 관리를 기존 워크플로나 자동화로 통합할 수 있도록 포털 및 Microsoft Graph API를 제공합니다. Microsoft Graph에 대해 자세히 알아보려면 Microsoft Graph API 사용을 참조하세요.

장치 관리. Microsoft Entra ID는 클라우드 및 온-프레미스 장치 관리 인프라와의 수명 주기 및 통합을 관리하는 데 사용됩니다. 또한 클라우드 또는 온-프레미스 디바이스에서 조직 데이터로의 액세스를 제어하는 정책을 정의하는 데도 사용됩니다. Microsoft Entra ID는 디렉터리에 있는 디바이스의 수명 주기 서비스와, 인증을 사용하도록 설정하는 자격 증명 프로비저닝을 제공합니다. 또한 신뢰 수준인 시스템에서 디바이스의 키 특성을 관리합니다. 이 세부 정보는 리소스 액세스 정책을 디자인할 때 중요합니다. 자세한 내용은 Microsoft Entra 디바이스 관리 설명서를 참조하세요.

구성 관리. Microsoft Entra ID에는 서비스가 조직의 요구 사항에 맞게 구성되도록 구성하고 관리해야 하는 서비스 요소가 있습니다. 이러한 요소에는 도메인 관리, SSO 구성 및 몇 가지 이름을 지정하는 애플리케이션 관리가 포함됩니다. Microsoft Entra ID는 포털 및 Microsoft Graph API를 제공하여 조직이 이러한 요소를 관리하거나 기존 프로세스에 통합할 수 있도록 합니다. Microsoft Graph에 대해 자세히 알아보려면 Microsoft Graph API 사용을 참조하세요.

거버넌스

ID 수명 주기. Microsoft Entra ID는 외부 ID를 포함하여 디렉터리에서 ID를 만들고, 검색하고, 삭제하고, 업데이트하는 기능을 제공합니다. 또한 Microsoft Entra ID는 조직의 요구 사항에 따라 유지 관리되도록 ID 수명 주기를 자동화하는 서비스를 제공합니다. 예를 들어 액세스 검토를 사용하여 지정된 기간 동안 로그인하지 않은 외부 사용자를 제거합니다.

보고 및 분석. ID 거버넌스의 중요한 측면은 사용자 작업에 대한 가시성입니다. Microsoft Entra ID는 환경의 보안 및 사용 패턴에 대한 인사이트를 제공합니다. 이러한 인사이트에는 다음 사항에 대한 자세한 정보가 포함됩니다.

  • 사용자가 액세스하는 내용

  • 사용자가 액세스하는 위치

  • 사용자가 사용하는 디바이스

  • 액세스하는 데 사용되는 애플리케이션

Microsoft Entra ID는 또한 Microsoft Entra ID 내에서 수행되는 작업에 대한 정보와 보안 위험에 대한 보고서를 제공합니다. 자세한 내용은 Microsoft Entra 보고 및 모니터링를 참조하세요.

감사. 감사는 Microsoft Entra ID 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그에 있는 활동 예제로는 사용자, 앱, 그룹, 역할 및 정책의 추가 또는 제거와 같은 Microsoft Entra ID 내의 모든 리소스에 대한 변경 내용이 있습니다. Microsoft Entra ID의 보고를 통해 로그인 활동, 위험한 로그인 및 위험 플래그가 지정된 사용자를 감사할 수 있습니다. 자세한 내용은 Azure Portal의 로그인 활동 보고서를 참조하세요.

액세스 인증. 액세스 인증은 사용자가 특정 시점에 리소스에 액세스할 자격이 있음을 증명하는 프로세스입니다. Microsoft Entra 액세스 검토는 그룹 또는 애플리케이션의 멤버 자격을 지속적으로 검토하고, 액세스가 필요한지 아니면 제거해야 하는지를 결정하는 인사이트를 제공합니다. 이를 통해 조직은 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효과적으로 관리하여 올바른 사용자만 계속 액세스할 수 있도록 합니다. 자세한 내용은 Microsoft Entra 액세스 검토란?을 참조하세요.

권한 있는 액세스. Microsoft Entra PIM(Privileged Identity Management)은 Azure 리소스에 대한 과도하거나 불필요하거나 잘못 사용된 액세스 권한의 위험을 완화할 수 있도록 시간 기반 및 승인 기반 역할 활성화를 제공합니다. 권한의 노출 시간을 줄이고 보고서 및 경고를 통해 사용에 대한 가시성을 높여 권한 있는 액세스를 보호하는 데 사용됩니다.

셀프 서비스 관리

자격 증명 등록. Microsoft Entra ID는 조직의 기술 지원팀 워크로드를 줄이기 위해 사용자 ID 수명 주기 및 셀프 서비스 기능의 모든 측면을 관리하는 기능을 제공합니다.

그룹 관리. Microsoft Entra ID는 사용자가 리소스 액세스를 위해 그룹의 멤버 자격을 요청하고 리소스 또는 협업을 보호하는 데 사용할 수 있는 그룹을 만들 수 있는 기능을 제공합니다. 이러한 기능은 조직이 제어할 수 있으므로 적절한 제어가 가능합니다.

소비자 IAM(ID 및 액세스 관리)

Azure AD B2C. Azure AD B2C는 조직의 고객 지향 애플리케이션에 대한 ID를 소비자에게 제공하기 위해 Azure 구독에서 사용하도록 설정할 수 있는 서비스입니다. 이는 별도의 ID 섬이며 이러한 사용자는 조직의 Microsoft Entra 테넌트에 표시되지 않습니다. Azure AD B2C는 Azure 구독과 연결된 테넌트에서 관리자가 관리합니다.

다음 단계