다음을 통해 공유

위임된 관리 및 격리된 환경 소개

  • 아티클

위임된 관리가 있는 Microsoft Entra 단일 테넌트 아키텍처는 환경을 분리하는 데 적합한 경우가 많습니다. 조직에서 단일 테넌트에서 격리할 수 없는 정도의 격리가 필요할 수 있습니다.

이 문서에서는 다음을 이해하는 것이 중요합니다.

  • 단일 테넌트 작업 및 함수
  • Microsoft Entra ID의 AUS(관리 단위)
  • Azure 리소스와 Microsoft Entra 테넌트 간의 관계
  • 격리를 구동하는 요구 사항

보안 경계로서의 Microsoft Entra 테넌트

Microsoft Entra 테넌트는 조직의 애플리케이션 및 리소스에 IAM(ID 및 액세스 관리) 기능을 제공합니다.

ID는 리소스에 액세스할 수 있도록 인증되고 권한이 부여된 디렉터리 개체입니다. 인간 및 비인간 ID에 대한 ID 개체가 있습니다. 구분하기 위해 인간 ID를 ID라고 하며 비인간 ID는 워크로드 ID입니다. 비인간 엔터티에는 애플리케이션 개체, 서비스 주체, 관리 ID 및 디바이스가 포함됩니다. 일반적으로 워크로드 ID는 소프트웨어 엔터티가 시스템으로 인증하는 것입니다.

  • ID - 인간을 나타내는 개체
  • 워크로드 ID - 워크로드 ID는 애플리케이션, 서비스 주체 및 관리 ID입니다.
    • 워크로드 ID는 다른 서비스 및 리소스를 인증하고 액세스합니다.

자세한 내용은 워크로드 ID에 대해 알아봅니다.

Microsoft Entra 테넌트는 관리자로 제어되는 ID 보안 경계입니다. 이 보안 경계에서 구독, 관리 그룹 및 리소스 그룹의 관리를 Azure 리소스의 분할된 관리 제어에 위임할 수 있습니다. 이러한 그룹은 Microsoft Entra 전역 관리자 제어에서 정책 및 설정의 테넌트 전체 구성에 따라 달라집니다.

Microsoft Entra ID는 애플리케이션 및 Azure 리소스에 대한 액세스 권한을 개체에 부여합니다. Microsoft Entra ID를 신뢰하는 Azure 리소스 및 애플리케이션은 Microsoft Entra ID로 관리할 수 있습니다. 모범 사례에 따라 테스트 환경을 사용하여 환경을 설정합니다.

Microsoft Entra ID를 사용하는 앱에 대한 액세스

애플리케이션에 대한 ID 액세스 권한을 부여합니다.

  • Exchange Online, Microsoft Teams 및 SharePoint Online과 같은 Microsoft 생산성 서비스
  • Azure Sentinel, Microsoft Intune 및 Microsoft Defender ATP(Advanced Threat Protection)와 같은 Microsoft IT 서비스
  • Azure DevOps 및 Microsoft Graph API와 같은 Microsoft 개발자 도구
  • Salesforce 및 ServiceNow와 같은 SaaS 솔루션
  • Microsoft Entra 애플리케이션 프록시와 같은 하이브리드 액세스 기능과 통합된 온-프레미스 애플리케이션
  • 사용자 지정 개발 애플리케이션

Microsoft Entra ID를 사용하는 애플리케이션에는 신뢰할 수 있는 Microsoft Entra 테넌트에서 디렉터리 개체 구성 및 관리가 필요합니다. 디렉터리 개체로는 애플리케이션 등록, 서비스 주체, 그룹 및 스키마 특성 확장이 있습니다.

Azure 리소스에 대한 액세스

Microsoft Entra 테넌트에서 사용자, 그룹 및 서비스 주체 개체(워크로드 ID)에게 역할을 부여합니다. 자세한 내용은 AZURE RBAC(역할 기반 액세스 제어)AZURE ABAC(특성 기반 액세스 제어)를 참조하세요.

Azure RBAC를 사용하여 보안 주체, 역할 정의 및 범위에 의해 결정되는 역할에 따라 액세스를 제공합니다. Azure ABAC는 작업에 대한 특성에 따라 역할 할당 조건을 추가합니다. 보다 세분화된 액세스 제어를 위해 역할 할당 조건을 추가합니다. 할당된 RBAC 역할을 사용하여 Azure 리소스, 리소스 그룹, 구독 및 관리 그룹에 액세스합니다.

관리 ID지원하는 Azure 리소스를 사용하면 리소스가 Microsoft Entra 테넌트 경계의 다른 리소스에 대한 인증, 액세스 권한 획득 및 할당된 역할을 가져올 수 있습니다.

로그인에 Microsoft Entra ID를 사용하는 애플리케이션은 컴퓨팅 또는 스토리지와 같은 Azure 리소스를 사용할 수 있습니다. 예를 들어, Azure에서 실행되고 인증을 위해 Microsoft Entra ID를 신뢰하는 사용자 지정 애플리케이션에는 디렉터리 개체와 Azure 리소스가 있습니다. Microsoft Entra 테넌트에서 Azure 리소스는 테넌트 전체 Azure 할당량 및 제한에 영향을 줍니다.

디렉터리 개체에 대한 액세스

ID, 리소스 및 해당 관계는 Microsoft Entra 테넌트에서 디렉터리 개체로 표시됩니다. 예를 들어 사용자, 그룹, 서비스 주체 및 앱 등록이 있습니다. 다음 기능을 위해 Microsoft Entra 테넌트 경계에 디렉터리 개체 집합을 만듭니다.

역할 관리를 위한 관리 단위

관리 단위는 역할의 사용 권한을 조직의 일부로 제한합니다. 관리 단위를 사용하여 지원팀 관리자 역할을 지역 지원 전문가에게 위임하여 지원하는 지역의 사용자를 관리할 수 있습니다. 관리 장치는 다른 Microsoft Entra 리소스에 대한 컨테이너가 될 수 있는 Microsoft Entra 리소스입니다. 관리 단위는 다음을 포함할 수 있습니다.

  • 사용자
  • Groups
  • 장치

다음 다이어그램에서 AUS는 조직 구조에 따라 Microsoft Entra 테넌트를 분할합니다. 이 방법은 사업부 또는 그룹이 전용 IT 지원 직원을 할당할 때 유용합니다. AU를 사용하여 관리 단위로 제한된 권한 있는 권한을 제공합니다.

Microsoft Entra 관리 단위 다이어그램

자세한 내용은 Microsoft Entra ID의 관리 단위를 참조하세요.

리소스 격리의 일반적인 이유

고유한 액세스 요구 사항이 있는 리소스와 같은 보안상의 이유로 리소스 그룹을 다른 리소스와 격리하는 경우도 있습니다. 이 작업은 AUS에 적합한 사용 사례입니다. 사용자 및 보안 주체 리소스 액세스 및 역할을 결정합니다. 리소스를 격리하는 이유:

  • 개발자 팀은 안전하게 반복해야 합니다. 그러나 Microsoft Entra ID에 쓰는 앱의 개발 및 테스트는 쓰기 작업을 통해 Microsoft Entra 테넌트에 영향을 줄 수 있습니다.
    • SharePoint 사이트, OneDrive, Microsoft Teams 등과 같은 Office 365 콘텐츠를 변경할 수 있는 새 응용 프로그램
    • MS Graph 또는 유사한 API를 사용하여 대규모로 사용자 데이터를 변경할 수 있는 사용자 지정 애플리케이션입니다. 예를 들어 애플리케이션은 Directory.ReadWrite.All을 부여했습니다.
    • 큰 개체 집합을 업데이트하는 DevOps 스크립트
    • Microsoft Entra 통합 앱 개발자는 테스트를 위해 사용자 개체를 만들어야 합니다. 사용자 개체는 프로덕션 리소스에 액세스할 수 없습니다.
  • 다른 리소스에 영향을 줄 수 있는 비프로덕션 Azure 리소스 및 애플리케이션 예를 들어 새 SaaS 앱은 프로덕션 인스턴스 및 사용자 개체로부터 격리해야 합니다.
  • 관리자가 검색, 열거 또는 인수로부터 보호할 비밀 리소스

테넌트에서 구성

Microsoft Entra ID의 구성 설정은 대상 또는 테넌트 전체 관리 작업을 통해 Microsoft Entra 테넌트에서 리소스에 영향을 줄 수 있습니다.

  • 외부 ID: 관리자는 테넌트에서 프로비전할 외부 ID를 식별하고 제어합니다.
    • 테넌트에서 외부 ID를 허용할지 여부
    • 외부 ID가 추가되는 도메인
    • 사용자가 다른 테넌트에서 사용자를 초대할 수 있는지 여부
  • 명명된 위치: 관리자는 다음과 같은 명명된 위치를 만듭니다.
    • 위치에서 로그인 차단
    • 다단계 인증과 같은 조건부 액세스 정책 트리거
    • 바이패스 보안 요구 사항
  • 셀프 서비스 옵션: 관리자는 셀프 서비스 암호 재설정을 설정하고 테넌트 수준에서 Microsoft 365 그룹을 만듭니다.

전역 정책으로 재정의되지 않은 경우 일부 테넌트 전체 구성의 범위를 지정할 수 있습니다.

  • 테넌트 구성은 외부 ID를 허용합니다. 리소스 관리자는 액세스에서 해당 ID를 제외할 수 있습니다.
  • 테넌트 구성은 개인 디바이스 등록을 허용합니다. 리소스 관리자는 액세스에서 디바이스를 제외할 수 있습니다.
  • 명명된 위치가 구성됩니다. 리소스 관리자는 액세스를 허용하거나 제외하도록 정책을 구성할 수 있습니다.

구성 격리의 일반적인 이유

관리자가 제어하는 구성은 리소스에 영향을 줍니다. 일부 테넌트 전체 구성은 리소스에 적용되거나 부분적으로 적용되지 않는 정책으로 범위를 지정할 수 있지만 다른 구성은 적용할 수 없습니다. 리소스에 고유한 구성이 있는 경우 별도의 테넌트에서 격리합니다. 예를 들면 다음과 같습니다.

  • 테넌트 전체 보안 또는 공동 작업 상태와 충돌하는 요구 사항이 있는 리소스
    • 예를 들어 허용되는 인증 유형, 디바이스 관리 정책, 셀프 서비스, 외부 ID에 대한 ID 교정 등이 있습니다.
  • 인증 범위를 전체 환경으로 지정하는 규정 준수 요구 사항
    • 이 작업에는 특히 요구 사항이 다른 조직 리소스와 충돌하거나 제외되는 경우 모든 리소스 및 Microsoft Entra 테넌트가 포함됩니다.
  • 프로덕션 또는 중요한 리소스 정책과 충돌하는 외부 사용자 액세스 요구 사항
  • 여러 국가 또는 지역에 걸쳐 있는 조직과 Microsoft Entra 테넌트에서 호스트되는 회사.
    • 예를 들어 국가, 지역 또는 비즈니스 자회사에서 사용되는 설정 및 라이선스

테넌트 관리

Microsoft Entra 테넌트에서 권한 있는 역할이 있는 ID에는 이전 섹션에서 설명한 구성 작업을 실행할 수 있는 표시 유형 및 권한이 있습니다. 관리에는 사용자, 그룹 및 디바이스와 같은 ID 개체의 소유권이 포함됩니다. 또한 인증, 권한 부여 등에 대한 테넌트 전체 구성의 범위가 지정된 구현도 포함됩니다.

디렉터리 개체 관리

관리자는 ID 개체가 리소스에 액세스하는 방법과 어떤 상황에서 액세스하는지 관리합니다. 또한 권한에 따라 디렉터리 개체를 사용하지 않도록 설정, 삭제 또는 수정합니다. ID 개체에는 다음이 포함됩니다.

  • 다음과 같은 조직 ID 는 사용자 개체로 표시됩니다.
    • 관리자
    • 조직 사용자
    • 조직 개발자
    • 서비스 계정
    • 테스트 사용자
  • 외부 ID는 조직 외부의 사용자를 나타냅니다.
    • 조직 환경에서 계정으로 프로비전된 파트너, 공급업체 또는 공급업체
    • Azure B2B 협업으로 프로비전된 파트너, 공급업체 또는 공급업체
  • 그룹은 개체로 표시됩니다.
  • 디바이스 는 개체로 표시됩니다.
    • Microsoft Entra 하이브리드 조인 디바이스. 온-프레미스 컴퓨터가 온-프레미스에서 동기화됩니다.
    • Microsoft Entra 조인 디바이스
    • 직원이 작업 공간 애플리케이션에 액세스하는 데 사용하는 Microsoft Entra 등록 모바일 디바이스
    • Microsoft Entra 등록 하위 수준 디바이스(레거시). 예: Windows 2012 R2.
  • 워크로드 ID
    • 관리 ID
    • 서비스 주체
    • 애플리케이션

하이브리드 환경에서 ID는 일반적으로 Microsoft Entra Connect를 사용하여 온-프레미스 환경에서 동기화됩니다.

ID 서비스 관리

특정 권한이 있는 관리자는 리소스 그룹, 보안 그룹 또는 애플리케이션에 대해 테넌트 차원의 정책을 구현하는 방법을 관리합니다. 리소스 관리를 고려할 때 리소스를 그룹화하거나 격리해야 하는 다음과 같은 이유를 염두에 두어야 합니다.

  • 전역 관리자는 테넌트에 연결된 Azure 구독을 제어합니다.
  • 인증 관리자 역할이 할당된 ID에는 다단계 인증 또는 FIDO(Fast IDentity Online) 인증을 위해 재등록해야 합니다.
  • 조건부 액세스 관리자는 조직 소유 디바이스에서 앱에 대한 사용자 로그인에 대한 조건부 액세스 정책을 만듭니다. 이러한 관리자는 구성 범위를 지정합니다. 예를 들어 테넌트에서 외부 ID가 허용되는 경우 리소스에 대한 액세스를 제외할 수 있습니다.
  • 클라우드 애플리케이션 관리자가 사용자를 대신하여 애플리케이션 권한에 동의

관리 격리에 대한 일반적인 이유

환경 및 해당 리소스를 관리해야 하는 사람은 누구인가요? 한 환경의 관리자가 다른 환경에 액세스할 수 없는 경우가 있습니다.

  • 중요한 리소스에 영향을 주는 보안 및 운영 오류의 위험을 완화하기 위한 테넌트 차원의 관리 책임 분리
  • 시민권, 거주, 통관 수준 등과 같은 조건에 따라 환경을 관리할 수 있는 사용자를 제한하는 규정

보안 및 운영 고려 사항

Microsoft Entra 테넌트와 해당 리소스 간의 상호 의존성을 고려할 때 손상 또는 오류의 보안 및 운영 위험을 이해하는 것이 중요합니다. 동기화된 계정으로 페더레이션된 환경에서 작업하는 경우 온-프레미스 손상으로 인해 Microsoft Entra ID가 손상될 수 있습니다.

  • ID 손상: 액세스를 제공하는 관리자에게 충분한 권한이 있는 경우 테넌트 경계에서 ID에 모든 역할이 할당됩니다. 손상된 권한 없는 ID의 효과는 대부분 포함되지만 손상된 관리자는 광범위한 문제를 일으킬 수 있습니다. 예를 들어 Microsoft Entra 전역 관리자 계정이 손상되면 Azure 리소스가 손상될 수 있습니다. ID 손상 또는 잘못된 행위자의 위험을 완화하려면 계층화된 관리를 구현하고 Microsoft Entra 관리자 역할에 대한 최소 권한 원칙을 따릅니다. 테스트 계정 및 테스트 서비스 주체가 테스트 애플리케이션 외부의 리소스에 액세스하지 못하도록 하는 조건부 액세스 정책을 만듭니다. 권한 있는 액세스 전략에 대한 자세한 내용은 권한 있는 액세스: 전략을 참조 하세요.
  • 페더레이션 환경 손상
  • 리소스 손상 신뢰: Microsoft Entra 테넌트에서 손상된 구성 요소는 테넌트 및 리소스 수준의 권한에 따라 신뢰할 수 있는 리소스에 영향을 줍니다. 리소스의 권한은 손상된 구성 요소의 영향을 결정합니다. 쓰기 작업을 수행하기 위해 통합된 리소스는 전체 테넌트에 영향을 줄 수 있습니다. 제로 트러스트 지침에 따라 손상의 영향을 제한할 수 있습니다.
  • 애플리케이션 개발: Microsoft Entra ID에 대한 쓰기 권한으로 애플리케이션 개발 수명 주기의 초기 단계에서 위험이 있습니다. 버그는 Microsoft Entra 개체에 의도치 않게 변경 내용을 작성할 수 있습니다. 자세한 내용은 Microsoft ID 플랫폼 모범 사례를 참조하세요.
  • 운영 오류: 잘못된 행위자 및 테넌트 관리자 또는 리소스 소유자의 운영 오류로 인해 보안 인시던트가 발생합니다. 이러한 위험은 모든 아키텍처에서 발생합니다. 업무 분리, 계층화된 관리, 최소 권한 원칙 및 모범 사례를 따르기 위해 사용합니다. 별도의 테넌트를 사용하지 않습니다.

제로 트러스트 원칙

제로 트러스트 원칙을 Microsoft Entra ID 디자인 전략에 통합하여 보안 디자인을 안내합니다. 제로 트러스트 통해 사전 보안을 수용할 수 있습니다.

다음 단계