Azure와 온-프레미스 AD 통합

이 문서에서는 AD(온-프레미스 Active Directory) 환경을 Azure 네트워크와 통합하기 위한 옵션을 비교합니다. 각 옵션에서 자세한 참조 아키텍처를 사용할 수 있습니다.

많은 조직에서 AD DS(Active Directory Domain Services) 를 사용하여 보안 경계에 포함된 사용자, 컴퓨터, 애플리케이션 또는 기타 리소스와 연결된 ID를 인증합니다. 디렉터리 및 ID 서비스는 일반적으로 온-프레미스에서 호스트되지만 애플리케이션이 부분적으로 온-프레미스에서 호스트되고 일부는 Azure에서 온-프레미스로 인증 요청을 보내는 대기 시간이 있을 수 있습니다. Azure에서 디렉터리 및 ID 서비스를 구현하면 이러한 대기 시간을 줄일 수 있습니다.

Azure는 Azure에서 디렉터리 및 ID 서비스를 구현하기 위한 두 가지 솔루션을 제공합니다.

• Microsoft Entra ID를 사용하여 클라우드에서 기본 Active Directory를 만들고 온-프레미스 Active Directory 할 일기본 연결합니다. Microsoft Entra 커넥트 온-프레미스 디렉터리를 Microsoft Entra ID와 통합합니다.

• Azure에서 AD DS를 Do기본 컨트롤러로 실행하는 VM을 배포하여 기존 온-프레미스 Active Directory 인프라를 Azure로 확장합니다. 이 아키텍처는 온-프레미스 네트워크와 Azure VNet(가상 네트워크)이 VPN 또는 ExpressRoute 연결로 연결된 경우에 더 일반적입니다. 이 아키텍처는 다음과 같은 몇 가지 변형이 가능합니다.

  • Azure에서 do기본 만들고 온-프레미스 AD 포리스트에 조인합니다.
  • Azure에서 온-프레미스 포리스트에서 할기본 신뢰하는 별도의 포리스트를 만듭니다.
  • AD FS(Active Directory Federation Services) 배포를 Azure에 복제합니다.

다음 섹션에서는 이러한 각 옵션을 자세히 설명합니다.

Microsoft Entra ID와 온-프레미스 do기본s 통합

Microsoft Entra ID를 사용하여 Azure에서 할 일기본 만들고 온-프레미스 AD do기본 연결합니다.

Microsoft Entra 디렉터리가 온-프레미스 디렉터리의 확장이 아닙니다. 오히려 동일한 개체와 ID를 포함하는 복사본입니다. 이러한 항목에 대한 변경 내용은 Microsoft Entra ID에 복사되지만 Microsoft Entra ID의 변경 내용은 복제본(replica)온-프레미스로 다시 표시되지 않습니다기본.

온-프레미스 디렉터리를 사용하지 않고 Microsoft Entra ID를 사용할 수도 있습니다. 이 경우 Microsoft Entra ID는 온-프레미스 디렉터리에서 복제본(replica) 데이터를 포함하지 않고 모든 ID 정보의 기본 원본 역할을 합니다.

이점

• 클라우드에서 AD 인프라를 기본 필요가 없습니다. Microsoft Entra ID는 전적으로 관리되며 Microsoft에서 기본.
• Microsoft Entra ID는 온-프레미스에서 사용할 수 있는 것과 동일한 ID 정보를 제공합니다.
• Azure에서 인증이 수행되어 외부 애플리케이션 및 사용자가 온-프레미스에 연결할 필요가 줄어듭니다기본.

당면 과제

• Microsoft Entra 디렉터리를 동기화된 상태로 유지하려면 기본 온-프레미스와의 연결을 구성해야 합니다.
• Microsoft Entra ID를 통해 인증을 사용하도록 설정하려면 애플리케이션을 다시 작성해야 할 수 있습니다.
• 서비스 및 컴퓨터 계정을 인증하려면 Microsoft Entra Do기본 서비스도 배포해야 합니다.

참조 아키텍처

• microsoft Entra ID와 온-프레미스 Active Directory do기본s 통합

온-프레미스 포리스트에 조인된 Azure의 AD DS

AD DS(AD Domain Services) 서버를 Azure에 배포합니다. Azure에서 do기본 만들고 온-프레미스 AD 포리스트에 조인합니다.

현재 Microsoft Entra ID로 구현되지 않은 AD DS 기능을 사용해야 하는 경우 이 옵션을 고려하세요.

이점

• 온-프레미스에서 사용할 수 있는 동일한 ID 정보에 대한 액세스를 제공합니다.
• 온-프레미스 및 Azure에서 사용자, 서비스 및 컴퓨터 계정을 인증할 수 있습니다.
• 별도의 AD 포리스트를 관리할 필요가 없습니다. Azure의 도메인은 온-프레미스 포리스트에 속할 수 있습니다.
• 온-프레미스 그룹 정책 개체에서 정의한 그룹 정책을 Azure의 do기본 적용할 수 있습니다.

당면 과제

• 사용자 고유의 AD DS 서버를 배포하고 관리해야 하며 클라우드에서 기본 합니다.
• 클라우드의 do기본 서버와 온-프레미스에서 실행되는 서버 간에 약간의 동기화 대기 시간이 있을 수 있습니다.

참조 아키텍처

• AD DS(Active Directory 도메인 Services)를 Azure로 확장

별도의 포리스트가 있는 Azure의 AD DS

AD DS(AD Domain Services) 서버를 Azure에 배포하지만 온-프레미스 포리스트와 분리된 별도의 Active Directory 포리스트를 만듭니다. 이 포리스트는 온-프레미스 포리스트의 도메인에서 신뢰할 수 있습니다.

이 아키텍처의 일반적인 용도로는 기본 클라우드에 저장된 개체 및 ID에 대한 보안 분리를 달성하고, 개별 작업을 온-프레미스에서 클라우드로 마이그레이션하는 기본 포함됩니다.

이점

• 온-프레미스 ID를 구현하고 Azure 전용 ID를 구분할 수 있습니다.
• 온-프레미스 AD 포리스트에서 Azure로 복제본(replica) 필요가 없습니다.

당면 과제

• 온-프레미스 ID에 대한 Azure 내에서 인증하려면 온-프레미스 AD 서버에 대한 추가 네트워크 홉이 필요합니다.
• 클라우드에서 고유한 AD DS 서버 및 포리스트를 배포하고 포리스트 간에 적절한 신뢰 관계를 설정해야 합니다.

참조 아키텍처

• Azure에서 AD DS(Active Directory Domain Services) 리소스 포리스트 만들기

AD FS를 Azure로 확장

AD FS(Active Directory Federation Services) 배포를 Azure에 복제하여 Azure에서 실행되는 구성 요소에 대해 페더레이션 인증 및 권한 부여를 수행할 수 있습니다.

이 아키텍처의 일반적인 용도는 다음과 같습니다.

• 파트너 조직의 사용자를 인증하고 권한을 부여합니다.
• 사용자가 조직 방화벽 외부에서 실행되는 웹 브라우저에서 인증할 수 있도록 허용
• 사용자가 모바일 디바이스와 같은 권한 있는 외부 디바이스에서 연결할 수 있도록 허용합니다.

이점

• 클레임 인식 애플리케이션을 활용할 수 있습니다.
• 인증을 위해 외부 파트너를 신뢰하는 기능을 제공합니다.
• 대규모 인증 프로토콜 집합과의 호환성.

당면 과제

• Azure에서 사용자 고유의 AD DS, AD FS 및 AD FS 웹 애플리케이션 프록시 서버를 배포해야 합니다.
• 이 아키텍처를 구성하는 것은 복잡할 수 있습니다.

참조 아키텍처

• Azure로 AD FS(Active Directory Federation Services) 확장