Microsoft Entra ID는 클라우드 기반 다중 테넌트 디렉터리 및 ID 서비스입니다. 이 참조 아키텍처는 클라우드 기반 ID 인증을 제공하기 위해 microsoft Entra ID와 온-프레미스 Active Directory 도메인을 통합하는 모범 사례를 보여 줍니다.
아키텍처
Microsoft 365를 통해 온라인으로 Visio 다이어그램에 액세스합니다. 이 다이어그램에 액세스하려면 Visio 라이선스가 있어야 합니다. 또는 이 아키텍처의 Visio 파일을 다운로드합니다(Visio 탭 "Microsoft Entra ID" 참조).
참고 항목
간단히 하기 위해 이 다이어그램은 인증 및 ID 페더레이션의 일부로 발생할 수 있는 프로토콜 관련 트래픽이 아니라 Microsoft Entra ID와 직접 관련된 연결만 표시합니다. 예를 들어 웹 애플리케이션은 Microsoft Entra ID를 통해 요청을 인증하도록 웹 브라우저를 리디렉션할 수 있습니다. 일단 인증되면 해당 요청은 적절한 ID 정보와 함께 웹 애플리케이션으로 다시 전달할 수 있습니다.
추가 고려 사항은 온-프레미스 Active Directory를 Azure와 통합하기 위한 솔루션 선택을 참조하세요.
구성 요소
이 아키텍처의 구성 요소는 다음과 같습니다.
Microsoft Entra 테넌트. 조직에서 만든 Microsoft Entra ID의 인스턴스입니다. 온-프레미스 Active Directory에서 복사한 개체를 저장하여 클라우드 애플리케이션에 대한 디렉터리 서비스의 역할을 하며 ID 서비스를 제공합니다.
웹 계층 서브넷. 이 서브넷은 웹 애플리케이션을 실행하는 VM을 보유합니다. Microsoft Entra ID는 이 애플리케이션의 ID 브로커 역할을 할 수 있습니다.
온-프레미스 AD DS 서버. 온-프레미스 디렉터리 및 ID 서비스입니다. AD DS 디렉터리를 Microsoft Entra ID와 동기화하여 온-프레미스 사용자를 인증할 수 있습니다.
Microsoft Entra Connect 동기화 서버. Microsoft Entra Connect 동기화 서비스를 실행하는 온-프레미스 컴퓨터입니다. 이 서비스는 온-프레미스 Active Directory 보관된 정보를 Microsoft Entra ID와 동기화합니다. 예를 들어 온-프레미스에서 그룹 및 사용자를 프로비전하거나 프로비전 해제하는 경우 이러한 변경 내용이 Microsoft Entra ID로 전파됩니다.
참고 항목
보안상의 이유로 Microsoft Entra ID는 사용자의 암호를 해시로 저장합니다. 사용자에게 암호 재설정이 필요한 경우 온-프레미스에서 수행해야 하며 새 해시를 Microsoft Entra ID로 보내야 합니다. Microsoft Entra ID P1 또는 P2 버전에는 클라우드에서 암호 변경을 허용한 다음 온-프레미스 AD DS에 다시 쓸 수 있는 기능이 포함되어 있습니다.
N 계층 애플리케이션용 VM. 이러한 리소스에 대한 자세한 내용은 [N 계층 아키텍처에 대한 VM 실행][azure에서 다중 계층 아키텍처 구현]을 참조하세요.
시나리오 정보
잠재적인 사용 사례
이 참조 아키텍처의 일반적인 용도는 다음과 같습니다.
- Azure에 배포된 웹 애플리케이션으로, 조직에 속한 원격 사용자에 대한 액세스를 제공합니다.
- 최종 사용자를 위한 셀프 서비스 기능 구현(예: 암호 재설정 및 그룹 관리 위임). 이렇게 하려면 Microsoft Entra ID P1 또는 P2 버전이 필요합니다.
- 온-프레미스 네트워크와 애플리케이션의 Azure VNet이 VPN 터널 또는 ExpressRoute 회로를 통해 연결되지 않은 아키텍처.
참고 항목
Microsoft Entra ID는 조직의 디렉터리에 있는 사용자 및 애플리케이션의 ID를 인증할 수 있습니다. SQL Server와 같은 일부 애플리케이션 및 서비스에는 컴퓨터 인증이 필요할 수 있습니다. 이 경우 이 솔루션은 적절하지 않습니다.
권장 사항
대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.
Microsoft Entra Connect 동기화 서비스 구성
Microsoft Entra Connect Sync 서비스는 클라우드에 저장된 ID 정보가 온-프레미스에 저장된 ID 정보와 일치하도록 합니다. Microsoft Entra Connect 소프트웨어를 사용하여 이 서비스를 설치합니다.
Microsoft Entra Connect 동기화를 구현하기 전에 조직의 동기화 요구 사항을 결정합니다. 예를 들어 동기화 대상, 동기화 원본 도메인 및 동기화 빈도 등이 있습니다. 자세한 내용은 디렉터리 동기화 요구 사항 결정을 참조하세요.
VM 또는 온-프레미스에서 호스트되는 컴퓨터에서 Microsoft Entra Connect 동기화 서비스를 실행할 수 있습니다. Active Directory 디렉터리에 있는 정보의 변동성에 따라 Microsoft Entra Connect Sync 서비스의 부하가 Microsoft Entra ID와 처음 동기화된 후에는 높지 않을 수 있습니다. VM에서 서비스를 실행하면 필요에 따라 서버의 크기를 쉽게 조정할 수 있습니다. 모니터링 고려 사항 섹션에서 설명한 대로 VM의 활동을 모니터하여 크기 조정이 필요한지 여부를 결정합니다.
포리스트에 여러 온-프레미스 도메인이 있는 경우 전체 포리스트에 대한 정보를 저장하고 단일 Microsoft Entra 테넌트에 동기화하는 것이 좋습니다. 둘 이상의 도메인에서 발생하는 ID에 대한 정보를 필터링하여 각 ID가 중복되지 않고 Microsoft Entra ID에 한 번만 표시되도록 합니다. 데이터가 동기화되면 중복으로 인해 불일치가 발생할 수 있습니다. 자세한 내용은 아래의 토폴로지 섹션을 참조하세요.
필요한 데이터만 Microsoft Entra ID에 저장되도록 필터링을 사용합니다. 예를 들어 조직에서는 비활성 계정에 대한 정보를 Microsoft Entra ID에 저장하지 않을 수 있습니다. 필터링은 그룹, 도메인, OU(조직 단위) 또는 특성을 기준으로 수행할 수 있습니다. 필터를 결합하여 더 복잡한 규칙을 생성할 수 있습니다. 예를 들어 선택한 특성의 특정 값을 갖는 도메인에 있는 개체를 동기화할 수 있습니다. 자세한 내용은 Microsoft Entra Connect 동기화: 필터링 구성을 참조 하세요.
AD Connect 동기화 서비스에 대한 고가용성을 구현하려면 보조 준비 서버를 실행합니다. 자세한 내용은 토폴로지 권장 사항 섹션을 참조하세요.
참고 항목
Microsoft Entra Connect 클라우드 동기화 는 사용자, 그룹 및 연락처를 Microsoft Entra ID로 동기화하기 위한 하이브리드 ID 목표를 충족하고 달성하도록 설계된 Microsoft의 새로운 제품입니다. Microsoft Entra Connect 클라우드 동기화를 사용하면 AD에서 Microsoft Entra ID로의 프로비저닝이 Microsoft Online Services에서 오케스트레이션됩니다.
보안 구성 및 정책 유효성 검사
사용자 암호 관리. Microsoft Entra ID P1 또는 P2 버전은 비밀번호 쓰기 저장을 지원하므로 온-프레미스 사용자가 Azure Portal 내에서 셀프 서비스 암호 재설정을 수행할 수 있습니다. 이 기능은 조직의 암호 보안 정책을 검토한 후에만 사용하도록 설정해야 합니다. 예를 들어 자신의 암호를 변경할 수 있는 사용자를 제한할 수 있으며, 암호 관리 환경을 조정할 수 있습니다. 자세한 내용은 조직의 요구에 맞게 암호 관리 사용자 지정을 참조하세요.
외부에서 액세스할 수 있는 온-프레미스 애플리케이션 보호. Microsoft Entra 애플리케이션 프록시를 사용하여 Microsoft Entra ID를 통해 네트워크 외부의 사용자에게 온-프레미스 웹 애플리케이션에 대한 제어된 액세스를 제공합니다. Azure 디렉터리에 유효한 자격 증명이 있는 사용자만 애플리케이션을 사용할 수 있는 권한이 있습니다. 자세한 내용은 Azure Portal에서 애플리케이션 프록시 사용 문서를 참조하세요.
의심스러운 활동의 징후는 Microsoft Entra ID를 적극적으로 모니터링합니다. Microsoft Entra ID 보호를 포함하는 Microsoft Entra ID P2 버전을 사용하는 것이 좋습니다. ID 보호는 적응형 기계 학습 알고리즘 및 추론을 사용하여 ID가 손상되었음을 나타낼 수 있는 비정상 및 위험 이벤트를 검색합니다. 예를 들어 불규칙한 로그인 활동, 알 수 없는 출처 또는 의심스러운 활동이 있는 IP 주소의 로그인, 감염되었을 수 있는 디바이스의 로그인과 같이 잠재적으로 비정상적인 활동을 감지할 수 있습니다. ID 보호는 이 데이터를 사용하여 이러한 위험 이벤트를 조사하고 적절한 조치를 수행할 수 있도록 하는 보고서와 경고를 생성합니다. 자세한 내용은 Microsoft Entra ID Protection을 참조하세요.
Azure Portal에서 Microsoft Entra ID의 보고 기능을 사용하여 시스템에서 발생하는 보안 관련 활동을 모니터링할 수 있습니다. 이러한 보고서를 사용하는 방법에 대한 자세한 내용은 Microsoft Entra ID 보고 가이드를 참조 하세요.
네트워크 토폴로지 유효성 검사
조직의 요구 사항과 가장 일치하는 토폴로지 구현을 위해 Microsoft Entra Connect를 구성합니다. Microsoft Entra Connect에서 지원하는 토폴로지의 내용은 다음과 같습니다.
단일 포리스트, 단일 Microsoft Entra 디렉터리. 이 토폴로지에서 Microsoft Entra Connect는 단일 온-프레미스 포리스트에 있는 하나 이상의 도메인에서 단일 Microsoft Entra 테넌트로 개체 및 ID 정보를 동기화합니다. 이 토폴로지는 Microsoft Entra Connect의 빠른 설치에 의한 기본 구현입니다.
참고 항목
아래 설명된 스테이징 모드에서 서버를 실행하지 않는 한 여러 Microsoft Entra Connect 동기화 서버를 사용하여 동일한 온-프레미스 포리스트의 다른 도메인을 동일한 Microsoft Entra 테넌트에 연결하지 마세요.
여러 포리스트, 단일 Microsoft Entra 디렉터리. 이 토폴로지에서 Microsoft Entra Connect는 여러 포리스트의 개체 및 ID 정보를 단일 Microsoft Entra 테넌트로 동기화합니다. 조직에 둘 이상의 온-프레미스 포리스트가 있는 경우 이 토폴로지를 사용합니다. 사용자가 둘 이상의 포리스트에 있는 경우에도 각 고유 사용자가 Microsoft Entra 디렉터리에 한 번 표시되도록 ID 정보를 통합할 수 있습니다. 모든 포리스트는 동일한 Microsoft Entra Connect 동기화 서버를 사용합니다. Microsoft Entra Connect 동기화 서버는 도메인에 속할 필요는 없지만 모든 포리스트에서 연결할 수 있어야 합니다.
참고 항목
이 토폴로지에서 별도의 Microsoft Entra Connect 동기화 서버를 사용하여 각 온-프레미스 포리스트를 단일 Microsoft Entra 테넌트에 연결하지 마세요. 이로 인해 사용자가 둘 이상의 포리스트에 있는 경우 Microsoft Entra ID에서 ID 정보가 중복될 수 있습니다.
여러 포리스트, 별도의 토폴로지. 이 토폴로지에서는 개별 포리스트의 ID 정보를 단일 Microsoft Entra 테넌트로 병합하여 모든 포리스트를 별도의 엔터티로 처리합니다. 이 토폴로지는 서로 다른 조직의 포리스트를 결합하고 각 사용자의 ID 정보가 하나의 포리스트에만 유지되는 경우에 유용합니다.
참고
각 포리스트의 GAL(전체 주소 목록)이 동기화되면 한 포리스트의 사용자가 다른 포리스트에서 연락처로 존재할 수 있습니다. 이는 조직에서 Forefront Identity Manager 2010 또는 Microsoft Identity Manager 2016을 사용하여 GALSync를 구현한 경우에 발생할 수 있습니다. 이 시나리오에서는 사용자가 Mail 특성으로 식별되도록 지정할 수 있습니다. 또한 ObjectSID 및 msExchMasterAccountSID 특성을 사용하여 ID를 일치시킬 수도 있습니다. 이는 사용하도록 설정되지 않은 계정이 있는 리소스 포리스트가 하나 이상 있는 경우에 유용합니다.
준비 서버. 이 구성에서는 Microsoft Entra Connect 동기화 서버의 두 번째 인스턴스를 첫 번째 인스턴스와 병렬로 실행합니다. 이 구조에서 지원하는 시나리오는 다음과 같습니다.
고가용성.
Microsoft Entra Connect 동기화 서버의 새 구성 테스트 및 배포
새 서버 도입 및 이전 구성 서비스 해제
이러한 시나리오에서 두 번째 인스턴스는 준비 모드에서 실행됩니다. 서버는 가져온 개체 및 동기화 데이터를 데이터베이스에 기록하지만 데이터를 Microsoft Entra ID에 전달하지는 않습니다. 준비 모드를 사용하지 않도록 설정하면 서버는 Microsoft Entra ID에 데이터 쓰기를 시작하고 적절한 경우 온-프레미스 디렉터리에 암호 쓰기 저장을 수행하기 시작합니다. 자세한 내용은 Microsoft Entra Connect Sync: 운영 작업 및 고려 사항을 참조 하세요.
여러 Microsoft Entra 디렉터리. 일반적으로 조직에 대해 단일 Microsoft Entra 디렉터리를 만들지만 별도의 Microsoft Entra 디렉터리 간에 정보를 분할해야 하는 경우가 있을 수 있습니다. 이 경우 온-프레미스 포리스트의 각 개체가 하나의 Microsoft Entra 디렉터리에만 표시되도록 하여 동기화 및 암호 쓰기 저장 문제를 방지합니다. 이 시나리오를 구현하려면 각 Microsoft Entra 디렉터리에 대해 별도의 Microsoft Entra Connect 동기화 서버를 구성하고 각 Microsoft Entra Connect 동기화 서버가 상호 배타적인 개체 집합에서 작동하도록 필터링을 사용합니다.
이러한 토폴로지에 대한 자세한 내용은 Microsoft Entra Connect의 토폴로지 항목을 참조하세요.
사용자 인증 방법 구성
기본적으로 Microsoft Entra Connect 동기화 서버는 온-프레미스 도메인과 Microsoft Entra ID 간에 암호 해시 동기화를 구성합니다. Microsoft Entra 서비스는 사용자가 온-프레미스에서 사용하는 것과 동일한 암호를 제공하여 인증한다고 가정합니다. 많은 조직에서 이 전략이 적절하지만 조직의 기존 정책과 인프라를 고려해야 합니다. 다음은 그 예입니다.
- 조직의 보안 정책에 따라 암호 해시를 클라우드에 동기화하지 못하도록 금지할 수 있습니다. 이 경우 조직은 통과 인증을 고려해야 합니다.
- 회사 네트워크의 도메인 조인 컴퓨터에서 클라우드 리소스에 액세스할 때 원활한 SSO(Single Sign-On)가 필요할 수 있습니다.
- 조직에 이미 AD FS(Active Directory Federation Service) 또는 타사 페더레이션 공급자가 배포되어 있을 수 있습니다. 클라우드에 보관된 암호 정보를 사용하는 대신 이 인프라를 사용하여 인증 및 SSO를 구현하도록 Microsoft Entra ID를 구성할 수 있습니다.
자세한 내용은 Microsoft Entra Connect 사용자 로그온 옵션을 참조 하세요.
Microsoft Entra 애플리케이션 프록시 구성
Microsoft Entra ID를 사용하여 온-프레미스 애플리케이션에 대한 액세스를 제공합니다.
Microsoft Entra 애플리케이션 프록시 구성 요소에서 관리하는 애플리케이션 프록시 커넥터를 사용하여 온-프레미스 웹 애플리케이션을 노출합니다. 애플리케이션 프록시 커넥터는 Microsoft Entra 애플리케이션 프록시에 대한 아웃바운드 네트워크 연결을 엽니다. 원격 사용자의 요청은 이 프록시 연결을 통해 Microsoft Entra ID에서 웹앱으로 다시 라우팅됩니다. 이 구성을 사용하면 온-프레미스 방화벽에서 인바운드 포트를 열 필요가 없으며 조직에서 노출되는 공격 표면을 줄입니다.
자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용하여 애플리케이션 게시를 참조하세요.
Microsoft Entra 개체 동기화 구성
Microsoft Entra Connect의 기본 구성은 Microsoft Entra Connect 동기화: 기본 구성 이해 문서에 지정된 규칙에 따라 로컬 Active Directory 디렉터리의 개체를 동기화합니다. 이러한 규칙이 충족되는 개체는 동기화되지만 다른 모든 개체는 무시됩니다. 예제 규칙 일부는 다음과 같습니다.
- 사용자 개체에는 고유한 sourceAnchor 특성이 있어야 하고, accountEnabled 특성이 채워져야 합니다.
- 사용자 개체에는 sAMAccountName 특성이 있어야 하며 Azure AD_ 또는 MSOL_ 텍스트로 시작할 수 없습니다.
Microsoft Entra Connect는 사용자, 연락처, 그룹, ForeignSecurityPrincipal 및 컴퓨터 개체에 여러 규칙을 적용합니다. 기본 규칙 집합을 수정해야 하는 경우 Microsoft Entra Connect와 함께 설치된 동기화 규칙 편집기를 사용합니다. 자세한 내용은 Microsoft Entra Connect Sync: 기본 구성 이해)를 참조하세요.
또한 사용자 고유의 필터를 정의하여 도메인 또는 OU에서 동기화할 개체를 제한할 수도 있습니다. 또는 Microsoft Entra Connect 동기화: 필터링 구성에 설명된 것과 같이 더 복잡한 사용자 지정 필터링을 구현할 수 있습니다.
모니터링 에이전트 구성
상태 모니터링은 온-프레미스에 설치된 다음 에이전트에서 수행됩니다.
- Microsoft Entra Connect는 동기화 작업에 대한 정보를 캡처하는 에이전트를 설치합니다. Azure Portal에서 Microsoft Entra Connect Health 블레이드를 사용하여 상태 및 성능을 모니터링합니다. 자세한 내용은 동기화에 Microsoft Entra Connect Health 사용을 참조하세요.
- Azure에서 AD DS 도메인 및 디렉터리 상태를 모니터링하려면 온-프레미스 도메인 내의 컴퓨터에 AD DS용 Microsoft Entra Connect Health 에이전트를 설치합니다. 상태 모니터링을 위해 Azure Portal의 Microsoft Entra Connect Health 블레이드를 사용합니다. 자세한 내용은 AD DS와 함께 Microsoft Entra Connect Health 사용을 참조 하세요.
- Microsoft Entra Connect Health for AD FS 에이전트를 설치하여 온-프레미스에서 실행되는 서비스의 상태를 모니터링하고 Azure Portal에서 Microsoft Entra Connect Health 블레이드를 사용하여 AD FS를 모니터링합니다. 자세한 내용은 AD FS와 함께 Microsoft Entra Connect Health 사용을 참조 하세요.
AD Connect Health 에이전트 및 해당 요구 사항을 설치하는 방법에 대한 자세한 내용은 Microsoft Entra Connect Health Agent 설치를 참조하세요.
고려 사항
이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.
안정성
안정성은 애플리케이션이 고객에 대한 약속을 충족할 수 있도록 합니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.
Microsoft Entra 서비스는 지리적으로 분산되어 있으며 자동화된 장애 조치(failover)를 통해 전 세계에 분산된 여러 데이터 센터에서 실행됩니다. 데이터 센터를 사용할 수 없게 되면 Microsoft Entra ID를 사용하면 지역적으로 분산된 두 개 이상의 데이터 센터에서 디렉터리 데이터를 인스턴스 액세스에 사용할 수 있습니다.
참고 항목
Microsoft 365 Apps AD 계층 및 Premium 서비스에 대한 SLA(서비스 수준 계약)는 최소 99.9% 가용성을 보장합니다. Microsoft Entra ID의 무료 계층에 대한 SLA는 없습니다. 자세한 내용은 Microsoft Entra ID에 대한 SLA를 참조하세요.
토폴로지 권장 사항 섹션에서 설명한 대로 가용성을 높이기 위해 스테이징 모드에서 Microsoft Entra Connect 동기화 서버의 두 번째 인스턴스를 프로비전하는 것이 좋습니다.
Microsoft Entra Connect와 함께 제공되는 SQL Server Express LocalDB 인스턴스를 사용하지 않는 경우 SQL 클러스터링을 사용하여 고가용성을 달성하는 것이 좋습니다. 미러링 및 Always On과 같은 솔루션은 Microsoft Entra Connect에서 지원되지 않습니다.
Microsoft Entra Connect 동기화 서버의 고가용성 달성에 대한 추가 고려 사항 및 실패 후 복구하는 방법은 Microsoft Entra Connect Sync: 운영 작업 및 고려 사항 - 재해 복구를 참조하세요.
보안
우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.
조건부 액세스 제어를 사용하여 예기치 않은 출처의 인증 요청을 거부합니다.
사용자가 신뢰할 수 있는 네트워크 대신 인터넷과 같은 신뢰할 수 없는 위치에서 연결을 시도하는 경우 Microsoft Entra MFA(다단계 인증)를 트리거합니다.
사용자의 디바이스 플랫폼 유형(iOS, Android, Windows Mobile, Windows)을 사용하여 애플리케이션 및 기능에 대한 액세스 정책을 결정합니다.
사용자 디바이스의 사용/사용 안 함 상태를 기록하고, 이 정보를 액세스 정책 검사에 통합합니다. 예를 들어 사용자의 전화를 분실하거나 도난당한 경우 액세스 권한을 얻는 데 사용되지 않도록 '사용 안 함'으로 기록되어야 합니다.
그룹 멤버 자격에 따라 리소스에 대한 사용자 액세스를 제어합니다. Microsoft Entra 동적 멤버 자격 규칙을 사용하여 그룹 관리를 간소화합니다. 이러한 작동 방식에 대한 간단한 개요는 그룹에 대한 동적 멤버 자격 소개를 참조하세요.
Microsoft Entra ID Protection과 함께 조건부 액세스 위험 정책을 사용하여 비정상적인 로그인 활동 또는 기타 이벤트를 기반으로 고급 보호를 제공합니다.
자세한 내용은 Microsoft Entra 조건부 액세스를 참조 하세요.
비용 최적화
비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.
Azure 가격 계산기를 사용하여 비용을 예측합니다.
비용 고려 사항은 다음과 같습니다.
Microsoft Entra Connect - Microsoft Entra Connect 동기화 기능은 모든 버전의 Microsoft Entra ID에서 사용할 수 있습니다.
Microsoft Entra Connect를 사용하기 위한 추가 라이선스 요구 사항은 없으며 Azure 구독에 포함되어 있습니다.
Microsoft Entra ID 버전에 대한 가격 책정 정보는 Microsoft Entra 가격 책정을 참조하세요.
N 계층 애플리케이션 용 VM - 이러한 리소스에 대한 비용 정보는 [N 계층 아키텍처에 대한 VM 실행][azure에서 다중 계층 아키텍처 구현]을 참조하세요.
운영 우수성
운영 우수성은 애플리케이션을 배포하고 프로덕션에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 핵심 요소 개요를 참조하세요.
관리 효율
Microsoft Entra ID 관리에는 다음 두 가지 측면이 있습니다.
- 클라우드에서 Microsoft Entra ID 관리
- Microsoft Entra Connect 동기화 서버 유지 관리
Microsoft Entra ID는 클라우드에서 도메인 및 디렉터리를 관리하기 위한 다음 옵션을 제공합니다.
- Microsoft Graph PowerShell 모듈 - 사용자 관리, 도메인 관리 및 Single Sign-On 구성과 같은 일반적인 Microsoft Entra 관리 작업을 스크립트하는 데 사용됩니다.
- Azure Portal의 Microsoft Entra 관리 블레이드 - 디렉터리의 대화형 관리 보기를 제공하며 Microsoft Entra ID의 대부분의 측면을 제어하고 구성할 수 있습니다.
Microsoft Entra Connect는 다음 도구를 설치하여 온-프레미스 컴퓨터에서 Microsoft Entra Connect 동기화 서비스를 유지 관리합니다.
- Microsoft Entra Connect 콘솔 - Azure AD Sync 서버의 구성을 수정하고, 동기화가 발생하는 방식을 사용자 지정하고, 준비 모드를 사용하거나 사용하지 않도록 설정하고, 사용자 로그인 모드를 전환할 수 있습니다. 온-프레미스 인프라를 사용하여 Active Directory FS 로그인을 사용하도록 설정할 수 있습니다.
- 동기화 서비스 관리자 - 이 도구의 작업 탭을 사용하여 동기화 프로세스를 관리하고 프로세스의 일부가 실패했는지 감지합니다. 이 도구를 사용하여 수동으로 동기화를 트리거할 수 있습니다. 커넥터 탭을 사용하면 동기화 엔진이 연결된 도메인에 대한 연결을 제어할 수 있습니다.
- 동기화 규칙 편집기 - 온-프레미스 디렉터리와 Microsoft Entra ID 간에 개체가 복사될 때 개체가 변환되는 방식을 사용자 지정할 수 있습니다. 이 도구를 사용하면 동기화에 대한 추가 특성과 개체를 지정한 다음 필터를 실행하여 동기화해야 하거나 동기화해서는 안 되는 개체를 결정할 수 있습니다. 자세한 내용은 Microsoft Entra Connect 동기화: 기본 구성 이해 문서의 동기화 규칙 편집기 섹션을 참조하세요.
Microsoft Entra Connect를 관리하기 위한 자세한 내용과 팁은 Microsoft Entra Connect 동기화: 기본 구성 변경 모범 사례를 참조하세요.
DevOps
DevOps 고려 사항은 AD DS(Active Directory 도메인 Services)를 Azure로 확장하는 운영 우수성을 참조하세요.
성능 효율성
성능 효율성은 사용자가 배치된 요구 사항을 효율적인 방식으로 충족하기 위해 워크로드의 크기를 조정할 수 있는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.
Microsoft Entra 서비스는 쓰기 작업을 처리하는 단일 주 복제본과 여러 읽기 전용 보조 복제본을 사용하여 복제본을 기반으로 확장성을 지원합니다. Microsoft Entra ID는 보조 복제본에 대해 시도한 쓰기를 주 복제본으로 투명하게 리디렉션하고 최종 일관성을 제공합니다. 주 복제본에 대한 모든 변경 내용은 보조 복제본에 전파됩니다. Microsoft Entra ID에 대한 대부분의 작업은 쓰기가 아닌 읽기이므로 이 아키텍처는 잘 확장됩니다. 자세한 내용은 Microsoft Entra 아키텍처란?
Microsoft Entra Connect 동기화 서버의 경우 로컬 디렉터리에서 동기화할 가능성이 있는 개체 수를 결정합니다. 개체가 100,000개 미만인 경우 Microsoft Entra Connect와 함께 제공되는 기본 SQL Server Express LocalDB 소프트웨어를 사용할 수 있습니다. 개체 수가 많은 경우 프로덕션 버전의 SQL Server를 설치하고 기존 SQL Server 인스턴스를 사용하도록 지정하여 Microsoft Entra Connect의 사용자 지정 설치를 수행해야 합니다.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- Eric Woodruff | 제품 기술 전문가
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.
다음 단계
- 하이브리드 ID와 관련된 의사 결정에 대한 추가 정보가 포함된 Microsoft Entra 하이브리드 ID 디자인 고려 사항을 검토합니다.
- Microsoft Entra Connect에 대한 토폴로지 검토 하여 Microsoft Entra Connect 의 하이브리드 토폴로지가 지원되는 구성에 배포되었는지 확인합니다.
- 조건부 액세스 배포 계획에서 조건부 액세스를 사용하여 애플리케이션에 대한 액세스를 보호하는 방법에 대해 알아봅니다.
- Azure에서 AD DS를 인프라로 제공하는 방법에 대한 자세한 내용은 Azure와 온-프레미스 AD 통합을 검토하세요.
- 온-프레미스 또는 클라우드 IaaS 애플리케이션과 Microsoft Entra 통합을 제공하려는 경우 Microsoft Entra 애플리케이션 프록시를 검토합니다.
- ID는 보안을 위한 새로운 제어 평면이므로 ID 관리 모범 사례를 검토합니다.
- 또한 이 솔루션을 배포하려면 권한이 높은 계정이 필요하므로 권한 있는 계정의 보안 제어를 이해하려면 권한 있는 액세스 보안을 검토합니다.