Azure 랜딩 존에서 Active Directory 및 Microsoft Entra ID를 사용하는 하이브리드 ID

  • 아티클

이 문서에서는 Azure 랜딩 존에 대한 Microsoft Entra ID 및 하이브리드 ID를 디자인하고 구현하는 방법에 대한 지침을 제공합니다.

클라우드에서 작동하는 조직에는 사용자 ID 및 리소스에 대한 액세스를 관리하기 위한 디렉터리 서비스가 필요합니다. Microsoft Entra ID는 사용자 및 그룹을 관리하는 강력한 기능을 제공하는 클라우드 기반 ID 및 액세스 관리 서비스입니다. 독립 실행형 ID 솔루션으로 사용하거나 Microsoft Entra Do기본 Services 인프라 또는 AD DS(온-프레미스 Active Directory Do기본 Services) 인프라와 통합할 수 있습니다.

Microsoft Entra ID는 많은 조직 및 워크로드에 적합하고 Azure 및 Microsoft 365 서비스의 핵심인 최신 보안 ID 및 액세스 관리를 제공합니다. 조직에 온-프레미스 AD DS 인프라가 있는 경우 클라우드 기반 워크로드는 온-프레미스와 클라우드 환경 간의 일관된 ID, 그룹 및 역할 집합을 위해 Microsoft Entra ID와 디렉터리 동기화가 필요할 수 있습니다. 또는 레거시 인증 메커니즘에 의존하는 애플리케이션이 있는 경우 클라우드에서 관리되는 Do기본 서비스를 배포해야 할 수 있습니다.

클라우드 기반 ID 관리는 반복적인 프로세스입니다. 초기 배포를 위한 작은 사용자 집합 및 해당 역할로 클라우드 네이티브 솔루션으로 시작할 수 있으며 마이그레이션이 성숙함에 따라 디렉터리 동기화를 사용하여 ID 솔루션을 통합하거나 클라우드에서 호스트되는 do기본 서비스를 클라우드 배포의 일부로 추가해야 할 수 있습니다.

시간이 지남에 따라 워크로드 인증 요구 사항 및 기타 요구 사항(예: 조직 ID 전략 및 보안 요구 사항 변경 또는 다른 디렉터리 서비스와의 통합)에 따라 ID 솔루션을 다시 방문합니다. Active Directory 솔루션을 평가할 때 Windows Server에서 Microsoft Entra ID, Do기본 Services 및 AD DS 간의 차이점을 이해합니다.

ID 전략에 대한 도움말은 ID 결정 가이드를 참조하세요.

Azure 랜딩 존의 ID 및 액세스 관리 서비스

플랫폼 팀은 ID 및 액세스 관리 관리를 담당합니다. ID 및 액세스 관리 서비스는 조직 보안의 기본 사항입니다. 조직은 Microsoft Entra ID를 사용하여 관리 액세스를 제어하여 플랫폼 리소스를 보호할 수 있습니다. 이 방법을 사용하면 플랫폼 팀 외부의 사용자가 구성을 변경하거나 Microsoft Entra ID에 포함된 보안 주체를 변경할 수 없습니다.

AD DS 또는 Do기본 Services를 사용하는 조직도 do기본 컨트롤러를 무단 액세스로부터 보호해야 합니다. Do기본 컨트롤러는 공격자에게 특히 매력적인 대상이며 엄격한 보안 제어 및 애플리케이션 워크로드와 분리되어야 합니다.

Do기본 컨트롤러 및 연결된 구성 요소(예: Microsoft Entra ID 커넥트 서버)는 플랫폼 관리 그룹에 있는 ID 구독에 배포됩니다. 기본 컨트롤러는 애플리케이션 팀에 위임되지 않습니다. 이러한 격리를 제공하면 애플리케이션 소유자는 ID 서비스를 관리할 필요 없이 사용할 수 있으며 ID 및 액세스 관리 서비스가 손상될 위험이 줄어듭니다. ID 플랫폼 구독의 리소스는 클라우드 및 온-프레미스 환경에 중요한 보안 지점입니다.

애플리케이션 소유자가 워크로드에 필요한 대로 Microsoft Entra ID 또는 AD DS 및 Do기본 Services를 사용할 수 있도록 랜딩 존을 프로비전해야 합니다. 사용하는 ID 솔루션에 따라 필요에 따라 다른 서비스를 구성해야 할 수 있습니다. 예를 들어 ID 가상 네트워크에 대한 네트워크 연결을 사용하도록 설정하고 보호해야 할 수 있습니다. 구독 자동 판매 프로세스를 사용하는 경우 구독 요청에 이 구성 정보를 포함합니다.

Azure 및 온-프레미스는 기본(하이브리드 ID)

Microsoft Entra ID로 완전히 만들어진 사용자 개체를 클라우드 전용 계정이라고 합니다. 최신 인증 및 Azure 및 Microsoft 365 리소스에 대한 액세스 및 Windows 10 또는 Windows 11을 사용하는 로컬 디바이스에 대한 액세스를 지원합니다.

그러나 많은 조직에는 이미 LDAP(Lightweight Directory Access Protocol)를 통한 LOB(기간 업무) 또는 ERP(엔터프라이즈 리소스 계획)와 같은 다른 시스템과 통합될 수 있는 오랜 AD DS 디렉터리가 있습니다. 이러한 기본 인증에 Kerberos 또는 이전 NTLMv2 프로토콜을 사용하는 기본 조인된 컴퓨터 및 애플리케이션이 많을 수 있습니다. 이러한 환경에서는 사용자가 단일 ID로 온-프레미스 시스템과 클라우드 리소스 모두에 로그인할 수 있도록 사용자 개체를 Microsoft Entra ID와 동기화할 수 있습니다. 온-프레미스 및 클라우드 디렉터리 서비스를 통합하는 것을 하이브리드 ID라고 합니다. 온-프레미스 do기본를 Azure 랜딩 존으로 확장할 수 있습니다.

  • 클라우드 및 온-프레미스 환경 모두에서 단일 사용자 개체를 기본 위해 Microsoft Entra 커넥트 또는 Microsoft Entra 커넥트 Sync를 통해 AD DS do기본 사용자를 Microsoft Entra ID와 동기화할 수 있습니다. 사용자 환경에 권장되는 구성을 확인하려면 Microsoft Entra 커넥트 대한 토폴로지를 참조하세요.

  • Windows VM 및 기타 서비스를 기본 가입하려면 Azure에서 AD DS do기본 컨트롤러 또는 Do기본 Services를 배포할 수 있습니다. 이 방법을 사용하면 AD DS 사용자가 Windows 서버, Azure Files 공유 및 Active Directory를 인증 원본으로 사용하는 기타 리소스에 로그인할 수 있습니다. 그룹 정책과 같은 다른 Active Directory 기술을 사용할 수도 있습니다. 자세한 내용은 Microsoft Entra Do기본 Services에 대한 일반적인 배포 시나리오를 참조하세요.

하이브리드 ID 권장 사항

  • do기본 서비스를 사용하고 이전 프로토콜을 사용하는 애플리케이션에 do기본 서비스를 사용할 수 있습니다. 경우에 따라 기존 AD DS는기본 이전 버전과의 호환성을 지원하고 레거시 프로토콜을 허용하므로 보안에 부정적인 영향을 줄 수 있습니다. 온-프레미스 do기본 확장하는 대신 Do기본 Services를 사용하여 레거시 프로토콜을 허용하지 않는 새 do기본 만들고 클라우드 호스팅 애플리케이션의 디렉터리 서비스로 사용하는 것이 좋습니다.

  • 각 애플리케이션에서 사용하는 인증 공급자를 이해하고 문서화하여 ID 솔루션 요구 사항을 평가합니다. 검토를 통해 조직에서 사용해야 하는 서비스 유형을 계획할 수 있습니다. 자세한 내용은 Active Directory와 Microsoft Entra ID 및 ID 결정 가이드 비교를 참조하세요.

  • 외부 사용자, 고객 또는 파트너가 리소스에 액세스할 수 있도록 설정하는 시나리오를 평가합니다. 이러한 시나리오에 Microsoft Entra B2B가 포함되는지 또는 고객을 위한 Microsoft Entra 외부 ID 포함되는지 확인합니다. 자세한 내용은 Microsoft Entra 외부 ID 참조하세요.

  • 사용자 환경에 대기 시간이 추가되므로 인트라넷 액세스에 Microsoft Entra 애플리케이션 프록시를 사용하지 마세요. 자세한 내용은 Microsoft Entra 애플리케이션 프록시 계획Microsoft Entra 애플리케이션 프록시 보안 고려 사항을 참조하세요.

  • 조직의 요구 사항을 충족하기 위해 Azure와 온-프레미스 Active Directory 통합하는 데 사용할 수 있는 다양한 방법을 고려합니다.

  • Microsoft Entra ID와 AD FS(Active Directory Federation Services) 페더레이션이 있는 경우 암호 해시 동기화를 백업으로 사용할 수 있습니다. AD FS는 Microsoft Entra Seamless SSO(Single Sign-On)를 지원하지 않습니다.

  • 클라우드 ID에 적합한 동기화 도구를 결정합니다.

  • AD FS를 사용하기 위한 요구 사항이 있는 경우 Azure에서 AD FS 배포를 참조하세요.

Important

AD FS를 사용하기 위한 특정 요구 사항이 없는 한 Microsoft Entra ID로 마이그레이션하는 것이 좋습니다. 자세한 내용은 AD FS를 서비스 해제하고 AD FS에서 Microsoft Entra ID로 마이그레이션하기 위한 리소스를 참조하세요.

Microsoft Entra ID, Do기본 Services 및 AD DS

관리주체는 Microsoft 디렉터리 서비스를 구현하기 위한 옵션을 숙지해야 합니다.

  • 플랫폼 또는 ID 관리자가 완전히 제어할 수 있는 Windows VM(가상 머신)으로 AD DS do기본 컨트롤러를 Azure에 배포할 수 있습니다. 이 방법은 IaaS(Infrastructure as a Service) 솔루션입니다. do기본 컨트롤러를 기존 Active Directory do기본 조인하거나 기존 온-프레미스 do기본와 선택적 트러스트 관계가 있는 새 작업을 호스트할 수 있습니다기본. 자세한 내용은 Azure 랜딩 존의 Azure Virtual Machines 기준 아키텍처를 참조 하세요.

  • Do기본 Services는 Azure에서 호스팅되는 새 관리형 Active Directory do기본 만드는 데 사용할 수 있는 Azure 관리 서비스입니다. do기본 기존 do기본와 트러스트 관계를 가질 수 있으며 Microsoft Entra ID의 ID를 동기화할 수 있습니다. 관리이스트래터는 do기본 컨트롤러에 직접 액세스할 수 없으며 패치 및 기타 기본 테넌트 작업을 담당하지 않습니다.

  • Do기본 Services를 배포하거나 온-프레미스 환경을 Azure에 통합하는 경우 가용성을 높이기 위해 가용성 영역이 있는 위치를 사용합니다.

AD DS 또는 Do기본 Services가 구성된 후 온-프레미스 컴퓨터와 동일한 방법을 사용하여 Azure VM 및 파일 공유를 조인할 수 기본 있습니다. 자세한 내용은 Microsoft 디렉터리 기반 서비스 비교를 참조 하세요.

Microsoft Entra ID 및 AD DS 권장 사항

  • Microsoft Entra ID를 통해 원격으로 온-프레미스 인증을 사용하는 애플리케이션에 액세스하려면 Microsoft Entra 애플리케이션 프록시를 사용합니다. 이 기능은 온-프레미스 웹 애플리케이션에 대한 보안 원격 액세스를 제공합니다. VPN 또는 네트워크 인프라를 변경할 필요가 없습니다. 그러나 Microsoft Entra ID에 단일 인스턴스로 배포되므로 애플리케이션 소유자와 플랫폼 또는 ID 팀이 공동 작업하여 애플리케이션이 올바르게 구성되었는지 확인해야 합니다.

  • Windows Server 및 Do기본 Services에서 AD DS에 대한 워크로드의 호환성을 평가합니다. 자세한 내용은 일반적인 사용 사례 및 시나리오를 참조 하세요.

  • do기본 컨트롤러 VM 또는 Do기본 Services 복제본(replica) 집합을 플랫폼 관리 그룹 내의 ID 플랫폼 구독에 배포합니다.

  • do기본 컨트롤러를 포함하는 가상 네트워크를 보호합니다. 방화벽 기능을 제공하는 NSG(네트워크 보안 그룹)를 사용하여 격리된 서브넷에 AD DS 서버를 배치하여 해당 시스템과의 직접 인터넷 연결을 방지합니다. 인증에 do기본 컨트롤러를 사용하는 리소스에는 할 일기본 컨트롤러 서브넷에 대한 네트워크 경로가 있어야 합니다. ID 구독의 서비스에 액세스해야 하는 애플리케이션에 대해서만 네트워크 경로를 사용하도록 설정합니다. 자세한 내용은 Azure 가상 네트워크에서 AD DS 배포를 참조하세요.

    • Azure Virtual Network Manager를 사용하여 가상 네트워크에 적용되는 표준 규칙을 적용합니다. 예를 들어 Active Directory ID 서비스가 필요한 경우 Azure Policy 또는 가상 네트워크 리소스 태그를 사용하여 네트워크 그룹에 랜딩 존 가상 네트워크를 추가할 수 있습니다. 그런 다음, 필요한 애플리케이션에서만 할 일기본 컨트롤러 서브넷에 대한 액세스를 허용하고 다른 애플리케이션의 액세스를 차단하는 네트워크 그룹을 사용할 수 있습니다.

  • 할 일기본 컨트롤러 가상 머신 및 기타 ID 리소스에 적용되는 RBAC(역할 기반 액세스 제어) 권한을 보호합니다. 관리 기여자, 소유자 또는 가상 머신 참가자와 같은 Azure 컨트롤 플레인에서 RBAC 역할 할당을 사용하는 시스트레이터는 가상 머신에서 명령을 실행할 수 있습니다. 권한 있는 관리자만 ID 구독의 가상 머신에 액세스할 수 있고 지나치게 허용되는 역할 할당이 상위 관리 그룹에서 상속되지 않는지 확인합니다.

  • 다단계 조직에서 핵심 플랫폼 구성 요소를 호스트하는 지역에 Do기본 Services를 배포합니다. Do기본 Services를 단일 구독에만 배포할 수 있습니다. 기본 가상 네트워크에 피어된 별도의 가상 네트워크에 최대 4개의 복제본(replica) 집합을 추가하여 Do기본 Services를 추가 지역으로 확장할 수 있습니다. 대기 시간을 최소화하려면 핵심 애플리케이션을 복제본(replica) 집합의 가상 네트워크와 가까이 또는 동일한 지역에 유지합니다.

  • Azure에서 AD DS를 배포할 때 기본 복원력을 높이기 위해 가용성 영역에 배포합니다. 자세한 내용은 가용성 영역에서 VM 만들기 및 VM을 가용성 영역으로 마이그레이션을 참조하세요.

  • 인증은 클라우드 및 온-프레미스 또는 온-프레미스에서만 발생할 수 있습니다. ID 계획의 일부로 Microsoft Entra ID대한 인증 방법을 살펴봅니다.

  • Windows 사용자에게 Azure Files 파일 공유에 Kerberos가 필요한 경우 클라우드에 do기본 컨트롤러를 배포하는 대신 Microsoft Entra ID에 Kerberos 인증을 사용하는 것이 좋습니다.

다음 단계

랜딩 존 ID 및 액세스 관리