다중 테넌트 방어 조직을 위한 ID 필수 요소
다음 가이드에서는 다중 테넌트 방어 조직에 대한 제로 트러스트 ID 필수 요소를 제공하고 Microsoft Entra ID에 중점을 둡니다. 제로 트러스트는 중요한 정보의 무결성과 기밀성을 보장하기 위한 핵심 전략입니다. ID는 제로 트러스트의 기본 기둥입니다. Microsoft Entra ID는 Microsoft 클라우드 ID 서비스입니다. Microsoft Entra ID는 모든 Microsoft 클라우드 고객이 사용하는 중요한 제로 트러스트 구성 요소입니다.
설계자와 의사 결정자는 방어 엔터프라이즈 전략을 빌드하기 전에 Microsoft Entra ID의 핵심 기능과 제로 트러스트의 역할을 이해해야 합니다. 방어 조직은 Microsoft Entra ID를 채택하여 많은 제로 트러스트 요구 사항을 충족할 수 있습니다. 많은 사용자가 이미 기존 Microsoft 365 라이선스를 통해 필수 Microsoft Entra 기능에 액세스할 수 있습니다.
Microsoft Entra 테넌트
Microsoft Entra ID의 인스턴스를 Microsoft Entra 테넌트 라고 합니다. Microsoft Entra 테넌트는 ID 플랫폼 및 경계입니다. 조직의 ID 플랫폼이며 사용하는 Microsoft 클라우드 서비스에 대한 보안 ID 경계입니다. 따라서 중요한 방어 ID 데이터를 보호하는 데 이상적입니다.
Microsoft Entra 테넌트 통합 Microsoft는 조직당 하나의 테넌트만 권장합니다. 단일 Microsoft Entra 테넌트는 사용자 및 관리자에게 가장 원활한 ID 관리 환경을 제공합니다. 가장 포괄적인 제로 트러스트 기능을 제공합니다. 여러 Microsoft Entra 테넌트가 있는 조직은 다양한 사용자, 그룹, 애플리케이션 및 정책 집합을 관리하여 비용을 증가시키고 관리 복잡성을 추가해야 합니다. 단일 테넌트는 라이선스 비용도 최소화합니다.
Microsoft 365, Azure 서비스, Power Platform, LOB(기간 업무) 애플리케이션, SaaS(Software-as-a-Service) 애플리케이션 및 기타 CSP(클라우드 서비스 공급자)가 단일 Microsoft Entra 테넌트를 사용하도록 해야 합니다.
Microsoft Entra ID와 Active Directory 비교 Microsoft Entra ID는 AD DS(Active Directory 도메인 Services)의 진화가 아닙니다. 테넌트 개념은 Active Directory 포리스트와 비슷하지만 기본 아키텍처는 다릅니다. Microsoft Entra ID는 하이퍼스케일, 최신 및 클라우드 기반 ID 서비스입니다.
초기 do기본 이름 및 테넌트 ID입니다. 각 테넌트에는 고유한 초기 do기본 이름 및 테넌트 ID가 있습니다. 예를 들어 Contoso라는 조직에는 Microsoft Entra ID 및 contoso.onmicrosoft.us Microsoft Entra Government의 초기 do기본 이름이 contoso.onmicrosoft.com 있을 수 있습니다. 테넌트 ID는 GUID(Globally Unique Identifier)입니다 a976dd56-c1d8-485c-8ea7-facbce6726c2. 각 테넌트에는 초기 do기본 및 테넌트 ID가 하나만 있습니다. 두 값 모두 변경할 수 없으며 테넌트를 만든 후에는 변경할 수 없습니다.
사용자는 UPN(사용자 계정 이름)을 사용하여 Microsoft Entra 계정에 로그인합니다. UPN은 Microsoft Entra 사용자 특성이며 라우팅 가능한 접미사가 필요합니다. 초기 do기본는 기본 라우팅 가능한 접미사(user@contoso.onmicrosoft.com)입니다. 사용자 지정 do기본를 추가하여 보다 친숙한 UPN을 만들고 사용할 수 있습니다. 친숙한 UPN은 일반적으로 사용자의 이메일 주소(user@contoso.com)와 일치합니다. Microsoft Entra ID에 대한 UPN은 사용자의 AD DS userPrincipalName과 다를 수 있습니다. AD DS userPrincipalName 값이 라우팅할 수 없거나 테넌트에서 확인된 사용자 지정 do기본 일치하지 않는 접미사를 사용하는 경우 UPN 및 AD DS userPrincipalName이 다른 것이 일반적입니다.
한 Microsoft Entra 테넌트에서만 사용자 지정 작업을 기본 확인할 수 있습니다. 사용자 지정 do기본s는 AD DS(Active Directory 도메인 Services) 포리스트와 같은 보안 또는 신뢰 경계가 아닙니다. Microsoft Entra 사용자의 홈 테넌트를 식별하기 위한 DNS 네임스페이스입니다.
Microsoft Entra 아키텍처
Microsoft Entra ID에는 컨트롤러기본 조직 구성 단위, 그룹 정책 개체, do기본/포리스트 트러스트 또는 FSMO(유연한 단일 마스터 작업) 역할이 없습니다. Microsoft Entra ID는 서비스로서의 소프트웨어 ID 관리 솔루션입니다. RESTful API를 통해 Microsoft Entra ID에 액세스할 수 있습니다. 최신 인증 및 권한 부여 프로토콜을 사용하여 Microsoft Entra ID로 보호되는 리소스에 액세스합니다. 디렉터리에는 플랫 구조가 있으며 리소스 기반 권한을 사용합니다.
각 Microsoft Entra 테넌트는 ID 관리 데이터에 대해 고가용성 데이터 저장소입니다. ID, 정책 및 구성 개체를 저장하고 Azure 지역에 복제본(replica). Microsoft Entra 테넌트는 중요한 방어 정보에 대한 데이터 중복성을 제공합니다.
ID 형식
Microsoft Entra ID에는 두 가지 유형의 ID가 있습니다. 두 ID 유형은 사용자 및 서비스 주체입니다.
사용자. 사용자는 Microsoft 및 페더레이션된 클라우드 서비스에 액세스하는 개인의 ID입니다. 사용자는 Microsoft Entra ID 인스턴스의 멤버 또는 게스트일 수 있습니다. 일반적으로 구성원은 조직 내부이며 게스트는 임무 파트너 또는 방위 계약업체와 같은 외부 조직에 속합니다. 게스트 사용자 및 조직 간의 협업에 대한 자세한 내용은 B2B 협업 개요를 참조하세요.
서비스 주체 서비스 주체는 Microsoft Entra ID의 NPE(비인격 엔터티)입니다. 서비스 주체는 애플리케이션, 서비스/자동화 계정 및 Azure 리소스를 나타낼 수 있습니다. 온-프레미스 서버와 같은 비 Azure 리소스에도 Microsoft Entra ID에 서비스 주체가 있고 다른 Azure 리소스와 상호 작용할 수 있습니다. 서비스 주체는 방어 워크플로를 자동화하고 방어 작업에 중요한 애플리케이션을 관리하는 데 유용합니다. 자세한 내용은 Microsoft Entra ID의 애플리케이션 및 서비스 주체 개체를 참조하세요.
ID 동기화. Microsoft Entra 커넥트 Sync 또는 Microsoft Entra 커넥트 클라우드 동기화를 사용하여 Active Directory 도메인 Services의 사용자, 그룹 및 컴퓨터(디바이스) 개체를 Microsoft Entra ID와 동기화할 수 있습니다. 이 구성을 하이브리드 ID라고 합니다.
사용 권한
Microsoft Entra ID는 기존 온-프레미스 Active Directory Do기본 Services(AD DS)와는 다른 사용 권한 접근 방식을 사용합니다.
Microsoft Entra 역할. Microsoft Entra 디렉터리 역할을 사용하여 Microsoft Entra ID에 권한을 할당합니다. 이러한 역할은 특정 API 및 범위에 대한 액세스 권한을 부여합니다. Global 관리istrator는 Microsoft Entra ID에서 가장 높은 권한 있는 역할입니다. 다양한 제한된 관리 기능에 대한 많은 기본 제공 역할이 있습니다. 공격 노출 영역을 줄이기 위해 세분화된 권한을 위임해야 합니다.
상승된 권한 할당입니다. 보안을 강화하고 불필요한 권한을 줄이기 위해 Microsoft Entra ID는 권한 할당에 대한 두 가지 원칙을 제공합니다.
JIT(Just-In-Time): Microsoft Entra ID는 Just-In-Time 액세스를 지원합니다. JIT 기능을 사용하면 필요할 때 일시적으로 권한을 할당할 수 있습니다. JIT 액세스는 불필요한 권한의 노출을 최소화하고 공격 노출 영역을 줄입니다.
JEA(Just-Enough-관리): Microsoft Entra ID는 just-enough-admin 원칙을 따릅니다. 기본 제공 역할을 사용하면 과도한 권한을 부여하지 않고도 관리자 작업을 위임할 수 있습니다. 관리기본 단위는 Microsoft Entra 역할에 대한 사용 권한 범위를 추가로 제한할 수 있습니다.
인증
Active Directory와 달리 Microsoft Entra ID의 사용자는 암호 또는 스마트 카드 인증으로 제한되지 않습니다. Microsoft Entra 사용자는 암호 및 기타 많은 인증 및 확인 방법을 사용할 수 있습니다. Microsoft Entra ID는 최신 인증 프로토콜을 사용하고, 토큰 기반 공격으로부터 보호하며, 의심스러운 로그인 동작을 검색합니다.
인증 방법. Microsoft Entra 인증 방법에는 스마트카드 인증서 및 파생 자격 증명, Microsoft Authenticator 암호 없는, FIDO2 보안 키(하드웨어 암호 키) 및 비즈니스용 Windows Hello 같은 디바이스 자격 증명에 대한 기본 지원이 포함됩니다. Microsoft Entra ID는 각서 22-09 및 DODCIO 제로 트러스트 전략 기능을 지원하기 위해 암호 없는 피싱 방지 방법을 제공합니다.
인증 프로토콜. Microsoft Entra ID는 Kerberos, NTLM 또는 LDAP를 사용하지 않습니다. OpenID 커넥트, OAuth 2.0, SAML 2.0 및 SCIM과 같이 인터넷을 통해 사용하기 위한 최신 개방형 프로토콜을 사용합니다. Entra는 자체 인증에 Kerberos를 사용하지 않지만 하이브리드 ID에 대한 Kerberos 티켓을 발급하여 Azure Files를 지원하고 온-프레미스 리소스에 암호 없는 로그인을 사용하도록 설정할 수 있습니다. Entra 애플리케이션 프록시 를 사용하면 Kerberos 및 헤더 기반 인증과 같은 레거시 프로토콜만 지원하는 온-프레미스 애플리케이션에 대해 Entra Single Sign-On을 구성할 수 있습니다.
토큰 공격에 대한 보호. 기존 AD DS는 Kerberos 기반 공격에 취약합니다. AD DS는 Do기본 관리s와 같이 S-1-5-domain-512잘 알려진 SID(보안 식별자)가 있는 보안 그룹을 사용합니다. Do기본 관리istrator가 로컬 또는 네트워크 로그인을 수행하는 경우 Do기본 컨트롤러는 Do기본 관리s SID가 포함된 Kerberos 티켓을 발급하고 자격 증명 캐시에 저장합니다. 위협 행위자가 일반적으로 횡적 이동 및 권한 상승 기술(예: pass-the-hash 및 pass-the-ticket)을 사용하여 이 메커니즘을 활용합니다.
그러나 Microsoft Entra ID는 Kerberos 공격에 취약하지 않습니다. 클라우드는 세션 하이재킹 및 세션 재생과 같은 AiTM(악의적인 중간) 기술로 세션 토큰(로그인 토큰)을 도용합니다. 클라이언트 애플리케이션, WAM(웹 계정 관리자) 또는 사용자의 웹 브라우저(세션 쿠키)는 이러한 세션 토큰을 저장합니다. 토큰 도난 공격으로부터 보호하기 위해 Microsoft Entra ID는 재생을 방지하는 데 사용하는 토큰을 기록하며 토큰을 사용자의 디바이스에 암호화하여 바인딩하도록 요구할 수 있습니다.
토큰 도난에 대한 자세한 내용은 토큰 도난 플레이북을 참조하세요.
의심스러운 로그인 동작을 검색합니다.Microsoft Entra ID Protection 은 실시간 및 오프라인 검색의 조합을 사용하여 위험한 사용자 및 로그인 이벤트를 식별합니다. 엔트라 조건부 액세스의 위험 조건을 사용하여 애플리케이션에 대한 액세스를 동적으로 제어하거나 차단할 수 있습니다. CAE(지속적인 액세스 평가) 를 사용하면 클라이언트 앱이 사용자 세션의 변경 내용을 감지하여 거의 실시간으로 액세스 정책을 적용할 수 있습니다.
애플리케이션
Microsoft Entra ID는 Microsoft 애플리케이션 및 서비스만을 위한 것이 아닙니다. Microsoft Entra ID는 동일한 프로토콜을 사용하는 모든 애플리케이션, 클라우드 서비스 공급자, SaaS 공급자 또는 ID 시스템의 ID 공급자일 수 있습니다. 동맹국 방위군 및 계약자와의 상호 운용성을 쉽게 지원합니다.
PEP(정책 적용 지점) 및 PDP(정책 결정 지점). Microsoft Entra ID는 제로 트러스트 아키텍처의 PEP(일반 정책 적용 지점) 및 PDP(정책 결정 지점) 입니다. 애플리케이션에 대한 보안 정책 및 액세스 제어를 적용합니다.
Microsoft Entra ID 거버넌스.Microsoft Entra ID 거버넌스 는 Microsoft Entra 기능입니다. 사용자 액세스를 관리하고 액세스 수명 주기를 자동화하는 데 도움이 됩니다. 이를 통해 사용자는 애플리케이션 및 리소스에 적절하고 시기 적절하게 액세스할 수 있습니다.
조건부 액세스 조건부 액세스를 사용하면 특성을 사용하여 애플리케이션에 대한 세분화된 권한 부여를 수행할 수 있습니다. 다양한 요인에 따라 액세스 정책을 정의할 수 있습니다. 이러한 요인에는 사용자 특성, 자격 증명 강도, 애플리케이션 특성, 사용자 및 로그인 위험, 디바이스 상태 및 위치가 포함됩니다. 자세한 내용은 제로 트러스트 보안을 참조하세요.
장치
Microsoft Entra ID는 디바이스 관리를 통해 Microsoft 서비스 안전하고 원활하게 액세스할 수 있도록 합니다. Active Directory 도메인 Services와 마찬가지로 Windows 디바이스를 관리하고 Microsoft Entra에 조인할 수 있습니다.
등록된 디바이스. 사용자가 Entra 계정을 사용하여 애플리케이션에 로그인하면 디바이스가 Entra 테넌트에 등록됩니다. Entra 디바이스 등록은 디바이스 등록 또는 Entra 조인과 다릅니다. 사용자는 로컬 계정 또는 Microsoft 계정을 사용하여 등록된 디바이스에 로그인합니다. 등록된 디바이스에는 사용자의 가정용 PC 또는 개인 전화와 같은 BYOD(Bring Your Own Devices)가 포함되는 경우가 많습니다.
Microsoft Entra 조인 디바이스. 사용자가 Microsoft Entra 조인 디바이스에 로그인하면 PIN 또는 제스처를 사용하여 디바이스 바인딩된 키의 잠금이 해제됩니다. 유효성 검사 후 Microsoft Entra ID는 디바이스에 PRT(기본 새로 고침 토큰) 를 발급합니다. 이 PRT는 Microsoft Teams와 같은 Microsoft Entra ID 보호 서비스에 대한 Single Sign-On 액세스를 용이하게 합니다.
Microsoft Endpoint Manager(Intune)에 등록된 Microsoft Entra 조인 디바이스는 조건부 액세스 내에서 디바이스 준수를 권한 부여 컨트롤로 사용할 수 있습니다.
Microsoft Entra 하이브리드 조인 디바이스.Microsoft Entra 하이브리드 조인을 사용하면 Windows 디바이스를 Active Directory 도메인 Services 및 Microsoft Entra ID 둘 다에 동시에 연결할 수 있습니다. 이러한 디바이스는 먼저 Active Directory에 대해 사용자를 인증한 다음 Microsoft Entra ID에서 기본 새로 고침 토큰을 검색합니다.
Intune 관리 디바이스 및 애플리케이션.Microsoft Intune은 관리용 디바이스 등록 및 등록을 용이하게 합니다. Intune을 사용하면 사용자 디바이스에 대한 준수 및 보안 상태를 정의하고, 엔드포인트용 Microsoft Defender 사용하여 디바이스를 보호하며, 사용자가 엔터프라이즈 리소스에 액세스하기 위해 규격 디바이스를 사용하도록 요구할 수 있습니다.
Microsoft 365 및 Azure
Microsoft Entra ID는 Microsoft의 ID 플랫폼입니다. Microsoft 365 및 Azure 서비스를 모두 제공합니다. Microsoft 365 구독은 Microsoft Entra 테넌트를 만들고 사용합니다. 또한 Azure 서비스는 Microsoft Entra 테넌트를 사용합니다.
Microsoft 365 ID. Microsoft Entra ID는 Microsoft 365 내의 모든 ID 작업에 필수적입니다. 사용자 로그인, 공동 작업, 공유 및 권한 할당을 처리합니다. Office 365, Intune 및 Microsoft Defender XDR 서비스에 대한 ID 관리를 지원합니다. 사용자는 Word 또는 Outlook과 같은 Office 앱lication에 로그인하거나, OneDrive를 사용하여 문서를 공유하거나, SharePoint 사이트에 외부 사용자를 초대하거나, Microsoft Teams에서 새 팀을 만들 때마다 Microsoft Entra를 사용합니다.
Azure ID. Azure에서 각 리소스는 Azure 구독과 연결되고 구독은 단일 Microsoft Entra 테넌트에 연결됩니다. 사용자, 보안 그룹 또는 서비스 주체에 Azure 역할을 할당하여 Azure 리소스를 관리하기 위한 권한을 위임합니다.
관리 ID는 Azure 리소스가 다른 리소스와 안전하게 상호 작용할 수 있도록 하는 데 중요한 역할을 합니다. 이러한 관리 ID는 Microsoft Entra 테넌트 내의 보안 주체입니다. 최소 권한으로 권한을 부여합니다. Microsoft Graph와 같이 Microsoft Entra ID로 보호되는 API에 액세스하도록 관리 ID에 권한을 부여할 수 있습니다. Azure 리소스에서 관리 ID를 사용하는 경우 관리 ID는 서비스 주체 개체입니다. 서비스 주체 개체는 리소스와 연결된 구독과 동일한 Microsoft Entra 테넌트 내에 있습니다.
Microsoft Graph
Microsoft Entra, Azure 및 Microsoft 365용 Microsoft 웹 포털은 Microsoft Entra ID에 그래픽 인터페이스를 제공합니다. Microsoft Graph라는 RESTful API를 사용하여 Microsoft Entra 개체 및 구성 정책을 읽고 업데이트하는 프로그래밍 방식 액세스를 자동화할 수 있습니다. Microsoft Graph는 다양한 언어의 클라이언트를 지원합니다. 지원되는 언어로는 PowerShell, Go, Python, Java, .NET, Ruby 등이 있습니다. GitHub에서 Microsoft Graph 리포지 토리를 탐색합니다.
Azure Government 클라우드
공용(인터넷에 연결된) 네트워크에서 사용할 수 있는 Microsoft Entra Services 방어 조직의 두 가지 버전인 Microsoft Entra Global 및 Microsoft Entra Government가 있습니다.
Microsoft Entra Global. Microsoft Entra Global은 상업용 Microsoft 365 및 Azure, Microsoft 365 GCC Moderate용입니다. Microsoft Entra Global 에 대한 로그인 서비스가 login.microsoftonline.com.
Microsoft Entra Government. Microsoft Entra Government는 Azure Government(IL4), DoD(IL5), Microsoft 365 GCC High, Microsoft 365 DoD(IL5)입니다. Microsoft Entra Government 에 대한 로그인 서비스가 login.microsoftonline.us.
서비스 URL입니다. 다른 Microsoft Entra 서비스는 다른 로그인 URL을 사용합니다. 따라서 별도의 웹 포털을 사용해야 합니다. 또한 Azure 및 Microsoft 365를 관리하기 위해 Microsoft Graph 클라이언트 및 PowerShell 모듈과 연결하기 위한 환경 스위치를 제공해야 합니다(표 1 참조).
표 1. Azure Government 엔드포인트.
| 엔드포인트 | 전역 | GCC High | DoD 영향 수준 5(IL5) |
|---|---|---|---|
| Microsoft Entra 관리 센터 | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure Portal | portal.azure.com | portal.azure.us | portal.azure.us |
| Defender 관리 Center | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Az PowerShell 모듈 | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |