적용 대상: ✔️ SMB Azure 파일 공유
이 문서에서는 온-프레미스 또는 Azure에서 ID 기반 인증을 사용하여 SMB(서버 메시지 블록) 프로토콜을 통해 Azure 파일 공유에 대한 ID 기반 액세스를 사용하도록 설정하는 방법을 설명합니다. Windows 파일 서버와 마찬가지로 공유, 디렉터리 또는 파일 수준에서 ID에 권한을 부여할 수 있습니다. 스토리지 계정에서 ID 기반 인증을 사용하도록 설정하는 추가 서비스 요금은 없습니다.
ID 기반 인증은 Windows, Linux 및 MacOS 클라이언트용 SMB를 통해 지원됩니다. 그러나 현재 NFS(네트워크 파일 시스템) 공유에서는 지원되지 않습니다.
중요한
보안상의 이유로 스토리지 계정 키를 사용하는 이상 ID 기반 인증을 사용하여 파일 공유에 액세스하는 것이 좋습니다. 스토리지 계정 키를 공유하지 마세요.
작동 방식
Azure 파일 공유는 Kerberos 프로토콜을 사용하여 ID 원본으로 인증합니다. 클라이언트에서 실행되는 사용자 또는 애플리케이션과 연결된 ID가 Azure 파일 공유의 데이터에 액세스하려고 하면 ID를 인증하기 위해 요청이 ID 원본으로 전송됩니다. 인증에 성공하면 신원 소스는 Kerberos 티켓을 반환합니다. 그런 다음 클라이언트는 Kerberos 티켓을 포함하는 요청을 보내고 Azure Files는 해당 티켓을 사용하여 요청에 권한을 부여합니다. Azure Files 서비스는 사용자의 액세스 자격 증명이 아닌 Kerberos 티켓만 받습니다.
일반 사용 예
SMB Azure 파일 공유를 사용한 ID 기반 인증은 다양한 시나리오에서 유용할 수 있습니다.
온-프레미스 파일 서버 바꾸기
분산된 온-프레미스 파일 서버를 교체하는 것은 모든 조직이 IT 현대화 과정에서 직면하는 과제입니다. Azure Files에서 ID 기반 인증을 사용하면 원활한 마이그레이션 환경을 제공하여 최종 사용자가 동일한 자격 증명으로 데이터에 계속 액세스할 수 있습니다.
Azure로 애플리케이션 리프트 앤 시프트
애플리케이션을 클라우드로 리프트 앤 시프트하는 경우 파일 공유 액세스에 대해 동일한 인증 모델을 유지할 수 있습니다. ID 기반 인증을 사용하면 디렉터리 서비스를 변경할 필요가 없어 클라우드 채택이 신속합니다.
백업 및 재해 복구(DR)
기본 파일 스토리지를 온-프레미스에 유지하는 경우 Azure Files는 비즈니스 연속성을 개선하기 위해 백업 및 DR에 이상적인 솔루션입니다. Azure 파일 공유를 사용하여 Windows DACL(임의 액세스 제어 목록)을 유지하면서 파일 서버를 백업할 수 있습니다. DR 시나리오의 경우 장애 조치(failover) 시 적절한 액세스 제어 적용을 지원하도록 인증 옵션을 구성할 수 있습니다.
스토리지 계정에 대한 ID 원본 선택
스토리지 계정에서 ID 기반 인증을 사용하도록 설정하기 전에 사용할 ID 원본을 알아야 합니다. 대부분의 회사와 조직에는 일부 유형의 도메인 환경이 구성되어 있으므로 이미 있는 것일 수 있습니다. AD(Active Directory) 또는 IT 관리자에게 문의하세요. ID 원본이 아직 없는 경우 ID 기반 인증을 사용하도록 설정하려면 ID 원본을 구성해야 합니다.
지원되는 인증 시나리오
온-프레미스 AD DS(Active Directory Domain Services),Microsoft Entra Domain Services 또는 Microsoft Entra Kerberos의 세 가지 ID 원본 중 하나를 사용하여 SMB를 통해 ID 기반 인증을 사용하도록 설정할 수 있습니다. 스토리지 계정당 파일 액세스 인증에 하나의 ID 원본만 사용할 수 있으며 계정의 모든 파일 공유에 적용됩니다.
온-프레미스 AD DS: 스토리지 계정은 온-프레미스 AD DS에 조인되며, AD DS의 ID는 도메인에 가입된 클라이언트 또는 도메인 컨트롤러에 중단 없는 연결이 있는 클라이언트에서 SMB Azure 파일 공유에 안전하게 액세스할 수 있습니다. 온-프레미스 AD DS 환경은 Microsoft Entra Connect 애플리케이션 또는 Microsoft Entra Admin Center에서 설치할 수 있는 경량 에이전트인 Microsoft Entra Connect 클라우드 동기화를 사용하여 Microsoft Entra ID와 동기화되어야 합니다. 필수 구성 요소의 전체 목록을 참조하세요.
Microsoft Entra Kerberos: Microsoft Entra ID를 사용하여 하이브리드 또는 클라우드 전용 ID(미리 보기)를 인증하여 최종 사용자가 Azure 파일 공유에 액세스할 수 있도록 할 수 있습니다. 하이브리드 ID를 인증하려면 기존 AD DS 배포가 필요합니다. 그러면 Microsoft Entra 테넌트에 동기화됩니다. 필수 구성 요소를 참조하세요.
Microsoft Entra Domain Services: Microsoft Entra Domain Services에 가입된 클라우드 기반 VM은 Microsoft Entra 자격 증명을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 이 솔루션에서 Microsoft Entra ID는 고객의 Microsoft Entra 테넌트의 자식인 기존 Windows Server AD 도메인을 실행합니다. 필수 구성 요소를 참조하세요.
다음 지침을 사용하여 선택해야 하는 ID 원본을 결정합니다.
조직에 이미 온-프레미스 AD가 있고 ID를 클라우드로 이동할 준비가 되지 않았으며 클라이언트, VM 및 애플리케이션이 도메인에 가입되어 있거나 해당 도메인 컨트롤러에 대한 네트워크 연결이 방해받지 않는 경우 AD DS를 선택합니다.
일부 또는 모든 클라이언트가 AD DS에 대한 방해받지 않는 네트워크 연결이 없거나 Microsoft Entra 조인 VM에 대한 Azure 파일 공유에 FSLogix 프로필을 저장하는 경우 Microsoft Entra Kerberos를 선택합니다.
기존 온-프레미스 AD가 있지만 애플리케이션을 클라우드로 이동할 계획이며 ID가 온-프레미스와 클라우드(하이브리드) 모두에 존재하도록 하려면 Microsoft Entra Kerberos를 선택합니다.
도메인 컨트롤러를 사용하지 않고 클라우드 전용 ID를 인증하려면 Microsoft Entra Kerberos를 선택합니다. 이 기능은 현재 공개 미리 보기로 제공됩니다.
Microsoft Entra Domain Services를 이미 사용하는 경우 MICROSOFT Entra Domain Services를 ID 원본으로 선택합니다.
ID 원본 사용
ID 원본을 선택한 후에는 스토리지 계정에서 ID 원본을 사용하도록 설정해야 합니다.
AD DS
AD DS 인증의 경우 Azure VM 또는 온-프레미스에서 AD 도메인 컨트롤러를 호스트할 수 있습니다. 어느 쪽이든 클라이언트는 도메인 컨트롤러에 대한 방해받지 않은 네트워크 연결이 있어야 하므로 도메인 서비스의 회사 네트워크 또는 VNET(가상 네트워크) 내에 있어야 합니다. 사용자가 공유에 액세스할 때마다 명시적 자격 증명을 제공할 필요가 없도록 클라이언트 컴퓨터 또는 VM을 도메인에 가입하는 것이 좋습니다.
다음 다이어그램은 SMB를 통해 Azure 파일 공유에 대한 온-프레미스 AD DS 인증을 보여 줍니다. Microsoft Entra Connect Sync 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 온-프레미스 AD DS를 Microsoft Entra ID로 동기화해야 합니다. 온-프레미스 AD DS 및 Microsoft Entra ID 모두에 있는 하이브리드 사용자 ID만 Azure 파일 공유 액세스에 대해 인증 및 권한을 부여받을 수 있습니다. 이는 디렉터리/파일 수준 사용 권한은 AD DS의 ID에 적용되는 반면, 공유 수준 권한은 Microsoft Entra ID에 표시된 ID에 대해 구성되기 때문입니다. 동일한 하이브리드 사용자에 대해 사용 권한을 올바르게 구성해야 합니다.
AD DS 인증을 활성화하려면 먼저 Azure 파일 공유를 위한 SMB를 통한 온-프레미스 Active Directory 도메인 서비스 인증 개요를 읽고, Azure 파일 공유에 대한 AD DS 인증 사용을 참조하세요.
Microsoft Entra Kerberos
하이브리드 또는 클라우드 전용 ID(미리 보기)를 인증하기 위해 Microsoft Entra ID를 사용하도록 설정하고 구성하면 Microsoft Entra 사용자가 Kerberos 인증을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 이 구성은 Microsoft Entra ID를 사용하여 Kerberos 티켓을 발급하여 업계 표준 SMB 프로토콜을 사용하여 파일 공유에 액세스합니다. 즉, 최종 사용자는 도메인 컨트롤러에 대한 네트워크 연결 없이도 Azure 파일 공유에 액세스할 수 있습니다.
중요한
Microsoft Entra Kerberos를 사용하여 하이브리드 ID를 인증하려면 기존 AD DS 배포가 필요합니다. Microsoft Entra Connect 동기화 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 Microsoft Entra ID로 동기화해야 합니다. 클라이언트는 Microsoft Entra에 조인되어 있거나 Microsoft Entra 하이브리드 조인되어 있어야 합니다.
다음 다이어그램은 SMB를 통한 하이브리드(즉, 클라우드 전용이 아닌) ID에 대한 Microsoft Entra Kerberos 인증 워크플로를 나타냅니다.
Microsoft Entra Kerberos 인증을 사용하도록 설정하려면 Azure Files에서 Microsoft Entra Kerberos 인증 사용을 참조하세요.
이 기능을 사용하여 Microsoft Entra 가입 VM에 대한 Azure 파일 공유에 FSLogix 프로필을 저장할 수도 있습니다. 자세한 내용은 Azure Files 및 Microsoft Entra ID를 사용하여 프로필 컨테이너 만들기를 참조하세요.
Microsoft Entra Domain Services
Microsoft Entra Domain Services 인증의 경우 Microsoft Entra Domain Services를 사용하도록 설정하고 파일 데이터에 액세스하려는 VM을 도메인 조인해야 합니다. 도메인에 가입된 VM은 Microsoft Entra Domain Services 호스팅 도메인과 동일한 VNET에 있어야 합니다.
다음 다이어그램은 Azure 파일 공유에 대한 SMB를 통한 Microsoft Entra Domain Services 인증 워크플로를 나타냅니다. 이것은 온-프레미스 AD DS 인증과 유사한 패턴을 따르지만 두 가지 큰 차이점이 있습니다.
스토리지 계정을 나타내기 위해 Microsoft Entra Domain Services에서 ID를 만들 필요가 없습니다. 이 작업은 백그라운드에서 활성화 프로세스를 통해 수행됩니다.
Microsoft Entra ID에 있는 모든 사용자는 인증 및 권한을 부여받을 수 있습니다. 사용자는 클라우드 전용 또는 하이브리드일 수 있습니다. Microsoft Entra ID에서 Microsoft Entra Domain Services로의 동기화는 사용자 구성 필요 없이 플랫폼에서 관리됩니다. 그러나 클라이언트는 Microsoft Entra Domain Services 호스팅 도메인에 가입해야 합니다. Microsoft Entra에 가입하거나 등록할 수 없습니다. Microsoft Entra Domain Services는 비 Azure 클라이언트(예: 사용자 랩톱, 워크스테이션, 다른 클라우드의 VM 등)가 Microsoft Entra Domain Services 호스팅 도메인에 도메인 가입되는 것을 지원하지 않습니다. 그러나 DOMAINNAME\username과 같은 명시적 자격 증명을 제공하거나 정규화된 도메인 이름(username@FQDN)을 사용하여 비도메인 조인 클라이언트에서 파일 공유를 탑재할 수 있습니다.
Microsoft Entra Domain Services 인증을 사용하도록 설정하려면 Azure Files에서 Microsoft Entra Domain Services 인증 사용을 참조 하세요.