Microsoft Entra ID의 단일 테넌트에서 리소스 격리 보호
단일 테넌트에서 많은 분리 시나리오를 달성할 수 있습니다. 최상의 생산성과 협업 환경을 위해 가능하면 단일 테넌트에서 별도의 환경에 관리를 위임하는 것이 좋습니다.
성과
리소스 분리 - 사용자, 그룹 및 서비스 주체에 대한 리소스 액세스를 제한하려면 Microsoft Entra 디렉터리 역할, 보안 그룹, 조건부 액세스 정책, Azure 리소스 그룹, Azure 관리 그룹, AU(관리 단위) 및 기타 컨트롤을 사용합니다. 별도의 관리자가 리소스를 관리할 수 있도록 설정합니다. 별도의 사용자, 사용 권한 및 액세스 요구 사항을 사용합니다.
다음과 같은 경우 여러 테넌트에서 격리를 사용합니다.
- 테넌트 전체 설정이 필요한 리소스 집합
- 테넌트 구성원의 무단 액세스에 대한 위험 허용 범위 최소화
- 구성 변경으로 인해 원치 않는 효과 발생
구성 분리 - 경우에 따라 애플리케이션과 같은 리소스에는 인증 방법이나 명명된 위치와 같은 테넌트 전체 구성에 대한 종속성이 있습니다. 리소스를 격리할 때 이러한 종속성을 고려해야 합니다. 전역 관리자는 리소스에 영향을 주는 리소스 설정과 테넌트 전체 설정을 구성할 수 있습니다.
리소스 집합에 테넌트 전체에 고유한 설정이 필요하거나 다른 엔터티가 테넌트 설정을 관리하는 경우, 여러 테넌트와 함께 격리를 사용합니다.
관리 분리 - Microsoft Entra ID 위임 관리를 사용하여 애플리케이션 및 API, 사용자 및 그룹, 리소스 그룹 및 조건부 액세스 정책과 같은 리소스 관리를 분리합니다.
전역 관리자는 신뢰할 수 있는 리소스에 대한 액세스 권한을 검색하고 얻을 수 있습니다. 리소스에 대한 인증된 관리자의 변경 사항에 대한 감사 및 알림을 설정합니다.
관리 분리를 위해 Microsoft Entra ID의 AU(관리 단위)를 사용합니다. AU는 역할의 권한을 사용자가 정의한 조직의 일부로 제한합니다. AU를 사용하여 기술 지원팀 관리자 역할을 지역 지원 전문가에게 위임할 수 있습니다. 그런 다음 지원하는 지역의 사용자를 관리할 수 있습니다.
AU를 사용하여 사용자, 그룹 및 장치 개체를 구분합니다. 동적 멤버 자격 그룹에 대한 규칙으로 단위를 할당합니다.
PIM(Privileged Identity Management)을 사용하여 권한이 높은 역할에 대한 요청을 승인할 사람을 선택합니다. 예를 들어 사용자 인증 방법을 변경하려면 인증 관리자 액세스 권한이 필요한 관리자를 선택합니다.
참고 항목
PIM을 사용하려면 사용자당 Microsoft Entra ID P2 라이선스가 필요합니다.
인증 관리자가 리소스를 관리할 수 없는지 확인하려면 별도의 인증 관리자를 사용하여 별도의 테넌트에서 리소스를 격리합니다. 백업에 이 방법을 사용합니다. 예시는 다중 사용자 권한 부여 지침을 참조하세요.
일반적인 사용
단일 테넌트에서 여러 환경을 사용하는 경우 프로덕션 리소스와 비프로덕션 리소스를 분리하는 것이 일반적입니다. 테넌트에서 개발 팀과 애플리케이션 소유자는 테스트 앱, 테스트 사용자 및 그룹, 해당 개체에 대한 테스트 정책으로 별도의 환경을 만들고 관리합니다. 마찬가지로, 팀은 Azure 리소스 및 신뢰할 수 있는 앱의 비프로덕션 인스턴스를 만듭니다.
동등한 비프로덕션 디렉터리 개체가 있는 비프로덕션 Azure 리소스 및 Microsoft Entra 통합 애플리케이션의 비프로덕션 인스턴스를 사용합니다. 디렉토리에 있는 비프로덕션 리소스는 테스트용입니다.
참고 항목
Microsoft Entra 테넌트에서 두 개 이상의 Microsoft 365 환경을 사용할 수 없습니다. 하지만 Microsoft Entra 테넌트에서 여러 개의 Dynamics 365 환경을 보유할 수 있습니다.
단일 테넌트에서 격리하는 또 다른 시나리오는 위치 간 분리, 자회사 또는 계층별 관리입니다. 엔터프라이즈 액세스 모델을 참조하세요.
Azure 리소스의 범위 지정 관리를 위해 Azure RBAC(Azure 역할 기반 액세스 제어) 할당을 사용하세요. 마찬가지로, 여러 기능을 통해 Microsoft Entra ID 트러스팅 애플리케이션의 Microsoft Entra ID 관리를 사용하도록 설정하세요. 예를 들면 조건부 액세스, 사용자 및 그룹 필터링, 관리 단위 할당, 애플리케이션 할당 등이 있습니다.
조직 수준 구성 준비를 포함하여 Microsoft 365 서비스를 격리하려면 여러 테넌트 격리를 선택합니다.
Azure 리소스에 대한 범위가 지정된 관리
Azure RBAC를 사용하여 세분화된 범위와 표면 영역으로 관리 모델을 설계합니다. 다음 예제에서는 관리 계층 구조를 고려해 보겠습니다.
참고 항목
조직의 요구사항, 제약 조건 및 목표에 따라 관리 계층 구조를 정의할 수 있습니다. 자세한 내용은 클라우드 채택 프레임워크 지침 Azure 리소스 구성하기를 참조하세요.
- 관리 그룹 - 관리 그룹에 역할을 할당하여 다른 관리 그룹에 영향을 주지 않도록 합니다. 이전 시나리오에서 HR 팀은 HR 구독에서 리소스가 배포되는 지역을 감사하기 위해 Azure 정책을 정의합니다.
- 구독 - 구독이 다른 리소스 그룹에 영향을 주지 않도록 구독에 역할을 할당합니다. 이전 시나리오에서는 HR 팀에서 다른 HR 구독이나 다른 팀의 구독을 읽지 않고 혜택 구독에 대해 독자 역할을 할당합니다.
- 리소스 그룹 - 리소스 그룹에 역할을 할당하여 다른 리소스 그룹에 영향을 주지 않도록 합니다. 혜택 엔지니어링 팀은 테스트 데이터베이스 및 테스트 웹앱을 관리하거나 더 많은 리소스를 추가할 수 있도록 기여자 역할을 누군가에게 할당합니다.
- 개별 리소스 - 리소스에 역할을 할당하여 다른 리소스에 영향을 주지 않도록 합니다. 혜택 엔지니어링 팀은 데이터 분석가에게 Azure Cosmos DB 데이터베이스의 테스트 인스턴스에 대한 Cosmos DB 계정 독자 역할을 할당합니다. 이 작업은 테스트 웹앱 또는 프로덕션 리소스를 방해하지 않습니다.
자세한 내용은 Azure 기본 제공 역할 및 Azure RBAC란?을 참조하세요.
구조는 계층적입니다. 따라서 계층 구조가 높을수록 하위 계층에 미치는 범위와 가시성, 영향력이 넓어집니다. 최상위 범위는 Microsoft Entra 테넌트 경계에 있는 Azure 리소스에 영향을 줍니다. 여러 수준에서 사용 권한을 적용할 수 있습니다. 이 작업은 위험을 초래합니다. 계층 구조에서 더 높은 위치에 역할을 할당하면 의도한 것보다 더 낮은 범위에서 더 많은 액세스 권한을 제공할 수 있습니다. Microsoft Entra는 위험을 줄이는 데 도움이 되는 가시성 및 해결 방법을 제공합니다.
- 루트 관리 그룹은 구독 및 리소스에 적용되는 Azure 정책 및 RBAC 역할 할당을 정의합니다.
- 전역 관리자는 구독 및 관리 그룹에 대한 액세스 권한을 높일 수 있습니다.
최상위 범위를 모니터링합니다. 네트워킹과 같은 리소스 격리의 다른 차원을 계획하는 것이 중요합니다. Azure 네트워킹에 대한 일반적인 지침은 네트워크 보안에 대한 Azure 모범 사례를 참조하세요. IaaS(서비스 제공 인프라) 워크로드에는 ID 및 리소스 격리가 전체 설계와 전략의 일부가 되어야 하는 특별한 시나리오가 있습니다.
Azure 랜딩 존 개념 아키텍처에 따라 중요한 리소스나 테스트 리소스를 격리하는 것이 좋습니다. 예를 들어, 분리된 관리 그룹에 ID 구독을 할당할 수 있습니다. 샌드박스 관리 그룹에서 개발을 위한 별도의 구독입니다. 자세한 내용은 엔터프라이즈급 문서에서 확인하세요. 단일 테넌트 내에서 테스트 목적으로 분리하는 것도 참조 아키텍처의 관리 그룹 계층 구조에서 고려됩니다.
Microsoft Entra ID 트러스팅 애플리케이션에 대한 범위가 지정된 관리
Microsoft Entra ID 트러스팅 애플리케이션의 관리 범위를 지정하는 패턴은 다음 섹션에 설명되어 있습니다.
Microsoft Entra ID는 독립적인 사용자 할당이 있는 같은 디렉터리에 대해 사용자 지정 및 SaaS 앱의 인스턴스를 여러 개 구성할 수 있지만 대부분의 Microsoft 서비스를 구성할 수 없습니다. 이전 예제에는 여행 앱의 프로덕션 및 테스트 버전이 있습니다. 앱별 구성 및 정책 분리를 달성하려면 회사 테넌트에 대해 사전 프로덕션 버전을 배포합니다. 이 작업을 통해 워크로드 소유자는 회사 자격 증명으로 테스트를 수행할 수 있습니다. 테스트 사용자 및 테스트 그룹과 같은 비프로덕션 디렉터리 개체는 해당 개체의 별도의 소유권을 통해 비프로덕션 애플리케이션과 연결됩니다.
Microsoft Entra 테넌트 경계에서 트러스팅 애플리케이션에 영향을 미치는 테넌트 전체 측면은 다음과 같습니다.
- 전역 관리자는 모든 테넌트 전체 설정을 관리니다.
- 사용자 관리자, 애플리케이션 관리자, 조건부 액세스 관리자와 같은 다른 디렉터리 역할은 역할 범위에서 테넌트 전체 구성을 관리합니다.
인증 방법, 하이브리드 구성, B2B 협업 허용 도메인 목록, 명명된 위치 등의 구성 설정은 테넌트 전체에 적용됩니다.
참고 항목
Microsoft Graph API 권한 및 동의 권한은 그룹 또는 AU 멤버로 범위를 지정할 수 없습니다. 이러한 권한은 디렉터리 수준에서 할당됩니다. 리소스별 동의만 리소스 수준에서 범위를 허용하며, 현재는 Microsoft Teams 채팅 권한으로 제한됩니다.
Important
Office 365, Microsoft Dynamics 및 Microsoft Exchange와 같은 Microsoft SaaS 서비스의 수명 주기는 Microsoft Entra 테넌트에 바인딩됩니다. 따라서 이러한 서비스의 여러 인스턴스에는 여러 Microsoft Entra 테넌트가 필요합니다.