Microsoft Entra Domain Services란?

Microsoft Entra Domain Services는 도메인 가입, 그룹 정책, LDAP(Lightweight Directory Access Protocol) 및 Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. 클라우드에서 DC(도메인 컨트롤러)를 배포, 관리 및 패치하지 않고도 이러한 도메인 서비스를 사용합니다.

Domain Services 관리형 도메인을 사용하면 최신 인증 방법을 사용할 수 없거나 디렉터리 조회가 항상 온-프레미스 AD DS 환경으로 돌아가지 않도록 하는 레거시 애플리케이션을 클라우드에서 실행할 수 있습니다. 클라우드에서 AD DS 환경을 관리할 필요 없이 레거시 애플리케이션을 온-프레미스 환경에서 관리되는 도메인으로 리프트 앤 시프트할 수 있습니다.

Domain Services는 기존 Microsoft Entra 테넌트와 통합됩니다. 이러한 통합을 통해 사용자는 기존 자격 증명을 사용하여 관리되는 도메인에 연결된 서비스 및 애플리케이션에 로그인할 수 있습니다. 또한 기존 그룹 및 사용자 계정을 사용하여 리소스에 대한 액세스를 보호할 수도 있습니다. 이러한 기능은 Azure에 대한 온-프레미스 리소스의 원활한 리프트 앤 시프트를 제공합니다.

시작하려면 Microsoft Entra 관리 센터를 사용하여 Domain Services 관리되는 도메인을 만듭니다.

Domain Services에 대해 자세히 알아보려면 간단한 동영상을 시청합니다.

Domain Services는 어떻게 작동하나요?

Domain Services 관리되는 도메인을 만들 때 고유한 네임스페이스를 정의합니다. 이 네임스페이스는 aaddscontoso.com과 같은 도메인 이름입니다. 그런 다음, 두 개의 Windows Server DC(도메인 컨트롤러)가 선택한 Azure 지역에 배포됩니다. 이 DC 배포를 복제본 세트라고 합니다.

이러한 DC를 관리, 구성 또는 업데이트할 필요가 없습니다. Azure 플랫폼은 Azure Disk Encryption을 사용한 저장 데이터 백업 및 암호화를 포함하여 관리되는 도메인의 일부로 DC를 처리합니다.

관리되는 도메인은 Microsoft Entra ID에서 단방향 동기화를 수행하여 중앙 사용자, 그룹 및 자격 증명 집합에 대한 액세스를 제공하도록 구성됩니다. 관리되는 도메인에서 직접 리소스를 만들 수 있지만 Microsoft Entra ID로 다시 동기화되지는 않습니다. 그러면 관리되는 도메인에 연결되는 Azure의 애플리케이션, 서비스 및 VM에서 도메인 조인, 그룹 정책, LDAP 및 Kerberos/NTLM 인증과 같은 일반적인 AD DS 기능을 사용할 수 있습니다.

온-프레미스 AD DS 환경이 포함된 하이브리드 환경에서 Microsoft Entra Connect는 ID 정보를 Microsoft Entra ID와 동기화한 다음 관리되는 도메인과 동기화합니다.

Domain Services는 Microsoft Entra ID의 ID 정보를 복제하므로 클라우드 전용이거나 온-프레미스 AD DS 환경과 동기화되는 Microsoft Entra 테넌트와 작동합니다. 두 환경 모두에 동일한 Domain Services 기능 집합이 존재합니다.

• 기존 온-프레미스 AD DS 환경이 있으면 사용자 계정 정보를 동기화하여 사용자에게 일관된 ID를 제공할 수 있습니다. 자세한 내용은 관리되는 도메인에서 개체 및 자격 증명을 동기화하는 방법을 참조하세요.
• 클라우드 전용 환경의 경우 기존의 온-프레미스 AD DS 환경은 Domain Services의 중앙 집중식 ID 서비스를 사용하는 데 필요하지 않습니다.

Microsoft Entra 테넌트당 둘 이상의 복제본 세트를 갖도록 관리되는 도메인을 확장할 수 있습니다. Domain Services를 지원하는 모든 Azure 지역의 피어링된 가상 네트워크에 복제본 세트를 추가할 수 있습니다. 다양한 Azure 지역에 복제본 세트를 추가하면 Azure 지역이 오프라인이 되는 경우 레거시 애플리케이션에 대한 지리적 재해 복구를 제공할 수 있습니다. 자세한 내용은 관리되는 도메인에 대한 복제본 세트 개념 및 기능을 참조하세요.

Domain Services가 애플리케이션 및 워크로드와 통합되어 클라우드에서 ID 서비스를 제공하는 방법에 대한 다음 동영상을 살펴봅니다.

실제 Domain Services 배포 시나리오를 보려면 다음 예를 살펴봅니다.

• 하이브리드 조직을 위한 Domain Services
• 클라우드 전용 조직을 위한 Domain Services

Domain Services 기능 및 이점

ID 서비스를 클라우드의 애플리케이션 및 VM에 제공하기 위해 Domain Services는 도메인 조인, LDAPS(보안 LDAP), 그룹 정책, DNS 관리, LDAP 바인딩 및 읽기 지원과 같은 작업에서 기존 AD DS 환경과 완벽하게 호환됩니다. LDAP 쓰기 지원은 관리되는 도메인에서 만들어진 개체에 사용할 수 있지만 Microsoft Entra ID에서 동기화된 리소스에는 사용할 수 없습니다.

ID 옵션에 대해 자세히 알아보려면 Domain Services를 Microsoft Entra ID, Azure VM의 AD DS 및 온-프레미스 AD DS와 비교합니다.

Domain Services의 다음 기능은 배포 및 관리 작업을 간소화합니다.

• 간소화된 배포 환경: Microsoft Entra 관리 센터의 단일 마법사를 사용하여 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다.
• Microsoft Entra ID와 통합: 사용자 계정, 그룹 멤버 자격 및 자격 증명은 Microsoft Entra 테넌트에서 자동으로 사용할 수 있습니다. Microsoft Entra 테넌트 또는 온-프레미스 AD DS 환경의 새 사용자, 그룹 또는 특성 변경 내용은 Domain Services에 자동으로 동기화됩니다.
  • Microsoft Entra ID에 연결된 외부 디렉터리의 계정은 Domain Services에서 사용할 수 없습니다. 이러한 외부 디렉터리에 대해 자격 증명을 사용할 수 없으므로 관리되는 도메인으로 동기화할 수 없습니다.
• 회사 자격 증명/암호 사용: Domain Services 사용자의 암호는 Microsoft Entra 테넌트의 암호와 동일합니다. 사용자는 도메인 조인 머신에 대해 회사 자격 증명을 사용할 수 있고, 대화형으로 또는 원격 데스크톱을 통해 로그인할 수 있으며 관리되는 도메인에 대해 인증할 수 있습니다.
• NTLM 및 Kerberos 인증: NTLM 및 Kerberos 인증을 지원하므로 Windows 통합 인증을 사용하는 애플리케이션을 배포할 수 있습니다.
• 고가용성: Domain Services에는 관리되는 도메인에 고가용성을 제공하는 여러 도메인 컨트롤러가 포함되어 있습니다. 이 고가용성은 서비스 가동 시간과 장애 복구를 보장합니다.
  • Azure 가용성 영역을 지원하는 지역에서는 이러한 도메인 컨트롤러도 추가 복원력을 위해 영역 간에 분산됩니다.
  • 복제본 세트는 Azure 지역이 오프라인 상태가 될 때 레거시 애플리케이션에 대한 지리적 재해 복구를 제공하는 데도 사용할 수 있습니다.

관리되는 도메인의 몇 가지 주요 측면은 다음을 포함합니다.

• 관리된 도메인은 독립 실행형 도메인입니다. 온-프레미스 도메인의 확장이 아닙니다.
  • 필요한 경우 Domain Services에서 온-프레미스 AD DS 환경으로의 단방향 아웃바운드 포리스트 트러스트를 만들 수 있습니다. 자세한 내용은 Domain Services의 포리스트 개념 및 기능을 참조하세요.
• IT 팀은 이 관리되는 도메인에 대한 도메인 컨트롤러를 관리, 패치 또는 모니터링할 필요가 없습니다.

AD DS를 온-프레미스에서 실행하는 하이브리드 환경의 경우 관리되는 도메인에 대한 AD 복제를 관리할 필요가 없습니다. 온-프레미스 디렉터리의 사용자 계정, 그룹 멤버 자격 및 자격 증명은 Microsoft Entra Connect를 통해 Microsoft Entra ID에 동기화됩니다. 이러한 사용자 계정, 그룹 멤버 자격 및 자격 증명은 자동으로 관리된 도메인 내에서 사용할 수 있습니다.

다음 단계

Domain Services를 다른 ID 솔루션과 비교하고 동기화 작동 방식에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• Domain Services를 Microsoft Entra ID, Azure VM의 Active Directory Domain Services, 온-프레미스 Active Directory Domain Services와 비교합니다.
• Microsoft Entra Domain Services가 Microsoft Entra 디렉터리와 동기화하는 방법 알아보기
• 관리되는 도메인을 관리하는 방법을 알아보려면 Domain Services의 사용자 계정, 암호 및 관리에 대한 관리 개념을 참조하세요.

시작하려면 Microsoft Entra 관리 센터를 사용하여 관리되는 도메인을 만듭니다.