다음을 통해 공유

메모 22-09 엔터프라이즈 전체 ID 관리 시스템

경영진 및 기관 책임자를 위한 M-22-09 각서는 기관이 ID 플랫폼에 대한 통합 계획을 개발하도록 요구합니다. 목표는 게시 날짜(2022년 3월 28일)의 60일 이내에 가능한 한 적은 수의 기관 관리 ID 시스템을 갖도록 하는 것입니다. ID 플랫폼을 통합하는 데는 다음과 같은 몇 가지 이점이 있습니다.

  • ID 수명 주기, 정책 적용 및 감사 가능한 컨트롤 관리 중앙 집중화
  • 집행의 균일한 능력 및 동등성
  • 여러 시스템에서 리소스를 학습할 필요성 줄이기
  • 사용자가 한 번 로그인한 다음 IT 환경에서 애플리케이션 및 서비스에 액세스할 수 있도록 설정
  • 가능한 한 많은 에이전시 애플리케이션과 통합
  • 공유 인증 서비스 및 트러스트 관계를 사용하여 기관 간 통합을 용이하게 합니다.

Microsoft Entra ID를 사용하는 이유

Microsoft Entra ID를 사용하여 각서 22-09의 권장 사항을 구현합니다. Microsoft Entra ID에는 제로 트러스트 이니셔티브를 지원하는 ID 컨트롤이 있습니다. Microsoft Office 365 또는 Azure를 사용하는 경우 Microsoft Entra ID는 IDP(ID 공급자)입니다. 애플리케이션 및 리소스를 엔터프라이즈 전체 ID 시스템으로 Microsoft Entra ID에 연결합니다.

Single Sign-On 요구 사항

메모에는 사용자가 한 번 로그인하면 애플리케이션에 액세스할 수 있다고 요구합니다. Microsoft SSO(Single Sign-On)를 사용하면 사용자가 한 번 로그인한 다음 클라우드 서비스 및 애플리케이션에 액세스합니다. Microsoft Entra Seamless Single Sign-On을 참조하세요.

기관 간 통합

Microsoft Entra B2B 협업을 사용하여 기관 간 통합 및 협업을 촉진해야 하는 요구 사항을 충족합니다. 사용자는 동일한 클라우드의 Microsoft 테넌트에 상주할 수 있습니다. 테넌트는 다른 Microsoft 클라우드 또는 비 Azure AD 테넌트(SAML/WS-Fed ID 공급자)에 있을 수 있습니다.

Microsoft Entra 테넌트 간 액세스 설정을 사용하여 기관은 다른 Microsoft Entra 조직 및 기타 Microsoft Azure 클라우드와 공동 작업하는 방법을 관리합니다.

  • Microsoft 테넌트의 사용자가 접근할 수 있는 항목 제한
  • 외부 사용자 액세스에 대한 설정, 여기에는 다중 인증 적용 및 디바이스 신호가 포함됩니다.

더 알아보세요:

애플리케이션 연결

Microsoft Entra ID를 엔터프라이즈 수준 ID 시스템으로 통합하고 사용하려면 범위에 있는 자산을 검토합니다.

애플리케이션 및 서비스 문서화

사용자가 액세스하는 애플리케이션 및 서비스의 인벤토리를 만듭니다. ID 관리 시스템은 알고 있는 것을 보호합니다.

자산 분류:

  • 그 안에 있는 데이터의 민감도
  • 주요 시스템의 기밀성, 무결성 또는 데이터 및/또는 정보의 가용성에 대한 법률 및 규정
    • 시스템 정보 보호 요구 사항에 적용되는 법률 및 규정

애플리케이션 인벤토리의 경우 클라우드 준비 프로토콜 또는 레거시 인증 프로토콜을 사용하는 애플리케이션을 결정합니다.

  • 클라우드 지원 애플리케이션은 인증을 위한 최신 프로토콜을 지원합니다.
    • SAML
    • WS-페더레이션/트러스트
    • OpenID Connect(OIDC)
    • OAuth 2.0.
  • 레거시 인증 애플리케이션은 이전 또는 독점 인증 방법을 사용합니다.
    • Kerberos/NTLM(Windows 인증)
    • 헤더 기반 인증
    • LDAP
    • 기본 인증

인증 프로토콜과 Microsoft Entra 통합에 대해 자세히 알아봅니다.

애플리케이션 및 서비스 검색 도구

Microsoft는 애플리케이션 및 서비스 검색을 지원하는 다음 도구를 제공합니다.

도구 사용법
AD FS(Active Directory Federation Services)에 대한 사용 현황 분석 페더레이션된 서버 인증 트래픽을 분석합니다. Microsoft Entra Connect Health를 사용하여 AD FS 모니터링 참조
클라우드 앱용 Microsoft Defender 방화벽 로그를 검색하여 클라우드 앱, IaaS(Infrastructure as a Service) 서비스 및 PaaS(Platform as a Service) 서비스를 검색합니다. 엔드포인트용 Defender와 Cloud Apps용 Defender를 통합하여 Windows 클라이언트 디바이스에서 분석된 데이터를 검색합니다. Cloud Apps용 Microsoft Defender 개요를 참조하세요.
애플리케이션 검색 워크시트 애플리케이션의 현재 상태를 문서화합니다. Application Discovery 워크시트 참조

앱이 Microsoft 이외의 시스템에 있을 수 있으며 Microsoft 도구에서 해당 앱을 검색하지 못할 수 있습니다. 전체 인벤토리를 확인합니다. 공급자는 해당 서비스를 사용하는 애플리케이션을 검색하는 메커니즘이 필요합니다.

연결에 대한 애플리케이션 우선 순위 지정

사용자 환경에서 애플리케이션을 검색한 후 마이그레이션에 우선 순위를 지정합니다. 고려할 사항은 다음과 같습니다.

  • 비즈니스 중요성
  • 사용자 프로필
  • 사용법
  • 수명

자세한 정보: 애플리케이션 인증을 Microsoft Entra ID로 마이그레이션합니다.

클라우드 지원 앱을 우선 순위에 따라 연결합니다. 레거시 인증 프로토콜을 사용하는 앱을 결정합니다.

레거시 인증 프로토콜을 사용하는 앱의 경우:

  • 최신 인증을 사용하는 앱의 경우 Microsoft Entra ID를 사용하도록 다시 구성합니다.
  • 최신 인증이 없는 앱의 경우 다음 두 가지 옵션이 있습니다.
    • MSAL(Microsoft 인증 라이브러리)을 통합하여 최신 프로토콜을 사용하도록 애플리케이션 코드를 업데이트합니다.
    • 보안 액세스를 위해 Microsoft Entra 애플리케이션 프록시 또는 보안 하이브리드 파트너 액세스 사용
  • 필요하지 않거나 지원되지 않는 앱에 대한 액세스를 제거하세요.

더 알아보세요

디바이스 연결

ID 관리 시스템을 중앙 집중화하는 과정의 일부는 사용자가 물리적 및 가상 디바이스에 로그인할 수 있도록 하는 것입니다. 중앙 집중식 Microsoft Entra 시스템에서 Windows 및 Linux 디바이스를 연결하여 별도의 여러 ID 시스템을 제거할 수 있습니다.

인벤토리 및 범위 지정 중에 Microsoft Entra ID와 통합할 디바이스 및 인프라를 식별합니다. 통합은 Microsoft Entra ID를 통해 적용되는 다단계 인증과 함께 조건부 액세스 정책을 사용하여 인증 및 관리를 중앙 집중화합니다.

디바이스를 검색하는 도구

Azure Automation 계정을 사용하여 Azure Monitor에 연결된 인벤토리 컬렉션을 통해 디바이스를 식별할 수 있습니다. 엔드포인트용 Microsoft Defender에는 디바이스 인벤토리 기능이 있습니다. 엔드포인트용 Defender가 구성된 디바이스와 구성되지 않은 디바이스를 검색합니다. 디바이스 인벤토리는 System Center Configuration Manager와 같은 온-프레미스 시스템 또는 디바이스 및 클라이언트를 관리하는 다른 시스템에서 제공됩니다.

더 알아보세요:

Microsoft Entra ID와 디바이스 통합

Microsoft Entra ID와 통합된 디바이스는 하이브리드 조인 디바이스 또는 Microsoft Entra 조인 디바이스입니다. 클라이언트 및 사용자 디바이스와 인프라로 작동하는 물리적 및 가상 머신을 통해 디바이스 온보딩을 구분합니다. 사용자 디바이스에 대한 배포 전략에 대한 자세한 내용은 다음 지침을 참조하세요.

다음 단계

다음 문서는 이 설명서 집합의 일부입니다.

  • Last updated on