클라우드 네이티브 엔드포인트 및 온-프레미스 리소스

팁

클라우드 네이티브 엔드포인트에 대해 읽을 때 접하게 되는 용어에는 다음이 포함됩니다.

• 엔드포인트: 엔드포인트는 휴대폰, 태블릿, 노트북 또는 데스크톱 컴퓨터와 같은 디바이스를 말합니다. "엔드포인트" 및 "디바이스"는 동일한 의미로 사용될 수 있습니다.
• 관리형 엔드포인트: MDM 솔루션 또는 그룹 정책 개체를 사용하여 조직에서 정책을 수신하는 엔드포인트입니다. 이 디바이스는 일반적으로 조직 소유이지만 BYOD 또는 개인 소유 디바이스일 수도 있습니다.
• 클라우드 네이티브 엔드포인트: Azure AD에 조인된 엔드포인트입니다. 온-프레미스 AD에 조인되지 않습니다.
• 워크로드: 어떤 프로그램, 서비스 또는 프로세스든 의미할 수 있습니다.

클라우드 네이티브 엔드포인트에서 온-프레미스 리소스에 액세스 할 수 있습니다. 이 문서에서는 이를 좀 더 자세히 설명하고 몇 가지 일반적인 질문에 대한 답변을 제공합니다.

이 기능은 다음에 적용됩니다.

• Windows 클라우드 네이티브 엔드포인트

클라우드 네이티브 엔드포인트 및 관련 이점에 대한 개요를 보려면 클라우드 네이티브 엔드포인트란?을 참조하세요.

필수 구성 요소

클라우드 네이티브 Windows 엔드포인트가 인증에 온-프레미스 AD(Active Directory)를 사용하는 온-프레미스 리소스 및 서비스에 액세스할 수 있게 하려면 다음 필수 구성 요소가 필요합니다.

• 클라이언트 앱이 WIA(Windows 통합 인증)를 사용해야 합니다. 자세한 내용은 WIA(Windows 통합 인증)에서 확인하세요.

• Microsoft Entra Connect를 구성합니다. Microsoft Entra Connect는 온-프레미스 AD의 사용자 계정을 Microsoft Entra 동기화합니다. 자세한 내용은 Microsoft Entra 연결 동기화: 동기화 이해 및 사용자 지정으로 이동합니다.

  Microsoft Entra Connect에서 필요한 도메인 데이터가 Microsoft Entra 동기화되었는지 확인하기 위해 도메인 기반 필터링을 조정해야 할 수 있습니다.

• 디바이스에는 AD 도메인의 도메인 컨트롤러에 대한, 그리고 액세스 중인 서비스 또는 리소스에 대한 가시선 연결(직접 또는 VPN을 통해)이 있습니다.

온-프레미스 Windows 디바이스와 유사

최종 사용자의 경우 Windows 클라우드 네이티브 엔드포인트는 다른 온-프레미스 Windows 디바이스처럼 동작합니다.

다음 목록은 사용자가 Microsoft Entra 조인된 디바이스에서 액세스할 수 있는 일반적인 온-프레미스 리소스 집합입니다.

• 파일 서버: SMB(서버 메시지 블록)를 사용하여 네트워크 공유 또는 NAS(네트워크 연결 저장소)를 호스팅하는 도메인 구성원 서버에 네트워크 드라이브를 매핑할 수 있습니다.

  사용자가 드라이브를 공유 문서 및 개인 문서에 매핑할 수 있습니다.

• 도메인 구성원 서버의 프린터 리소스: 사용자가 로컬 프린터 또는 가장 가까운 프린터로 인쇄할 수 있습니다.

• Windows 통합 보안을 사용하는 도메인 구성원 서버의 웹 서버: 사용자가 Win32 또는 웹 기반 애플리케이션에 액세스할 수 있습니다.

• Microsoft Entra 조인된 엔드포인트에서 온-프레미스 AD 도메인을 관리하려는 경우: 원격 서버 관리 도구 설치:

  • ADUC(Active Directory 사용자 및 컴퓨터) 스냅인을 사용하여 모든 AD 개체를 관리합니다. 연결하려는 도메인을 수동으로 입력해야 합니다.
  • DHCP 스냅인을 사용하여 AD 조인 DHCP 서버를 관리합니다. DHCP 서버 이름 또는 주소를 입력해야 할 수 있습니다.

팁

Microsoft Entra 조인된 디바이스가 클라우드 네이티브 접근 방식에서 캐시된 자격 증명을 사용하는 방법을 이해하려면 OPS108: 하이브리드 세계(syfuhs.net)의 내부 Windows 인증(외부 웹 사이트 열기)를 watch.

온-프레미스 리소스에 대한 인증 및 액세스

다음 단계에서는 Microsoft Entra 조인된 엔드포인트가 온-프레미스 리소스를 인증하고 액세스(권한에 따라)하는 방법을 설명합니다.

다음 단계는 개요입니다. 전체 프로세스를 설명하는 자세한 스윔 레인 그래픽을 비롯한 자세한 내용은 PRT(기본 새로 고침 토큰) 및 Microsoft Entra.

1. 사용자가 로그인하면 자격 증명이 CloudAP(클라우드 인증 공급자) 및 WAM(웹 계정 관리자)으로 전송됩니다.

2. CloudAP 플러그 인은 사용자 및 디바이스 자격 증명을 Microsoft Entra 보냅니다. 또는 비즈니스용 Windows Hello를 사용하여 인증합니다.

3. Windows 로그인 중에 Microsoft Entra CloudAP 플러그 인은 사용자 자격 증명을 사용하여 Microsoft Entra PRT(기본 새로 고침 토큰)를 요청합니다. 또한 PRT를 캐시하여 사용자가 인터넷에 연결되어 있지 않을 때 캐시된 로그인을 사용하도록 설정합니다. 사용자가 애플리케이션에 액세스하려고 하면 Microsoft Entra WAM 플러그 인은 PRT를 사용하여 SSO를 사용하도록 설정합니다.

4. Microsoft Entra 사용자 및 디바이스를 인증하고 ID 토큰을 & PRT를 반환합니다. ID 토큰에는 사용자에 대한 다음 특성이 포함됩니다.

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   이러한 특성은 Microsoft Entra Connect를 사용하여 온-프레미스 AD에서 동기화됩니다.

   Kerberos 인증 공급자는 자격 증명 및 특성을 받습니다. 디바이스에서 Windows LSA(로컬 보안 기관) 서비스는 Kerberos 및 NTLM 인증을 사용하도록 설정합니다.

5. Kerberos 또는 NTLM 인증을 요청하는 온-프레미스 리소스에 액세스를 시도하는 동안 디바이스는 도메인 이름 관련 특성을 사용해 DC(도메인 컨트롤러) 로케이터로 DC를 찾습니다.

   • DC가 발견되면 인증을 위해 자격 증명 및 sAMAccountName을 DC로 보냅니다.
   • 비즈니스용 Windows Hello를 사용하는 경우 비즈니스용 Windows Hello 인증서와 함께 PKINIT를 수행합니다.
   • DC를 찾을 수 없으면 온-프레미스 인증이 수행되지 않습니다.

   참고

   PKINIT는 X.509 인증서를 사용하여 클라이언트에 대해 KDC(키 배포 센터)를 인증하는(반대의 경우도 마찬가지) Kerberos 5에 대한 사전 인증 메커니즘입니다.

   MS-PKCA: Kerberos 프로토콜의 PKINIT(초기 인증용 공개 키 암호화)

6. DC는 사용자를 인증합니다. DC는 온-프레미스 리소스 또는 애플리케이션이 지원하는 프로토콜에 따라 Kerberos TGT(Ticket-Granting Ticket) 또는 NTLM 토큰을 반환합니다. Windows는 나중에 사용할 수 있도록 반환된 TGT 또는 NTLM 토큰을 캐시합니다.

   도메인에 대한 Kerberos TGT 또는 NTLM 토큰을 가져오려는 시도가 실패하면(관련 DCLocator 시간 제한으로 인해 지연이 발생할 수 있음) Windows 자격 증명 관리자가 다시 시도합니다. 또는 사용자에게 온-프레미스 리소스에 대한 자격 증명을 요청하는 인증 팝업이 표시될 수 있습니다.

7. WIA(Windows 통합 인증)를 사용하는 모든 앱은 사용자가 앱에 액세스하려고 할 때 자동으로 SSO를 사용합니다. WIA에는 온-프레미스 서비스 또는 리소스에 액세스할 때 NTLM 또는 Kerberos를 사용하는 온-프레미스 AD 도메인에 대한 표준 사용자 인증이 포함됩니다.

   자세한 내용은 Microsoft Entra 조인된 디바이스에서 온-프레미스 리소스에 대한 SSO 작동 방식을 참조하세요.

   Windows 통합 인증의 가치를 강조하는 것이 중요합니다. 네이티브 클라우드 엔드포인트는 WIA에 대해 구성된 모든 애플리케이션에서 단순히 "작동"할 뿐입니다.

   사용자가 WIA(파일 서버, 프린터, 웹 서버 등)를 사용하는 리소스에 액세스하는 경우 TGT는 일반적인 Kerberos 워크플로인 Kerberos 서비스 티켓과 교환됩니다.

클라우드 네이티브 엔드포인트 지침 따르기

1. 개요: 클라우드 네이티브 엔드포인트란?
2. 가이드: 클라우드 네이티브 Windows 엔드포인트 시작하기
3. 개념: 조인된 Microsoft Entra 하이브리드 Microsoft Entra 조인됨
4. 🡺 개념: 클라우드 네이티브 엔드포인트 및 온-프레미스 리소스(현재 페이지)
5. 개괄적인 계획 가이드
6. 알려진 문제 및 중요 정보

유용한 온라인 리소스

• PRT(기본 새로 고침 토큰) 및 Microsoft Entra
• Microsoft Entra 조인된 디바이스에서 온-프레미스 리소스에 대한 SSO 작동 방식
• 비즈니스용 Windows Hello 작동 방식 - 인증 - Windows 보안
• 통합 Windows 인증
• kerberos 인증 Microsoft Entra(미리 보기)
• Microsoft Entra 인증 설명서