Microsoft Entra 테넌트 소개
교육 기관으로서 Microsoft 365 Education 무료 평가판에 등록하고 자격 확인 마법사를 완료하여 저렴한 가격으로 구독을 구매할 수 있습니다.
Microsoft Entra 테넌트 만들기
Microsoft 365 Education 유료 또는 평가판 구독에 등록하면 기본 Office 365 서비스의 일부로 Microsoft Entra 테넌트가 만들어집니다. 마찬가지로 Azure에 등록할 때 Microsoft Entra 테넌트가 만들어집니다.
고객은 추가 Microsoft Entra 테넌트를 만들려면 유료 Microsoft 라이선스 플랜을 소유해야 합니다.
중요
Microsoft Entra 테넌트 만들 때 데이터 센터의 위치를 결정하는 논리 영역을 지정해야 합니다. 만든 후에는 변경할 수 없으므로 매우 신중하게 선택해야 합니다.
자세한 내용은 Microsoft 365 Education 배포 가이드를 참조하세요.
Microsoft Entra 테넌트란?
Microsoft Entra 테넌트는 organization 사용하는 애플리케이션 및 리소스에 IAM(ID 및 액세스 관리) 기능을 제공합니다. ID는 리소스에 액세스하기 위해 인증 및 권한을 부여할 수 있는 디렉터리 개체입니다. 학생 및 교사와 같은 인간 ID와 교실 및 학생 장치, 애플리케이션 및 서비스 원칙과 같은 비인간 ID에 대한 ID 개체가 존재합니다.
Microsoft Entra 테넌트는 organization IT 부서의 제어 하에 있는 ID 보안 경계입니다. 이 보안 경계 내에서 개체(예: 사용자 개체) 관리 및 테넌트 전체 설정 구성은 IT 관리자가 제어합니다.
테넌트 내 리소스
Microsoft Entra ID 데이터베이스 및 LMS(학습 관리 시스템)를 포함할 수 있는 애플리케이션 및 기본 Azure 리소스와 같은 리소스에 대한 액세스 권한을 ID를 나타내는 개체에 부여하는 데 사용됩니다.
Microsoft Entra ID 사용하는 앱에 대한 액세스
ID는 다음을 포함하지만 이에 국한되지 않는 다양한 유형의 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다.
Exchange Online, Microsoft Teams 및 SharePoint Online과 같은 Microsoft 생산성 서비스
Azure Sentinel, Microsoft Intune 및 Microsoft Defender ATP와 같은 Microsoft IT 서비스
Azure DevOps와 같은 Microsoft 개발자 도구
LMS(학습 관리 시스템)와 같은 타사 애플리케이션
Microsoft Entra 애플리케이션 프록시와 같은 하이브리드 액세스 기능과 통합된 온-프레미스 애플리케이션
사용자 지정 사내 개발 애플리케이션
Microsoft Entra ID 사용하는 애플리케이션은 신뢰할 수 있는 Microsoft Entra 테넌트에서 디렉터리 개체를 구성하고 관리해야 합니다. 디렉터리 개체의 예로는 애플리케이션 등록, 서비스 주체, 그룹 및 스키마 특성 확장이 있습니다.
일부 애플리케이션은 테넌트당 여러 인스턴스(예: 테스트 instance 및 프로덕션 instance)를 가질 수 있지만 Exchange Online 같은 일부 Microsoft 서비스는 테넌트당 하나의 instance 가질 수 있습니다.
디렉터리 개체에 대한 액세스
ID, 리소스 및 해당 관계는 Microsoft Entra 테넌트에서 디렉터리 개체로 표시됩니다. 디렉터리 개체의 예로는 사용자, 그룹, 서비스 주체 및 앱 등록이 있습니다.
개체가 Microsoft Entra 테넌트에서 발생하는 경우 다음이 발생합니다.
표시 유형. ID는 적절한 권한이 있는 경우 리소스, 사용자, 그룹을 검색하거나 열거하고 사용 보고 및 감사 로그에 액세스할 수 있습니다. 예를 들어 디렉터리의 멤버는 기본 사용자 권한이 있는 디렉터리에서 사용자를 검색할 수 있습니다.
애플리케이션은 개체에 영향을 줄 수 있습니다. 애플리케이션은 비즈니스 논리의 일부로 Microsoft Graph를 통해 디렉터리 개체를 조작할 수 있습니다. 일반적인 예로는 사용자 특성을 읽거나 설정하고, 사용자의 일정을 업데이트하고, 사용자를 대신하여 전자 메일을 보내는 것이 있습니다. 애플리케이션이 테넌트에게 영향을 줄 수 있도록 하려면 동의가 필요합니다. 관리자는 모든 사용자에 대해 동의할 수 있습니다. 자세한 내용은 Microsoft ID 플랫폼 권한 및 동의를 참조하세요.
참고
애플리케이션 권한을 사용할 때는 주의해야 합니다. 예를 들어 Exchange Online 경우 애플리케이션 권한을 특정 사서함 및 권한에 scope 합니다.
제한 및 서비스 제한. 리소스의 런타임 동작은 초과 사용 또는 서비스 저하를 방지하기 위해 제한을 트리거할 수 있습니다. 제한은 애플리케이션, 테넌트 또는 전체 서비스 수준에서 발생할 수 있습니다. 가장 일반적으로 애플리케이션에 테넌트 내 또는 테넌트 간에 많은 수의 요청이 있을 때 발생합니다.
모든 테넌트는 총 개체 제한이 있습니다. 기본적으로 테넌트는 총 50,000개의 개체로 제한됩니다. 사용자 지정 도메인이 추가되면 제한이 300,000으로 증가합니다. EDU 고객 성공 팀 팀에 문의하여 이 개체 제한을 더 늘릴 수 있습니다. 단일 Microsoft Entra 테넌트가 100만 명의 사용자를 초과하지 않는 것이 좋습니다. 일반적으로 총 개체는 약 300만 개에 해당합니다. Microsoft Entra ID 서비스 제한에 대한 자세한 내용은 Microsoft Entra 서비스 제한 및 제한을 참조하세요.
테넌트에서 구성
Microsoft Entra ID 정책 및 설정은 대상 또는 테넌트 전체 구성을 통해 Microsoft Entra 테넌트의 리소스에 영향을 줍니다. 
테넌트 전체 정책 및 설정의 예는 다음과 같습니다.
외부 ID. 테넌트 전역 관리자는 테넌트에서 프로비전할 수 있는 외부 ID를 식별하고 제어합니다.
테넌트에서 외부 ID를 허용할지 여부
외부 ID를 추가할 수 있는 도메인
사용자가 다른 테넌트에서 사용자를 초대할 수 있는지 여부
명명된 위치입니다. 전역 관리자는 명명된 위치를 만들 수 있으며, 이 위치를 사용하여 다음을 수행할 수 있습니다.
특정 위치에서 로그인을 차단합니다.
MFA와 같은 조건부 액세스 정책을 트리거합니다.
허용되는 인증 방법. 전역 관리자는 테넌트에서 허용되는 인증 방법을 설정합니다.
셀프 서비스 옵션. 전역 관리자는 셀프 서비스 암호 재설정과 같은 셀프 서비스 옵션을 설정하고 테넌트 수준에서 Office 365 그룹을 만듭니다.
일부 테넌트 전체 구성의 구현은 전역 관리 정책에 의해 재정의되지 않는 한 범위를 지정할 수 있습니다. 예를 들면
테넌트가 외부 ID를 허용하도록 구성된 경우 리소스 관리자는 해당 ID를 리소스 액세스에서 제외할 수 있습니다.
테넌트가 개인 디바이스 등록을 허용하도록 구성된 경우 리소스 관리자는 해당 디바이스를 특정 리소스에 액세스하지 못하도록 제외할 수 있습니다.
명명된 위치가 구성된 경우 리소스 관리자는 해당 위치에서 액세스를 허용하거나 제외하는 정책을 구성할 수 있습니다.
테넌트에서 관리
관리에는 ID 개체 관리 및 테넌트 전체 구성의 범위가 지정된 구현이 포함됩니다. 개체에는 사용자, 그룹 및 디바이스 및 서비스 원칙이 포함됩니다. 인증, 권한 부여, 셀프 서비스 옵션 등에 대한 테넌트 전체 구성의 효과를 scope 수 있습니다.
테넌트 전체 관리자 또는 전역 관리자는 다음을 수행할 수 있습니다.
모든 사용자에게 모든 리소스에 대한 액세스 권한 부여
모든 사용자에게 리소스 역할 할당
모든 사용자에게 하위 범위의 관리자 역할 할당
디렉터리 개체 관리
관리자는 ID 개체가 리소스에 액세스할 수 있는 방법과 어떤 상황에서도 관리할 수 있습니다. 권한에 따라 디렉터리 개체를 사용하지 않도록 설정, 삭제 또는 수정할 수도 있습니다. ID 개체는 다음과 같습니다.
다음과 같은 조직 ID는 사용자 개체로 표시됩니다.
관리자
조직 사용자
조직 개발자
테스트 사용자 **
외부 ID는 다음과 같은 organization 외부에서 온 사용자를 나타냅니다.
organization 환경에 로컬 계정으로 프로비전된 파트너 또는 기타 교육 기관
Azure B2B 협업을 통해 프로비전되는 파트너 또는 기타 교육 기관
그룹은 다음과 같은 개체로 표시됩니다.
보안 그룹
Office 365 그룹
디바이스 는 다음과 같은 개체로 표시됩니다.
Microsoft Entra 하이브리드 조인 디바이스(온-프레미스 Active Directory 동기화된 온-프레미스 컴퓨터)
조인된 디바이스 Microsoft Entra
직원이 회사 애플리케이션에 액세스하는 데 사용하는 등록된 모바일 디바이스를 Microsoft Entra.
참고
하이브리드 환경에서 ID는 일반적으로 Microsoft Entra Connect를 사용하여 온-프레미스 Active Directory 환경에서 동기화됩니다.
ID 서비스 관리
적절한 권한이 있는 관리자는 리소스 그룹, 보안 그룹 또는 애플리케이션 수준에서 테넌트 전체 정책을 구현하는 방법을 관리할 수 있습니다. 리소스 관리를 고려할 때 다음 사항에 유의하세요. 리소스를 함께 유지하거나 격리해야 하는 이유가 될 수 있습니다.
인증 관리자 역할이 할당된 ID는 관리자가 아닌 사용자가 MFA 또는 FIDO 인증을 위해 다시 등록하도록 요구할 수 있습니다.
CA(조건부 액세스) 관리자는 사용자가 특정 앱에 로그인하여 organization 소유 디바이스에서만 로그인하도록 요구하는 CA 정책을 만들 수 있습니다. 구성을 scope 수도 있습니다. 예를 들어 테넌트에서 외부 ID가 허용되는 경우에도 해당 ID를 리소스 액세스에서 제외할 수 있습니다.
클라우드 애플리케이션 관리자는 모든 사용자를 대신하여 애플리케이션 권한에 동의할 수 있습니다.
전역 관리자는 구독을 제어할 수 있습니다.
라이선싱
Office 365 같은 Microsoft 유료 클라우드 서비스에는 라이선스가 필요합니다. 이러한 라이선스는 서비스에 액세스해야 하는 각 사용자에게 할당됩니다. Microsoft Entra ID 모든 Microsoft 클라우드 서비스에 대한 ID 관리를 지원하고 사용자의 라이선스 할당 상태에 대한 정보를 저장하는 기본 인프라입니다. 일반적으로 관리자는 관리 포털(Office 또는 Azure) 및 PowerShell cmdlet 중 하나를 사용하여 라이선스를 관리합니다. Microsoft Entra ID 사용자 그룹에 하나 이상의 제품 라이선스를 할당할 수 있는 그룹 기반 라이선스를 지원합니다.
Microsoft 365 Education 시나리오의 Microsoft Entra ID
Microsoft Entra ID 학생과 교직원은 다음을 포함하여 로그인하고 리소스 및 서비스에 액세스하는 데 도움이 됩니다.
리소스에 로그인 및 권한 부여
로그인 및 전자 메일에 대한 도메인은 Microsoft Entra ID 클라우드 인증을 위해 구성됩니다.
대부분의 외부 협업 기능은 Microsoft Entra B2B 협업을 사용합니다.
Microsoft Office 365 기능
Microsoft Entra ID에는 프로비저닝을 트리거하는 Office 365 라이선스가 할당됩니다.
메일 그룹, 최신 그룹, 연락처 및 Microsoft Teams와 같은 Office 365 개체는 Microsoft Entra 디렉터리 개체로 표시되고 Microsoft Entra ID 관리됩니다.
Office 365 서비스는 Microsoft Entra 그룹을 사용하여 권한 부여를 제공합니다.
Office 365 대한 액세스는 Microsoft Entra ID 통해 제어됩니다.
거버넌스 및 보안
-
Microsoft Entra ID 온-프레미스 Active Directory Microsoft Entra Connect를 통해 동기화하는 하이브리드 기능을 제공합니다.
Microsoft Entra Connect를 사용하면 암호 해시 동기화, 통과 인증 또는 AD FS 또는 타사 SAML ID 공급자와의 페더레이션 통합을 포함하여 organization 적합한 인증 방법을 구성할 수 있습니다.
학교 데이터 동기화를 사용하여 SIS에서 디렉터리 개체를 프로비전하는 API