Share via


Contoso Corporation의 ID

Microsoft는 Microsoft Entra ID를 통해 클라우드 제품 전체에서 IDaaS(Identity as a Service)를 제공합니다. 엔터프라이즈용 Microsoft 365를 채택하기 위해 Contoso IDaaS 솔루션은 온-프레미스 ID 공급자를 사용하고 신뢰할 수 있는 기존 타사 ID 공급자와 페더레이션 인증을 포함해야 했습니다.

Contoso Active Directory Domain Services 포리스트

Contoso는 전 세계 각 지역에 하나씩 7개의 하위 도메인이 있는 contoso.com 단일 Active Directory Domain Services(AD DS) 포리스트를 사용합니다. 본사, 지역 허브 사무실 및 위성 사무실에는 로컬 인증 및 권한 부여를 위한 도메인 컨트롤러가 있습니다.

다음은 지역 허브를 포함하는 세계의 여러 지역에 대한 지역 도메인이 있는 Contoso 포리스트입니다.

전 세계 Contoso의 포리스트 및 도메인.

Contoso는 Microsoft 365 워크로드 및 서비스에 대한 인증 및 권한 부여를 위해 contoso.com 포리스트의 계정 및 그룹을 사용하기로 결정했습니다.

Contoso 페더레이션 인증 인프라

Contoso는 다음을 허용합니다.

  • 고객은 Microsoft, Facebook 또는 Google Mail 계정을 사용하여 회사의 공개 웹 사이트에 로그인합니다.
  • 공급업체 및 파트너는 LinkedIn, Salesforce 또는 Google Mail 계정을 사용하여 회사의 파트너 엑스트라넷에 로그인합니다.

다음은 공용 웹 사이트, 파트너 엑스트라넷 및 AD FS(Active Directory Federation Services) 서버 집합을 포함하는 Contoso DMZ입니다. DMZ는 고객, 파트너 및 인터넷 서비스를 포함하는 인터넷에 연결됩니다.

Contoso는 고객 및 파트너를 위한 페더레이션 인증을 지원합니다.

DMZ의 AD FS 서버는 파트너 엑스트라넷에 액세스하기 위해 공용 웹 사이트 및 파트너 자격 증명에 액세스하기 위해 ID 공급자가 고객 자격 증명을 쉽게 인증할 수 있도록 합니다.

Contoso는 이 인프라를 유지하고 고객 및 파트너 인증에 전념하기로 결정했습니다. Contoso ID 설계자는 B2BB2C 솔루션을 Microsoft Entra 이 인프라의 변환을 조사하고 있습니다.

클라우드 기반 인증을 위해 암호 해시 동기화를 사용하는 하이브리드 ID

Contoso는 Microsoft 365 클라우드 리소스에 대한 인증을 위해 온-프레미스 AD DS 포리스트를 사용하려고 했습니다. PHS(암호 해시 동기화)를 사용하기로 결정했습니다.

PHS는 온-프레미스 AD DS 포리스트를 엔터프라이즈용 Microsoft 365 구독의 Microsoft Entra 테넌트와 동기화하고 사용자 및 그룹 계정 및 해시된 버전의 사용자 계정 암호를 복사합니다.

디렉터리 동기화를 수행하기 위해 Contoso는 파리 데이터 센터의 서버에 Microsoft Entra Connect 도구를 배포했습니다.

다음은 Microsoft Entra Connect를 실행하는 서버에서 변경 내용을 Contoso AD DS 포리스트에 폴링한 다음 해당 변경 내용을 Microsoft Entra 테넌트와 동기화하는 것입니다.

Contoso PHS 디렉터리 동기화 인프라입니다.

제로 트러스트 ID 및 디바이스 액세스에 대한 조건부 액세스 정책

Contoso는 다음 세 가지 보호 수준에 대한 Microsoft Entra ID 및 Intune 조건부 액세스 정책 집합을 만들었습니다.

  • 시작 지점 보호는 모든 사용자 계정에 적용됩니다.
  • 기업 보호는 고위 경영진 및 임원진에게 적용됩니다.
  • 특수 보안 보호는 규제가 높은 데이터에 액세스할 수 있는 재무, 법률 및 연구 부서의 특정 사용자에게 적용됩니다.

Contoso ID 및 디바이스 조건부 액세스 정책의 결과 집합은 다음과 같습니다.

Contoso의 ID 및 디바이스 조건부 액세스 정책.

다음 단계

Contoso가 Microsoft 엔드포인트 Configuration Manager 인프라를 사용하여 organization 통해 최신 Windows 10 Enterprise 배포하고 유지하는 방법을 알아봅니다.

참고 항목

Microsoft 365의 ID 배포

엔터프라이즈용 Microsoft 365 개요

테스트 랩 가이드