다음을 통해 공유


1단계. 클라우드 ID 모델 확인

중소기업 도움말 & 학습에 대한 모든 소규모 비즈니스 콘텐츠를 확인하세요.

Microsoft 365는 Microsoft 365 구독에 포함된 클라우드 기반 사용자 ID 및 인증 서비스인 Microsoft Entra ID를 사용하여 Microsoft 365에 대한 ID 및 인증을 관리합니다. ID 인프라를 올바르게 구성하는 것은 organization 대한 Microsoft 365 사용자 액세스 및 권한을 관리하는 데 매우 중요합니다.

시작하기 전에 Microsoft 365에 대한 인증과 ID 모델의 개요에 대한 비디오를 시청하십시오.

첫 번째 계획 선택은 클라우드 ID 모델입니다.

Microsoft 클라우드 ID 모델

사용자 계정을 계획하려면 먼저 Microsoft 365의 두 ID 모델을 이해해야 합니다. 클라우드에서만 organization ID를 유지 관리하거나 사용자가 Microsoft 365 클라우드 서비스에 액세스할 때 AD DS(온-프레미스 Active Directory Domain Services) ID를 유지 관리하고 인증에 사용할 수 있습니다.

다음은 두 가지 유형의 정체성과 최상의 적합성과 이점입니다.

특성 클라우드 전용 ID 하이브리드 ID
정의 사용자 계정은 Microsoft 365 구독에 대한 Microsoft Entra 테넌트에서만 존재합니다. 사용자 계정은 AD DS에 있으며 복사본은 Microsoft 365 구독의 Microsoft Entra 테넌트에도 있습니다. Microsoft Entra ID의 사용자 계정에는 이미 해시된 AD DS 사용자 계정 암호의 해시된 버전이 포함될 수도 있습니다.
Microsoft 365에서 사용자 자격 증명을 인증하는 방법 Microsoft 365 구독의 Microsoft Entra 테넌트는 클라우드 ID 계정으로 인증을 수행합니다. Microsoft 365 구독의 Microsoft Entra 테넌트는 인증 프로세스를 처리하거나 사용자를 다른 ID 공급자로 리디렉션합니다.
최적 시나리오 온-프레미스 AD DS가 없거나 필요하지 않은 조직. AD DS 또는 다른 ID 공급자를 사용하는 조직.
최대 이점 간단하게 사용할 수 있습니다. 추가 디렉터리 도구 또는 서버가 필요하지 않습니다. 사용자는 온-프레미스 또는 클라우드 기반 리소스에 액세스할 때 동일한 자격 증명을 사용할 수 있습니다.

클라우드 전용 ID

클라우드 전용 ID는 Microsoft Entra ID에만 존재하는 사용자 계정을 사용합니다. 클라우드 전용 ID는 일반적으로 온-프레미스 서버가 없거나 AD DS를 사용하여 로컬 ID를 관리하지 않는 소규모 조직에서 사용됩니다.

클라우드 전용 ID의 기본 구성 요소는 다음과 같습니다.

클라우드 전용 ID의 기본 구성 요소입니다.

온-프레미스 및 원격(온라인) 사용자는 모두 Microsoft Entra 사용자 계정 및 암호를 사용하여 Microsoft 365 클라우드 서비스에 액세스합니다. Microsoft Entra 저장된 사용자 계정 및 암호를 기반으로 사용자 자격 증명을 인증합니다.

관리

사용자 계정은 Microsoft Entra ID에만 저장되므로 Microsoft 365 관리 센터Windows PowerShell 같은 도구를 사용하여 클라우드 ID를 관리합니다.

하이브리드 ID

하이브리드 ID는 온-프레미스 AD DS에서 시작되고 Microsoft 365 구독의 Microsoft Entra 테넌트에서 복사본이 있는 계정을 사용합니다. 특정 계정 특성을 제외한 대부분의 변경 내용은 한 가지 방법만 흐릅니다. AD DS 사용자 계정에 대한 변경 내용은 Microsoft Entra ID의 복사본과 동기화됩니다.

Microsoft Entra Connect는 진행 중인 계정 동기화를 제공합니다. 온-프레미스 서버에서 실행되고, AD DS의 변경 내용을 확인하고, 이러한 변경 내용을 Microsoft Entra ID로 전달합니다. Microsoft Entra Connect는 동기화되는 계정과 해시된 버전의 사용자 암호(PHS(암호 해시 동기화)를 동기화할지 여부를 필터링하는 기능을 제공합니다.

하이브리드 ID를 구현하는 경우, 온-프레미스 AD DS가 계정 정보에 대한 권한 있는 원본입니다. 즉, 주로 온-프레미스에서 관리 작업을 수행한 다음 Microsoft Entra ID로 동기화됩니다.

하이브리드 ID의 구성 요소는 다음과 같습니다.

하이브리드 ID의 구성 요소입니다.

Microsoft Entra 테넌트는 AD DS 계정의 복사본을 가지고 있습니다. 이 구성에서는 온-프레미스 및 Microsoft 365 클라우드 서비스에 액세스하는 원격 사용자가 모두 Microsoft Entra ID에 대해 인증합니다.

참고

항상 Microsoft Entra Connect를 사용하여 하이브리드 ID에 대한 사용자 계정을 동기화해야 합니다. 라이선스 할당 및 그룹 관리, 권한 구성 및 사용자 계정과 관련된 기타 관리 작업을 수행하려면 Microsoft Entra ID의 동기화된 사용자 계정이 필요합니다.

Microsoft 365용 하이브리드 ID 및 디렉터리 동기화

비즈니스 요구 사항 및 기술 요구 사항에 따라 하이브리드 ID 모델 및 디렉터리 동기화는 Microsoft 365를 채택하는 엔터프라이즈 고객에게 가장 일반적인 선택입니다. 디렉터리 동기화를 사용하면 Active Directory Domain Services(AD DS)의 ID를 관리할 수 있으며 사용자 계정, 그룹 및 연락처에 대한 모든 업데이트는 Microsoft 365 구독의 Microsoft Entra 테넌트와 동기화됩니다.

참고

AD DS 사용자 계정이 처음으로 동기화되면 자동으로 Microsoft 365 라이선스가 할당되지 않으며 전자 메일과 같은 Microsoft 365 서비스에 액세스할 수 없습니다. 먼저 사용 위치를 할당해야 합니다. 그런 다음 그룹 멤버 자격을 통해 개별적으로 또는 동적으로 이러한 사용자 계정에 라이선스를 할당합니다.

하이브리드 ID에 대한 인증

하이브리드 ID 모델을 사용하는 경우 두 가지 유형의 인증이 있습니다.

  • 관리 인증

    Microsoft Entra ID는 로컬로 저장된 해시된 버전의 암호를 사용하여 인증 프로세스를 처리하거나 온-프레미스 AD DS에서 인증할 온-프레미스 소프트웨어 에이전트에 자격 증명을 보냅니다.

  • 페더레이션 인증

    Microsoft Entra ID는 인증을 요청하는 클라이언트 컴퓨터를 다른 ID 공급자로 리디렉션합니다.

관리 인증

관리 서비스 계정에는 두 가지 유형이 있습니다.

  • PHS(암호 해시 동기화)

    Microsoft Entra ID는 인증 자체를 수행합니다.

  • 통과 인증(PTA)

    Microsoft Entra ID에 AD DS가 인증을 수행합니다.

PHS(암호 해시 동기화)

PHS를 사용하면 AD DS 사용자 계정을 Microsoft 365와 동기화하고 온-프레미스에서 사용자를 관리합니다. 사용자 암호 해시는 사용자가 온-프레미스 및 클라우드에서 동일한 암호를 갖도록 AD DS에서 Microsoft Entra ID로 동기화됩니다. 이는 Microsoft Entra ID에서 AD DS ID에 대한 인증을 사용하도록 설정하는 가장 간단한 방법입니다.

PHS(암호 해시 동기화).

암호가 온-프레미스에서 변경되거나 다시 설정되면 사용자가 클라우드 리소스 및 온-프레미스 리소스에 항상 동일한 암호를 사용할 수 있도록 새 암호 해시가 Microsoft Entra ID에 동기화됩니다. 사용자 암호는 Microsoft Entra ID로 전송되거나 Microsoft Entra ID에 명확한 텍스트로 저장되지 않습니다. ID 보호와 같은 Microsoft Entra ID의 일부 프리미엄 기능에는 선택한 인증 방법에 관계없이 PHS가 필요합니다.

자세한 내용은 올바른 인증 방법 선택을 참조하세요.

통과 인증(PTA)

PTA는 하나 이상의 온-프레미스 서버에서 실행되는 소프트웨어 에이전트를 사용하여 AD DS로 직접 사용자의 유효성을 검사하는 Microsoft Entra 인증 서비스에 대한 간단한 암호 유효성 검사를 제공합니다. PTA를 사용하면 AD DS 사용자 계정을 Microsoft 365와 동기화하고 온-프레미스에서 사용자를 관리합니다.

PTA(통과 인증).

PTA를 사용하면 사용자가 온-프레미스 계정 및 암호를 사용하여 온-프레미스 및 Microsoft 365 리소스 및 애플리케이션 모두에 로그인할 수 있습니다. 이 구성은 암호 해시를 Microsoft Entra ID에 저장하지 않고 온-프레미스 AD DS에 대해 사용자 암호의 유효성을 직접 검사합니다.

또한 PTA는 온-프레미스 사용자 계정 상태, 암호 정책 및 로그온 시간을 즉시 적용하기 위한 보안 요구 사항이 있는 조직을 위한 것입니다.

자세한 내용은 올바른 인증 방법 선택을 참조하세요.

페더레이션 인증

페더레이션 인증은 주로 더 복잡한 인증 요구 사항이 있는 대기업 조직을 위한 것입니다. AD DS ID는 Microsoft 365와 동기화되고 사용자 계정은 온-프레미스에서 관리됩니다. 페더레이션 인증을 사용하면 사용자는 온-프레미스와 클라우드에서 동일한 암호를 가지며 Microsoft 365를 사용하기 위해 다시 로그인할 필요가 없습니다.

페더레이션 인증은 스마트 카드 기반 인증 또는 타사 다단계 인증과 같은 추가 인증 요구 사항을 지원할 수 있으며 일반적으로 조직에 Microsoft Entra ID에서 기본적으로 지원되지 않는 인증 요구 사항이 있는 경우에 필요합니다.

자세한 내용은 올바른 인증 방법 선택을 참조하세요.

타사 인증 및 ID 공급자의 경우 온-프레미스 디렉터리 개체를 주로 타사 ID 공급자(IdP)에서 관리하는 Microsoft 365 및 클라우드 리소스 액세스와 동기화할 수 있습니다. organization 타사 페더레이션 솔루션을 사용하는 경우 타사 페더레이션 솔루션이 Microsoft Entra ID와 호환되는 경우 Microsoft 365용 해당 솔루션으로 로그온을 구성할 수 있습니다.

자세한 내용은 Microsoft Entra 페더레이션 호환성 목록을 참조하세요.

관리

원본 및 신뢰할 수 있는 사용자 계정은 온-프레미스 AD DS에 저장되므로 AD DS를 관리하는 것과 동일한 도구를 사용하여 ID를 관리합니다.

microsoft 365용 Microsoft 365 관리 센터 또는 PowerShell을 사용하여 동기화된 사용자 계정을 Microsoft Entra ID로 관리하지 않습니다.

다음 단계

Microsoft 365 권한 있는 계정 보호

2단계를 계속 진행하여 전역 관리자 계정을 보호합니다.