ID 유형 설명
Microsoft Entra ID에는 다양한 형식의 ID가 지원됩니다. 이 단원에서 소개할 용어는 사용자 ID, 워크로드 ID, 디바이스 ID, 외부 ID 및 하이브리드 ID입니다. 이러한 각 용어는 다음 섹션에서 더 자세히 설명됩니다.
Microsoft Entra ID에서 ID를 무엇에 할당할 수 있는지 질문하면 세 가지 범주가 있습니다.
- 사용자(사람)에게 ID를 부여할 수 있습니다. 사용자에게 할당된 ID의 예로는 일반적으로 내부 사용자로 구성된 조직의 직원과 고객, 컨설턴트, 공급업체 및 파트너를 포함하는 외부 사용자가 있습니다. 여기서는 이러한 ID를 사용자 ID로 지칭하겠습니다.
- ID를 할당할 수 있는 두 번째 범주는 휴대폰, 데스크톱 컴퓨터, IoT 디바이스 등의 물리적 디바이스입니다.
- 마지막으로 애플리케이션, 가상 머신, 서비스, 컨테이너 등 소프트웨어 기반 개체에 ID를 할당할 수 있습니다. 이러한 ID를 워크로드 ID라고 합니다.
이 단원에서는 각 유형의 Microsoft Entra를 살펴봅니다.
사용자
사용자 ID는 직원 및 외부 사용자(고객, 컨설턴트, 공급업체 및 파트너)와 같은 사람을 나타냅니다. Microsoft Entra ID에서 사용자 ID는 인증 방법과 사용자 유형 속성으로 특성화됩니다.
사용자 인증 방법은 호스트 조직의 Microsoft Entra 테넌트를 기준으로 요청되며 내부 인증 또는 외부 인증일 수 있습니다. 내부 인증은 사용자가 호스트 조직의 Microsoft Entra ID에 계정을 갖고 있으며 해당 계정을 사용하여 Microsoft Entra ID에 인증하는 것을 의미합니다. 외부 인증은 사용자가 다른 조직, 소셜 네트워크 ID 또는 기타 외부 ID 공급자에 속하는 외부 Microsoft Entra 계정을 사용하여 인증하는 것을 의미합니다.
사용자 유형 속성은 사용자와 조직의 관계, 특히 호스트 조직의 테넌트를 설명합니다. 사용자는 조직의 Microsoft Entra 테넌트의 게스트 또는 멤버일 수 있습니다. 기본적으로 조직의 게스트는 조직의 멤버에 비해 조직의 디렉터리에서 제한된 권한을 갖습니다.
- 내부 멤버: 이러한 사용자는 일반적으로 조직의 직원으로 간주됩니다. 사용자는 조직의 Microsoft Entra ID를 통해 내부적으로 인증하며 리소스 Microsoft Entra 디렉터리에 만들어진 사용자 개체의 UserType은 Member입니다.
- 외부 게스트: 컨설턴트, 공급업체, 파트너를 포함한 외부 사용자 또는 게스트가 일반적으로 이 범주에 속합니다. 사용자는 외부 Microsoft Entra 계정 또는 외부 ID 공급자(예: 소셜 ID)를 사용하여 인증합니다. 리소스 Microsoft Entra 디렉터리에 만들어진 사용자 개체의 UserType이 Guest이면 제한적인 게스트 수준 권한을 부여합니다.
- 외부 멤버: 이 시나리오는 여러 테넌트로 구성된 조직에서 일반적입니다. Contoso Microsoft Entra 테넌트와 Fabrikam Microsoft Entra 테넌트가 하나의 대규모 조직 내의 테넌트인 시나리오를 생각해 보세요. Contoso 테넌트의 사용자는 Fabrikam의 리소스에 대한 멤버 수준 액세스 권한이 필요합니다. 이 시나리오에서 Contoso 사용자는 Fabrikam 외부에 있는 Contoso 계정으로 인증하도록 Fabrikam Microsoft Entra 디렉터리에 구성되지만 Fabrikam의 조직 리소스에 대한 멤버 수준 액세스를 사용하도록 설정하기 위해 UserType이 Member입니다.
- 내부 게스트: 이 시나리오는 배포자, 공급자 및 공급자와 협력하는 조직이 이러한 사용자에 대해 내부 Microsoft Entra 계정을 설정하지만 사용자 개체 UserType을 Guest로 설정하여 게스트로 지정하는 경우에 존재합니다. 게스트로서 디렉터리에 대한 권한이 축소되었습니다. 이제 B2B 협업을 사용하는 것이 더 일반적이므로 이는 레거시 시나리오로 간주됩니다. B2B 협업을 통해 사용자는 자신의 자격 증명을 사용하여 외부 ID 공급자가 인증 및 계정 수명 주기를 관리할 수 있습니다.
외부 게스트 및 외부 멤버는 Microsoft Entra ID의 외부 ID 범주에 속하는 B2B(Business-to-Business) 협업 사용자이며 이후의 단원에서 자세히 설명됩니다.
워크로드 ID
워크로드 ID는 소프트웨어 워크로드에 할당하는 ID입니다. 이를 통해 소프트웨어 워크로드가 다른 서비스 및 리소스를 인증하고 액세스할 수 있습니다. 이는 워크로드를 보호하는 데 도움이 됩니다. Microsoft Entra에서 워크로드 ID는 애플리케이션, 서비스 주체 및 관리 ID입니다.
애플리케이션 및 서비스 주체
서비스 주체는 기본적으로 애플리케이션의 ID입니다. 애플리케이션이 해당 ID 및 액세스 함수를 Microsoft Entra ID에 위임하려면 먼저 애플리케이션을 Microsoft Entra ID에 등록하여 통합을 사용하도록 설정해야 합니다. 애플리케이션이 등록되면 애플리케이션이 사용되는 각 Microsoft Entra 테넌트에 서비스 주체가 만들어집니다. 서비스 주체를 사용하면 Microsoft Entra 테넌트로 보호되는 리소스에 대한 애플리케이션 인증 및 권한 부여와 같은 코어 기능을 사용할 수 있습니다.
서비스 주체가 Microsoft Entra 테넌트로 보호되는 리소스에 액세스할 수 있으려면 애플리케이션 개발자가 자격 증명을 관리하고 보호해야 합니다. 올바르게 수행되지 않으면 보안 취약성이 발생할 수 있습니다. 관리 ID는 개발자의 책임을 덜어줍니다.
관리 ID
관리 ID는 Microsoft Entra ID에서 자동으로 관리되며 개발자가 자격 증명을 관리할 필요가 없는 서비스 주체 형식입니다. 관리 ID는 Microsoft Entra 인증을 지원하고 추가 비용 없이 사용할 수 있는 Azure 리소스에 연결할 때 애플리케이션에 사용할 ID를 제공합니다.
관리 ID를 지원하는 Azure 서비스 목록은 요약 및 리소스 단위의 자세한 정보 섹션을 참조하세요.
관리 ID는 시스템 할당 및 사용자 할당의 두 가지 유형이 있습니다.
시스템이 할당. 가상 머신과 같은 일부 Azure 리소스를 사용하면 리소스에서 직접 관리 ID를 사용하도록 설정할 수 있습니다. 시스템 할당 관리 ID를 사용하도록 설정하면 해당 Azure 리소스의 수명 주기에 연결된 Microsoft Entra에 ID가 만들어집니다. 리소스가 삭제될 때 ID는 해당 Azure 리소스의 수명 주기에 연결되므로 Azure는 자동으로 ID를 삭제합니다. 시스템 할당 ID를 찾을 수 있는 예로는 단일 가상 머신에서 실행되는 애플리케이션과 같은 단일 Azure 리소스 내에 워크로드가 포함되어 있는 경우입니다.
사용자 할당. 관리 ID를 독립 실행형 Azure 리소스로 만들 수도 있습니다. 사용자가 할당한 관리 ID를 만들면 이를 하나 이상의 Azure 서비스 인스턴스에 할당할 수 있습니다. 예를 들어, 사용자가 할당한 관리 ID를 여러 VM에 할당할 수 있습니다. 사용자 할당 관리 ID를 생성하고, 이를 하나 이상의 Azure 서비스 인스턴스에 할당할 수 있습니다. 사용자가 할당한 관리 ID를 사용하는 리소스를 삭제해도 ID는 삭제되지 않습니다. 사용자가 할당한 관리 ID를 명시적으로 삭제해야 합니다. 이는 모두 동일한 권한 집합을 갖고 있지만 자주 재활용될 수 있는 여러 VM이 있는 시나리오에서 유용합니다. VM을 삭제해도 사용자가 할당한 관리 ID에는 영향을 미치지 않습니다. 마찬가지로, 새 VM을 만들고 기존 사용자 할당 관리 ID를 할당할 수 있습니다.
디바이스
디바이스는 모바일 디바이스, 랩톱, 서버 또는 프린터와 같은 하드웨어 부분입니다. 디바이스 ID는 액세스 또는 구성 결정을 내릴 때 사용할 수 있는 정보를 관리자에게 제공합니다. 디바이스 ID는 Microsoft Entra ID에서 다양한 방법으로 설정할 수 있습니다.
- Microsoft Entra 등록 디바이스. Microsoft Entra 등록 디바이스의 목표는 사용자에게 BYOD(Bring Your Own Device) 또는 모바일 디바이스 시나리오에 대한 지원을 제공하는 것입니다. 이런 경우 사용자가 개인 디바이스를 사용하여 조직 리소스에 액세스할 수 있습니다. Microsoft Entra 등록 디바이스는 디바이스에 로그인하기 위해 조직 계정이 필요 없이 Microsoft Entra ID에 등록됩니다.
- Microsoft Entra 조인. Microsoft Entra 조인 디바이스는 조직 계정을 통해 Microsoft Entra ID에 조인된 디바이스로, 해당 계정을 사용하여 디바이스에 로그인합니다. Microsoft Entra에 조인된 디바이스는 일반적으로 조직이 소유합니다.
- Microsoft Entra 하이브리드 조인 디바이스. 기존 온-프레미스 Active Directory 구현이 있는 조직은 Microsoft Entra 하이브리드 조인 디바이스를 구현하여 Microsoft Entra ID에서 제공하는 기능을 활용할 수 있습니다. 이러한 디바이스는 디바이스에 로그인하도록 조직 계정이 필요한 온-프레미스 Active Directory 및 Microsoft Entra ID에 조인되어 있습니다.
Microsoft Entra ID에 디바이스를 등록하고 결합하면 사용자에게 클라우드 기반 리소스에 대한 SSO(Single Sign-On)가 제공됩니다. 또한 Microsoft Entra에 조인된 디바이스는 온-프레미스 Active Directory를 사용하는 리소스 및 애플리케이션에 대한 SSO 환경을 활용할 수 있습니다.
IT 관리자는 MDM(모바일 디바이스 관리) 및 MAM(모바일 애플리케이션 관리)에 중점을 둔 클라우드 기반 서비스인 Microsoft Intune 같은 도구를 사용하여 조직의 디바이스 사용 방식을 제어할 수 있습니다. 자세한 내용은 Microsoft Intune을 참조하세요.
그룹
Microsoft Entra ID에서는 액세스 요구 사항이 동일한 여러 ID가 있는 경우 그룹을 만들 수 있습니다. 그룹을 사용하여 액세스 권한을 개별적으로 할당하는 대신 그룹의 모든 구성원에게 액세스 권한을 부여할 수 있습니다. Microsoft Entra 리소스에 대한 액세스를 액세스가 필요한 ID로만 제한하는 것은 제로 트러스트의 핵심 보안 원칙 중 하나입니다.
두 가지 그룹 유형이 있습니다.
보안: 보안 그룹은 가장 일반적인 형식의 그룹이며 공유 리소스에 대한 사용자 및 디바이스 액세스를 관리하는 데 사용됩니다. 예를 들어, 셀프 서비스 암호 재설정과 같은 특정 보안 정책에 대한 보안 그룹을 만들거나 MFA를 요구하는 조건부 액세스 정책과 함께 사용할 수 있습니다. 보안 그룹의 멤버에는 사용자(외부 사용자 포함), 디바이스, 기타 그룹 및 서비스 주체가 포함될 수 있습니다. 보안 그룹을 만들려면 Microsoft Entra 관리자 역할이 필요합니다.
Microsoft 365: 배포 그룹이라고도 하는 Microsoft 365 그룹은 협업 요구 사항에 따라 사용자를 그룹화하는 데 사용됩니다. 예를 들어, 그룹 멤버에게 공유 사서함, 일정, 파일 SharePoint 사이트 등에 대한 액세스 권한을 부여할 수 있습니다. Microsoft 365 그룹의 멤버에는 조직 외부 사용자를 포함한 사용자만 포함될 수 있습니다. Microsoft 365 그룹은 협업을 위한 것이므로 기본적으로 사용자가 Microsoft 365 그룹을 만들 수 있도록 허용하므로 관리자 역할이 필요하지 않습니다.
그룹은 멤버 자격을 할당하거나 수동으로 선택하도록 구성하거나 동적 멤버십으로 구성할 수 있습니다. 동적 멤버십은 규칙을 사용하여 ID를 자동으로 추가하고 제거합니다.