Azure 디렉터리 서비스 설명
Azure AD(Azure Active Directory)는 Microsoft 클라우드 애플리케이션과 개발하는 클라우드 애플리케이션 모두에 로그인하고 액세스할 수 있는 디렉터리 서비스입니다. Azure AD에서 온-프레미스 Active Directory 배포를 유지 관리하는 데도 도움이 될 수 있습니다.
온-프레미스 환경의 경우 Windows Server에서 실행되는 Active Directory는 조직에서 관리하는 ID 및 액세스 관리 서비스를 제공합니다. Azure AD는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. Azure AD를 사용해 ID 계정을 관리하며 Microsoft에서 해당 서비스를 전역적으로 사용할 수 있도록 지원합니다.
Active Directory를 사용하여 온-프레미스에서 ID를 보호하는 경우 Microsoft는 로그인 시도를 모니터링하지 않습니다. Azure AD와 Active Directory를 연결하는 경우 Microsoft는 추가 비용 없이 의심스러운 로그인 시도를 감지하여 사용자를 보호할 수 있습니다. 예를 들어 Azure AD는 예기치 않은 위치 또는 알 수 없는 디바이스에서의 로그인 시도를 감지할 수 있습니다.
누가 Azure AD를 사용하나요?
- IT 관리자 관리자는 Azure AD를 사용하여
비즈니스 요구 사항에 따라 애플리케이션 및 리소스에 대한 액세스를 제어할 수 있습니다. - 앱 개발자 개발자는 Azure AD를 사용하여
앱에 SSO 기능을 추가하거나 사용자의 기존 자격 증명을 사용하여 앱을 사용할 수 있도록 설정하는 등 자신이 빌드하는 애플리케이션에 기능을 추가하는 표준 기반 접근 방식을 제공할 수 있습니다. - 사용자
사용자는 ID를 관리하고셀프 서비스 암호 재설정과 같은 유지 관리 작업을 수행-할 수 있습니다. - 온라인 서비스 구독자 Microsoft 365, Microsoft Office 365, Azure 및 Microsoft Dynamics CRM Online 구독자는 이미 Azure AD를 사용하여 계정을 인증하고 있습니다.
누가 Azure AD를 사용하나요?
- 인증 : 여기에는 애플리케이션 및 리소스에 액세스하기 위한 ID 확인이 포함됩니다.
셀프 서비스 암호 재설정,다단계 인증,금지된 암호의 사용자 지정 목록 및 스마트 잠금 서비스와 같은 기능도 포함됩니다. - Single Sign-On : SSO를 사용하면
한 가지 사용자 이름과 한 가지 암호만 기억하면 여러 애플리케이션에 액세스할 수 있습니다. 한 ID가 한 사용자에게 연결되므로 보안 모델이 간소화됩니다. 사용자 역할이 변경되거나 사용자가 조직을 떠날 때 액세스 수정이 해당 ID에 연결되어 있으므로 계정을 변경하거나 비활성화하는 과정이 대폭 축소됩니다. - 애플리케이션 관리 : Azure AD를 사용하여 클라우드 및 온-프레미스 앱을 관리할 수 있습니다. 애플리케이션 프록시, SaaS 앱, My Apps 포털, Single Sign-On 등의 기능이 더 나은 사용자 환경을 제공합니다.
- 디바이스 관리 : Azure AD는 개별 사용자의 계정뿐만 아니라 디바이스 등록도 지원합니다. 디바이스를 등록하면 Microsoft Intune과 같은 도구를 통해 디바이스를 관리할 수 있습니다. 또한 디바이스 기반 조건부 액세스 정책을 통해 요청하는 사용자 계정에 관계없이
이전에 접속했던 디바이스의 액세스 시도만 허용할 수 있습니다.
온-프레미스 AD를 Azure AD에 연결할 수 있나요?
Active Directory를 실행하는 온-프레미스 환경과 Azure AD를 사용하는 클라우드 배포가 있는 경우 두 개의 ID 집합을 유지 관리해야 합니다. 그러나 Active Directory에 연결하여 클라우드와 온-프레미스 간에 일관된 ID 환경을 사용할 수 있습니다.
온-프레미스 AD와 Azure AD에 연결하는 한 가지 방법은 Azure AD Connect를 사용하는 것입니다. Azure AD Connect는 온-프레미스 Active Directory와 Azure AD 간에 사용자 ID를 동기화합니다. Azure AD Connect는 두 ID 시스템 간에 변경 내용을 동기화하므로 SSO, 다단계 인증 및 셀프 서비스 암호 재설정과 같은 기능을 사용할 수 있습니다.
Azure Active Directory Domain Services란?
Azure AD DS(Azure Active Directory Domain Services)는 도메인 조인, 그룹 정책, LDAP(Lightweight Directory Access Protocol) 및 Kerberos/NTLM 인증과 같은 관리되는 도메인 서비스를 제공하는 서비스입니다. Azure AD 지원 인프라를 유지 관리하지 않고도 디렉터리 서비스를 사용할 수 있는 것처럼 Azure AD DS를 사용하면 클라우드에서 DC(도메인 컨트롤러)를 배포, 관리 및 패치할 필요 없이 도메인 서비스의 이점을 얻을 수 있습니다.
Azure AD DS 관리형 도메인을 사용하면 최신 인증 방법을 사용할 수 없거나 디렉터리 조회가 항상 온-프레미스 AD DS 환경으로 돌아가지 않도록 하는 레거시 애플리케이션을 클라우드에서 실행할 수 있습니다. 클라우드에서 AD DS 환경을 관리할 필요 없이 레거시 애플리케이션을 온-프레미스 환경에서 관리되는 도메인으로 리프트 앤 시프트할 수 있습니다.
Azure AD DS는 기존 Azure AD 테넌트와 통합됩니다. 이러한 통합을 통해 사용자는 기존 자격 증명을 사용하여 관리되는 도메인에 연결된 서비스 및 애플리케이션에 로그인할 수 있습니다. 또한 기존 그룹 및 사용자 계정을 사용하여 리소스에 대한 액세스를 보호할 수도 있습니다. 이러한 기능은 Azure에 대한 온-프레미스 리소스의 원활한 리프트 앤 시프트를 제공합니다.
Azure AD DS의 작동 방식
Azure AD DS 관리되는 도메인을 만들 때 고유한 네임스페이스를 정의합니다. 이 네임스페이스는 도메인 이름입니다. 그런 다음, 두 개의 Windows Server 도메인 컨트롤러가 선택한 Azure 지역에 배포됩니다. 이 DC 배포를 복제본 세트라고 합니다.
이러한 DC를 관리, 구성 또는 업데이트할 필요가 없습니다. Azure 플랫폼은 Azure Disk Encryption을 사용한 저장 데이터 백업 및 암호화를 포함하여 관리되는 도메인의 일부로 DC를 처리합니다.
정보가 동기화되었나요?
관리되는 도메인은 Azure AD에서 Azure AD DS로 단방향 동기화를 수행하도록 구성됩니다. 관리되는 도메인에서 리소스를 직접 만들 수 있지만, Azure AD와 다시 동기화되지는 않습니다. 온-프레미스 AD DS 환경이 포함된 하이브리드 환경에서 Azure AD Connect는 ID 정보를 Azure AD와 동기화한 다음, 관리되는 도메인에 동기화됩니다.
그러면 관리되는 도메인에 연결되는 Azure의 애플리케이션, 서비스 및 VM에서 도메인 조인, 그룹 정책, LDAP 및 Kerberos/NTLM 인증과 같은 일반적인 Azure AD DS 기능을 사용할 수 있습니다
