차례:
비디오: Введение в Active Directory Microsoft Azure (십월 2024)
Microsoft는 수십 년 동안 여러 가지 핵심 IT 범주에서 업계를 선도해 왔으며 회사가 효과적으로 사로 잡은 것은 온-프레미스 네트워크 디렉터리입니다. Windows Server AD (Active Directory)는 전 세계 기업과 정부에서 사용하며 기업의 IDM (Enterprise Identity Management)의 표준입니다. 고급 기능과 세계에서 가장 널리 사용되는 온-프레미스 디렉터리와의 긴밀한 통합 외에도 Microsost Azure AD의 가격은 IDaaS (Identity Management-as-a-Service) 공간에서 매우 경쟁력이있어 프리 티어, 기본 티어 $ 1를 제공합니다. 한 달에 사용자 당, 그리고 각각 $ 6와 $ 9를 실행하는 두 개의 프리미엄 계층이 있습니다. 고급 기능, 주요 온 프레미스 IDM 플랫폼과의 긴밀한 통합 및 새롭고 친근한 가격이 모두 결합되어 Okta ID 관리와 함께 IDaaS 공간에서 편집자 선택으로 Azure AD를 향상시킵니다.
온 프레미스 AD 설정 및 연결
명백한 이유로 Azure AD의 가장 일반적인 용도는 기존의 온-프레미스 AD 도메인을 클라우드에서 실행되는 응용 프로그램 및 인터넷을 통해 연결하는 사용자와 통합하려는 회사입니다. 온-프레미스 AD와 Azure AD를 연결하는 내장을 제공하기 위해 가장 많이 사용되는 Microsoft 솔루션은 Microsoft에서 무료로 사용할 수있는 동기화 도구 인 Azure AD Connect입니다. 많은 경쟁 업체가 IDaaS 제품을 온-프레미스 AD 도메인에 연결하기 위해 유사한 동기화 도구를 제공하지만 Azure AD Connect가 올바른 방법의 좋은 예입니다. Azure AD Connect와 다른 동기화 도구의 가장 큰 차이점은 Azure AD Connect가 보안 암호 동기화를 제공하여 회사 AD에 대해 사용자 자격 증명의 유효성을 검사하지 않고 Azure AD 내에서 인증 프로세스를 수행 할 수 있다는 것입니다. Azure AD Connect와 다른 동기화 도구의 가장 큰 차이점은 Azure AD Connect가 기본적으로 암호를 동기화하고 인증 프로세스가 회사 AD에 대해 유효성이 검사되는 것이 아니라 Azure AD 내에서 발생한다는 것입니다. 많은 조직에서 암호 해시를 클라우드에 동기화하는 데 정책 문제가있을 수 있으므로 Azure AD Connect 암호 동기화가 잠재적 인 문제가 될 수 있습니다.
Azure AD는 ADFS (Active Directory Federation Services) 사용도 지원합니다. 일반적으로 외부 앱이나 서비스에 인증 기능을 제공하는 데 사용 된 ADFS는 로컬 AD를 사용하여 인증 요청을 수행하지만 자체 인증 요구 사항과 구성 단계가있어 유사한 인증 기능을 가진 경쟁 제품보다 훨씬 복잡합니다. 이상적인 옵션은 Ping Identity의 PingFederate 라인을 따라 구성되며 최소한의 구성으로 ID 페더레이션을 제공하지만 페더레이션 프로세스의 모든 측면을 미세 조정할 수 있습니다.
AD를 Azure AD와 통합하기위한 최신 옵션은 여전히 Azure AD Connect 에이전트를 사용하지만 페더레이션 옵션을 제공합니다. 대기업 간의 Azure AD에 대한 일반적인 불만 사항 중 하나는 Azure AD Connect를 사용한 동기화와 ADFS를 사용한 페더레이션 간의 중간 근거가 부족하다는 것입니다. 통과 인증은 Azure AD Connect를 사용하여 AD의 ID에 대한 페더레이션 액세스의 간단한 경로를 제공합니다. 이론적으로 통과 인증은 ID와 인증을 온-프레미스로 유지하면서 ADFS의 필요성을 제거하면서 세계 최고를 제공합니다. ADFS를 통한 통과 인증의 또 다른 이점은 연결이 에이전트 기반이므로 방화벽 규칙이나 DMZ 내에 배치 할 필요가 없다는 것입니다. 이 기능은 Okta, OneLogin, Bitium 및 Centrify를 비롯한 Azure AD의 경쟁과 더욱 유사합니다. 통과 인증은 현재 미리 볼 수 있으며 향후 몇 개월 내에 일반 가용성이 예상됩니다.
디렉토리 통합
Microsoft IDaaS 솔루션이 AD와 긴밀하게 통합 될 것으로 기대하는 것이 안전 해 보이며 Azure AD는 실망하지 않습니다. 특성 동기화는 Azure AD Connect로 구성 할 수 있으며 나중에 개별 SaaS (Software-as-a-Service) 앱 구성 내에서 매핑 될 수 있습니다. Azure AD는 Microsoft Office 365 또는 Azure AD 사용자 포털에서 암호 변경이 AD에 다시 기록되도록 지원합니다. 이 기능은 OneLogin 및 Editors 'Choice 수상자 Okta Identity Management와 같은 경쟁 업체에서 사용할 수 있지만 추가 소프트웨어가 필요하거나 기본 동기화 정책을 변경해야 할 수도 있습니다.
Azure AD의 또 다른 주요 통합 지점은 메일 서비스에 Microsoft Exchange를 사용하는 고객, 특히 하이브리드 클라우드 시나리오에서 Office 365와 함께 Exchange 또는 Exchange Online을 사용하는 고객의 경우 전자 메일 서비스의 일부 또는 전부가 호스팅됩니다 다른 리소스는 클라우드에서 호스팅되는 반면-프레미스 데이터 센터 설치시 Azure AD Connect는 Exchange 설치를 나타내는 추가 스키마 특성을 인식하고 이러한 특성을 자동으로 동기화합니다. Azure AD에는 메일 그룹으로 Office 365 그룹을 다시 AD로 동기화하는 기능도 있습니다.
Windows 10은 Azure AD와 통합 할 수있는 새로운 기능도 제공합니다. Windows 10에서는 회사 AD의 대안으로 장치를 Azure AD에 가입 할 수 있습니다. 그러나 장치를 Azure AD에 연결하는 것과 장치를 기존 온-프레미스 AD에 연결하는 것은 기능이 크게 다르므로주의하십시오. Azure AD에 연결되면 Windows 10 장치는 그룹 정책이 아닌 Azure AD 및 Microsoft의 모바일 장치 관리 (MDM) 도구를 통해 관리되기 때문입니다. Azure AD 사용자의 가장 큰 이점은 사용자가 장치에 이미 인증되어 있으므로 사용자 포털에 대한 인증이 원활하게 이루어지고 Mail 및 Calendar와 같은 Windows 10 앱은 Office 365 계정이 사용 가능하고 자동으로 구성되는지 인식합니다. 로그인 프로세스는 Windows 8의 기본 로그인 스타일과 매우 유사하여 Microsoft 계정 세부 정보를 요구합니다.
Microsoft Identity Manager
대기업은 단일 소스를 사용하여 신원을 거의 사용하지 않습니다. Active Directory와 HR (인적 자원) 시스템, 여러 Active Directory 포리스트 또는 비즈니스 파트너와의 관계에 관계없이 대기업에서는 추가 복잡성을 피할 수 없습니다. 여러 ID 공급자를 통합하기위한 Microsoft의 솔루션은 Microsoft Identity Manager입니다. 별개의 소프트웨어 패키지이지만 클라이언트 액세스 라이선스는 Azure AD Premium 계층에 포함되어 있습니다. Azure AD B2B Collaboration (Azure AD B2B)은 비즈니스 파트너에게 회사 앱에 대한 액세스를 제공하는 수단을 제공합니다. Azure AD B2B는 현재 미리보기 상태이지만 비즈니스 파트너와의 공동 작업을 용이하게하여 Active Directory 또는 Active Directory 트러스트에서 사용자 계정을 만들지 않고도 앱에 대한 액세스를 제공합니다.
비밀번호 동기화 또는 통과 인증을 사용할 때 Azure AD를 사용하여 디렉터리 자격 증명을 사용한 SSO (True Single Sign-On) 지원이 지원됩니다. 이전에는 ADFS 만이 기능을 제공했습니다. 사용자는 기술 요구 사항 (즉, 도메인 가입 Windows 컴퓨터, 지원되는 브라우저 버전 등)을 충족한다고 가정하면 자격 증명을 제공하지 않고도 Azure AD 및 SaaS 앱을 인증 할 수 있습니다. 회사 데스크톱 사용자를위한 SSO도 현재 미리보기 상태입니다.
소비자 IDM
Azure AD B2C는 Microsoft의 소비자 용 IDM입니다. 이를 통해 사용자는 Google 또는 Facebook과 같은 다른 클라우드 서비스로 이미 설정 한 기존 자격 증명을 사용하여 서비스 또는 앱을 인증 할 수 있습니다. Azure AD B2C는 OAuth 2.0과 Open ID Connect를 모두 지원하며 Microsoft는 서비스를 앱 또는 서비스와 통합하기위한 다양한 옵션을 제공합니다.
B2C 서비스 요금은 표준 Azure AD 계층과 별개이며 인증 당 저장된 사용자 수와 인증 수로 분류됩니다. 저장된 사용자는 최대 50, 000 명의 사용자를 무료로 사용할 수 있으며 인증 당 최대 0.001 달러부터 최대 백만 달러까지 시작합니다. 매월 처음 50, 000 개의 인증은 무료이며 인증 당 최대 $ 1, 028에서 최대 1 백만 달러부터 시작합니다. 다단계 인증은 Azure AD B2C에도 사용할 수 있으며 인증 당 표준 $ 0.03을 실행합니다.
사용자 프로비저닝
Azure AD는 사용자 및 그룹이 SaaS 앱에 대한 액세스 권한을 할당 및 프로비저닝하도록 설정하는 경우 대부분의 IDaaS 공급 업체와 유사한 기능을 제공합니다. Azure AD Connect를 사용하여 사용자와 보안 그룹을 동기화하거나 Azure AD 내에서 사용자와 그룹을 수동으로 추가 할 수 있습니다. 불행히도 Azure AD에서 사용자 또는 그룹을 숨길 수있는 방법이 없으므로 대기업 고객은 특정 사용자 또는 그룹으로 이동하기 위해 검색 기능을 자주 사용해야합니다. Azure AD를 사용하면 고급 규칙이라는 기능 (현재 미리보기)을 사용하여 특성 기반 쿼리를 기반으로 동적 그룹을 만들 수 있습니다.
Azure AD는 SaaS 앱에서 사용자의 자동 프로비저닝을 지원하며 Office 365 배포와 매우 잘 작동한다는 뚜렷한 이점이 있습니다. 가능하면 Azure AD는 Google Apps의 경우처럼이 프로세스를 단순화합니다. 간단한 4 단계 프로세스를 통해 Azure AD는 Google Apps 로그인을 요청하고 자동 사용자 프로비저닝을 위해 Google Apps를 구성 할 수있는 권한을 요청합니다.
싱글 사인온
Microsoft의 최종 사용자 포털은 경쟁과 유사하여 사용자를 SSO 앱으로 안내하는 일련의 앱 아이콘을 제공합니다. 관리자가 선택하면 암호 재설정, 앱 요청 또는 그룹 구성원 요청 및 승인과 같은 셀프 서비스 작업을 허용하도록 Azure AD 사용자 포털을 구성 할 수 있습니다. Office 365 구독자는 SSO 응용 프로그램을 Office 365 앱 메뉴에 추가하여 Outlook 또는 기타 Office 365 제품 내에서 중요한 비즈니스 응용 프로그램에 편리하게 액세스 할 수 있다는 이점이 있습니다.
Azure AD는 개별 앱에 연결된 보안 정책을 지원하므로 다단계 인증 (MFA)이 필요합니다. 일반적으로 MFA에는 보안 장치 또는 스마트 카드와 같은 일종의 토큰 또는 로그인 전에 있어야하는 스마트 폰 앱이 포함됩니다. Azure AD는 개별 사용자, 그룹 또는 네트워크 위치를 기반으로 MFA를 지원할 수 있습니다. Okta Identity Management는 동일한 방식으로 보안 정책을 처리합니다. 일반적으로 보안 정책을 분리하여 동일한 정책을 여러 앱에 적용 할 수는 있지만 최소한 여러 정책을 구성 할 수는 있습니다.
Microsoft가 Azure AD Premium에서 제공하는 고유 한 기능 중 하나는 회사에서 조직에서 이미 사용중인 SaaS 앱을 식별하는 데 도움이됩니다. Cloud App Discovery는 소프트웨어 에이전트를 사용하여 SaaS 앱과 관련한 사용자 행동 분석을 시작하여 조직에서 가장 일반적으로 사용되는 앱을 탐색하고 엔터프라이즈 수준에서 앱을 관리 할 수 있습니다.
IDaaS 솔루션의 기존 시나리오는 온-프레미스 디렉터리에서 시작된 자격 증명을 사용하여 사용자가 클라우드 앱을 인증하도록하는 것입니다. Azure AD는 에이전트를 사용하여 사용자가 Azure를 통해 앱에 안전하게 연결할 수 있도록하는 에이전트를 사용하는 응용 프로그램 프록시를 사용하여 온-프레미스 앱에 인증을 사용하여 이러한 경계를 넓 힙니다. Application Proxy에서 사용하는 에이전트 기반 아키텍처로 인해 내부 회사 앱에 방화벽 포트를 열 필요가 없습니다. 마지막으로 Azure AD 도메인 서비스를 활용하여 Azure에 포함 된 디렉터리를 제공하여 Azure에서 호스팅되는 가상 컴퓨터로 사용자를 인증하기위한 기존 도메인 환경을 제공 할 수 있습니다. 특정 조건이 충족 될 때 조건부 액세스 정책을 사용하여 추가 인증 규칙 (예: MFA)을 시행하도록 Azure AD 응용 프로그램 프록시를 구성 할 수도 있습니다.
Azure AD는 매일 13 억 건 이상의 인증을 처리합니다. 이처럼 규모가 작아 Microsoft는 현재 IDM 솔루션이 거의 경쟁 할 수없는 서비스를 하나 이상 제공 할 수 있습니다. 이것이 바로 Azure AD Identity Protection입니다. 이 기능은 머신 러닝 (ML)뿐만 아니라 Microsoft의 광범위한 클라우드 서비스 (Outlook.com, Xbox Live, Office 365 및 Azure)를 사용하여 Azure AD에 저장된 ID에 대한 비교할 수없는 위험 분석을 제공합니다. Microsoft는이 데이터를 사용하여 각 사용자 및 각 로그인에 대한 위험 점수를 계산할 수있는 패턴과 이상을 탐지합니다. 또한 Microsoft는 잠재적으로 손상 될 수있는 조직 내 자격 증명에 대한 이러한 위반을 평가할 수 있도록 자격 증명과 관련된 보안 위반을 적극적으로 모니터링합니다. 이 위험 점수가 계산되면 관리자는 인증 정책에서이 점수를 활용하여 MFA 또는 암호 재설정과 같은 추가 로그인 요구 사항을 처리 할 수 있습니다.
보고
Microsoft가 Azure AD와 함께 제공하는 보고서 세트는 서비스 수준에 따라 다릅니다. 무료 및 기본 계층도 기본 활동 보고서 및 사용 현황 로그를 보여주는 통조림 보고서 인 기본 보안 보고서를 제공합니다. 프리미엄 구독자는 Azure의 기계 학습 기능을 활용하여 반복적 인 실패 후의 성공적인 인증 시도, 여러 지역의 사용자 또는 의심스러운 IP 주소의 비정상적인 동작에 대한 통찰력을 제공하는 고급 보고서 세트에 액세스 할 수 있습니다.
Azure AD는 전체보고 제품군을 제공하지 않지만 프리미엄 고객이 사용할 수있는 미리 준비된 보고서는 경쟁 업체가 제공하는 것보다 훨씬 정교합니다. 결국, Azure AD Premium의 미리 준비된 보고서를 통해 얻을 수있는 통찰력 수준이 마음에 들었습니다. 심지어 예약 또는 사용자 지정 보고서가없는 것에 대해서도 무게를 even습니다.
가격
Azure AD의 가격은 사용자 당 최대 500, 000 개의 디렉터리 개체 (이 경우 사용자 및 그룹을 의미 함) 및 최대 10 개의 싱글 사인온 (SSO) 앱을 지원하는 프리 티어로 시작됩니다. Azure AD의 무료 버전은 Office 365 구독에 자동으로 포함되며이 경우 개체 제한이 적용되지 않습니다. 사용자 당 월 $ 1의 소매 가격으로 Azure AD의 기본 계층은 경쟁이 매우 치열합니다. 기본 서비스는 사용자 포털 브랜딩 및 그룹 기반 SSO 액세스 및 프로비저닝과 같은 기능을 추가하므로 SaaS 앱에서 사용자 계정을 자동으로 생성하려면 기본 계층이 필요합니다.
기본 계층에는 사용자 당 10 개의 앱 제한이 유지되지만 Application Proxy를 사용하여 온-프레미스 앱을 지원하는 기능이 추가되었습니다. Azure AD의 프리미엄 P1 및 P2 계층은 사용자가 가질 수있는 SSO 앱의 양에서 한계를 제거하고 매월 사용자 당 $ 6 및 $ 9의 셀프 서비스 및 MFA 기능을 추가합니다. 두 Azure AD Premium 계층에는 데이터베이스, 앱, 기타 디렉터리 등에서 ID를 동기화하고 관리하는 데 사용할 수있는 Microsoft Identity Manager (이전의 Forefront Identity Manager) 용 사용자 CAL (클라이언트 액세스 라이선스)도 포함되어 있습니다. 프리미엄 계층은 조건부 액세스 및 Intune MDM 라이센스를 테이블로 가져와 보안 기능을 크게 향상시킵니다. Premium P1에 비해 Premium P2 계층의 주요 이점은 ID 보호 및 Privileged Identity Management이며, 이 두 가지 모두 업계 최고의 보안 기능을 갖추고 있습니다.
또 다른 가격 고려 사항은 Azure AD와 별도로 Azure의 MFA 서비스를 라이선스 할 수있는 기능으로, 다음과 같은 두 가지 이점이 있습니다. 첫째, MFA를 사용자 당 월 1.40 달러 또는 10 개의 인증 (사용에 가장 적합한 것)으로 무료 또는 기본 Azure AD 계층에 추가 할 수 있습니다. MFA를 사용하는 기본 서비스의 총 비용을 사용자 당 $ 2.40로 가져옵니다. 둘째, 사용자 기반의 하위 집합에 대해서만 MFA를 사용하도록 설정하여 매월 상당한 비용을 절약 할 수 있습니다.
Azure AD는 IDaaS 공급자에서 찾고자하는 대부분의 핵심 기능을 다룹니다. Microsoft와 같은 회사에서 기대할 수있는 몇 가지 엔터프라이즈 급 도구를 제공합니다. 응용 프로그램 프록시 및 신원 보호와 같은 기능은 동급 최고이거나 경쟁이 없습니다. 가격은 매우 경쟁력이 있으며 Office 365 및 기타 Microsoft 제품 및 서비스와의 통합은 견실하고 지속적으로 발전하고 있습니다. Azure AD는 IDaaS 범주에서 편집자 선택으로 Okta Identity Management에 가입합니다.
