SC-900 2) Microsoft Entra의 기능 설명

목차

 

 ID 유형 설명

    1) 사용자 ID

    2) 워크로드 ID

    3) 관리 ID

    4) 디바이스 ID

    5) 그룹

    6) 외부 ID 및 하이브리드 ID

 

---

Microsoft Entra는 Microsoft 기반의 ID 및 액세서 관리 솔루션이다.

+) Tenant란? https://maily.so/saascenter/posts/de82fda4

SaaS하면서 나도 모르게 헷갈렸던 Tenant 개념! 오늘 딱 정리해드립니다.

 

---

사용자 ID

사용자(사람)에게 ID 부여함. 직원 및 외부 사용자(고객, 컨설턴트, 공급업체 및 파트너)와 같은 사람을 말함.

사용자 인증 방법은 Microsoft Entra의 테넌트를 기준으로 요청됨.

✔️내부 인증

호스트 조직의 Microsoft Entra ID에 계정을 갖고 있으며 해당 계정을 사용해 Microsoft Entra에 인증하는 것을 의미함.

✔️외부 인증

사용자가 다른 조직, 소셜 네트워크 ID 또는 기타 외부 ID 공급자에 속하는 외부 Microsoft Entra 계정을 사용해 인증하는 것을 의미함.

 

 

사용자 유형 속성

✔️ Internal Member

일반적으로 조직의 직원으로 간주되는 사람, 조직의 Microsoft Entra ID를 통해 내부적으로 인증.

Microsoft Entra Directory에 만들어진 사용자 개체의 UserType = Member

✔️ External Member

여러 테넌트로 구성된 조직에서 일반적임. 하나의 대규모 조직 내에 C테넌트와 F테넌트가 있다고 가정했을 때, C(ontoso Microsoft Entra) 테넌트 사용자는 F(Fabrikam Microsoft Entra) 리소스에 대한 멤버 수준 액세스 권한이 필요하다. 해당 시나리오에서 C 사용자는 F 외부에 있는 C계정으로 인증하도록 Fabrikam Microsoft Entra 디렉터리에 구성되지만 Fabrikam의 조직 리소스에 대한 멤버 수준 액세서를 사용하도록 설정하기 위해 UserType = Member이다.

✔️ Internal Guest

배포자, 공급자, 및 공급자 협력 조직이 이런 사용자에 대해 내부 Microsoft Entra 계정을 설정하지만 사용자 개체 UserType을 Guset로 설정하여 게스트로 지정하는 경우에 존재함. 게스트로서 디렉터리 권한이 축소됨.

✔️ Extertal Guest

컨설턴트, 공급 업체, 파트너를 포함한 외부 사용자 또는 게스트가 이 범주에 속함. 사용자는 외부 Microsoft Entra 계정 혹은 외부 ID 공급자(ex) 소셜 ID)를 사용하여 인증함.사용자 개체 UserType = Guest이므로 제한적인 게스트 권한을 부여받음.

 

 

 

워크로드 ID

워크로드란? 작업을 완료하거나 성과를 추출하는데 요구되는 컴퓨팅 리소스와 시간의 양

 

애플리케이션, 가상머신, 서비스, 컨테이너 등 소프트웨어 기반 개체에 ID 할당 가능함.

소프트웨어 워크로드가 다른 서비스 및 리소스를 인증하고 액세스할 수 있음.

 

->애플리케이션 및 서비스 주체: 서비스 주체는 기본적으로 애플리케이션의 ID임. 애플리케이션을 Microsoft Entra ID에 등록하여 통합을 사용하도록 설정하면 애플리케이션이 등록되고, 애플리케이션이 사용되는 각 Microsoft Entra 테넌트에 서비스 주체가 만들어짐. 서비스 주체를 사용하면 Microsoft Entra 테넌트로 보호되는 리소스에 대한 애플리케이션 인증 및 권한 부여와 같은 코어 기능을 사용할 수 있음.

 

 

관리 ID

 

:Microsoft Entra ID에서 자동으로 관리되며 개발자가 자격 증명을 관리할 필요가 없는 서비스 주체 형식.

Microsoft Entra 테넌트로 보호되는 리소스에 액세스할 수 있으려면 개발자가 자격증명을 관리하고 보호해야 하는데, 관리 ID를 사용하면 개발자의 책임을 덜어줌.

 

✔️ 시스템 할당

가상머신같은 일부 Azure 리소스를 사용하면 리소스에서 직접 관리 ID를 사용하도록 설정할 수 있다.

리소스가 삭제되면 해당 ID는 자동으로 삭제된다. 예시로는 단일 가상 머신에서 실행되는 애플리케이션과 같은 단일 Azure 리소스 내에 워크로드가 포함되어 있는 경우이다.

 

✔️  사용자 할당

관리 ID를 독립 실행형 Azure 리소스로 만들 수도 있다.사용자가 할당한 관리 ID를 만들면 이를 하나 이상의 Azure 서비스 인스턴스에 할당할 수 있다. 즉, 사용자가 할당한 관리 ID를 사용하는 리소스를 삭제해도 ID는 삭제되지 않는다. 모두 도일한 권한 집합을 갖고 있지만 자주 재활용될 수 있는 여러 VM이 있는 시나리오에 적합하다.

 

 

 

디바이스 ID

 

휴대폰, 데스크톱 컴퓨터, IoT 디바이스 등의 물리적 디바이스에 ID 할당 가능. 모바일 디바이스, 랩톱, 서버 또는 프린터와 같은 하드웨어 부분이다.

 

디바이스 ID는 액세스 또는 구성 결정을 내릴 때 사용할 수 있는 정보를 관리자에게 제공함.

Microsoft Entra ID에 디바이스를 등록하고 결합하면 사용자에게 클라우드 기반 리소스에 대한 SSO(Single Sign-On)가 제공됨.

✔️ Microsoft Entra 등록 디바이스: 목표는 사용자에게 BYOD(Bring Your Own Device) 또는 모바일 시나리오에 대한 지원을 제공하는 것. 사용자가 개인 디바이스를 사용해 조직 리소스에 액세스할 수 있다. 조직 계정 필요 없이 Microsoft Entra ID에 등록됨.

✔️ Microsoft Entra 조인: 조직 계정을 통해 Microsoft Entra ID에 조인된 디바이스로, 해당 계정을 사용해 디바이스에 로그인함. 조인된 디바이스는 일반적으로 조직이 소유함.

3) Microsoft Entra 하이브리드 조인 디바이스:  기존 on-premise Active Directory 구현이 있는 조직은 Microsoft Entra 하이븨드 조인 디바이스를 구현해 Microsoft Entra ID에서 제공하는 기능을 활용할 수 있음. 이런 디바이스는 디바이스에 로그인하도록 조직 계정이 필요한 on-premise Active Directory 및 Microsoft Entra ID에 조인되어 있음.

 

 

 

그룹

 

Microsoft Entra ID에서 액세스 요구 사항이 동일한 여러 ID가 있는 경우 그룹을 만들 수 있음.

그룹을 사용하여 액세스 권한을 개별적으로 할당하는 대신 그룹의 모든 구성원에게 액세스 권한을 부여할 수 있음.

 

Microsoft Entra 리소스에 대한 액세스를 액세스가 필요한 ID로만 제한하는 것은 제로  트러스트의 핵심 보안 원칙이다.

✔️ 보안 그룹

가장 일반적인 형식의 그룹, 공유 리소스에 대한 사용자 및 디바이스 액세스를 관리하는데 사용. 보안 그룹 멤버에는 사용자(내부, 외부), 디바이스, 기타 그룹 및 서비스 주체가 포함될 수 있다. 보안 그룹 만들려면 Microsoft Entra 관리자 역할이 필요함.

✔️ Microsoft 365(=배포 그룹)

협업 요구 사항에 따라 사용자를 그룹화하는데 사용함. Microsoft 365 그룹은 사용자가 만들 수 있으므로 관리자 역할이 필요하지 않음. 해당 그룹의 멤버에는 조직 외부 사용자를 포함한 사용자만 포함될 수 있음.

 

 

외부 ID 및 하이브리드 ID

 

협업을 하기 위해선 외부 사용자에게 조직의 애플리케이션 또는 데이터에 대한 액세스를 제공해야 하는 경우가 생긴다.

Microsoft Entra 외부 ID는 조직 외부의사용자와 안전하게 상호 작용할 수 있는 모든 방법을 나타낸다.

 

✔️  B2B 협업

Business-to-Bussiness 협업을 통해 조직 직원은 자신이 기본 설정하는 ID를 사용해 Microsoft 어플리케이션 또는 기타 엔터프라이즈 애플이케이션에 로그인할 수 있도록 함으로써 외부 사용자와 협업할 수 있음. B2B Collaboration 사용자는 일반적으로 게스트 사용자로 디렉터리에 표시됨.

 

[ B2B Collaboration을 위해 조직에 외부 사용자를 추가하는 방법 ]

-MS 계정 또는 소셜 ID를 사용해 사용자를 B2B 협업에 초대한다. 사용자는 자신의 계정으로 간단한 사용 프로세스를 통해 공유 리소스에 로그인한다.

-셀프 서비스 등록 사용자 흐름을사용해 외부 사용자가 애플리케이션 자체에 등록할 수 있도록 한다. 특정 조직의 ID로 등록할 수 있도록 환경을 사용자 지정할 수 있다.

-액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화해 대규모 외부 사용자와의 ID와 액세스를 관리할 수 있는 ID 거버넌스 기능인 Microsoft Entra 권한 관리를 사용한다.

 

✔️ B2B 직접 연결

Microsoft Teams 공유 채널을 사용하여 다른 Microsoft Entra 조직과 협업할 수 있는 새로운 방법

다른 Microsoft Entra 조직과 양방향 트러스트 관계를 만들어 사용자가 공유 리소스에 원활하게 로그인할 수 있도록 함.

B2B 직접 연결 사용자는 디렉터리에 표지되지 않음.(게스트로 추가되지 않음.) Teams 공유 채널 내에서 볼 수 있음.두 조직이 상호 B2B 직접 연결을 사용하도록 설정하면 사용자는 홈 조직에서 인증하고 액세스를 위해 리소스 조직에서 토큰을 받음. Teams Connect 공유 채널 기능을 사용해 사용자가 채팅, 통화, 파일 공유 및 앱 공유를 위한 Teams 공유 채널을 통해 여러 조직의 외부 사용자와 공동 작업할 수 있음.

 

 

 다중 테넌트 조직

 

Microsoft Entra ID 인스턴스가 두 개 이상 있는 조직을 말한다.여러 클라우드를 사용하거나, 지리적 경계가 나눠져있거나 등등...Microsoft Entra ID의 단방향 동기화 서비스를 사용하면 테넌트 간 동기화가 가능하다.사용자가 각 테넌트별로 일일이 동의 프롬프트를 수락하지 않아도 리소스에 액세스할 수 있도록 한다.

 

 

💯중간 점검💯

 

❓️프로젝트 관리자가 다양한 부서의 멤버를 포함하는 새 프로젝트를 설정하고 있습니다. 프로젝트 관리자는 프로젝트 팀 멤버가 공동 작업을 수행하고 사서함, 일정, 파일 및 프로젝트의 SharePoint 사이트에 대한 공유 액세스를 가질 수 있는지 확인하려고 합니다. 관리자의 개입 없이 프로젝트 관리자가 이 요구 사항을 충족하기 위해 사용할 수 있는 Microsoft Entra 기능은 무엇인가요? 

-> Microsoft 365 그룹(사용자가 Microsoft 365 그룹을 만들 수 있음.)

 

❓️조직은 클라우드로의 전체 마이그레이션을 완료했으며 모든 직원을 위한 디바이스를 구입했습니다. 모든 직원은 Microsoft Entra ID에 구성된 조직 계정을 통해 디바이스에 로그인합니다. Microsoft Entra ID에서 이러한 디바이스가 설정되는 방식을 가장 잘 설명하는 옵션을 선택합니다.

 ->Microsoft Entra가 조인된 것으로 설정된다.

(조직 계정을 통해 조인된 디바이스. 조인된 디바이스는 일반적으로 조직이 소유함.)

 

❓️개발자는 자격 증명을 관리하지 않아도 추가 비용을 발생시키지 않고 Microsoft Entra 인증을 지원하는 Azure 리소스에 애플리케이션을 연결하려고 합니다. 애플리케이션 ID 유형을 가장 잘 설명하는 옵션은 무엇인가요?

-> 관리 ID(Microsoft Entra ID에서 자동으로 관리됨. 개발자의 보안 책임을 덜어줌.)