하늘빛 Active Directory (Azure AD, 현재는 Entra ID)는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. Single Sign-On 기능을 제공하며, 다단계 인증 조직이 클라우드 애플리케이션과 온프레미스 앱에 안전하게 액세스할 수 있도록 지원합니다.
Entra ID 조직에서 사용자와 그룹을 관리할 수 있습니다. 온프레미스와 통합 가능 Active Directory 하이브리드 ID 솔루션을 제공합니다.
Entra ID의 주요 기능은 다음과 같습니다:
Entra ID 온프레미스 디렉터리와 동기화하고 클라우드 애플리케이션에 대한 Single Sign-On을 허용하여 작동합니다. 사용자는 하나의 계정으로 한 번 로그인하여 모든 리소스에 액세스할 수 있습니다. Entra ID 또한 다단계 인증, 액세스 관리, 모니터링 및 보안 보고를 통해 데이터를 보호하는 데 도움이 됩니다. 사용자 계정 액세스를 제어할 수 있습니다.
Entra ID Connect는 다음과 같은 온프레미스 디렉터리를 동기화합니다. Active Directory 도메인 서비스 Entra ID. 이를 통해 사용자는 온프레미스 및 클라우드 리소스 모두에 동일한 자격 증명을 사용할 수 있습니다. Entra ID Connect는 다음과 같은 개체를 동기화합니다.
이 동기화 프로세스는 온프레미스 디렉터리 개체를 해당 개체와 일치시킵니다. Entra ID 대응하고 변경 사항이 두 디렉터리 모두에 반영되도록 합니다.
SSO(Single Sign-On)에서는 사용자가 한 번의 로그인으로 여러 애플리케이션에 액세스할 수 있습니다. Entra ID 수천 개의 사전 통합된 애플리케이션과 함께 SAML(Security Assertion Markup Language) 및 OIDC(OpenID Connect) 프로토콜을 통해 SSO를 제공합니다. 원활한 액세스를 통해 사용자는 앱에 액세스할 때마다 자격 증명을 다시 입력할 필요가 없습니다.
Entra ID 조건부 액세스를 통해 관리자는 다음과 같은 조건에 따라 액세스 제어를 설정할 수 있습니다.
관리자는 위험을 줄이기 위해 액세스를 차단하거나 다단계 인증을 요구할 수 있습니다. 조건부 액세스는 리소스 액세스를 위한 추가 보안 계층을 제공합니다.
Windows Active Directory (AD)는 Microsoft의 Windows 도메인 네트워크용 디렉터리 서비스입니다. 사용자, 그룹, 컴퓨터 등 네트워크의 개체에 대한 정보를 저장합니다. AD를 통해 네트워크 관리자는 Windows 환경에서 사용자와 리소스를 관리할 수 있습니다.
AD는 계층적 데이터베이스를 사용하여 개체에 대한 정보를 디렉터리에 저장합니다. 개체에는 다음이 포함됩니다.
AD를 사용하면 시스템 관리자는 Windows 환경에서 사용자와 리소스를 관리할 수 있는 중앙 위치를 확보할 수 있습니다. 사용자, 그룹, 컴퓨터와 같은 개체를 계층 구조로 구성함으로써 AD를 사용하면 전체 네트워크에 정책과 권한을 쉽게 적용할 수 있습니다.
Windows Active Directory (광고) 그리고 Entra ID 둘 다 Microsoft의 디렉터리 서비스이지만 서로 다른 용도로 사용됩니다. Windows AD는 조직의 사용자 및 리소스를 관리하기 위한 온프레미스 디렉터리 서비스입니다. Entra ID Microsoft의 다중 테넌트 클라우드 기반 디렉터리 및 ID 관리 서비스입니다.
Windows AD에서는 데이터를 저장하고 인증을 관리하기 위해 물리적 도메인 컨트롤러가 필요합니다. Entra ID Microsoft의 클라우드 서비스에서 호스팅되므로 온프레미스 서버가 필요하지 않습니다. Windows AD는 LDAP 프로토콜을 사용하지만 Entra ID RESTful API를 사용합니다. Windows AD는 주로 온프레미스 리소스용으로 설계되었지만 Entra ID 클라우드 애플리케이션, SaaS(Software as a Service) 앱 및 온프레미스 앱에 대한 ID 및 액세스를 관리하도록 설계되었습니다.
Windows AD에서 사용자는 온프레미스 Windows 서버에서 동기화되고 로컬로 관리됩니다. ~ 안에 Entra ID, 사용자는 클라우드 포털에서 생성 및 관리되거나 다음을 사용하여 온프레미스 디렉터리에서 동기화될 수 있습니다. Entra ID 에 연결합니다. Entra ID 또한 다음을 통해 대량 사용자 생성 및 업데이트를 지원합니다. Entra ID 그래프 API 또는 PowerShell.
Windows AD에는 온프레미스 애플리케이션을 게시하려면 수동 구성이 필요합니다. Entra ID 사전 통합된 SaaS 앱과 다르며 사용자 자동 프로비저닝을 지원합니다. 맞춤형 애플리케이션도 추가할 수 있습니다. Entra ID SAML 또는 OpenID Connect를 사용한 Single Sign-On의 경우.
Windows AD에서는 Kerberos 온프레미스 인증을 위한 NTLM. Entra ID SAML, OpenID Connect, WS-Federation 및 OAuth 2.0과 같은 인증 프로토콜을 지원합니다. Entra ID 또한 다단계 인증, 조건부 액세스 정책 및 신원 보호.
Entra ID Connect는 Windows AD의 ID를 다음과 동기화할 수 있습니다. Entra ID. 이를 통해 사용자는 다음에 로그인할 수 있습니다. Entra ID 동일한 사용자 이름과 비밀번호를 사용하는 Office 365. 디렉터리 동기화는 단방향이며 업데이트됩니다. Entra ID Windows AD의 변경 사항.
요약하자면, Windows AD와 Entra ID 둘 다 Microsoft 디렉터리 서비스이므로 용도가 매우 다릅니다. Windows AD는 온프레미스 리소스를 관리하기 위한 반면, Entra ID SaaS 애플리케이션 및 기타 클라우드 리소스에 대한 액세스를 관리하기 위한 클라우드 기반 서비스입니다. 많은 조직에서는 Windows AD와 Entra ID 함께 가장 완벽한 솔루션을 제공합니다.
Entra ID 필수 제공 신원 및 액세스 관리 Azure 및 Microsoft 365 기능. 핵심 디렉터리 서비스, 고급 ID 거버넌스, 보안 및 애플리케이션 액세스 관리를 제공합니다.
Entra ID 다중 테넌트 클라우드 디렉터리 및 ID 관리 서비스 역할을 합니다. 사용자, 그룹 및 애플리케이션에 대한 정보를 저장하고 온프레미스 디렉터리와 동기화합니다. Entra ID 앱 및 리소스에 대한 SSO(Single Sign-On) 액세스를 제공합니다. SSO 통합을 위해 OAuth 2.0, OpenID Connect 및 SAML과 같은 개방형 표준을 지원합니다.
Entra ID ID 수명주기를 관리하는 기능이 포함되어 있습니다. HR 데이터를 기반으로 하거나 직원이 조직에 합류하거나 조직 내에서 이동하거나 조직을 떠날 때 사용자 계정을 프로비저닝 및 프로비저닝 해제하는 도구를 제공합니다. 리소스에 액세스할 때 다단계 인증, 장치 규정 준수, 위치 제한 등을 요구하도록 조건부 액세스 정책을 구성할 수 있습니다. Entra ID 또한 관리자는 셀프 서비스 비밀번호 재설정, 액세스 검토 및 특권 ID 관리를 구성할 수 있습니다.
Entra ID 적응형 기계 학습 알고리즘과 휴리스틱을 활용하여 의심스러운 로그인 활동과 잠재적인 취약점을 탐지합니다. 위협을 식별하고 해결하는 데 도움이 되는 보안 보고서와 경고를 제공합니다. 마이크로소프트도 제안한다 Entra ID 보안 강화를 위해 ID 보호 및 권한 있는 ID 관리가 포함된 프리미엄 P2입니다.
Entra AD는 Entra AD 앱 갤러리에 있는 수천 개의 사전 통합 SaaS 앱에 대한 Single Sign-On 액세스를 가능하게 합니다. 사용자 프로비저닝과 맞춤형 애플리케이션에 대한 SSO 활성화도 지원합니다. 애플리케이션 프록시는 온프레미스 웹 애플리케이션에 대한 보안 원격 액세스를 제공합니다. Entra AD B2C는 고객 대면 애플리케이션에 대한 고객 ID 및 액세스 관리를 제공합니다.
요약하면 Azure AD는 Microsoft의 다중 테넌트 클라우드 디렉터리 및 ID 관리 서비스입니다. 핵심 디렉터리 서비스, ID 거버넌스, 보안 기능, 애플리케이션 액세스 관리와 같은 필수 기능을 제공하여 조직이 사용자 ID를 관리하고 Azure, Microsoft 365 및 기타 SaaS 애플리케이션의 리소스에 대한 보안 액세스를 관리할 수 있도록 합니다.
Entra AD는 조직에 여러 가지 이점을 제공합니다.
Entra AD는 다단계 인증, 조건부 액세스, 신원 보호와 같은 강력한 보안 기능을 제공합니다. MFA는 사용자 로그인을 위한 추가 보안 계층을 추가합니다. 조건부 액세스를 통해 조직은 사용자 위치 또는 장치 상태와 같은 요소를 기반으로 액세스 제어를 구현할 수 있습니다. 신원 보호는 사용자 계정에 대한 잠재적인 취약점과 위험을 감지합니다.
Entra AD는 사용자 계정 및 액세스 관리를 단순화합니다. 사용자 및 그룹을 관리하고, 액세스 정책을 설정하고, 라이선스 또는 권한을 할당할 수 있는 단일 위치를 제공합니다. 이를 통해 관리 오버헤드를 줄이고 조직 전체에 일관된 정책 시행을 보장할 수 있습니다.
Entra AD를 사용하면 사용자는 조직 계정을 사용하여 한 번 로그인하고 모든 클라우드 및 온프레미스 애플리케이션에 액세스할 수 있습니다. 이 Single Sign-On 환경은 생산성을 향상시키고 사용자의 암호 피로도를 줄여줍니다. Entra AD는 사전 통합된 수천 개의 애플리케이션은 물론 맞춤형 애플리케이션에 대한 Single Sign-On을 지원합니다.
Single Sign-On을 활성화하고 액세스 관리를 간소화함으로써 Entra AD는 최종 사용자 생산성을 높이는 데 도움이 됩니다. 사용자는 다른 자격 증명을 사용하여 반복적으로 로그인할 필요 없이 모든 애플리케이션과 리소스에 빠르게 액세스할 수 있습니다. 여러 로그인과 비밀번호를 관리하는 데 소요되는 시간을 줄이고 필요한 애플리케이션과 리소스에 더 많은 시간을 투자합니다.
많은 조직에서 Entra AD는 온프레미스 ID 솔루션과 관련된 비용을 줄이는 데 도움이 될 수 있습니다. ID 관리를 위해 하드웨어와 소프트웨어를 구매하고 유지 관리할 필요가 없습니다. 또한 액세스 관리를 단순화하고 SSO(Single Sign-On)를 활성화함으로써 비밀번호 재설정 및 액세스 문제와 관련된 헬프 데스크 비용을 줄이는 데 도움이 될 수 있습니다.
Entra AD에 대한 일반적인 공격은 다음과 같습니다.
비밀번호 스프레이 공격은 공통 자격 증명을 추측하여 여러 계정에 액세스하려는 시도입니다. 공격자는 조직의 계정과 일치하기를 바라며 "Password1" 또는 "1234"와 같은 비밀번호를 시도합니다. 다단계 인증 및 비밀번호 정책을 활성화하면 이러한 종류의 무차별 대입 공격을 방지하는 데 도움이 될 수 있습니다.
피싱 공격은 사용자 자격 증명을 도용하거나, 악성 코드를 설치하거나, 사용자를 속여 계정에 대한 액세스 권한을 부여하도록 시도합니다. 공격자는 사기성 이메일을 보내거나 합법적인 Entra AD 로그인 페이지의 모양과 느낌을 모방한 악성 웹사이트로 사용자를 안내합니다. 사용자에게 피싱 기술에 대해 교육하고 다단계 인증을 활성화하면 피싱으로 인한 손상 위험을 줄이는 데 도움이 될 수 있습니다.
Entra AD에서 발급한 액세스 토큰을 도난당하고 재생하여 리소스에 액세스할 수 있습니다. 공격자는 사용자 또는 애플리케이션을 속여 액세스 토큰을 공개한 다음 해당 토큰을 사용하여 데이터 및 시스템에 액세스하려고 합니다. 다단계 인증을 활성화하고 단기 액세스 토큰만 발급하면 토큰 도난 및 재생 공격을 방지하는 데 도움이 됩니다.
공격자는 정찰에 사용할 계정을 Entra AD에 생성합니다. 측면 운동 네트워크에서 또는 합법적인 계정으로 혼합됩니다. 계정 생성 정책을 강화하고 다단계 인증을 활성화하며 비정상적인 계정 활동을 모니터링하면 악성 계정 생성을 탐지하는 데 도움이 될 수 있습니다.
맬웨어, 악성 애플리케이션 및 손상된 소프트웨어는 Entra AD에서 데이터를 추출하거나, 다른 계정 및 시스템으로 확산하거나, 네트워크에서 지속성을 유지하는 데 사용될 수 있습니다. Entra AD 데이터 및 계정에 액세스할 수 있는 타사 애플리케이션을 주의 깊게 제어하고, 손상 징후를 모니터링하고, 안전한 애플리케이션 사용에 대해 사용자를 교육하면 악성 소프트웨어로 인한 위험을 줄이는 데 도움이 됩니다.
Entra AD는 다단계 인증, 조건부 액세스, ID 보호, 특권 ID 관리 등과 같은 필수 ID 및 액세스 관리 기능을 제공합니다. 보안을 강화하고 클라우드에서 ID를 효율적으로 관리하려는 조직의 경우 Entra AD는 강력하고 신뢰할 수 있는 솔루션으로 간주되어야 합니다.
