AZ-104 (0) (Azure Active Directory, 테넌트/디렉터리, AD DS, 디바이스)

벨로그에 첫 포스팅!!!

🧩Azure Active Directory

- 사용자를 위한 Azure 서비스 및 리소스에 대한 액세스를 안전하게 관리할 수 있는 클라우드 기반 ID 관리 기능 제품군
- 애플리케이션 관리, 인증, 디바이스 관리 및 하이브리드 ID제공

• 클라우드 뿐만 아니라 온프레미스 환경의 리소스도 애져 AD로 관리할 수있다.

• 클라우드와 온프레미스 환경에 같이 사용하는 Identity를 하이브리드 ID라고 한다.

🧩 Azure AD 테넌트/디렉터리

- Azure AD 계정 : Azure AD 또는 기타 Microsoft 클라우드 서비스를 통해 만든 ID
- Azure AD 테넌트/디렉터리
테넌트는 조직에서 Microsoft 클라우드 서비스를 구독에 가입할 때 자동으로 만들어지는 Azure AD의 신뢰할 수 있는 전용 인스턴스
Azure AD의 추가 인스턴스를 만들 수 있음
Azure AD는 ID 서비스를 제공하는 기본 제품.
테넌트는 단일 조직을 나타내는 Azure AD의 단일 인스턴스를 의미

• Azure AD service principal 계정 : 특정 한 서비스를 접근할 때 사용자 계정이 아닌 서비스가 서비스를 접근할 때 그 서비스에 권한을 주는 것
  --> 계정 = ID인 개체 + 데이터

• Azure AD 테넌트는 사용자 지정 범위 ex)blabla01@blalba.onmicrosoft.com
• Azure AD 디렉터리는 ex) blabla02@blabla.onmicrosoft.com로 디렉터리를 구분하고 권한을 부여한다.
  -> azure, azure AD에서 사용되는 리소스를 각각 권한을 할당, 구성을 한다. 이때 역할이 나오게 됨.

• 테넌트에서 사용되는 구독은 여러개 있을 수있음

• 테넌트를 관리하는 디렉터리도 있고, 테넌트를 단위로 다양한 구독이 있다. 구독 단위로 과금이 부과된다.

• 도메인 모양의 테넌트를 기반으로 Azure AD 디렉토리는 ID 그룹, 권한을 관리

😂 맞는지 모르겠지만 😂

• ID > Azure AD > 테넌트 > 구독

• 계정 > 테넌트 > 디렉터리 > 사용자 그룹 > 리소스 그룹

🧩 AD DS와 Azure Active Directory 비교

- Azure AD는 기본적으로 ID 솔루션이며 HTTP 및 HTTPS 통신용으로 설계됨
- HTTP 및 HTTPS를 통해 REST API를 사용하여 쿼리 LDAP 대신 사용
- 인증에는 SAML/WS-Federation/OpenID Connect 등의 HTTP 및 HTTPS 프로토콜 사용(권한 부여는 OAuth 사용) 사용.
- 페더레이션 서비스 및 다양한 타사 서비스 포함
- Azure AD 사용자 및 그룹은 플랫 구조로 만들어지며 OU(조직 구성 단위) 또는 GPO (그룹 정책 개체)는 없음

• Azure AD, 액티브 디렉토리의 도메인 서비스는 다름.

• Azure AD는 ID 관리 사용자/그룹/정책을 다루는 클라우드 기반 솔루션

• 온프레미스 액티브 디렉토리는 모든 구성들이 끈끈하게 구성돼 있지만 클라우드 애져 액티브 디렉토리는 MSA랑 비슷해서 rest 기반으로 느슨한 연결이다. 실제 워크플로우가 진행 될 때 유연성있게 돌아간다.

🧩 Azure AD 디바이스 ID 구성

- Azure AD 등록 디바이스
BYOD(Bring Your Own Device 지원)
등록된 디바이스는 Microsoft 계정을 사용하여 로그인함
리소스 액세스 권한을 부여하는 Azure AD 계정과 연결됨
Microsoft intunne과 같은 MDM(Mobile Device Management)도구를 사용하여 제어
OS - Window10이상, iOS Android, MacOS

- Azure AD 조인 디바이스
클라우드 우선 또는 클라우드 전용 조직용
조직 소유 디바이스
Azure AD에만 조인 됨-조직 계정이 필요함
조건부 액세스 정책을 사용할 수 있음
OS - Windows 10이상 디바이스

- 하이브리드 Azure AD 조인 디바이스
Active Directory 컴퓨터 인증을 사용하는 디바이스에 Win32 앱을 배포한 경우
계속해서 그룹 정책을 사용하여 디바이스를 관리하려는 경우
기존 이미지 솔루션을 사용하여 디바이스를 배포하려는 경우
OS - Windows7 이상 디바이스

Azure AD 등록 디바이스

• 내 장비를 회사 Azure AD에 등록해서 로그인 및 제어 가능

Azure AD 조인 디바이스

• 조건부 액세스 정책과 같이 회사정책에 맞게 적용받게 된다. 주로 회사 소유 디바이스

• 회사 계정으로 로그인

—> 개인장비를 회사 Azure AD에 등록하는 것과 회사 장비를 Azure AD에 등록하는 것은 다르다. 회사 장비는 추적이 가능하다. 개인장비는 등록하는 거니까 회사에서 컨트롤이 불가능할 것

—> (그림) 윈도우 AD에서 Azure AD 클라이언트를 사용하면 윈도우에서 관리되는 identity를 Azure AD에 동기화할 수 있다 그러면 Azure AD와 동기화 된 계정으로 Azure AD에 로그인하면 이 계정으로 윈도우 AD를 접근할 수 있다.

하이브리드 Azure AD 조인 디바이스

• Azure AD, 온프레미스 AD에 모두 사용가능.

• 기존 Azure AD가 있는 조직에서 하이브리드를 구현해서 Azure AD에서 지원하는 일부기능을 사용. -> Azure AD에는 개인장비처럼 등록이 되고 온프레미스 AD에는 회사 장비처럼 조인이 되어 사용가능
  
  
  —> (그림) 윈도우 AD와 Azure AD를 각 조인 또는 등록하여 접근.

암호재설정

1. 암호 재설정 > 속성

2. 암호 재설정 > 인증방법

3. 암호재설정 > 등록

--> MFA 처럼 인증 방법, 질문수를 선택하여 암호 재설정 가능

Copyright Microsoft Corporation