이제 Azure Active Directory Microsoft Entra ID 클라우드 ID 및 액세스 관리로 조직을 보호할 수 있습니다. 이 솔루션은 직원, 고객 및 파트너를 앱, 디바이스 및 데이터에 연결합니다.
이 문서의 지침을 사용하여 Microsoft Entra ID 배포할 계획을 수립할 수 있습니다. 계획 수립 기본 사항에 대해 알아보고 인증 배포, 앱 및 디바이스, 하이브리드 시나리오, 사용자 ID 등에 대한 다음 섹션을 참조하세요.
팁 (조언)
아키텍처 다이어그램 및 참조 아키텍처를 찾고 있나요? 자세한 아키텍처 다이어그램, 하이브리드 ID 토폴로지 및 디자인 지침은 다음을 참조하세요.
- Microsoft Entra 아키텍처 개요 - 서비스 디자인, 확장성 및 가용성
- 하이브리드 아키텍처에서 복원력 빌드 - PHS, PTA 및 페더레이션을 위한 아키텍처 다이어그램
- 올바른 인증 방법 선택 - 인증 의사 결정 트리
Azure - 참조 아키텍처, 기준 구현 및 디자인 지침 - 데이터 보존 및 소버린 클라우드 옵션 - 데이터 스토리지 위치 및 환경 제약 조건
이해 관계자 및 역할
배포 계획을 시작할 때 주요 관련자를 포함합니다. 이해 관계자, 영향을 받는 역할 및 효과적인 배포를 가능하게 하는 소유권 및 책임의 영역을 식별하고 문서화합니다. 직위 및 역할은 조직마다 다르지만 소유권 영역은 비슷합니다. 배포 계획에 영향을 주는 영향력 있는 일반적인 역할은 다음 표를 참조하세요.
| 역할 | 책임 |
|---|---|
| 스폰서 | 예산 및 리소스를 승인하거나 할당할 권한이 있는 엔터프라이즈 선임 리더입니다. 스폰서는 관리자와 경영진 간의 연결입니다. |
| 최종 사용자 | 서비스가 구현되는 대상 사용자입니다. 사용자는 파일럿 프로그램에 참여할 수 있습니다. |
| IT 지원 관리자 | 제안된 변경 내용의 지원 가능성에 대한 입력을 제공합니다. |
| ID 설계자 | 변경 내용이 ID 관리 인프라에 맞게 조정되는 방법을 정의합니다. |
| 애플리케이션 비즈니스 소유자 | 액세스 관리를 포함할 수 있는 영향을 받는 애플리케이션을 소유합니다. 사용자 환경에 대한 입력을 제공합니다. |
| 보안 책임자 | 변경 계획이 보안 요구 사항을 충족하는지 확인합니다. |
| 준수 관리자 | 회사, 산업 또는 정부 요구 사항을 준수하는지 확인합니다. |
RACI
RACI(Responsible, Accountable, Consulted, and Informed: 실무 담당자/의사결정권자/수행 조언자/결과 통보 대상자)는 프로젝트 또는 비즈니스 프로세스에 대한 작업 또는 결과물을 완료하기 위해 다양한 역할의 참여를 지원하는 모델입니다. 이 모델을 사용하여 조직의 역할이 배포 책임을 이해하도록 도울 수 있습니다.
-
실무 담당자 - 태스크를 올바로 완료할 책임을 지는 사람입니다.
- 실무 담당자 역할은 적어도 하나는 있어야 하지만, 다른 사람에게 작업 제공을 지원하도록 위임할 수는 있습니다.
- 책임자 - 결과물이나 과제의 정확성과 완료에 대해 궁극적으로 책임이 있는 사람입니다. 의사결정권자 역할은 태스크 필수 조건이 충족되었는지 확인하고 담당자 역할에 작업을 할당합니다. 의사결정권자 역할은 실무 담당자가 제공하는 작업을 승인합니다. 각 태스크 또는 결과물에 대해 하나의 의사결정권자를 할당합니다.
- 참고인 - 참고인 역할은 일반적으로 주제 전문가(SME)로서 지침을 제공합니다.
- 결과 통보 대상자 - 진행 상황에 대한 최신 정보를 받는 사람들이며, 일반적으로 태스크 또는 결과물의 완료 시 통보받습니다.
인증 배포
다음 목록을 사용하여 인증 배포를 계획합니다.
Microsoft Entra MFA(다단계 인증) - 관리자가 승인한 인증 방법을 사용하여 다단계 인증을 사용하면 간편한 로그인 요구를 충족하면서 데이터 및 애플리케이션에 대한 액세스를 보호할 수 있습니다.
- 테넌트에서 다단계 인증을 구성하고 적용하는 방법 비디오를 참조하세요.
- 다단계 인증 배포 계획 참조
조건부 액세스 - 조건에 따라 사용자가 클라우드 앱에 액세스할 수 있도록 자동화된 액세스 제어 결정을 구현합니다.
- 조건부 액세스란?을 참조하세요.
- 조건부 액세스 배포 계획을 참조하세요.
Microsoft Entra SSPR(셀프 서비스 암호 재설정) - 사용자가 관리자 개입 없이 암호를 재설정하는 데 도움이 됩니다.
MICROSOFT ENTRA ID Microsoft Entra 셀프 서비스 암호 재설정 배포 계획
패스워드 없는 인증 - Microsoft Authenticator 앱 또는 FIDO2 보안 키를 사용하여 암호 없는 인증을 구현합니다.
애플리케이션 및 디바이스
다음 목록을 사용하여 애플리케이션 및 디바이스를 배포할 수 있습니다.
-
SSO(Single Sign-On) - 사용자가 자격 증명을 다시 입력하지 않고 한 번의 로그인으로 앱 및 리소스에 액세스할 수 있도록 지원합니다.
- Microsoft Entra ID SSO란 무엇인가요?을 참조하세요.
- SSO 배포 계획을 참조하세요.
-
내 앱 포털 - 애플리케이션 검색 및 액세스 그룹에 대한 액세스를 요청하거나 다른 사용자를 대신하여 리소스에 대한 액세스를 관리하는 등의 셀프 서비스를 통해 사용자 생산성을 높일 수 있습니다.
내 앱 포털 개요
-
Devices - Microsoft Entra ID 사용하여 디바이스 통합 방법을 평가하고 구현 계획을 선택하는 등의 방법을 선택합니다.
Microsoft Entra 디바이스 배포 계획
하이브리드 시나리오
하이브리드 ID 배포에 대한 아키텍처 다이어그램 및 복원력 패턴은 하이브리드 아키텍처에서 복원력 빌드를 참조하세요. 다운로드 가능한 Visio 다이어그램이 포함된 전체 참조 아키텍처는 온-프레미스 Active Directory를 Microsoft Entra ID와 통합하는 방법에 대해 참조하세요.
다음 목록에서는 하이브리드 시나리오의 기능 및 서비스를 설명합니다.
- AD FS(Active Directory Federation Services) - 통과 인증 또는 암호 해시 동기화를 사용하여 페더레이션에서 클라우드로 사용자 인증을 마이그레이션합니다.
- 참고하세요, Microsoft Entra ID와의 페더레이션이란 무엇인가요?
- 페더레이션에서 클라우드 인증으로 마이그레이션을 참조하세요.
-
Microsoft Entra 애플리케이션 프록시 - 직원이 디바이스에서 생산성을 높일 수 있도록 합니다. 온-프레미스 클라우드 및 회사 앱의 SaaS(Software as a Service) 앱에 대해 알아봅니다. Microsoft Entra 애플리케이션 프록시를 사용하면 VPN(가상 사설망) 또는 DMZ(완만 영역) 없이 액세스할 수 있습니다.
Microsoft Entra 애플리케이션 프록시를 통해 온-프레미스 애플리케이션에 대한 액세스 제한 Microsoft Entra 애플리케이션 프록시 배포 계획
-
Seamless SSO(Seamless Single Sign-On) - 회사 네트워크에 연결된 회사 디바이스에서 사용자 로그인에 Seamless SSO를 사용합니다. 사용자는 Microsoft Entra ID 로그인하는 데 암호가 필요하지 않으며 일반적으로 사용자 이름을 입력할 필요가 없습니다. 권한 있는 사용자는 추가 온-프레미스 구성 요소 없이 클라우드 기반 앱에 액세스합니다.
Microsoft Entra SSO: 빠른 시작 Microsoft Entra 원활한 SSO: 기술 심층 분석
사용자
- 사용자 ID - Dropbox, Salesforce, ServiceNow 등의 클라우드 앱에서 사용자 ID를 만들고, 유지 관리하고, 제거하는 자동화에 대해 알아봅니다.
- Microsoft Entra ID Governance - ID 거버넌스를 만들고 ID 데이터를 사용하는 비즈니스 프로세스를 향상시킵니다. Workday 또는 Successfactors와 같은 HR 제품을 사용하여 규칙을 통해 직원 및 파견 직원 ID 수명 주기를 관리합니다. 이 규칙은 신규 고용, 퇴직, 전근 등의 JLM(Joiner-Mover-Leaver) 프로세스를 만들기, 사용, 사용 안 함 등의 IT 작업에 매핑합니다. 자세한 내용은 다음 섹션을 참조하세요.
-
Microsoft Entra B2B 협업 - 애플리케이션에 대한 보안 액세스를 사용하여 외부 사용자 협업을 개선합니다.
- B2B 협업 개요를 참조하세요.
- 다음을 참조하세요: Microsoft Entra B2B 협업 배포 계획
ID 거버넌스 및 보고
Microsoft Entra ID Governance를 사용하면 조직에서 생산성을 개선하고 보안을 강화하며 규정 준수 및 규정 요구 사항을 보다 쉽게 충족할 수 있습니다. Microsoft Entra ID Governance 사용하여 적절한 사용자가 올바른 리소스에 올바르게 액세스할 수 있는지 확인합니다. ID 및 액세스 프로세스 자동화, 비즈니스 그룹에 대한 위임, 가시성 등을 향상합니다. ID 거버넌스 및 보고에 대해 알아보려면 다음 목록을 사용합니다.
자세히 보기:
Privileged Identity Management(PIM) - Microsoft Entra ID, Azure 리소스 및 기타 Microsoft 온라인 서비스 권한 있는 관리 역할을 관리합니다. JIT(Just-In-Time) 액세스, 요청 승인 워크플로 및 통합된 액세스 검토에 사용하여 악의적인 활동을 방지할 수 있습니다.
보고 및 모니터링 - Microsoft Entra 보고 및 모니터링 솔루션 디자인에는 법적, 보안, 운영, 환경 및 프로세스와 같은 종속성과 제약 조건이 있습니다.
Microsoft Entra 배포 종속성 보고 및 모니터링
액세스 검토 - 리소스에 대한 액세스를 파악하고 및 관리합니다.
- 액세스 검토란?을 참조하세요.
Microsoft Entra 액세스 검토 배포 계획
파일럿에 대한 모범 사례
변경을 모든 사용자가 아닌 더 큰 그룹에 적용하기 전에, 파일럿 프로젝트를 통해 작은 그룹으로 먼저 테스트합니다. 조직의 각 사용 사례가 테스트되는지 확인합니다.
파일럿: 1단계
첫 번째 단계에서는 IT, 유용성 및 테스트하고 피드백을 제공할 수 있는 사용자를 대상으로 지정합니다. 이 피드백을 사용하여 지원 직원의 잠재적 문제에 대한 인사이트를 얻고 모든 사용자에게 보내는 커뮤니케이션 및 지침을 개발합니다.
파일럿: 2단계
동적 멤버 자격을 사용하거나 대상 그룹에 사용자를 수동으로 추가하여 파일럿을 더 큰 사용자 그룹으로 확장합니다.
자세한 정보: Microsoft Entra ID의 그룹에 대한 동적 멤버 자격 규칙