정체성의 유형 설명

  • 11분

Microsoft Entra ID에는 다양한 형식의 ID가 지원됩니다. 이 단원에서 소개하는 용어는 사용자 ID, 워크로드 ID, 디바이스 ID, 외부 ID 및 하이브리드 ID입니다.

Microsoft Entra ID에서 ID를 무엇에 할당할 수 있는지 질문하면 세 가지 범주가 있습니다.

  • 사람에게 사용자 ID라고 하는 ID를 할당할 수 있습니다.
  • 휴대폰, 데스크톱 컴퓨터, IoT 디바이스 등의 물리적 디바이스에 ID를 할당할 수 있습니다.
  • 애플리케이션, 가상 머신, 서비스 및 컨테이너와 같은 소프트웨어 기반 개체에 ID를 할당할 수 있습니다. 이러한 유형의 ID를 워크로드 ID라고 합니다.

ID 유형 범주를 보여 주는 블록 다이어그램. 범주는 워크로드 ID, 디바이스 ID, 인간 ID로 구성됩니다. 워크로드 및 디바이스 ID는 컴퓨터 ID 아래에 그룹화됩니다.

이 단원에서는 Microsoft Entra ID의 각 유형을 살펴봅니다.

사용자

사용자 ID는 직원 및 외부 사용자(고객, 컨설턴트, 공급업체 및 파트너)와 같은 사람을 나타냅니다. Microsoft Entra ID에서 사용자 ID는 인증 방법과 사용자 유형 속성으로 특성화됩니다.

호스트 조직의 Microsoft Entra 테넌트에 대해 사용자가 인증하는 방법은 내부 또는 외부일 수 있습니다. 내부 인증은 사용자가 호스트 조직의 Microsoft Entra ID에 계정이 있는 것을 의미합니다. 외부 인증은 사용자가 외부 Microsoft Entra 계정, 소셜 네트워크 ID 또는 기타 외부 ID 공급자를 사용하여 인증하는 것을 의미합니다.

사용자 유형 속성은 호스트 조직의 테넌시와 사용자의 관계를 설명합니다. 사용자는 게스트이거나 조직의 Microsoft Entra 테넌트의 구성원일 수 있습니다. 기본적으로 게스트는 멤버에 비해 제한된 권한을 가 갖습니다.

게스트 사용자인지 멤버 사용자인지에 따라 지원되는 사용자 ID 유형을 보여 주는 4x4 행렬. 또한 행렬은 내부 인증을 사용하는지 외부 인증을 사용하는지에 따라 사용자 형식을 보여 줍니다.

  • 내부 멤버: 이러한 사용자는 일반적으로 조직의 직원으로 간주됩니다. 사용자는 조직의 Microsoft Entra ID를 통해 내부적으로 인증하며 리소스 Microsoft Entra 디렉터리에 만들어진 사용자 개체의 UserType은 Member입니다.
  • 외부 게스트: 컨설턴트, 공급업체, 파트너를 포함한 외부 사용자 또는 게스트가 일반적으로 이 범주에 속합니다. 사용자는 외부 Microsoft Entra 계정 또는 외부 ID 공급자(예: 소셜 ID)를 사용하여 인증하며 사용자 개체에는 UserType of Guest가 있습니다.
  • 외부 멤버: 이 시나리오는 여러 테넌트로 구성된 조직에서 일반적입니다. 예를 들어 Contoso 및 Fabrikam Microsoft Entra 테넌트가 하나의 대규모 조직 내에 있는 경우 Contoso 사용자는 Fabrikam Microsoft Entra 디렉터리에서 Contoso 계정(Fabrikam 외부)으로 인증하도록 구성할 수 있지만 멤버의 UserType을 사용하여 Fabrikam의 리소스에 대한 멤버 수준 액세스를 사용하도록 설정할 수 있습니다.
  • 내부 게스트: 이 시나리오는 조직에서 배포자 또는 공급업체와 같은 외부 사용자를 위해 내부 Microsoft Entra 계정을 설정하지만 사용자 개체 UserType을 게스트로 설정하여 게스트로 지정하는 경우에 발생합니다. 이제 사용자가 자신의 자격 증명을 사용할 수 있는 B2B 협업을 사용하는 것이 더 일반적이므로 이는 레거시 시나리오로 간주됩니다.

외부 게스트 및 외부 구성원은 후속 단원에 설명된 Microsoft Entra ID의 외부 ID에 속하는 B2B 공동 작업 사용자입니다.

워크로드 정체성

워크로드 ID는 소프트웨어 워크로드에 할당하여 다른 서비스 및 리소스에 인증하고 액세스할 수 있도록 하는 ID입니다.

소프트웨어 워크로드가 여러 리소스에 액세스하기 위해 여러 자격 증명을 처리할 수 있고 이러한 자격 증명을 안전하게 저장해야 하므로 워크로드 ID를 보호하는 것이 중요합니다. 워크로드 ID가 생성되는 시기 또는 해지해야 하는 시기도 추적하기 어렵습니다. Microsoft Entra 워크로드 ID는 이러한 문제를 해결하는 데 도움이 됩니다.

Microsoft Entra에서 워크로드 ID는 애플리케이션, 서비스 주체 및 관리 ID입니다.

애플리케이션 및 서비스 주체

서비스 주체는 기본적으로 애플리케이션의 ID입니다. 애플리케이션이 해당 ID 및 액세스 함수를 Microsoft Entra ID에 위임하려면 먼저 애플리케이션을 Microsoft Entra ID에 등록하여 통합을 사용하도록 설정해야 합니다. 애플리케이션이 등록되면 애플리케이션이 사용되는 각 Microsoft Entra 테넌트에 서비스 주체가 만들어집니다. 서비스 주체를 사용하면 Microsoft Entra 테넌트로 보호되는 리소스에 대한 애플리케이션 인증 및 권한 부여와 같은 코어 기능을 사용할 수 있습니다.

서비스 주체가 리소스에 액세스하려면 애플리케이션 개발자가 자격 증명을 관리하고 보호해야 합니다. 관리 ID는 개발자로부터 해당 책임을 오프로드하는 데 도움이 됩니다.

관리형 ID

관리 ID는 서비스 주체의 유형입니다. 관리 ID는 Microsoft Entra ID에서 자동으로 관리되며 개발자가 자격 증명을 관리할 필요가 없습니다. 관리 ID는 Microsoft Entra 인증을 지원하고 추가 비용 없이 사용할 수 있는 Azure 리소스에 연결할 때 애플리케이션에 사용할 ID를 제공합니다.

개발자가 사용자 인증 정보를 관리하지 않고도 관리 ID를 사용하여 코드에서 리소스에 액세스할 수 있는 방법을 보여 주는 다이어그램.

관리 ID는 시스템 할당 및 사용자 할당의 두 가지 유형이 있습니다.

  • 시스템에 의해 할당됨. 가상 머신과 같은 일부 Azure 리소스를 사용하면 리소스에서 직접 관리 ID를 사용하도록 설정할 수 있습니다. 시스템 할당 관리 ID를 사용하도록 설정하면 해당 Azure 리소스의 수명 주기와 연결된 ID가 Microsoft Entra에 생성됩니다. 리소스가 삭제되면 Azure에서 자동으로 ID를 삭제합니다.

  • 사용자가 할당. 관리 ID를 독립 실행형 Azure 리소스로 만들 수도 있습니다. 사용자가 할당한 관리 ID를 만들면 이를 하나 이상의 Azure 서비스 인스턴스에 할당할 수 있습니다. 사용자 할당 관리 ID로, 이 ID를 사용하는 리소스로부터 개별적으로 관리됩니다. 사용자 할당 관리 ID를 사용하는 리소스를 삭제해도 ID는 삭제되지 않습니다. 명시적으로 삭제해야 합니다.

에이전트 정체성

AI 에이전트가 조직에서 더 널리 보급됨에 따라 리소스에 대한 액세스를 보호하는 것이 중요합니다. Microsoft Entra 에이전트 ID는 특별히 빌드된 에이전트 ID를 제공하여 ID 및 액세스 관리 기능을 AI 에이전트로 확장합니다. 이러한 ID는 기존 워크로드 ID와는 별개인 Microsoft Entra의 특수 ID로, 조직에서 에이전트를 등록하고, 에이전트 위험에 따라 조건부 액세스 정책을 적용하고, 지정된 소유자 및 스폰서와 함께 에이전트 수명 주기를 책임지도록 제어할 수 있습니다. 에이전트 ID는 에이전트가 사용자를 대신하여 작동하는 참석 시나리오와 에이전트가 자율적으로 작동하는 무인 시나리오를 모두 지원합니다. Microsoft Entra 에이전트 ID는 다음 단원에서 자세히 설명합니다.

디바이스

디바이스는 모바일 디바이스, 랩톱, 서버 또는 프린터와 같은 하드웨어 부분입니다. 디바이스 ID는 액세스 또는 구성 결정을 내릴 때 사용할 수 있는 정보를 관리자에게 제공합니다. 디바이스 ID는 Microsoft Entra ID에서 다양한 방법으로 설정할 수 있습니다.

  • Microsoft Entra 등록 디바이스. Microsoft Entra 등록 디바이스의 목표는 사용자에게 BYOD(Bring Your Own Device) 또는 모바일 디바이스 시나리오에 대한 지원을 제공하는 것입니다. 이런 경우 사용자가 개인 디바이스를 사용하여 조직 리소스에 액세스할 수 있습니다.
  • Microsoft Entra에 합류. Microsoft Entra 조인 디바이스는 조직 계정을 통해 Microsoft Entra ID에 조인된 디바이스로, 해당 계정을 사용하여 디바이스에 로그인합니다. Microsoft Entra에 조인된 디바이스는 일반적으로 조직이 소유합니다.
  • Microsoft Entra 하이브리드 조인 디바이스. 기존 온-프레미스 Active Directory 구현이 있는 조직은 Microsoft Entra 하이브리드 조인 디바이스를 구현하여 Microsoft Entra ID에서 제공하는 기능을 활용할 수 있습니다. 이러한 디바이스는 온-프레미스 Active Directory 및 Microsoft Entra ID 모두에 조인되며 조직 계정이 디바이스에 로그인해야 합니다.

Microsoft Entra ID에 디바이스를 등록하고 조인하면 사용자에게 클라우드 기반 리소스 및 온-프레미스 애플리케이션에 대한 SSO(Single Sign-On)를 제공합니다.

IT 관리자는 Microsoft Intune과 같은 도구를 사용하여 조직의 디바이스 사용 방법을 제어할 수 있습니다.

그룹

Microsoft Entra ID에서 동일한 액세스 요구 사항이 있는 여러 ID가 있는 경우 액세스 권한을 개별적으로 할당하는 대신 모든 멤버에게 액세스 권한을 부여하는 그룹을 만들 수 있습니다. 이는 필요한 사용자만 액세스를 제한하는 제로 트러스트 원칙에 부합합니다.

두 가지 그룹 유형이 있습니다.

  • 보안: 보안 그룹은 가장 일반적인 형식의 그룹이며 공유 리소스에 대한 사용자 및 디바이스 액세스를 관리하는 데 사용됩니다. 예를 들어 셀프 서비스 암호 재설정과 같은 특정 보안 정책에 대한 보안 그룹을 만들거나 조건부 액세스 정책과 함께 사용할 수 있습니다. 보안 그룹의 구성원은 사용자(외부 사용자 포함), 디바이스, 기타 그룹, 서비스 주체 및 에이전트 ID를 포함할 수 있습니다.

  • Microsoft 365: 배포 그룹이라고도 하는 Microsoft 365 그룹은 협업 요구 사항에 따라 사용자를 그룹화하는 데 사용됩니다. 예를 들어 그룹 구성원에게 공유 사서함, 일정, 파일, SharePoint 사이트 등에 대한 액세스 권한을 부여할 수 있습니다. Microsoft 365 그룹의 멤버에는 조직 외부 사용자를 포함한 사용자만 포함될 수 있습니다.

그룹은 멤버 자격을 할당하거나 수동으로 선택하도록 구성하거나 동적 멤버십으로 구성할 수 있습니다. 동적 멤버십은 규칙을 사용하여 ID를 자동으로 추가하고 제거합니다.