[Azure] AZ-104 Azure 관리자 필수 조건 - Azure Active Directory

1. Azure AD

Azure AD는 클라우드 기반 ID 관리 솔루션이다.

• Azure 서비스, MS 365 및 타사 SaaS 애플리케이션과 같은 외부 리소스에 액세스할 수 있게 한다.
• 회사 네트워크의 애플리케이션, 회사에서 빌드한 클라우드 기반 애플리케이션 같은 내부 리소스에 액세스 한다.
• 조건부 Access 및 Identity Protection 기능을 통해 사용자와 ID와 애플리케이션을 안전하게 유지하도록 한다.

Azure AD의 ID 보안 점수

Azure AD에는 1~223 사이의 보안 점수가 지정된다. 이 값은 권장 사항에 얼마나 일치하는지를 나타낸다.

On-premise Active Directory를 Azure AD와 연결하기 위한 하이브리드 ID

• Azure AD 암호 해시 동기화 : 사용자의 암호는 두번 해시 되고 On-premise Active Directory와 Azure AD 간에 동기화 된다. 사용자는 동일한 자격 증명을 통해 액세스 가능하다.
• Azure AD 통과 인증 : 에이전트는 On-premise Activew Directory로, 인증하는 On-premise 서버에 설치된다. Azure AD 사용자 계정이 인증을 시도할 때, 암호 인증은 서버와 Activew Directory를 통해 On-premise로 처리된다.
• Federation 인증 : 인증 프로세스는 사용자의 암호 유효성을 검사하는 On-premise AD FS(Active Directory Federation Services) 서버에서 수행된다. 

2. Azure AD 라이선스

• Azure Activew Directory Free : 사용자 및 그룹을 관리, 온프레미스 AD 동기화 및 Azure AD사용자에 대한 셀프 서비스 암호 재설정과 관련된 필수 보고서를 얻을 수 있다. MS 365, Azure서비스 및 타사 애플리케이션에서 Sing Sing-On을 사용할 수 있다.
• 특정 기능에 대한 종량제 라이선스 : Azure AD B2C와 같은 특정 Azure AD 기능은 종량제로 액세스 된다. 소비자 사용자 및 이들이 사용하는 애플리케이션에 대한 ID 및 액세스를 관리할 수 있다.
• Office 365 : 모든 무료 계층 사용가능하다. 클라우드 사용자와 디바이스 쓰기 저장을 위한 사용자 지정 로그인 및 로그아웃 페이지, 셀프 서비스 암호 재설정도 사용 가능하다.
• Azure Activew Directory Premium P1 : Free 계층의 모든 기능을 사용할 수 있으며, 사용자가 온프레미시 및 클라우드 기반 서버와 리소스에 액세스 할 수 있다. 지정된 조건에 따라 사용자를 자동으로 추가하고 제거하는 동적 그룹 또는 셀프 서비스 그룹관리도 할 수 있다.
• Azure Active Directory Premium P2 : Activew Directory ID 보호와 함께 이전 두 계층의 모든 기능을 사용할 수 있다. 이 기능을 사용하면 애플리케이션을 ID 위험으로부터 보호하기 위해 위험 기반 조건부 액세스를 구성할 수 있다. Privileged Identity Management를 사용하여 관리자를 모니터링, 관리자에 세부적인 제한을 적용할 수 있다.

용어	설명
ID	식별하고 인증해야 하는 대상입니다. ID는 일반적으로 사용자 이름 및 암호 자격 증명을 가진 사용자이지만, 이 용어는 애플리케이션 또는 서비스에도 적용될 수 있습니다.
계정	ID 및 연결된 데이터입니다. 계정은 ID 없이 존재할 수 없습니다.
Azure AD 계정	Azure AD에서 또는 Microsoft 365와 같은 서비스에서 만든 ID입니다. 이러한 ID는 Azure AD에 저장됩니다. 예를 들어, 내부 직원 멤버는 Azure AD 계정을 회사에서 매일 사용할 수 있습니다.
Azure 구독	Azure 및 해당 서비스를 사용할 수 있는 액세스 수준입니다. 종량제 액세스의 경우 신용 카드를 사용하여 Azure 구독을 설정합니다. 구독에는 여러 가지 유형이 있습니다. 예를 들어, 엔터프라이즈 수준 고객은 Azure 기업계약 구독을 사용할 수 있습니다. 각 계정은 여러 구독을 사용할 수 있습니다.
Azure AD 테넌트	Azure AD의 인스턴스입니다. 이 테넌트는 Azure 또는 다른 서비스(예: Microsoft 365)에 처음 가입할 때 자동으로 생성됩니다. 조직을 나타내는 테넌트는 사용자, 사용자 그룹 및 애플리케이션을 보유합니다.
다중 테넌트	공유 환경에서 동일한 애플리케이션 및 서비스에 대한 다중 테넌트 액세스입니다. 이러한 테넌트는 여러 조직을 나타냅니다.
Azure AD 디렉터리	Azure를 구독할 때 자동으로 생성되는 Azure 리소스입니다. 여러 Azure AD 디렉터리를 만들 수 있습니다. 이러한 각 디렉터리는 테넌트를 나타냅니다.
사용자 지정 도메인	Azure AD 디렉터리에 맞게 사용자 지정하는 도메인입니다. Azure AD 디렉터리를 만들 때 Azure에서 <your-organization>.onmicrosoft.com과 같은 기본 도메인에 자동으로 할당합니다. 그러나 도메인 이름을 사용자 지정할 수 있습니다. 그러면 사용자가 joesmith@contoso.onmicrosoft.com 대신 joesmith@contoso.com 같은 계정을 가질 수 있습니다.
소유자 역할	모든 Azure 리소스를 관리하는 데 사용하는 역할로, 사용자가 리소스에 대해 필요로 하는 액세스 수준이 포함됩니다.
전역 관리자	Azure AD의 모든 관리 기능에 액세스할 수 있는 역할입니다. 테넌트를 만들 때 해당 테넌트에 이 역할이 자동으로 적용됩니다. 이 역할이 있으면 다음과 같은 모든 사용자 및 관리자에 대해 암호를 다시 설정할 수 있습니다.

3. Azure AD의 필수 기능

Azure AD B2B

Azure AD를 사용하여 외부 사용자를 테넌트에 초대한다. Azure AD B2B Collaboration을 통해 외부 파트너와 공동 작업을 수행할 수 있다.

https://docs.microsoft.com/ko-kr/learn/modules/intro-to-azure-ad/4-essential-features

1. 사용자에게 초대 링크를 전달 한다.
2. 사용자가 사용 링크를 선택하여 초대받은 앱에 액세스.
3. 다단계 인증이 설정된 경우 사용자는 휴대폰에서 확인 코드를 수신.
4. 사용자는 받은 코드를 입력.
5. 사용자는 온-프레미스 또는 클라우드에 있든 상관없이 앱에 액세스.

Azure AD B2C

Azure AD B2C를 사용해 고객의 ID와 액세스 권한을 관리할 수 있다. 계정에 리소스 및 서비스에 대해 보호된 액세스 권한이 있어야 한다. Azure AD B2C를 사용하여 기본 ID 공급자를 통해 안전하게 인증한다.

https://docs.microsoft.com/ko-kr/learn/modules/intro-to-azure-ad/4-essential-features

1. 사용자가 브라우저 또는 휴대폰에서 액세스하려는 앱으로 이동합니다.
2. 사용자에게 로그인 양식을 완성하도록 요구됩니다.
3. 자격 증명이 확인되고 다단계 인증이 사용하도록 설정되어 있으면 사용자가 휴대폰에서 확인 코드를 수신한다.
4. 사용자는 받은 코드를 입력합니다.
5. 사용자에게 앱 액세스 권한이 부여됩니다.

Azure AD DS

Azure AD DS를 사용하면 도메인 클러스터 없이 가상 머신을 추가할 수 있다. Azure AD 자격증 명을 사용하여 가상 머신에 액세스 할 수 있다. 이를 사용하여 On-premise 앱을 Azure로 마이그레이션 하는 복잡성을 줄일 수 있다. On-premise, Cloud 둘 다에서 앱을 실행하는 경우 Azure AD DS를 사용해 인프라를 처리할 수 있다.

https://docs.microsoft.com/ko-kr/learn/modules/intro-to-azure-ad/4-essential-features

1. 조직이 앱과 서버를 Azure의 가상 네트워크에 배포.
2. Azure AD Connect sync는 Azure AD에서 온-프레미스 Active Directory와 조직의 테넌트 간에 ID 정보를 동기화.
3. 회사는 Azure AD 테넌트에서 Azure AD DS를 사용하도록 설정.
4. Azure의 앱과 서버는 도메인 가입, Kerberos 인증 등의 기능을 사용할 수 있다.

앱 관리

• Azure AD 앱 갤러리 애플리케이션 : 수천 개의 SaaS 앱이 Azure AD와 통합된다.
• 사용자 지정 애플리케이션 : 회사에서 빌드한 앱을 Azure AD에 등록할 수 있다.
• 비 갤러리 애플리케이션 : 갤러이에 없는 앱을 수동으로 추가할 수 있다.
• 온-프레미스 애플리케이션 : Azure AD 애플리케이션 프록시를 구성하여 온-프레미스 앱을 추가할 수 있다. 이 프로세스는 온-프레미스 앱에 대한 보안 원격 액세스를 만든다. 연결하기 위해선, 애플리케이션 프록시 커넥터 온프레미스를 다운, 설치해야 한다.

조건부 액세스 정책

• 자격증명이 확인된 후, 앱에 액세스하기 전에 사용자에게 다단계 인증 질문을 완료하도록 요구하는 정책을 구성할 수 있다.

앱 액세스 모니터링

• Azure AD는 로그인 날짜, 사용자 정보, 사용자가 사용한 앱, 위험 검색, 위치 등을 포함하는 보고서를 생성하여 앱 로그인을 모니터링 하도록 할 수 있다. 

Azure AD ID 보호

• Azure AD ID 보호를 사용하여 사용자에 대한 ID 위험을 자동으로 감지, 조사 및 수정할 수 있다. ID 보호를 사용하여 위험에 대해 수집된 모든 정보를 내보낼 수 있다. 추가 분석을 수행할 수 있도록 해당 정보를 타사 도구 및 솔루션으로 내보낸다.