Microsoft Entra Domain Services에 대한 일반적인 사용 사례 및 시나리오
Microsoft Entra Domain Services는 도메인 가입, 그룹 정책, LDAP(경량 디렉터리 액세스 프로토콜) 및 Kerberos/NTLM 인증과 같은 관리되는 도메인 서비스를 제공합니다. Microsoft Entra Domain Services는 기존 Microsoft Entra 테넌트와 통합되므로 사용자가 기존 자격 증명을 사용하여 로그인할 수 있습니다. 클라우드에서 도메인 컨트롤러를 배포, 관리 및 패치할 필요 없이 이러한 도메인 서비스를 사용하므로 온-프레미스 리소스를 Azure로 원활하게 리프트 앤 시프트할 수 있습니다.
이 문서에서는 Microsoft Entra Domain Services가 가치를 제공하고 이러한 요구 사항을 충족하는 몇 가지 일반적인 비즈니스 시나리오를 간략하게 설명합니다.
클라우드에서 ID 솔루션을 제공하는 일반적인 방법
기존 워크로드를 클라우드로 마이그레이션하는 경우 디렉터리 인식 애플리케이션은 온-프레미스 AD DS 디렉터리에 대한 읽기 또는 쓰기 액세스에 LDAP를 사용할 수 있습니다. Windows Server에서 실행되는 애플리케이션은 일반적으로 그룹 정책을 사용하여 안전하게 관리할 수 있도록 도메인에 가입된 VM(가상 머신)에 배포됩니다. 최종 사용자를 인증하기 위해 애플리케이션은 Kerberos 또는 NTLM 인증과 같은 Windows 통합 인증을 사용할 수도 있습니다.
IT 관리자는 종종 다음 솔루션 중 하나를 사용하여 Azure에서 실행되는 애플리케이션에 ID 서비스를 제공합니다.
- Azure에서 실행되는 워크로드와 온-프레미스 AD DS 환경 간에 사이트 간 VPN 연결을 구성합니다.
- 그런 다음 온-프레미스 도메인 컨트롤러는 VPN 연결을 통해 인증을 제공합니다.
- Azure VM(가상 머신)을 사용하여 복제본 도메인 컨트롤러를 만들어 온-프레미스에서 AD DS 도메인/포리스트를 확장합니다.
- Azure VM에서 실행되는 도메인 컨트롤러는 인증을 제공하고 온-프레미스 AD DS 환경 간에 디렉터리 정보를 복제합니다.
- Azure VM에서 실행되는 도메인 컨트롤러를 사용하여 Azure에서 독립 실행형 AD DS 환경을 배포합니다.
- Azure VM에서 실행되는 도메인 컨트롤러는 인증을 제공하지만 온-프레미스 AD DS 환경에서 복제된 디렉터리 정보는 없습니다.
이러한 접근 방식을 사용하면 온-프레미스 디렉터리에 대한 VPN 연결을 통해 애플리케이션이 일시적인 네트워크 결함 또는 중단에 취약합니다. Azure에서 VM을 사용하여 도메인 컨트롤러를 배포하는 경우 IT 팀은 VM을 관리하고 보안, 패치, 모니터링, 백업 및 문제를 해결해야 합니다.
Microsoft Entra Domain Services는 VPN 연결을 온-프레미스 AD DS 환경으로 다시 만들거나 Azure에서 VM을 실행하고 관리하여 ID 서비스를 제공해야 하는 대안을 제공합니다. 관리되는 서비스인 Microsoft Entra Domain Services는 하이브리드 및 클라우드 전용 환경 모두에 대한 통합 ID 솔루션을 만드는 복잡성을 줄입니다.
하이브리드 조직을 위한 Microsoft Entra Domain Services
많은 조직에서 클라우드 및 온-프레미스 애플리케이션 워크로드를 모두 포함하는 하이브리드 인프라를 실행합니다. 리프트 앤 시프트 전략의 일환으로 Azure로 마이그레이션된 레거시 애플리케이션은 기존 LDAP 연결을 사용하여 ID 정보를 제공할 수 있습니다. 이 하이브리드 인프라를 지원하기 위해 온-프레미스 AD DS 환경의 ID 정보를 Microsoft Entra 테넌트에 동기화할 수 있습니다. 그런 다음 Microsoft Entra Domain Services는 온-프레미스 디렉터리 서비스에 대한 애플리케이션 연결을 다시 구성하고 관리할 필요 없이 Azure에서 이러한 레거시 애플리케이션에 ID 원본을 제공합니다.
온-프레미스 및 Azure 리소스를 모두 실행하는 하이브리드 조직인 Litware Corporation의 예를 살펴보겠습니다.
온-프레미스 동기화
- 도메인 서비스가 필요한 애플리케이션 및 서버 워크로드는 Azure의 가상 네트워크에 배포됩니다.
- 여기에는 리프트 앤 시프트 전략의 일환으로 Azure로 마이그레이션된 레거시 애플리케이션이 포함될 수 있습니다.
- Litware Corporation은 온-프레미스 디렉터리의 ID 정보를 Microsoft Entra 테넌트로 동기화하기 위해 Microsoft Entra Connect를 활용합니다.
- 동기화되는 ID 정보에는 사용자 계정 및 그룹 멤버 자격이 포함됩니다.
- Litware의 IT 팀은 Microsoft Entra 테넌트에 대해 이 가상 네트워크 또는 피어링된 가상 네트워크에서 Microsoft Entra Domain Services를 활성화합니다.
- Azure 가상 네트워크에 배포된 애플리케이션 및 VM은 도메인 가입, LDAP 읽기, LDAP 바인딩, NTLM 및 Kerberos 인증 및 그룹 정책과 같은 Microsoft Entra Domain Services 기능을 사용할 수 있습니다.
중요하다
Microsoft Entra Connect는 온-프레미스 AD DS 환경과의 동기화에 대해서만 설치 및 구성되어야 합니다. 관리되는 도메인에 Microsoft Entra Connect를 설치하여 개체를 Microsoft Entra ID로 다시 동기화하는 것은 지원되지 않습니다.
클라우드 전용 조직을 위한 Microsoft Entra Domain Services
클라우드 전용 Microsoft Entra 테넌트에는 온-프레미스 ID 원본이 없습니다. 예를 들어 사용자 계정 및 그룹 멤버 자격은 Microsoft Entra ID에서 직접 만들어지고 관리됩니다.
이제 ID에 Microsoft Entra ID를 사용하는 클라우드 전용 조직인 Contoso의 예를 살펴보겠습니다. 모든 사용자 ID, 해당 자격 증명 및 그룹 멤버 자격은 Microsoft Entra ID에서 만들어지고 관리됩니다. 온-프레미스 디렉터리의 ID 정보를 동기화하기 위한 Microsoft Entra Connect의 추가 구성은 없습니다.
온-프레미스 동기화
- 도메인 서비스가 필요한 애플리케이션 및 서버 워크로드는 Azure의 가상 네트워크에 배포됩니다.
- Contoso의 IT 팀은 이 가상 네트워크 또는 피어링된 가상 네트워크에서 Microsoft Entra 테넌트를 위한 Microsoft Entra Domain Services를 활성화합니다.
- Azure 가상 네트워크에 배포된 애플리케이션 및 VM은 도메인 가입, LDAP 읽기, LDAP 바인딩, NTLM 및 Kerberos 인증 및 그룹 정책과 같은 Microsoft Entra Domain Services 기능을 사용할 수 있습니다.
Azure 가상 머신의 보안 관리
단일 AD 자격 증명 집합을 사용할 수 있도록 Azure VM(가상 머신)을 Microsoft Entra Domain Services 관리되는 도메인에 조인할 수 있습니다. 이 방법은 각 VM에서 로컬 관리자 계정을 유지 관리하거나 환경 간에 별도의 계정 및 암호를 유지하는 것과 같은 자격 증명 관리 문제를 줄입니다.
관리되는 도메인에 가입된 VM은 그룹 정책을 사용하여 관리 및 보호될 수도 있습니다. 회사 보안 지침에 따라 VM을 잠그기 위해 필요한 보안 기준을 VM에 적용할 수 있습니다. 예를 들어 그룹 정책 관리 기능을 사용하여 VM에서 시작할 수 있는 애플리케이션 유형을 제한할 수 있습니다.
Azure 가상 머신
일반적인 예제 시나리오를 살펴보겠습니다. 서버 및 기타 인프라가 수명이 다하면 Contoso는 현재 온-프레미스에서 호스트되는 애플리케이션을 클라우드로 이동하려고 합니다. 현재 IT 표준은 회사 애플리케이션을 호스팅하는 서버가 그룹 정책을 사용하여 도메인에 가입되고 관리되어야 합니다.
Contoso의 IT 관리자는 사용자가 회사 자격 증명을 사용하여 로그인할 수 있으므로 관리가 더 쉬워지도록 Azure에 배포된 도메인 가입 VM을 선호합니다. 도메인에 가입된 경우 GPO(그룹 정책 개체)를 사용하여 필요한 보안 기준을 준수하도록 VM을 구성할 수도 있습니다. Contoso는 Azure에서 자체 도메인 컨트롤러를 배포, 모니터링 및 관리하지 않는 것을 선호합니다.
Microsoft Entra Domain Services는 이 사용 사례에 적합합니다. 관리되는 도메인을 사용하면 VM을 도메인에 가입하고, 단일 자격 증명 집합을 사용하고, 그룹 정책을 적용할 수 있습니다. 관리되는 도메인이므로 도메인 컨트롤러를 직접 구성하고 유지 관리할 필요가 없습니다.
배포 정보
다음 배포 고려 사항은 이 예제 사용 사례에 적용됩니다.
- 관리되는 도메인은 기본적으로 단일 OU(조직 구성 단위) 구조를 사용합니다. 도메인에 가입된 모든 VM은 단일 OU에 있습니다. 원하는 경우 사용자 지정 OU 만들 수 있습니다.
- Microsoft Entra Domain Services는 사용자 및 컴퓨터 컨테이너에 대해 각각 기본 제공 GPO를 사용합니다. 추가 제어를 위해 사용자 지정 GPO 만들고 사용자 지정 OU를 대상으로 지정할 수 있습니다.
- Microsoft Entra Domain Services는 기본 AD 컴퓨터 개체 스키마를 지원합니다. 컴퓨터 개체의 스키마를 확장할 수 없습니다.
온-프레미스에서 LDAP 바인딩 인증을 사용하는 애플리케이션을 리프트 앤 시프트 방식으로 이동하기
샘플 시나리오로 Contoso에는 수년 전에 ISV에서 구입한 온-프레미스 애플리케이션이 있습니다. 애플리케이션은 현재 ISV에 의해 유지 관리 모드이며 애플리케이션에 대한 변경 요청 비용이 엄청나게 많이 듭니다. 이 애플리케이션에는 웹 양식을 사용하여 사용자 자격 증명을 수집한 다음 온-프레미스 AD DS 환경에 대한 LDAP 바인딩을 수행하여 사용자를 인증하는 웹 기반 프런트 엔드가 있습니다.
Contoso는 이 애플리케이션을 Azure로 마이그레이션하려고 합니다. 애플리케이션은 변경 없이 as-is계속 작동해야 합니다. 또한 사용자는 추가 교육 없이 기존 회사 자격 증명을 사용하여 인증할 수 있어야 합니다. 애플리케이션이 실행 중인 최종 사용자에게는 투명해야 합니다.
이 시나리오에서 Microsoft Entra Domain Services를 사용하면 애플리케이션이 인증 프로세스의 일부로 LDAP 바인딩을 수행할 수 있습니다. 레거시 온-프레미스 애플리케이션은 Azure로 리프트 앤 시프트할 수 있으며 구성 또는 사용자 환경의 변경 없이도 사용자를 원활하게 인증할 수 있습니다.
배포 정보
다음 배포 고려 사항은 이 예제 사용 사례에 적용됩니다.
- 애플리케이션이 디렉터리에 수정/쓰기를 할 필요가 없는지 확인합니다. 관리되는 도메인에 대한 LDAP 쓰기 액세스는 지원되지 않습니다.
- 관리되는 도메인에 대해 직접 암호를 변경할 수 없습니다. 최종 사용자는 Microsoft Entra 셀프 서비스 암호 변경 메커니즘 사용하거나 온-프레미스 디렉터리에 대해 암호를 변경할 수 있습니다. 그러면 이러한 변경 내용이 자동으로 동기화되고 관리되는 도메인에서 사용할 수 있습니다.
온-프레미스 애플리케이션을 그대로 옮겨 LDAP 읽기를 사용하여 디렉터리에 액세스하기
이전 예제 시나리오와 마찬가지로 Contoso에 거의 10년 전에 개발된 온-프레미스 LOB(기간 업무) 애플리케이션이 있다고 가정해 보겠습니다. 이 애플리케이션은 디렉터리를 인식하며 LDAP를 사용하여 AD DS에서 사용자에 대한 정보/특성을 읽도록 설계되었습니다. 애플리케이션은 특성을 수정하거나 디렉터리에 쓰지 않습니다.
Contoso는 이 애플리케이션을 Azure로 마이그레이션하고 현재 이 애플리케이션을 호스팅하는 노후화된 온-프레미스 하드웨어를 사용 중지하려고 합니다. REST 기반 Microsoft Graph API와 같은 최신 디렉터리 API를 사용하도록 애플리케이션을 다시 작성할 수 없습니다. 코드를 수정하거나 애플리케이션을 다시 작성하지 않고 애플리케이션을 클라우드에서 실행하도록 마이그레이션할 수 있는 리프트 앤 시프트 옵션을 원하는 경우
이 시나리오를 돕기 위해 Microsoft Entra Domain Services를 사용하면 애플리케이션이 관리되는 도메인에 대해 LDAP 읽기를 수행하여 필요한 특성 정보를 가져올 수 있습니다. 애플리케이션을 다시 작성할 필요가 없으므로 Azure로 리프트 앤 시프트를 사용하면 사용자가 실행되는 위치에 변경이 있다는 것을 깨닫지 못하고 계속해서 앱을 사용할 수 있습니다.
배포 정보
다음 배포 고려 사항은 이 예제 사용 사례에 적용됩니다.
- 애플리케이션이 디렉터리에 수정/쓰기를 할 필요가 없는지 확인합니다. 관리되는 도메인에 대한 LDAP 쓰기 액세스는 지원되지 않습니다.
- 애플리케이션에 사용자 지정/확장 Active Directory 스키마가 필요하지 않은지 확인합니다. 스키마 확장은 Microsoft Entra Domain Services에서 지원되지 않습니다.
온-프레미스 서비스 또는 디먼 애플리케이션을 Azure로 마이그레이션
일부 애플리케이션에는 여러 계층이 포함되며, 계층 중 하나는 데이터베이스와 같은 백 엔드 계층에 대한 인증된 호출을 수행해야 합니다. AD 서비스 계정은 이러한 시나리오에서 일반적으로 사용됩니다. 애플리케이션을 Azure로 리프트 앤 시프트하는 경우 Microsoft Entra Domain Services를 사용하면 동일한 방식으로 서비스 계정을 계속 사용할 수 있습니다. 온-프레미스 디렉터리에서 Microsoft Entra ID로 동기화되는 동일한 서비스 계정을 사용하거나 사용자 지정 OU를 만든 다음 해당 OU에서 별도의 서비스 계정을 만들도록 선택할 수 있습니다. 두 방법 중 하나를 사용하면 애플리케이션이 다른 계층 및 서비스에 대해 인증된 호출을 수행하는 동일한 방식으로 계속 작동합니다.
WIA서비스 계정
이 예제 시나리오에서 Contoso에는 웹 프런트 엔드, SQL 서버, 백엔드 FTP 서버를 포함한 사용자 지정 소프트웨어 금고 애플리케이션이 있습니다. 서비스 계정을 사용하는 Windows 통합 인증은 FTP 서버에 대한 웹 프런트 엔드를 인증합니다. 웹 프런트 엔드는 서비스 계정으로 실행되도록 설정됩니다. 백 엔드 서버는 웹 프런트 엔드에 대한 서비스 계정의 액세스 권한을 부여하도록 구성됩니다. Contoso는 이 애플리케이션을 Azure로 이동하기 위해 클라우드에서 자체 도메인 컨트롤러 VM을 배포하고 관리하지 않습니다.
이 시나리오에서는 웹 프런트 엔드, SQL Server 및 FTP 서버를 호스트하는 서버를 Azure VM으로 마이그레이션하고 관리되는 도메인에 조인할 수 있습니다. 그러면 VM은 Microsoft Entra Connect를 사용하여 Microsoft Entra ID를 통해 동기화되는 앱의 인증 목적으로 온-프레미스 디렉터리에서 동일한 서비스 계정을 사용할 수 있습니다.
배포 정보
다음 배포 고려 사항은 이 예제 사용 사례에 적용됩니다.
- 애플리케이션이 인증에 사용자 이름과 암호를 사용하는지 확인합니다. 인증서 또는 스마트 카드 기반 인증은 Microsoft Entra Domain Services에서 지원되지 않습니다.
- 관리되는 도메인에 대해 직접 암호를 변경할 수 없습니다. 최종 사용자는 Microsoft Entra 셀프 서비스 암호 변경 메커니즘 사용하거나 온-프레미스 디렉터리에 대해 암호를 변경할 수 있습니다. 그러면 이러한 변경 내용이 자동으로 동기화되고 관리되는 도메인에서 사용할 수 있습니다.
Azure의 Windows Server 원격 데스크톱 서비스 배포
Microsoft Entra Domain Services를 사용하여 Azure에 배포된 원격 데스크톱 서버에 관리되는 도메인 서비스를 제공할 수 있습니다.
이 배포 시나리오에 대한 자세한 내용은 Microsoft Entra Domain Services를 RDS 배포와 통합하는 방법을 참조하세요.
도메인에 가입된 HDInsight 클러스터
Apache Ranger를 사용하도록 설정된 관리되는 도메인에 조인된 Azure HDInsight 클러스터를 설정할 수 있습니다. Apache Ranger를 통해 Hive 정책을 만들고 적용할 수 있으며, 데이터 과학자와 같은 사용자가 Excel 또는 Tableau와 같은 ODBC 기반 도구를 사용하여 Hive에 연결할 수 있습니다. HBase, Spark 및 Storm과 같은 다른 워크로드를 도메인에 가입된 HDInsight에 추가하기 위해 계속 노력합니다.
이 배포 시나리오에 대한 자세한 내용은 도메인에 연결된 HDInsight 클러스터를 구성하는 방법에 대해 알아보세요.
다음 단계
시작하려면 Microsoft Entra Domain Services 관리되는 도메인만들고 구성하세요.