Office 365 및 Azure Active Directory 옵션 이해

사용자 계정을 설정하고 관리할 때 Office 365의 세 가지 기본 ID 모델 중에서 선택할 수 있습니다.

시작하고 실행하는 데 사용할 ID 모델을 신중하게 고려하는 것이 중요합니다. 시간, 기존 복잡성 및 비용을 생각해 보십시오. 이러한 요소는 조직마다 다릅니다. 이 항목에서는 배포에 사용할 ID를 선택하는 데 도움이 되는 모든 ID 모델에 대한 이러한 주요 개념을 검토합니다.

요구 사항이 변경되는 경우 다른 ID 모델로 전환할 수도 있습니다.

Office 365 비즈니스 에디션의 ID

클라우드 ID

이 모델에서는 Microsoft Office 포털에서 사용자를 만들고 관리하며 Azure AD에 계정을 저장합니다. Azure AD가 암호를 확인합니다. Azure AD는 Office 365에서 사용하는 클라우드 디렉터리입니다. 온-프레미스 서버가 필요하지 않으며 Microsoft에서 모든 것을 관리합니다. ID 및 인증이 클라우드에서 완전히 처리되는 경우 Microsoft 온라인 포털 또는 Windows PowerShell cmdlet을 통해 사용자 계정 및 사용자 라이선스를 관리할 수 있습니다.

다음 그래픽에는 Cloud ID 모델에서 사용자를 관리하는 방법이 요약되어 있습니다.

1. 관리자는 Microsoft 클라우드 플랫폼의 Microsoft Online Portal에 연결하여 사용자를 만들거나 관리합니다.

2. 만들기 또는 관리 요청은 Azure AD로 전달됩니다.

3. 변경 요청인 경우 변경 내용이 적용되고 Microsoft Office 포털에 다시 복사됩니다

4. 새 사용자 계정 및 기존 사용자 계정에 대한 변경 사항은 Microsoft Office 포털로 다시 복사됩니다.

클라우드 ID는 언제 사용하나요? 클라우드 ID는 다음과 같은 경우에 좋은 선택입니다.

• 다른 온-프레미스 사용자 디렉터리가 없습니다.
• 매우 복잡한 온-프레미스 디렉터리가 있고 이 디렉터리와 통합하는 작업을 피하려고 합니다.
• 기존 온-프레미스 디렉터리가 있지만 Office 365의 평가판 또는 파일럿을 실행하려고 합니다. 나중에 온-프레미스 디렉터리에 연결할 준비가 되면 클라우드 사용자를 온-프레미스 사용자와 일치시킬 수 있습니다

Office 365와 기존 디렉터리 서비스 통합

온-프레미스에 기존 디렉터리 환경이 있는 경우 동기화된 ID 또는 Single Sign-On 및 페더레이션 ID를 사용하여 Office 365를 디렉터리와 통합하여 Office 365에서 사용자를 만들고 관리할 수 있습니다.

동기화된 ID

이 모델에서는 온-프레미스 서버에서 사용자 ID를 관리하고 계정 및 암호(선택 사항)를 클라우드에 동기화합니다. 사용자는 클라우드에서와 동일한 암호를 온-프레미스에서 입력하고, 로그인 시 Azure AD에서 암호를 확인합니다. 이 모델에서는 디렉터리 동기화 도구를 사용하여 온-프레미스 ID를 Office 365와 동기화합니다.

동기화된 ID 모델을 구성하려면 동기화할 온-프레미스 디렉터리가 있어야 하며 디렉터리 동기화 도구를 설치해야 합니다. 계정을 동기화하기 전에 온-프레미스 디렉터리에서 몇 가지 일관성 검사를 실행합니다.

동기화된 ID 또는 페더레이션된 ID를 사용해야 하는 경우:

다음 다이어그램은 암호 동기화와 동기화된 ID 시나리오를 보여 줍니다. 동기화 도구는 온-프레미스 및 클라우드 내 회사 사용자 ID를 동기화된 상태로 유지합니다.

1. Microsoft Azure Active Directory Connect를 설치합니다.

2. 온-프레미스 디렉터리에 새 사용자를 만듭니다.

3. 동기화 도구는 온-프레미스 디렉터리에서 사용자가 만든 새 ID를 주기적으로 확인합니다. 그런 다음, 이러한 ID를 Azure AD에 프로비전하고, 온-프레미스 및 클라우드 ID를 서로 연결하고, 암호를 동기화하고, Microsoft Office 포털을 통해 볼 수 있도록 합니다.

4. 온-프레미스 디렉터리에서 사용자를 변경하면 해당 변경 내용이 Azure AD에 동기화되고 Microsoft Office 포털을 통해 사용할 수 있습니다.

페더레이션 ID

이 모델에는 동기화된 ID가 필요하지만 해당 모델에 대한 한 가지 변경 사항은 온-프레미스 ID 공급자가 사용자 암호를 확인한다는 것입니다. 즉, 암호 해시를 Azure AD와 동기화할 필요가 없습니다. 이 모델에서는 AD FS(Active Directory Federation Services) 또는 타사 ID 공급자를 사용합니다.

페더레이션 ID를 사용하는 이유는 다음과 같습니다.

기존 인프라스트럭처

• 다른 이유로 AD FS를 이미 배포한 경우 Office 365에도 사용할 수 있습니다.
• 이미 다른 ID 공급자를 사용하고 있는 경우 Office 365에서 페더레이션 ID를 사용할 수 있습니다.
• Forefront Identity Manager를 사용하는 경우 Office 365에서도 페더레이션 ID를 사용할 수 있습니다.

기술 요구 사항

• 온-프레미스 AD DS(Active Directory Domain Services)에 여러 포리스트가 있습니다.
• 온프레미스 통합 스마트 카드 솔루션이 있습니다.
• 기존 사용자 지정 하이브리드 응용 프로그램(예: SharePoint 또는 Microsoft Exchange Server)이 있습니다.

정책 요구사항

• 로그인 감사 및/또는 즉시 비활성화가 필요합니다.
• SSO가 필요합니다.
• 네트워크 위치 또는 근무 시간에 따른 로그온 제한이 있습니다.
• 페더레이션 ID가 필요한 다른 정책이 있습니다.

다음 다이어그램은 하이브리드 온-프레미스 및 클라우드 배포를 사용하는 페더레이션 ID의 시나리오를 보여 줍니다. 이 예제의 온-프레미스 디렉터리는 AD FS입니다. 동기화 도구는 온-프레미스 및 클라우드 내 회사 사용자 ID를 동기화된 상태로 유지합니다.

1. Azure Active Directory Connect를 설치합니다. 동기화 도구를 사용하면 온-프레미스 디렉터리의 최신 변경 내용을 사용하여 Azure AD를 최신 상태로 유지할 수 있습니다. Single Sign-On을 설정하려면 Azure AD Connect의 사용자 지정 설치를 사용해야 합니다.

2. 온-프레미스 Active Directory에서 새 사용자를 만듭니다.

3. 동기화 도구는 온-프레미스 Active Directory 서버에서 사용자가 만든 새 ID를 주기적으로 확인합니다. 그런 다음, 이러한 ID를 Azure AD에 프로비전하고, 온-프레미스 ID와 클라우드 ID를 서로 연결하고, Microsoft Office 포털을 통해 사용자에게 표시합니다.

4. 온-프레미스 Active Directory에서 ID가 변경되면 해당 변경 내용이 Azure AD에 동기화됩니다.

5. 이러한 변경 내용은 Microsoft Office 포털을 통해 제공됩니다.

6. 페더레이션된 사용자는 AD FS를 사용하여 로그인합니다.

7. AD FS는 보안 토큰을 생성하고 해당 토큰은 Azure AD에 전달됩니다. 토큰이 확인되고 유효성이 검사되면 사용자에게 Office 365에 대한 권한이 부여됩니다.