Microsoft Entra ID와 온-프레미스 Active Directory 도메인 통합

Microsoft Entra ID는 클라우드 기반 디렉터리 및 ID 서비스입니다. 이 참조 아키텍처는 클라우드 기반 ID 인증을 제공하기 위해 microsoft Entra ID와 온-프레미스 Active Directory 도메인을 통합하는 모범 사례를 보여 줍니다.

Architecture

이 아키텍처의 Visio 파일을 다운로드합니다.

Components

• Microsoft Entra 테넌트: 조직에서 만든 Microsoft Entra ID 의 인스턴스입니다. 온-프레미스 Active Directory에서 복사한 개체를 저장하여 클라우드 애플리케이션에 대한 디렉터리 서비스의 역할을 하며 ID 서비스를 제공합니다.

• 웹 계층 서브넷: 이 서브넷은 웹 애플리케이션을 실행하는 VM(가상 머신)을 호스트합니다. Microsoft Entra ID는 이 애플리케이션의 ID 브로커 역할을 합니다.

• 온-프레미스 AD DS(Active Directory Domain Services) 서버: 온-프레미스 디렉터리 및 ID 서비스입니다. AD DS 디렉터리를 Microsoft Entra ID와 동기화하여 온-프레미스 사용자를 인증할 수 있습니다.

• Microsoft Entra Connect 동기화 서버:Microsoft Entra Connect 동기화 서비스를 실행하는 온-프레미스 컴퓨터입니다. 이 서비스는 온-프레미스 Active Directory에 저장된 정보를 Microsoft Entra ID와 동기화합니다. 예를 들어 온-프레미스 사용자 및 그룹을 프로비전하거나 프로비전 해제하면 해당 변경 내용이 Microsoft Entra ID에 자동으로 동기화됩니다.

  Note

  보안상의 이유로 Microsoft Entra ID는 사용자 암호를 해시로 저장합니다. 사용자에게 암호 재설정이 필요한 경우 온-프레미스에서 재설정을 수행해야 하며 업데이트된 해시를 Microsoft Entra ID로 보내야 합니다. Microsoft Entra ID P1 또는 P2 버전에는 클라우드에서 암호 변경을 시작한 다음 온-프레미스 AD DS에 다시 쓸 수 있는 기능이 포함되어 있습니다.

• N 계층 애플리케이션용 VM: 워크로드를 웹, 비즈니스 논리 및 데이터와 같은 개별 계층으로 구분하여 확장 가능하고 복원력 있고 안전한 애플리케이션을 지원하는 VM. 이러한 리소스에 대한 자세한 내용은 VM의 N 계층 아키텍처를 참조하세요.

Scenario details

잠재적인 사용 사례

이 참조 아키텍처의 일반적인 용도는 다음과 같습니다.

• Azure에 배포된 웹 애플리케이션으로, 조직에 속한 원격 사용자에 대한 액세스를 제공합니다.

• 암호를 재설정하고 그룹 관리를 위임하는 등 고객을 위한 셀프 서비스 기능을 구현합니다. 이 기능을 사용하려면 Microsoft Entra ID P1 또는 P2 버전이 필요합니다.

• VPN 터널 또는 Azure ExpressRoute 회로를 사용하여 온-프레미스 네트워크와 애플리케이션의 Azure 가상 네트워크가 연결되지 않는 아키텍처입니다.

Recommendations

대부분의 시나리오에 다음 권장 사항을 적용할 수 있습니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

Microsoft Entra Connect 동기화 서비스 구성

Microsoft Entra Connect Sync 서비스는 클라우드에 저장된 ID 정보가 온-프레미스에 저장된 ID 정보와 일치하도록 합니다. Microsoft Entra Connect 소프트웨어를 사용하여 이 서비스를 설치합니다.

Microsoft Entra Connect 동기화를 구현하기 전에 조직의 동기화 요구 사항을 결정합니다. 예를 들어 동기화할 항목, 포함할 도메인 및 동기화가 발생하는 빈도를 고려합니다.

VM 또는 온-프레미스에서 호스트되는 컴퓨터에서 Microsoft Entra Connect 동기화 서비스를 실행할 수 있습니다. Active Directory 디렉터리에 있는 정보의 변동성에 따라 Microsoft Entra Connect Sync 서비스의 부하가 Microsoft Entra ID와 처음 동기화된 후에는 높지 않을 수 있습니다. VM에서 서비스를 실행하면 필요에 따라 서버의 크기를 쉽게 조정할 수 있습니다. Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

포리스트에 여러 온-프레미스 도메인이 있는 경우 전체 포리스트에 대한 정보를 저장하고 단일 Microsoft Entra 테넌트에 동기화하는 것이 좋습니다. 두 개 이상의 도메인에서 발생하는 ID에 대한 정보를 필터링하여 각 ID가 중복되는 대신 Microsoft Entra ID에 한 번만 표시되도록 합니다. 중복으로 인해 데이터가 동기화될 때 불일치가 발생할 수 있습니다. 자세한 내용은 네트워크 토폴로지 유효성 검사 섹션을 참조하세요.

필요한 데이터만 Microsoft Entra ID에 저장되도록 필터링을 사용합니다. 예를 들어 조직에서는 비활성 계정에 대한 정보를 Microsoft Entra ID에 저장하지 않을 수 있습니다. 필터링은 그룹, 도메인, OU(조직 단위) 또는 특성을 기준으로 수행할 수 있습니다. 필터를 결합하여 더 복잡한 규칙을 생성할 수 있습니다. 예를 들어 선택한 특성에 특정 값이 있는 도메인에 저장된 개체를 동기화할 수 있습니다. 자세한 내용은 Microsoft Entra Connect 동기화: 필터링 구성을 참조하세요.

Active Directory Connect 동기화 서비스에 대한 고가용성을 구현하려면 보조 스테이징 서버를 실행합니다. For more information, see Staging mode.

보안 구성 및 정책 유효성 검사

사용자 암호 관리. Microsoft Entra ID P1 또는 P2 버전은 비밀번호 쓰기 저장을 지원합니다. 이 기능을 사용하면 온-프레미스 사용자가 Azure Portal 내에서 셀프 서비스 암호 재설정을 수행할 수 있습니다. 이 기능은 조직의 암호 보안 정책을 검토한 후에만 사용하도록 설정해야 합니다. 예를 들어 암호를 변경할 수 있는 사용자를 제한하고 암호 관리 환경을 사용자 지정할 수 있습니다. 자세한 내용은 [Microsoft Entra 셀프 서비스 암호 재설정에 대한 사용자 환경 사용자 지정]을 참조하세요.

외부에서 액세스할 수 있는 온-프레미스 애플리케이션 보호. Microsoft Entra 애플리케이션 프록시를 사용하여 Microsoft Entra ID를 통해 네트워크 외부의 사용자에게 온-프레미스 웹 애플리케이션에 대한 제어된 액세스를 제공합니다. Azure 디렉터리에 유효한 자격 증명이 있는 사용자만 애플리케이션을 사용할 수 있는 권한이 있습니다. 자세한 내용은 Microsoft Entra ID에서 애플리케이션 프록시 사용을 참조하세요.

의심스러운 활동의 징후는 Microsoft Entra ID를 적극적으로 모니터링합니다. Microsoft Entra ID 보호를 포함하는 Microsoft Entra ID P2 버전을 사용하는 것이 좋습니다. ID 보호는 적응형 기계 학습 알고리즘 및 추론을 사용하여 ID가 손상되었음을 나타낼 수 있는 변칙 및 위험 이벤트를 검색합니다. 예를 들어 불규칙한 로그인 활동, 알 수 없는 원본의 로그인 또는 의심스러운 활동이 있는 IP 주소 또는 감염될 수 있는 디바이스의 로그인과 같은 잠재적으로 비정상적인 활동을 감지할 수 있습니다. ID 보호는 이 데이터를 사용하여 이러한 위험 이벤트를 조사하고 적절한 조치를 수행할 수 있도록 하는 보고서와 경고를 생성합니다. For more information, see ID Protection.

Azure Portal에서 Microsoft Entra ID의 보고 기능을 사용하여 시스템에서 발생하는 보안 관련 활동을 모니터링할 수 있습니다. 이러한 보고서를 사용하는 방법에 대한 자세한 내용은 Microsoft Entra 모니터링 및 상태를 참조하세요.

네트워크 토폴로지 유효성 검사

조직의 요구 사항과 가장 일치하는 토폴로지 구현을 위해 Microsoft Entra Connect를 구성합니다. Microsoft Entra Connect는 다음 토폴로지에서 지원합니다.

• 단일 포리스트, 단일 Microsoft Entra 디렉터리: 이 토폴로지에서 Microsoft Entra Connect는 단일 온-프레미스 포리스트에 있는 하나 이상의 도메인에서 단일 Microsoft Entra 테넌트로 개체 및 ID 정보를 동기화합니다. 이 토폴로지는 Microsoft Entra Connect의 빠른 설치에 의한 기본 구현입니다.

  Note

  여러 Microsoft Entra Connect 동기화 서버를 사용하여 동일한 온-프레미스 포리스트의 다른 도메인을 동일한 Microsoft Entra 테넌트에 연결하지 마세요. 이 구성은 다음 섹션에 설명된 대로 서버 중 하나가 준비 모드에서 실행되는 경우에만 적합합니다.

• 여러 포리스트, 단일 Microsoft Entra 디렉터리: 이 토폴로지에서 Microsoft Entra Connect는 여러 포리스트의 개체 및 ID 정보를 단일 Microsoft Entra 테넌트로 동기화합니다. 조직에 둘 이상의 온-프레미스 포리스트가 있는 경우 이 토폴로지를 사용합니다. 사용자가 둘 이상의 포리스트에 있는 경우에도 각 고유 사용자가 Microsoft Entra 디렉터리에서 한 번 표시되도록 ID 정보를 통합할 수 있습니다. 모든 포리스트는 동일한 Microsoft Entra Connect 동기화 서버를 사용합니다. Microsoft Entra Connect 동기화 서버는 도메인에 속할 필요는 없지만 모든 포리스트에서 연결할 수 있어야 합니다.

  Note

  이 토폴로지에서 별도의 Microsoft Entra Connect 동기화 서버를 사용하여 각 온-프레미스 포리스트를 단일 Microsoft Entra 테넌트에 연결하지 마세요. 사용자가 둘 이상의 포리스트에 있는 경우 이 구성으로 인해 Microsoft Entra ID에서 ID 정보가 중복될 수 있습니다.

• 여러 포리스트, 별도의 토폴로지: 이 토폴로지에서는 별도의 포리스트의 ID 정보를 단일 Microsoft Entra 테넌트로 병합하고 모든 포리스트를 별도의 엔터티로 처리합니다. 이 토폴로지는 서로 다른 조직의 포리스트를 결합하고 각 사용자의 ID 정보가 하나의 포리스트에만 보관되는 경우에 유용합니다.

  Note

  각 포리스트의 전역 주소 목록이 동기화되면 한 포리스트의 사용자가 다른 포리스트에 연락처로 있을 수 있습니다. 이 동작은 조직에서 Forefront Identity Manager 2010 또는 Microsoft Identity Manager 2016을 사용하여 GALSync를 구현한 경우에 발생할 수 있습니다. In this scenario, you can specify that users should be identified by their Mail attribute. You can also match identities by using the ObjectSID and msExchMasterAccountSID attributes. 이 방법은 계정을 사용하지 않도록 설정한 하나 이상의 리소스 포리스트가 있는 경우에 유용합니다.

• Staging server: In this configuration, you run a second instance of the Microsoft Entra Connect Sync server in parallel with the first. 이 구조는 다음 시나리오를 지원합니다.

  • High availability

  • Microsoft Entra Connect 동기화 서버의 새 구성 테스트 및 배포

  • 새 서버 소개 및 이전 구성 서비스 해제

    In these scenarios, the second instance runs in staging mode. 서버는 가져온 개체 및 동기화 데이터를 데이터베이스에 기록하지만 데이터를 Microsoft Entra ID에 전달하지는 않습니다. 준비 모드를 사용하지 않도록 설정하면 서버에서 Microsoft Entra ID에 데이터 쓰기를 시작합니다. 또한 적절한 경우 온-프레미스 디렉터리에 암호 쓰기 저장을 수행하기 시작합니다. 자세한 내용은 Microsoft Entra Connect Sync: 운영 작업 및 고려 사항을 참조 하세요.

• 여러 Microsoft Entra 디렉터리: 일반적으로 조직에 대한 단일 Microsoft Entra 디렉터리를 만듭니다. 그러나 별도의 Microsoft Entra 디렉터리 간에 정보를 분할해야 하는 시나리오가 있을 수 있습니다. 이 경우 온-프레미스 포리스트의 각 개체가 하나의 Microsoft Entra 디렉터리에만 표시되도록 하여 동기화 및 암호 쓰기 저장 문제를 방지합니다. 이 시나리오를 구현하려면 각 Microsoft Entra 디렉터리에 대해 별도의 Microsoft Entra Connect 동기화 서버를 구성하고 각 Microsoft Entra Connect 동기화 서버가 상호 배타적인 개체 집합에서 작동하도록 필터링을 사용합니다.

이러한 토폴로지에 대한 자세한 내용은 Microsoft Entra Connect의 토폴로지 항목을 참조하세요.

사용자 인증 방법 구성

기본적으로 Microsoft Entra Connect 동기화 서버는 온-프레미스 도메인과 Microsoft Entra ID 간에 암호 해시 동기화를 구성합니다. Microsoft Entra 서비스는 사용자가 온-프레미스에서 사용하는 것과 동일한 암호를 제공하여 인증한다고 가정합니다. 많은 조직에서 이 전략이 적절하지만 조직의 기존 정책과 인프라를 고려해야 합니다. 다음 사항을 고려합니다.

• 조직의 보안 정책은 암호 해시를 클라우드에 동기화하는 것을 금지할 수 있습니다. In this case, your organization should consider pass-through authentication.

• 회사 네트워크의 도메인 조인 컴퓨터에서 클라우드 리소스에 액세스할 때 원활한 SSO(Single Sign-On)가 필요할 수 있습니다.

• 조직에 이미 AD FS(Active Directory Federation Services) 또는 비 Microsoft 페더레이션 공급자가 배포되어 있을 수 있습니다. 클라우드에 보관된 암호 정보를 사용하는 대신 이 인프라를 사용하여 인증 및 SSO를 구현하도록 Microsoft Entra ID를 구성할 수 있습니다.

자세한 내용은 Microsoft Entra Connect 사용자 로그인 옵션을 참조하세요.

Microsoft Entra 애플리케이션 프록시 구성

Microsoft Entra ID를 사용하여 온-프레미스 애플리케이션에 대한 액세스를 제공합니다.

Microsoft Entra 애플리케이션 프록시 구성 요소가 관리하는 애플리케이션 프록시 커넥터를 사용하여 온-프레미스 웹 애플리케이션을 노출합니다. 애플리케이션 프록시 커넥터는 Microsoft Entra 애플리케이션 프록시에 대한 아웃바운드 네트워크 연결을 엽니다. 원격 사용자의 요청은 이 프록시 연결을 통해 Microsoft Entra ID에서 웹앱으로 다시 라우팅됩니다. 이 구성을 사용하면 온-프레미스 방화벽에서 인바운드 포트를 열 필요가 없으며 조직에서 노출되는 공격 표면을 줄입니다.

자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용하여 애플리케이션 게시를 참조하세요.

Microsoft Entra 개체 동기화 구성

Microsoft Entra Connect의 기본 구성은 Microsoft Entra Connect 동기화에 지정된 규칙에 따라 로컬 Active Directory 디렉터리의 개체를 동기화합니다. 기본 구성 이해 이러한 규칙이 충족되는 개체는 동기화되지만 다른 모든 개체는 무시됩니다. 다음 예제 규칙을 고려합니다.

• User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.

• User objects must have a sAMAccountName attribute and can't start with the text Azure AD_ or MSOL_.

Microsoft Entra Connect는 사용자, 연락처, 그룹, ForeignSecurityPrincipal 및 컴퓨터 개체에 여러 규칙을 적용합니다. 기본 규칙 집합을 수정해야 하는 경우 Microsoft Entra Connect와 함께 설치된 동기화 규칙 편집기를 사용합니다.

또한 사용자 고유의 필터를 정의하여 도메인 또는 OU에서 동기화할 개체를 제한할 수도 있습니다. Alternatively, you can implement more complex custom filtering.

모니터링 에이전트 구성

온-프레미스에 설치된 다음 에이전트는 상태 모니터링을 수행합니다.

• Microsoft Entra Connect는 동기화 작업에 대한 정보를 캡처하는 에이전트를 설치합니다. Azure Portal에서 Microsoft Entra Connect Health 블레이드를 사용하여 상태 및 성능을 모니터링합니다. 자세한 내용은 동기화에 Microsoft Entra Connect Health 사용을 참조하세요.

• Azure에서 AD DS 도메인 및 디렉터리 상태를 모니터링하려면 온-프레미스 도메인 내의 컴퓨터에 AD DS용 Microsoft Entra Connect Health 에이전트를 설치합니다. 상태 모니터링을 위해 Azure Portal의 Microsoft Entra Connect Health 블레이드를 사용합니다. 자세한 내용은 AD DS와 함께 Microsoft Entra Connect Health 사용을 참조하세요.

• Microsoft Entra Connect Health for AD FS 에이전트를 설치하여 온-프레미스에서 실행되는 서비스의 상태를 모니터링하고 Azure Portal에서 Microsoft Entra Connect Health 블레이드를 사용하여 AD FS를 모니터링합니다. 자세한 내용은 AD FS에서 Microsoft Entra Connect Health 사용을 참조하세요.

자세한 내용은 Microsoft Entra Connect Health 에이전트 설치를 참조하세요.

Considerations

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일련의 기본 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. For more information, see Well-Architected Framework.

Reliability

안정성은 애플리케이션이 고객에 대한 약정을 충족할 수 있도록 하는 데 도움이 됩니다. 자세한 내용은 안정성 대한디자인 검토 검사 목록을 참조하세요.

Microsoft Entra 서비스는 지리적으로 분산되어 있으며 자동화된 장애 조치(failover)를 통해 전 세계에 분산된 여러 데이터 센터에서 실행됩니다. 데이터 센터를 사용할 수 없게 되면 Microsoft Entra ID를 사용하면 지리적으로 분산된 최소 2개의 데이터 센터에서 디렉터리 데이터를 인스턴스 액세스에 사용할 수 있습니다.

가용성을 높이기 위해 스테이징 모드에서 Microsoft Entra Connect Sync 서버의 두 번째 인스턴스를 프로비전하는 것이 좋습니다.

Microsoft Entra Connect와 함께 제공되는 SQL Server Express LocalDB 인스턴스를 사용하지 않는 경우 SQL 클러스터링을 사용하여 고가용성을 달성하는 것이 좋습니다. Microsoft Entra Connect는 미러링 및 Always On과 같은 솔루션을 지원하지 않습니다.

Microsoft Entra Connect 동기화 서버의 고가용성 달성에 대한 기타 고려 사항 및 실패 후 복구하는 방법은 Microsoft Entra Connect Sync: 운영 작업 및 고려 사항 - 재해 복구를 참조하세요.

Security

보안은 의도적인 공격 및 중요한 데이터 및 시스템의 오용에 대한 보증을 제공합니다. 자세한 내용은 보안 대한디자인 검토 검사 목록을 참조하세요.

Microsoft Entra 조건부 액세스 제어를 사용하여 예기치 않은 원본의 인증 요청을 거부합니다.

• 사용자가 신뢰할 수 없는 위치(예: 신뢰할 수 있는 네트워크 대신 인터넷에서)에서 연결을 시도하는 경우 Microsoft Entra MFA(다단계 인증) 를 트리거합니다.

• iOS, Android 또는 Windows와 같은 사용자의 디바이스 플랫폼 유형을 사용하여 애플리케이션 및 기능에 대한 액세스 정책을 결정합니다.

• 사용자 디바이스의 사용 또는 사용 안 함 상태를 기록합니다. 이 정보를 액세스 정책 검사에 통합합니다. 예를 들어 사용자의 휴대폰을 분실하거나 도난당한 경우 액세스 권한을 얻는 데 사용되지 않도록 비활성화된 것으로 기록해야 합니다.

• 그룹 멤버 자격에 따라 리소스에 대한 사용자 액세스를 제어합니다. Microsoft Entra 동적 멤버 자격 규칙을 사용하여 그룹 관리를 간소화합니다.

• ID 보호와 함께 조건부 액세스 위험 기반 정책을 사용하여 비정상적인 로그인 활동 또는 기타 이벤트를 기반으로 고급 보호를 제공합니다.

자세한 내용은 위험 기반 액세스 정책을 참조하세요.

Cost Optimization

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 개선하는 방법에 중점을 둡니다. 자세한 내용은 비용 최적화 대한디자인 검토 검사 목록을 참조하세요.

Azure 가격 계산기를 사용하여 비용을 예측합니다.

다음 비용 고려 사항을 고려합니다.

• Microsoft Entra Connect: Microsoft Entra Connect 동기화 기능은 모든 버전의 Microsoft Entra ID에서 사용할 수 있습니다.

  • Microsoft Entra Connect를 사용하기 위한 추가 라이선스 요구 사항은 없습니다. 또한 Azure 구독에 포함됩니다.

  • Microsoft Entra ID 버전에 대한 가격 책정 정보는 Microsoft Entra 가격 책정을 참조하세요.

• N 계층 애플리케이션용 VM: 이러한 리소스에 대한 비용 정보는 Azure Virtual Machines 및 확장 집합에 대한 아키텍처 모범 사례를 참조하세요.

Operational Excellence

운영 우수성은 애플리케이션을 배포하고 프로덕션 환경에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 대한디자인 검토 검사 목록을 참조하세요.

Manageability

Microsoft Entra ID 관리에는 다음 두 가지 측면이 있습니다.

• 클라우드에서 Microsoft Entra ID 관리
• Microsoft Entra Connect 동기화 서버 유지 관리

Microsoft Entra ID는 클라우드에서 도메인 및 디렉터리를 관리하기 위한 다음 옵션을 제공합니다.

• Microsoft Graph PowerShell 모듈 은 사용자 관리, 도메인 관리 및 SSO 구성과 같은 일반적인 Microsoft Entra 관리 작업을 스크립트하는 데 사용됩니다.

• Azure Portal의 Microsoft Entra 관리 블레이드 는 디렉터리의 대화형 관리 보기를 제공합니다. 또한 Microsoft Entra ID의 대부분의 측면을 제어하고 구성할 수 있습니다.

Microsoft Entra Connect는 다음 도구를 설치하여 온-프레미스 컴퓨터에서 Microsoft Entra Connect 동기화 서비스를 유지 관리합니다.

• Microsoft Entra Connect 콘솔 을 사용하면 Microsoft Entra Connect 동기화 서버의 구성을 수정하고, 동기화가 발생하는 방식을 사용자 지정하고, 준비 모드를 사용하거나 사용하지 않도록 설정하고, 사용자 로그인 모드를 전환할 수 있습니다. 온-프레미스 인프라를 사용하여 AD FS 로그인을 사용하도록 설정할 수 있습니다.

• 동기화 서비스 관리자는 이 도구의 작업 탭을 사용하여 동기화 프로세스를 관리하고 프로세스의 일부가 실패했는지 여부를 감지합니다. 이 도구를 사용하여 동기화를 수동으로 트리거할 수 있습니다. The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.

• 동기화 규칙 편집 기를 사용하면 온-프레미스 디렉터리와 Microsoft Entra ID 간에 개체가 복사될 때 개체가 변환되는 방식을 사용자 지정할 수 있습니다. 이 도구를 사용하면 동기화를 위해 추가 특성 및 개체를 지정할 수 있습니다. 그런 다음 필터를 구현하여 동기화해야 하거나 동기화해서는 안 되는 개체를 결정합니다. 자세한 내용은 Microsoft Entra Connect 동기화: 기본 구성 및 Microsoft Entra Connect 동기화 이해: 기본 구성 변경 모범 사례를 참조하세요.

DevOps

DevOps 고려 사항은 Azure 가상 네트워크에서 AD DS 배포의 운영 우수성을 참조하세요.

Performance Efficiency

성능 효율성은 사용자 요구를 효율적으로 충족하기 위해 워크로드의 크기를 조정하는 기능을 의미합니다. 자세한 내용은 성능 효율성 대한디자인 검토 검사 목록을 참조하세요.

Microsoft Entra 서비스는 복제본을 기반으로 확장성을 지원합니다. 쓰기 작업을 처리하는 단일 주 복제본과 여러 읽기 전용 보조 복제본이 있습니다. Microsoft Entra ID는 보조 복제본에 대해 시도한 쓰기를 주 복제본으로 투명하게 리디렉션하고 최종 일관성을 유지합니다. 주 복제본에 대한 모든 변경 내용은 보조 복제본에 전파됩니다. 이 아키텍처는 Microsoft Entra ID에 대해 수행되는 대부분의 작업이 쓰기 대신 읽기이므로 효과적으로 확장됩니다. 자세한 내용은 Microsoft Entra 아키텍처를 참조하세요.

Microsoft Entra Connect 동기화 서버의 경우 로컬 디렉터리에서 동기화할 가능성이 있는 개체 수를 결정합니다. 개체가 100,000개 미만인 경우 Microsoft Entra Connect와 함께 제공되는 기본 SQL Server Express LocalDB 소프트웨어를 사용할 수 있습니다. 개체 수가 많은 경우 프로덕션 버전의 SQL Server를 설치합니다. 그런 다음 Microsoft Entra Connect의 사용자 지정 설치를 수행하고 기존 SQL Server 인스턴스를 사용하도록 지정합니다.

Contributors

Microsoft는 이 문서를 유지 관리합니다. 다음 기여자는 이 문서를 작성했습니다.

Principal author:

• Eric Woodruff | Product Technical Specialist

LinkedIn 비공개 프로필을 보려면, LinkedIn에 로그인하세요.

Next steps

• Microsoft Entra Connect에 대한 토폴로지 검토하여 Microsoft Entra Connect의 하이브리드 토폴로지가 지원되는 구성에 배포되었는지 확인합니다.
• 조건부 액세스 배포를 사용하여 애플리케이션에 대한 액세스를 보호하는 방법을 알아봅니다.
• Azure에서 AD DS를 인프라로 제공하는 방법에 대한 자세한 내용은 Microsoft Entra ID와 온-프레미스 AD 통합을 검토하세요.
• 온-프레미스 또는 클라우드 인프라와 Microsoft Entra 통합을 서비스 애플리케이션으로 제공하려는 경우 Microsoft Entra 애플리케이션 프록시 를 검토합니다.
• ID는 보안을 위한 새로운 컨트롤 플레인이므로 ID 관리 모범 사례를 검토합니다.
• 이 솔루션을 배포하려면 높은 권한의 계정이 필요하기 때문에 보안 권한 있는 액세스를 검토합니다.

Related resources

• 다중 테넌트 애플리케이션의 ID 관리
• Azure로 온-프레미스 AD FS 확장