Microsoft Entra ID는 클라우드에 대한 ID 및 액세스 관리 솔루션의 다음 진화입니다. Microsoft는 조직에서 사용자당 단일 ID를 사용하여 여러 온-프레미스 인프라 구성 요소 및 시스템을 관리할 수 있는 기능을 제공하기 위해 Windows 2000에서 Active Directory Domain Services를 도입했습니다.
Microsoft Entra ID는 클라우드 및 온-프레미스에서 모든 앱에 대한 IDaaS(Identity as a Service) 솔루션을 조직에 제공하여 이 접근 방식을 한 단계 더 끌어올립니다.
대부분의 IT 관리자는 Active Directory Domain Services 개념에 익숙합니다. 다음 표에서는 Active Directory 개념과 Microsoft Entra ID 간의 차이점과 유사성을 간략하게 설명합니다.
| 개념 | Windows Server Active Directory | Microsoft Entra ID (마이크로소프트 엔트라 ID) |
|---|---|---|
| 사용자 | ||
| 프로비저닝: 사용자 | 조직은 내부 사용자를 수동으로 만들거나 사내 또는 자동화된 프로비저닝 시스템(예: Microsoft Identity Manager)을 사용하여 HR 시스템과 통합합니다. | 기존 Microsoft Windows Server Active Directory 조직에서는 Microsoft Entra Connect 를 사용하여 ID를 클라우드에 동기화합니다.
Microsoft Entra ID는 클라우드 HR 시스템에서 사용자를 자동으로 만드는 지원을 추가합니다. Microsoft Entra ID는 SCIM(System for Cross-Domain Identity Management) 지원 SaaS(Software as a Service) 앱에서 ID를 프로비전하여 사용자에게 액세스를 허용하는 데 필요한 세부 정보를 앱에 자동으로 제공할 수 있습니다. |
| 프로비저닝: 외부 정체성 | 조직에서는 전용 외부 Microsoft Windows Server Active Directory 포리스트에서 외부 사용자를 일반 사용자로 수동으로 만들면 외부 ID(게스트 사용자)의 수명 주기를 관리하는 관리 오버헤드가 발생합니다. | Microsoft Entra ID는 외부 ID를 지원하는 특수한 ID 클래스를 제공합니다. Microsoft Entra B2B 는 외부 사용자 ID에 대한 링크를 관리하여 유효한지 확인합니다. |
| 권한 관리 및 그룹 | 관리자는 사용자를 그룹의 구성원으로 만듭니다. 그런 다음 앱 및 리소스 소유자는 그룹에 앱 또는 리소스에 대한 액세스 권한을 부여합니다. |
그룹은 Microsoft Entra ID에서도 사용할 수 있으며 관리자는 그룹을 사용하여 리소스에 권한을 부여할 수도 있습니다. Microsoft Entra ID에서 관리자는 그룹에 멤버 자격을 수동으로 할당하거나 쿼리를 사용하여 사용자를 그룹에 동적으로 포함할 수 있습니다.
관리자는 Microsoft Entra ID의 권한 관리를 사용하여 워크플로 및 필요한 경우 시간 기반 조건을 사용하여 사용자에게 앱 및 리소스 컬렉션에 대한 액세스 권한을 부여할 수 있습니다. |
| 관리자 관리 | 조직은 Microsoft Windows Server Active Directory의 도메인, 조직 구성 단위 및 그룹의 조합을 사용하여 제어하는 디렉터리와 리소스를 관리하는 관리 권한을 위임합니다. | Microsoft Entra ID는 MICROSOFT Entra RBAC(역할 기반 액세스 제어) 시스템과 함께 기본 제공 역할을 제공하며, 제어하는 ID 시스템, 앱 및 리소스에 대한 권한 있는 액세스를 위임하는 사용자 지정 역할을 만들기 위한 제한된 지원을 제공합니다. 권한 있는 역할에 대한 Just-In-Time, 시간 제한 또는 워크플로 기반 액세스를 제공하기 위해 PIM(Privileged Identity Management) 을 사용하여 역할을 관리할 수 있습니다. |
| 자격 증명 관리 | Active Directory의 자격 증명은 암호, 인증서 인증 및 스마트 카드 인증을 기반으로 합니다. 암호는 암호 길이, 만료 및 복잡성을 기반으로 하는 암호 정책을 사용하여 관리됩니다. | Microsoft Entra ID는 클라우드 및 온-프레미스에 지능형 암호 보호를 사용합니다. 보호에는 스마트 잠금 기능, 일반 및 사용자 지정 암호 구문 및 대체어 차단이 포함됩니다.
Microsoft Entra ID는 FIDO2와 같은 다단계 인증 및 암호 없는 기술을 통해 보안을 크게 향상시킵니다. Microsoft Entra ID는 사용자에게 셀프 서비스 암호 재설정 시스템을 제공하여 지원 비용을 절감합니다. |
| 앱 | ||
| 인프라 앱 | Active Directory는 DNS, DHCP(동적 호스트 구성 프로토콜), IPSec(인터넷 프로토콜 보안), WiFi, NPS 및 VPN 액세스와 같은 많은 인프라 온-프레미스 구성 요소의 기초를 형성합니다. | 새로운 클라우드 환경에서 Microsoft Entra ID는 네트워킹 컨트롤에 의존하는 대신 앱에 액세스하기 위한 새로운 컨트롤 플레인입니다. 사용자가 인증할 때 조건부 액세스 는 필요한 조건에서 어떤 앱에 액세스할 수 있는 사용자를 제어합니다. |
| 기존 및 레거시 앱 | 대부분의 온-프레미스 앱은 LDAP, Windows-Integrated 인증(NTLM 및 Kerberos) 또는 헤더 기반 인증을 사용하여 사용자에 대한 액세스를 제어합니다. | Microsoft Entra ID는 온-프레미스에서 실행되는 Microsoft Entra 애플리케이션 프록시 에이전트를 사용하여 이러한 유형의 온-프레미스 앱에 대한 액세스를 제공할 수 있습니다. 이 방법을 사용하면, Kerberos를 통해 Microsoft Entra ID가 온프레미스에서 Active Directory 사용자를 인증하여, 마이그레이션 중이거나 레거시 앱과 공존해야 할 때 사용할 수 있습니다. |
| SaaS 앱 | Active Directory는 기본적으로 SaaS 앱을 지원하지 않으며 AD FS와 같은 페더레이션 시스템이 필요합니다. | OAuth2, SAML(Security Assertion Markup Language) 및 WS-* 인증을 지원하는 SaaS 앱을 통합하여 인증에 Microsoft Entra ID를 사용할 수 있습니다. |
| 최신 인증을 사용하는 업무용(LOB) 앱 | 조직은 Active Directory에서 AD FS를 사용하여 최신 인증이 필요한 LOB 앱을 지원할 수 있습니다. | 최신 인증이 필요한 LOB 앱은 인증에 Microsoft Entra ID를 사용하도록 구성할 수 있습니다. |
| 중간 계층/디먼 서비스 | 온-프레미스 환경에서 실행되는 서비스는 일반적으로 Microsoft Windows Server Active Directory 서비스 계정 또는 gMSA(그룹 관리 서비스 계정)를 사용하여 실행합니다. 그런 다음 이러한 앱은 서비스 계정의 권한을 상속합니다. | Microsoft Entra ID는 클라우드에서 다른 워크로드를 실행하는 관리 ID 를 제공합니다. 이러한 ID의 수명 주기는 Microsoft Entra ID에 의해 관리되며 리소스 공급자에 연결되며 백도어 액세스 권한을 얻기 위해 다른 용도로 사용할 수 없습니다. |
| 디바이스 | ||
| 휴대폰 | Active Directory는 타사 솔루션이 없는 모바일 디바이스를 기본적으로 지원하지 않습니다. | Microsoft의 모바일 디바이스 관리 솔루션인 Microsoft Intune은 Microsoft Entra ID와 통합됩니다. Microsoft Intune은 인증 중에 평가할 ID 시스템에 디바이스 상태 정보를 제공합니다. |
| Windows 데스크톱 | Active Directory는 그룹 정책, System Center Configuration Manager 또는 기타 타사 솔루션을 사용하여 Windows 디바이스를 관리하기 위해 Windows 디바이스를 도메인 조인하는 기능을 제공합니다. | Windows 디바이스 는 Microsoft Entra ID에 조인할 수 있습니다. 조건부 액세스는 디바이스가 인증 프로세스의 일부로 Microsoft Entra에 가입되어 있는지 확인할 수 있습니다. Windows 디바이스는 Microsoft Intune을 사용하여 관리할 수도 있습니다. 이 경우 조건부 액세스는 앱에 대한 액세스를 허용하기 전에 디바이스가 준수(예: up-to-date 보안 패치 및 바이러스 서명)인지 여부를 고려합니다. |
| Windows 서버 | Active Directory는 그룹 정책 또는 기타 관리 솔루션을 사용하여 온-프레미스 Windows 서버에 강력한 관리 기능을 제공합니다. | Azure의 Windows 서버 가상 머신은 Microsoft Entra Domain Services를 사용하여 관리할 수 있습니다. VM이 ID 시스템 디렉터리 또는 리소스에 액세스해야 하는 경우 관리 ID를 사용할 수 있습니다. |
| Linux/Unix 워크로드 | Linux 머신은 Active Directory를 Kerberos 영역으로 인증하도록 구성할 수 있지만 Active Directory는 타사 솔루션이 없는 비 Windows를 기본적으로 지원하지 않습니다. | Linux/Unix VM은 관리 ID 를 사용하여 ID 시스템 또는 리소스에 액세스할 수 있습니다. 일부 조직에서는 관리 ID를 사용할 수 있는 클라우드 컨테이너 기술로 이러한 워크로드를 마이그레이션합니다. |