Microsoft 365 활용하기/Azure Active Directory

[M365] Active Directory와 Azure Active Directory 를 알아보자

(주)엠플 2022. 3. 18. 14:50

 

 

안녕하세요 Microsoft 365 전문 파트너 엠플입니다.

 

데이터 유출 사고의 80% 이상이 계정 관리 소홀로 일어났다는 사실 알고 계신 가요?

피싱 공격 또한 90% 이상이 계정 탈취가 목적이며, 보안사고의 80%가 관리 권한을 소유한 계정에서 발생했다고 합니다.

데이터 유출 경로

 

회사의 규모가 커질수록 관리 대상은 많아지고 IT 자산을 관리는 점점 어려워집니다.

IP주소와 사용자 계정 정보를 수백, 수천 개씩 Excel로 관리하는 건 현실적으로 불가능 하다고 봐야 됩니다.

 

최근 데이터가 자산이 되는 시대에 데이터 유출을 막을 뿐만 아니라 계정 및 보안 관리를 손쉽게 도와주는 Active Directory가 Microsoft 365에서는 어떻게 사용되는지 알아보겠습니다.


AD(Active Directory)는 무엇일까요?


 

Active Directory 줄여서 AD라고 부르는 제품은 Windows Server에서 제공하는 DS(Directory Service)입니다.

DS(Directory Service)는 중앙에서 데이터를 관리합니다.

Active Directory는 사용자의 계정 정보와 디바이스, 정책들에 대한 정보를 저장하는 일종의 데이터베이스로 보실 수 있습니다.

 

Windows 컴퓨터의 기능이나 유저 정보를 관리하기 위해 Microsoft Windows Server OS에 탑재되어 있습니다.

회사의 리소스를 파일로 바꿔 계층형 구조의 폴더에 넣어 관리합니다.

 

 

100명의 직원을 보유한 기업에서 5개의 솔루션을 사용한다면 디바이스를 포함한 600개의 계정을 관리해야 됩니다.

직원 당 6개의 계정과 접근 권한, PC설정이 각각 적용된다고 할 때 단순 Excel로 계정관리를 할 수 있을까요?

또한 계정의 life cycle 관리와 인사 정보 변경까지 더해진다면 IT자산 관리가 얼마나 중요한지 알 수 있겠죠?

 

관리자만 아니라 사용자들의 보안은 선택이 아닌 필수지만 이에 따른 불편함은 업무에 직접적인 영향을 끼칠 수 있습니다.

이를 손쉽게 해결할 수 있는 Active Directory를 왜 사용해야 되는지 알아보겠습니다.

 


왜 Active Directory일까요?


사용자 정보 관리 일원화

AD는 각자 다른 그룹웨어, 메일, 솔루션 등에서 인사정보가 변경될 경우 AD를 관리하는 도메인 컨트롤러가 변경사항을 데이터베이스에 적용하여 다른 모든 서버에 반영합니다.

관리자는 인사변동에 따른 솔루션과 그룹웨어 메일 등 통합 계정 관리로 일괄 처리가 가능하게 됩니다.

사용자는 인사 DB에 따라 AD에서 자동으로 계정 및 시스템 접근 권한 할당되어 불필요한 시스템에 접근이 제한되어 보안이 강화됩니다.

 

IT 자산 관리

기업에는 많은 부서들이 있으며 공통되지 않는 소프트웨어들이 다수 존재하며, 불필요한 소프트웨어 할당은 비용적인 측면에서도 낭비이며 소프트웨어 제조사의 정책을 준수하기도 어렵습니다.

A라는 사용자가 인사 이동이 되어 보직이 변경되었을 때, 또는 신규 입사자가 발생하였을 때 사용자 환경에 맞는 설정이 따라오기 때문에 보다 효율적인 관리가 가능합니다.

 

GPO(Group Policy Object : 그룹정책)을 통한 업무 및 보안 환경 개선  

AD를 활용하여 권한 제어, 계정 및 보안 정책, 네트워크 정책, 소프트웨어 관리 등을 정의하여 사용자 별 디바이스에 적용시켜 보다 효율적이며 강화된 업무 환경을 만들 수 있습니다.

이에 따라 AD 각 객체인 부서별 관리, 사용자별 관리가 중앙 통제가 가능해짐에 따라 업무 및 보안 환경이 개선됩니다.

 

이 외에도 자산관리, SW배포, 문서보안, 패치관리, 매체제어, 유무선 인증, PC원격 지원 등 많은 기능들이 제공되고 있습니다.

 

단 Active Directory를 사용하기 전에 관리 대상은 Active Directory Domain에 가입해야 됩니다.

가입 대상이 DNS 서버를 Active Directory 서버로 변경해야 됩니다. 대상이 AD Server를 찾아 Domain에 가입해야 되며 Service를 운영할 때 대상이 Domain에서 Windows Service를 찾을 수 있기 때문입니다.

 

 


그렇다면 Azure Active Directory는?


Azure Active Directory는 클라우드용 계정과 액세스 관리 솔루션입니다.

Azure AD는 클라우드 앱에 대한 IDaaS(Identity as a Service) 솔루션을 제공합니다.

 

Active Directory와 Azure Active Directory를 동기화하여 클라우드와 온-프레미스 모두 제어하기 위해서는 AD Connect가 필요합니다.

 

 


Azure Active Directory를 단독으로 사용할 경우에는?


Azure AD는 모든 Microsoft의 웹 서비스에 통합 계정 및 접근제어 기능을 제공합니다.

Microsoft 365, Azure, Intune 기타 제품 사용을 하고 계신다면 이미 Azure AD를 사용하고 있습니다.

Enterprise Mobility + Security와 같은 보안 서비스를 추가로 사용한다면 Azure AD를 활용하여 보안을 강화할 수 있습니다.

 

 


Active Directory 용어 사전


 

[DC: Domain Controller]

윈도우 서버 도메인 안에서 보안 인증 요청 등에 응답하는 서버입니다.

[DS : Directory Service]

분산된 네트워크 관련 자원 정보를 중앙의 저장소에 통합시켜 놓음으로써 더 이상 사용자가 정보를 찾아 헤맬 필요 없도록 도와줍니다.

[AD : Active Directory ]

DS를 윈도우 서버에서 구현한 것으로 전체환경을 개념적으로 칭하고 이러한 정보들을 관리자가 통합하여 관리하도록 해줍니다

[Domain]

AD의 기본 단위입니다.

[OU : Organizational Unit]

도메인 내에서 AD에 존재하는 개체를 그룹으로 관리하기 위해 사용되는 단위입니다.

[Tree]

도메인의 집합입니다.

[Forest]

트리의 집합입니다.

[GC : Global Catalog]

포리스트 내 모든 도메인에 있는 개체에 대한 정보를 모아 놓은 데이터베이스입니다.  GC 사용하면 효율적인 검색을 가능하게 합니다.

[AD FS : AD Federation Service]

도메인 연합 및 웹 기반 단일 로그인 관리

[AD LDS : AD Lightweight Directory Services]

LDAP 디렉토리 방식 구현

[AD RMS : AD Rights Management Services]

AD 정보보호 및 권한 관리

[AD CS : AD Certificate Service]

공개 키 및 인증서 관리

 

[SSO : Single Sign On]

SSO(Single Sign On)는 가장 기본적인 인증 시스템으로, '모든 인증을 하나의 시스템에서'라는 목적으로 개발되었습니다. 즉 시스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 모두 얻게 됩니다