- Azure AD는 Microsoft의 다중 tenant 클라우드 기반 디렉터리 및 ID 관리 서비스이다.
- 사내 AD 와 Azure AD의 sync가 가능하다 = 모든 클라우드 웹앱 또는 온-프레미스 웹앱에 대해 SSO 를 사용할 수 있다.
Azure AD Join
Azure AD Join의 목표 - 회사 소유 디바이스의 Windows 배포 - 모든 Windows 디바이스에서 조직의 앱 및 리소스에 액세스 - 회사 소유 디바이스의 클라우드 기반 관리 - 사용자가 Azure AD 또는 동기화된 Active Directory 회사 또는 학교 계정을 사용하여 디바이스에 로그인
ID, 계정, 테넌트 등 주요 Azure Active Directory 구성 요소 - Identity(ID) : user (Credential = ID + Password) - Account : 연결된 데이터가 있는 ID - Azure AD account : Azure AD 또는 Office365에서 만든 ID - Azure AD tenant(=directory) : 조직(입주자). 구독 신청 시 자동으로 생성됨. 구독 하나 당 하나의 tenant - Azure subscription : Azure 클라우드 서비스 비용을 지불하는데 사용
구독을 신청한 담당자 = 관리자
회사 직원들이 Azure 를 신청할 수 있도록 계정을 만들어주는 것임.
ex) 회사의 모든 직원은 하나의 AD에 들어가 있음.
→ 회사의 총무가 Azure 가입하여 IT부서, 연구 부서, Sales 부서 등 각 부서마다 다른 구독을 신청(각자 다른 Azure tenant가 생김).
→ 관리자 권한을 위임(부여)하기 위해서 각 부서의 담당자들을 Administrator 그룹에 넣어주면 이제 그 담당자들이 Azure tenant를 관리할 수 있는 것임.
→ 각 부서의 담당자들은 이제 부여받은 관리자 ID로 로그인 하면 됨.
※ 권한 부여 ※
1) Subscription 에 부여 : 대부분 관리자에게 이 권한을 줌
2) Resource group 에 부여
3) each user 에 부여
※ 구독의 장점 ※
ⓐ 소비자 입장
1) 초기 투자 비용이 적다
2) 합리적이다 (쓴만큼만 지불)
3) 해지 가능하다
4) 최신 기능을 사용할 수 있다
ⓑ 제공자 입장
1) 안정적이고 예측 가능한 소득 확보
User Accounts
- 모든 user들은 account를 갖고 있어야 함 (portal에 들어가서 작업해야 하므로)
- account는 인증과 인가를 위해 사용된다
※ 사용자 계정 유형
Cloud ID : Azure AD에만 존재 ex) 관리자 계정이나 관리자가 직접 관리하는 사용자
디렉토리 동기화된 ID : 온-프레미스 Active Directory에 존재(Windows AD)
Guest
: Azure 외부에 위치 ex) 다른 클라우드 공급자의 계정과 Xbox LIVE 계정 등의 Microsoft 계정 이러한 유형의 계정은 외부 공급업체 또는 계약자가 귀하의 Azure 리소스에 액세스해야 하는 경우에 유용.
※ 사용자 생성
사용자 프로필(사진, 작업, 연락처 정보)은 선택 사항
삭제된 사용자는 30일 내에 복원할 수 있다.
로그인 및 감사 로그 정보를 사용할 수 있다.
대량으로 사용자를 생성하고 삭제할 수도 있다. Azure Portal에서 템플릿을 다운받아 csv 파일에 올바른 형식으로 사용자를 넣어주면 된다.
Group Accounts
※ 유형
Security Group. 보안 그룹 사용자 그룹의 공유 리소스에 대한 멤버 및 컴퓨터 액세스를 관리하는 데 사용 ex) 특정 보안 정책을 적용할 보안 그룹
Microsoft 365 Group 구성원들이 협업을 수행할 수 있도록 공유 사서함, 달력, 파일, SharePoint 사이트 등에 대한 액세스 권한을 제공
※ 할당 유형
Assigned : 특정 사용자를 그룹 구성원에 추가하고 고유 권한을 제공
Dynamic User : 동적으로 구성원 자격 규칙을 적용시켜 자동으로 구성원을 추가&제거
Dynamic Device(보안 그룹에서만 가능) : 동적으로 그룹 자격 규칙을 적용시켜 디바이스를 자동으로 추가&제거
실습) Azure AD 구성하기 1: Azure AD 사용자 생성 및 구성 2: 할당된 동적 멤버 자격으로 Azure AD 그룹 만들기 3: Azure AD(Active Directory) 테넌트 생성 4: Azure AD 게스트 사용자 관리
사용자(az104-01a-aaduser1) 생성 후, Add assignments
생성한 사용자에게 User administrator 권한을 부여하였다.
az104-01a-aaduser1 계정으로 Azure Active Directory 테넌트에 액세스할 수 있지만 Azure 리소스에 액세스할 수 없다. ** 동적 그룹을 구현하려면 Azure AD Premium P1 또는 P2 라이센스가 필요하기 때문에 라이센스를 먼저 발급받는다. 라이센스 발급새로운 그룹 생성
** 여기서 맨 밑에 Dynamic user members 를 Add 하여 규칙을 통해 구성원을 자동으로 관리할 수 있다.
jobTitle이 Cloud Administrator인 사람만 그룹에 가입할 수 있음그룹을 생성할 때 Assigned 유형으로 특정 그룹들만 선택하여 또 새로운 그룹을 만들 수 있다.tenant 생성이렇게 활동 디렉토리를 바꾸어 다른 tenant를 관리할 수도 있다.(총 관리자일 경우)
** Contoso Lab 디렉토리에 들어가 새로운 사용자를 생성한다.
새로운 tenant에 들어가 사용자 생성
** 다시 기본 디렉토리로 돌아가서 방금 만든 사용자를 Guest로서 invite 한다.
invite다른 tenant의 사용자에게 현재 디렉토리(기본 디렉토리)의 그룹을 관리하도록 지정할 수도 있다.
