애저 액티브 디렉터리

애저 앱티브 디렉터리의 핵심은 Azure AD 디렉터리이다. 이 디렉터리는 클라우드 상의 전용 인스턴스로서, 특정 조직의 모든 ID와 액세스 관리 정보를 저장하는 데이터베이스 역할을 한다. 각 디렉터리는 완전히 독립적이며, 조직이 애저 서비스를 처음 구독하거나 마이크로소프트 365와 같은 다른 마이크로소프트 클라우드 서비스에 등록할 때 자동으로 생성된다.

Azure AD 디렉터리는 조직의 사용자 계정, 그룹 멤버십, 애플리케이션 등록 정보, 그리고 인증 및 권한 부여 정책과 같은 모든 ID 관리 관련 데이터를 담는 컨테이너이다. 이는 전통적인 온프레미스 액티브 디렉터리 도메인의 클라우드 버전에 해당하지만, LDAP나 그룹 정책 같은 기능 대신 REST API 기반의 모던 인증 프로토콜을 중심으로 설계되었다. 모든 애저 리소스나 SaaS 애플리케이션에 대한 액세스는 반드시 하나의 Azure AD 디렉터리에 연결되어 인증을 받아야 한다.

하나의 조직은 일반적으로 단일 Azure AD 디렉터리를 보유하며, 이를 통해 내부 직원과 외부 게스트 사용자를 모두 관리한다. 그러나 특수한 경우, 예를 들어 완전히 분리된 사업부 운영이나 개발/테스트 환경 구축을 위해 여러 디렉터리를 생성할 수도 있다. 각 디렉터리는 고유한 도메인 이름(예: contoso.onmicrosoft.com)을 가지며, 조직의 사용자 지정 도메인을 추가하여 인증에 사용할 수 있다.

애저 앱티브 디렉터리에서 테넌트는 서비스의 핵심적인 조직 단위이다. 이는 애저 앱티브 디렉터리의 전용 인스턴스로, 조직이 서비스를 구독할 때 자동으로 생성되며, 해당 조직의 ID 관리와 보안을 위한 독립된 환경을 제공한다. 각 테넌트는 사용자, 그룹, 애플리케이션 등 조직의 모든 디렉터리 개체를 포함하고 관리하는 논리적 컨테이너 역할을 한다.

테넌트는 애저 앱티브 디렉터리 서비스의 경계를 정의하며, 기본적으로 데이터와 ID 정보는 테넌트 간에 격리되어 보호된다. 각 테넌트는 전 세계적으로 고유한 도메인 이름(예: yourcompany.onmicrosoft.com)을 가지며, 조직의 사용자 지정 도메인을 추가하여 사용할 수도 있다. 이 테넌트는 조직이 마이크로소프트의 클라우드 컴퓨팅 서비스, 특히 마이크로소프트 365나 애저 자체를 사용하기 위한 기반이 된다.

테넌트는 단일 조직 전용으로 사용되는 단일 테넌트 구조가 일반적이지만, 애저 앱티브 디렉터리 B2B 협업 기능을 통해 다른 테넌트의 사용자를 게스트로 초대하여 협업할 수 있다. 반면, 애저 앱티브 디렉터리 B2C는 소비자 대상 애플리케이션을 위한 별도의 테넌트 유형을 제공한다. 조직의 규모와 요구에 따라 적절한 애저 앱티브 디렉터리 에디션을 테넌트에 할당하여 기능을 확장할 수 있다.

애저 앱티브 디렉터리의 핵심 구성 요소인 사용자 및 그룹은 클라우드 리소스와 애플리케이션에 대한 접근을 관리하는 기본 단위이다. 사용자는 디렉터리에 등록된 개별 계정으로, 내부 직원이나 외부 게스트가 될 수 있으며, 각 사용자는 고유한 ID와 인증 정보를 갖는다. 그룹은 여러 사용자나 다른 그룹을 하나로 묶어 효율적인 권한 관리를 가능하게 하는 컨테이너 역할을 한다. 이를 통해 관리자는 수많은 사용자에게 개별적으로 권한을 부여하는 대신, 그룹 단위로 애플리케이션 접근 권한이나 정책을 일괄 적용할 수 있어 운영 효율성이 크게 향상된다.

사용자 계정은 크게 회사 계정과 게스트 사용자 계정으로 구분된다. 회사 계정은 해당 테넌트의 공식 도메인으로 생성되어 내부 ID 관리의 기반이 된다. 반면, 게스트 사용자 계정은 마이크로소프트 계정이나 다른 애저 앱티브 디렉터리 테넌트의 계정과 같은 외부 이메일 주소를 사용하여 초대될 수 있으며, 이를 통해 파트너사 직원 등 외부 협력자에게 특정 리소스에 대한 제한된 접근 권한을 안전하게 부여할 수 있다.

그룹에는 메일 사용 가능 그룹과 보안 그룹 등 주요 유형이 있다. 메일 사용 가능 그룹은 이메일 수신이 가능하며, 주로 협업 도구 내에서 팀 간 소통을 위한 메일링리스트 역할을 한다. 보안 그룹은 애플리케이션 또는 클라우드 인프라와 같은 리소스에 대한 접근 권한을 관리하는 데 주로 사용된다. 또한, 그룹은 중첩이 가능하여 한 보안 그룹이 다른 보안 그룹의 멤버가 될 수 있어, 복잡한 조직 구조를 반영한 유연한 권한 계층 구조를 구성할 수 있다.

사용자와 그룹 관리는 애저 포털, 마이크로소프트 365 관리 센터, 또는 PowerShell 스크립트를 통해 수행된다. 관리자는 여기서 사용자 프로비저닝, 라이선스 할당, 다단계 인증 설정, 그룹 생성 및 멤버십 관리 등의 작업을 집중적으로 처리할 수 있다. 이렇게 체계화된 사용자 및 그룹 관리는 조건부 액세스 정책과 결합되어, '누가', '어떤 조건에서', '어떤 리소스'에 접근할 수 있는지를 세밀하게 제어하는 정보 보안 체계의 토대를 제공한다.

애플리케이션 등록은 애저 액티브 디렉터리 테넌트에 사용자 지정 애플리케이션 또는 서드파티 애플리케이션을 통합하기 위한 필수 단계이다. 개발자는 애저 포털을 통해 애플리케이션을 등록함으로써, 해당 앱이 애저 액티브 디렉터리를 인증 및 권한 부여 공급자로 사용할 수 있도록 구성한다. 이 과정에서 애플리케이션의 고유 식별자, 리디렉션 URI, 인증서 및 비밀 키와 같은 중요한 구성 정보가 생성되고 관리된다.

등록된 각 애플리케이션은 애저 액티브 디렉터리 내에서 하나의 보안 주체 객체로 표현되며, 이는 애플리케이션의 ID를 정의한다. 이를 통해 애플리케이션은 OAuth 2.0이나 OpenID Connect와 같은 표준 프로토콜을 사용하여 사용자를 대신해 액세스 토큰을 요청하거나, 애플리케이션 자체의 권한으로 API에 접근할 수 있다. 애플리케이션 등록은 싱글 사인온을 구현하거나 마이크로소프트 그래프 API와 같은 클라우드 리소스에 안전하게 접근하기 위한 토대를 제공한다.

애플리케이션 등록 시 관리자는 해당 앱에 필요한 권한(사용자 권한 또는 관리자 동의가 필요한 애플리케이션 권한)을 정의하고, 특정 사용자 또는 그룹에게만 앱 접근을 허용하도록 범위를 제한할 수 있다. 이는 최소 권한 원칙에 따라 불필요한 데이터 접근을 방지하는 데 중요하다. 또한, 다단계 인증이나 조건부 액세스 정책과 같은 고급 보안 기능을 애플리케이션 접근에 적용할 수 있는 기반이 된다.

애저 액티브 디렉터리의 싱글 사인온은 사용자가 한 번의 로그인으로 애저 액터리 디렉터리에 통합된 여러 클라우드 애플리케이션과 서비스에 접근할 수 있도록 하는 핵심 기능이다. 이는 사용자가 각 애플리케이션마다 별도의 자격 증명을 기억하고 입력해야 하는 번거로움을 제거하여 생산성과 사용자 경험을 크게 향상시킨다. 또한, IT 관리자는 중앙에서 사용자 계정과 애플리케이션 접근 권한을 통합 관리할 수 있어 보안 정책을 효과적으로 적용하고 관리 부담을 줄일 수 있다.

싱글 사인온은 주로 SAML, OAuth 2.0, OpenID Connect와 같은 표준 인증 프로토콜을 기반으로 구현된다. 이를 통해 애저 액티브 디렉터리는 수천 개의 사전 통합된 SaaS 애플리케이션과 연동될 수 있으며, 사용자가 회사 포털이나 마이크로소프트 365 앱 런처와 같은 중앙 집중식 허브에서 필요한 모든 애플리케이션에 쉽게 접근할 수 있게 한다. 또한, 하이브리드 ID 환경에서는 애저 AD 커넥트를 통해 온프레미스 액티브 디렉터리와 동기화된 사용자 계정으로도 클라우드 애플리케이션에 대한 원활한 싱글 사인온을 제공할 수 있다.

이 기능은 조건부 액세스 정책 및 다단계 인증과 결합되어 사용될 때 특히 강력한 보안성을 발휘한다. 관리자는 사용자의 로그인 위치, 디바이스 상태, 위험 수준 등을 평가하는 정책을 설정하여, 싱글 사인온 접근 자체에 추가적인 보안 검증을 요구할 수 있다. 이는 편의성과 보안을 동시에 확보하는 현대적인 ID 및 액세스 관리의 필수 요소로 자리 잡고 있다.

애저 앱티브 디렉터리의 다단계 인증(MFA)은 사용자의 신원을 확인할 때 암호와 같은 단일 요소만 요구하는 대신, 두 가지 이상의 서로 다른 인증 요소를 요구하여 보안을 강화하는 핵심 기능이다. 이는 사용자가 알고 있는 것(예: 비밀번호), 사용자가 가지고 있는 것(예: 휴대폰), 사용자 자신의 생체 정보(예: 지문) 중에서 두 가지 이상을 조합하여 인증을 수행한다. 이를 통해 비밀번호만으로는 불가능한 계정 탈취나 무단 접근을 효과적으로 방지할 수 있다.

애저 앱티브 디렉터리의 MFA는 관리자가 테넌트 수준 또는 특정 사용자 및 그룹에 대해 정책을 구성하여 활성화할 수 있다. 인증 방법으로는 마이크로소프트 오인던티케이터 앱을 통한 푸시 알림, 문자 메시지 또는 전화 통화를 이용한 확인 코드, 그리고 FIDO2 보안 키와 같은 패스키 방식을 지원한다. 특히 모바일 앱을 이용한 푸시 알림 방식은 사용자 경험과 보안성을 모두 고려한 대표적인 방법이다.

이 기능은 싱글 사인온이 적용된 모든 클라우드 애플리케이션 및 온-프레미스 애플리케이션에 대해 적용될 수 있으며, 조건부 액세스 정책과 연동하여 더욱 세밀한 제어가 가능하다. 예를 들어, 신뢰할 수 없는 네트워크에서 접근하거나 중요한 애플리케이션에 로그인할 때만 MFA를 요구하도록 설정할 수 있다. 이는 보안 강화와 사용자 편의성 사이의 균형을 유지하는 데 도움을 준다.

조건부 액세스는 애저 액티브 디렉터리의 핵심 보안 기능으로, 사용자가 클라우드 애플리케이션이나 리소스에 접근할 때 특정 조건을 충족해야만 접근을 허용하는 정책을 정의하고 적용할 수 있다. 이는 단순한 인증을 넘어, 접근 시도가 발생하는 상황의 위험도를 실시간으로 평가하여 동적이고 지능적인 접근 제어를 가능하게 한다.

조건부 액세스 정책은 '할당'과 '접근 제어'라는 두 가지 주요 요소로 구성된다. '할당' 부분에서는 정책을 적용할 사용자 및 그룹, 대상이 되는 클라우드 애플리케이션 또는 동작, 그리고 정책이 발동될 조건을 정의한다. 조건에는 신호 기반의 다양한 요소가 활용되는데, 예를 들어 접근 시도가 발생하는 위치 (신뢰할 수 있는 IP 주소 범위), 사용 중인 디바이스의 플랫폼이나 상태(관리되는 디바이스인지, 준수 상태인지), 실시간으로 평가되는 로그인 위험 및 사용자 위험 수준 등이 포함된다.

'접근 제어' 부분에서는 앞서 정의된 조건이 충족되었을 때 최종적으로 어떤 액세스 권한을 부여할지 결정한다. 여기에는 접근을 차단하거나, 허용하되 다단계 인증을 추가로 요구하거나, 특정 준수 정책을 만족하는 관리 디바이스에서만 접근을 허용하는 등의 세밀한 제어가 가능하다. 이를 통해 조직은 '신뢰할 수 없는 네트워크에서 접근 시에는 항상 MFA를 요구한다'거나, '중요한 애플리케이션에는 관리되고 암호화된 회사 디바이스에서만 접근할 수 있다'와 같은 보안 규칙을 쉽게 구현할 수 있다.

이러한 조건부 액세스 정책은 제로 트러스트 보안 모델의 실현에 필수적이다. '절대 신뢰하지 말고, 항상 검증하라'는 원칙에 따라, 사용자의 신원(인증)뿐만 아니라 접근 시도의 상황(위험 평가)을 지속적으로 확인함으로써, 사이버 보안 위협으로부터 클라우드 자원과 데이터를 보호하는 강력한 장벽을 구축한다.

Azure AD B2C는 마이크로소프트의 클라우드 컴퓨팅 서비스인 애저 액티브 디렉터리의 확장 서비스 중 하나이다. 이 서비스는 기업 내부 직원을 위한 ID 관리 서비스인 애저 액티브 디렉터리와는 용도가 구분되며, 주로 고객과 같은 외부 사용자를 위한 인증 및 사용자 프로필 관리에 특화되어 있다. 웹 애플리케이션이나 모바일 애플리케이션을 운영하는 기업이 자사의 고객 계정을 안전하게 관리할 수 있도록 지원하는 서비스형 소프트웨어이다.

Azure AD B2C의 핵심 기능은 사용자에게 맞춤형 로그인 환경을 제공하는 것이다. 개발자는 이 서비스를 이용해 고객이 소셜 미디어 계정, 이메일 주소 또는 전화번호 등을 사용해 애플리케이션에 가입하고 로그인할 수 있도록 쉽게 구성할 수 있다. 이를 통해 기업은 복잡한 인증 시스템을 직접 구축하고 유지 관리할 필요 없이, 마이크로소프트의 확장성 높은 글로벌 인프라와 보안 프레임워크를 활용할 수 있다.

이 서비스는 사용자의 개인정보를 안전하게 저장하고 관리하며, 다단계 인증 적용, 암호 재설정 정책 구성과 같은 보안 기능을 제공한다. 또한, 브랜드의 시각적 정체성을 반영한 맞춤형 로그인 페이지를 구현할 수 있어, 고객에게 일관된 사용자 경험을 제공하는 데 도움이 된다. 전자상거래 플랫폼, 뉴스 미디어, 은행 애플리케이션 등 수천만 명의 사용자를 보유한 대규모 서비스에서 신원 확인 수단으로 널리 사용된다.

Azure AD Domain Services는 마이크로소프트의 클라우드 컴퓨팅 플랫폼인 마이크로소프트 애저에서 제공하는 관리형 도메인 서비스이다. 이 서비스는 기존의 온프레미스 액티브 디렉터리 도메인 서비스와 호환되는 관리형 도메인 컨트롤러를 클라우드에 배포하여 운영의 복잡성을 줄여준다. 사용자는 별도의 가상 머신에 도메인 컨트롤러를 설치, 구성, 패치, 모니터링할 필요 없이 애저 액티브 디렉터리 테넌트를 기반으로 관리형 도메인을 쉽게 프로비저닝할 수 있다.

이 서비스의 주요 목적은 클라우드에서 실행되는 애플리케이션과 서비스가 LDAP, Kerberos, NTLM과 같은 레거시 인증 프로토콜을 사용하여 도메인에 가입하거나 인증할 수 있도록 지원하는 것이다. 이를 통해 리프트 앤 시프트 방식으로 클라우드로 마이그레이션하는 기존 애플리케이션을 쉽게 지원할 수 있으며, 윈도우 서버 IIS에서 호스팅되는 웹 애플리케이션이나 SQL 서버와 같은 리소스에 대한 윈도우 통합 인증을 사용할 수 있다.

Azure AD Domain Services는 애저 액티브 디렉터리 테넌트와 동기화되어 작동한다. 사용자 계정, 그룹 멤버십 및 자격 증명 해시는 애저 액티브 디렉터리에서 관리형 도메인으로 자동으로 동기화된다. 이는 하이브리드 환경에서 애저 액티브 디렉터리 커넥트를 통해 온프레미스 액티브 디렉터리와 동기화된 사용자들도 관리형 도메인을 사용할 수 있음을 의미한다. 단, 관리형 도메인에 대한 관리 권한은 제한적이며, 사용자는 도메인 관리자 그룹의 구성원이 될 수 없다.

이 서비스는 가상 네트워크 내에서 제공되며, 해당 가상 네트워크에 배포된 애저 가상 머신이나 다른 애저 서비스에서만 접근할 수 있다. 보안 강화를 위해 관리형 도메인은 보안 LDAPS 연결과 같은 기능을 기본적으로 제공한다. Azure AD Domain Services는 애저 액티브 디렉터리의 핵심 ID 관리 및 싱글 사인온 기능을 보완하며, 레거시 애플리케이션을 클라우드 환경에서 지원해야 하는 조직에 유용한 서비스이다.