Azure Active Directory 배포 계획Azure Active Directory deployment plans

Azure Active Directory (Azure AD) 기능 배포에 대 한 종단 간 지침을 찾으십니까?Looking for end-to-end guidance on deploying Azure Active Directory (Azure AD) capabilities? Azure AD 배포 계획은 일반적인 Azure AD 기능을 성공적으로 배포 하는 데 필요한 비즈니스 가치, 계획 고려 사항 및 운영 절차를 안내 합니다.Azure AD deployment plans walk you through the business value, planning considerations, and operational procedures needed to successfully deploy common Azure AD capabilities.

계획 페이지에서 브라우저의 PDF 인쇄 기능을 사용 하 여 문서의 최신 오프 라인 버전을 만듭니다.From any of the plan pages, use your browser's Print to PDF capability to create an up-to-date offline version of the documentation.

올바른 관련자 포함Include the right stakeholders

새 기능에 대 한 배포 계획을 시작할 때 조직 전반에 주요 관련자를 포함 하는 것이 중요 합니다.When beginning your deployment planning for a new capability, it's important to include key stakeholders across your organization. 다음의 각 역할을 수행 하는 사람 또는 사람을 식별 하 고 문서화 하는 것이 좋습니다. 이러한 역할을 사용 하 여 프로젝트의 참여를 확인 하는 것이 좋습니다.We recommend that you identify and document the person or people who fulfill each of the following roles, and work with them to determine their involvement in the project.

역할에는 다음이 포함 될 수 있습니다.Roles might include the following

역할Role DescriptionDescription
최종 사용자End-user 기능이 구현 될 사용자의 담당자 그룹입니다.A representative group of users for which the capability will be implemented. 자주 파일럿 프로그램의 변경 내용을 미리 봅니다.Often previews the changes in a pilot program.
IT 지원 관리자IT Support Manager 기술 지원팀 관점에서이 변경의 지원 가능성에 대 한 입력을 제공할 수 있는 조직 담당자를 지원 합니다.IT support organization representative who can provide input on the supportability of this change from a helpdesk perspective.
Id 설계자 또는 Azure 전역 관리자Identity Architect or Azure Global Administrator Id 관리 팀 담당자는 조직의 핵심 id 관리 인프라에 이러한 변경을 적용 하는 방법을 정의 합니다.Identity management team representative in charge of defining how this change is aligned with the core identity management infrastructure in your organization.
응용 프로그램 비즈니스 소유자Application Business Owner 영향을 받는 응용 프로그램의 전반적인 비즈니스 소유자입니다. 여기에는 액세스 관리 작업이 포함 될 수 있습니다.The overall business owner of the affected application(s), which may include managing access.최종 사용자의 관점에서 이러한 변경의 사용자 환경 및 유용성에 대 한 입력을 제공할 수도 있습니다.  May also provide input on the user experience and usefulness of this change from an end-user's perspective.
보안 소유자Security Owner 보안 팀에서 조직의 보안 요구 사항을 충족 하는 계획을 받을 수 있는 담당자입니다.A representative from the security team that can sign off that the plan will meet the security requirements of your organization.
준수 관리자Compliance Manager 조직 내 사용자는 회사, 산업 또는 정부 요구 사항을 준수 하는지 확인 해야 합니다.The person within your organization responsible for ensuring compliance with corporate, industry, or governmental requirements.

참여 수준에는 다음이 포함 될 수 있습니다.Levels of involvement might include:

  • 프로젝트 계획 및 결과 구현에 대 한 ResponsibleResponsible for implementing project plan and outcome

  • A프로젝트 계획 및 결과의 pprovalApproval of project plan and outcome

  • 프로젝트 계획 및 결과에 대 한 ContributorContributor to project plan and outcome

  • I프로젝트 계획 및 결과의 형식입니다.Informed of project plan and outcome

파일럿에 대 한 모범 사례Best practices for a pilot

파일럿을 통해 모든 사용자에 대 한 기능을 설정 하기 전에 작은 그룹으로 테스트할 수 있습니다.A pilot allows you to test with a small group before turning a capability on for everyone. 테스트의 일부로 조직 내의 각 사용 사례가 철저 하 게 테스트 되었는지 확인 합니다.Ensure that as part of your testing, each use case within your organization is thoroughly tested. 조직 전체에 배포 하기 전에 특정 파일럿 사용자 그룹을 대상으로 지정 하는 것이 가장 좋습니다.It's best to target a specific group of pilot users before rolling this out to your organization as a whole.

첫 번째 wave에서 테스트 하 고 피드백을 제공할 수 있는 IT, 유용성 및 기타 적절 한 사용자를 대상으로 합니다.In your first wave, target IT, usability, and other appropriate users who can test and provide feedback. 이 피드백은 사용자에 게 보내는 통신 및 지침을 추가로 개발 하 고 지원 담당자가 볼 수 있는 문제 유형에 대 한 정보를 제공 하는 데 사용 됩니다.This feedback should be used to further develop the communications and instructions you send to your users, and to give insights into the types of issues your support staff may see.

더 큰 사용자 그룹에 대 한 롤아웃 확대는 대상 그룹의 범위를 늘려 수행 해야 합니다.Widening the rollout to larger groups of users should be carried out by increasing the scope of the group(s) targeted. 동적 그룹 멤버 자격을 통해 또는 대상 그룹에 사용자를 수동으로 추가 하 여이 작업을 수행할 수 있습니다.This can be done through dynamic group membership, or by manually adding users to the targeted group(s).

인증 배포Deploy authentication

기능Capability 설명Description
Multi-Factor AuthenticationMulti-Factor Authentication Azure Multi-factor Authentication(MFA)은 Microsoft의 2단계 인증 솔루션입니다.Azure Multi-Factor Authentication (MFA) is Microsoft's two-step verification solution. 관리자가 승인한 인증 방법을 사용 하 여 Azure MFA는 간단한 로그인 프로세스에 대 한 수요를 충족 하면서 데이터와 응용 프로그램에 대 한 액세스를 보호 합니다.Using admin-approved authentication methods, Azure MFA helps safeguard access to your data and applications while meeting the demand for a simple sign-in process.
조건부 액세스Conditional Access 조건부 액세스를 사용 하면 조건에 따라 클라우드 앱에 액세스할 수 있는 사용자에 대 한 자동화 된 액세스 제어 결정을 구현할 수 있습니다.With Conditional Access, you can implement automated access control decisions for who can access your cloud apps, based on conditions.
셀프 서비스 암호 재설정Self-service password reset 셀프 서비스 암호 재설정 기능을 사용 하면 사용자가 관리자 개입 없이 암호를 다시 설정할 수 있습니다 (필요한 경우).Self-service password reset helps your users reset their passwords without administrator intervention, when and where they need to.
암호 없음Passwordless 조직에서 Microsoft Authenticator 앱 또는 FIDO2 보안 키를 사용 하 여 암호 없는 인증 구현Implement passwordless authentication using the the Microsoft Authenticator app or FIDO2 Security keys in your organization

응용 프로그램 관리 배포Deploy application management

기능Capability 설명Description
Single Sign-OnSingle sign-on Single sign-on을 사용 하면 사용자가 한 번만 로그인 하면 비즈니스를 수행 하는 데 필요한 앱과 리소스에 액세스할 수 있습니다.Single sign-on helps your users access the apps and resources they need to do business while signing in only once. 로그인 한 후에는 두 번째로 자격 증명을 입력 하지 않고도 Microsoft Office에서 SalesForce to Box로 이동 하 여 내부 응용 프로그램에 연결할 수 있습니다.After they've signed in, they can go from Microsoft Office to SalesForce to Box to internal applications without being required to enter credentials a second time.
액세스 패널Access panel 사용자에게 모든 애플리케이션을 검색 및 액세스할 수 있는 간단한 허브를 제공합니다.Offer your users a simple hub to discover and access all their applications. 앱 및 그룹에 대 한 액세스를 요청 하거나 다른 사용자를 대신 하 여 리소스에 대 한 액세스를 관리 하는 등의 셀프 서비스 기능을 사용 하 여 생산성을 높일 수 있습니다.Enable them to be more productive with self-service capabilities, like requesting access to apps and groups, or managing access to resources on behalf of others.

하이브리드 시나리오 배포Deploy hybrid scenarios

기능Capability 설명Description
암호 해시 동기화에 ADFS 사용ADFS to Password Hash Sync 암호 해시 동기화를 사용 하 여 사용자 암호의 해시는 온-프레미스 Active Directory에서 Azure AD로 동기화 되므로 Azure AD에서 온-프레미스와 상호 작용 하지 않고 사용자를 인증할 수 있습니다 Active DirectoryWith Password Hash Synchronization, hashes of user passwords are synchronized from on-premises Active Directory to Azure AD, letting Azure AD authenticate users with no interaction with the on-premises Active Directory
통과 인증에 ADFS 사용ADFS to Pass Through Authentication Azure AD 통과 인증을 사용 하면 사용자가 동일한 암호를 사용 하 여 온-프레미스 및 클라우드 기반 응용 프로그램에 로그인 할 수 있습니다.Azure AD Pass-through Authentication helps your users sign in to both on-premises and cloud-based applications using the same passwords. 이 기능을 사용 하면 사용자에 게 더 나은 환경을 제공할 수 있으며, 사용자가 로그인 하는 방법을 잊은 경우를 줄일 수 있기 때문에 IT 기술 지원팀 비용을 줄일 수 있습니다.This feature provides users with a better experience - one less password to remember - and reduces IT helpdesk costs because users are less likely to forget how to sign in. 사람들이 Azure AD를 사용하여 로그인할 때 이 기능은 온-프레미스 Active Directory에 대해 직접 사용자 암호의 유효성을 검사합니다.When people sign in using Azure AD, this feature validates users' passwords directly against your on-premises Active Directory.
Azure AD 응용 프로그램 프록시Azure AD Application Proxy 요즈음 직원은 어디서나 언제든지 어느 디바이스에서나 생산성을 높이기를 원합니다.Employees today want to be productive at any place, at any time, and from any device. 클라우드 및 회사 앱 온-프레미스에서 SaaS 앱에 액세스 해야 합니다.They need to access SaaS apps in the cloud and corporate apps on-premises. Azure AD 응용 프로그램 프록시는 비용이 많이 들고 복잡 한 Vpn (가상 사설망) 또는 완충 영역 (Dmz) 없이 이러한 강력한 액세스를 가능 하 게 합니다.Azure AD Application proxy enables this robust access without costly and complex virtual private networks (VPNs) or demilitarized zones (DMZs).
매끄러운 SSOSeamless SSO Azure AD Seamless SSO(Azure Active Directory Seamless Single Sign-On)는 회사 네트워크에 연결된 회사 디바이스에 있을 때 사용자를 자동으로 서명합니다.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. 이 기능을 사용 하면 사용자가 Azure AD에 로그인 하기 위해 암호를 입력할 필요가 없으며 일반적으로 사용자 이름을 입력할 필요가 없습니다.With this feature, users won't need to type in their passwords to sign in to Azure AD and usually won't need to enter their usernames. 이 기능을 사용 하면 추가 온-프레미스 구성 요소가 없어도 권한 있는 사용자가 클라우드 기반 응용 프로그램에 쉽게 액세스할 수 있습니다.This feature provides authorized users with easy access to your cloud-based applications without needing any additional on-premises components.

사용자 프로 비전 배포Deploy user provisioning

기능Capability 설명Description
사용자 프로비전User provisioning Azure AD를 사용하면 Dropbox, Salesforce, ServiceNow 등과 같은 클라우드 애플리케이션(SaaS)에서 사용자 ID 만들기, 유지 관리 및 제거를 자동화할 수 있습니다.Azure AD helps you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications, such as Dropbox, Salesforce, ServiceNow, and more.
클라우드 HR 사용자 프로 비전Cloud HR user provisioning Active Directory에 대 한 클라우드 HR 사용자 프로 비전은 지속적인 id 거 버 넌 스를 위한 토대를 만들고 권한 있는 id 데이터를 사용 하는 비즈니스 프로세스의 품질을 향상 시킵니다.Cloud HR user provisioning to Active Directory creates a foundation for ongoing identity governance and enhances the quality of business processes that rely on authoritative identity data. Workday 또는 Successfactors와 같은 클라우드 HR 제품에서이 기능을 사용 하는 경우 Leaver 프로세스 (예: 새 고용, 종료, 전송)를 IT 프로 비전 작업 (만들기, 사용, 사용 안 함)에 매핑하는 규칙을 구성 하 여 직원과 불확정 작업자의 id 수명 주기를 원활 하 게 관리할 수 있습니다.Using this feature with your cloud HR product, such as Workday or Successfactors, you can seamlessly manage the identity lifecycle of employees and contingent workers by configuring rules that map Joiner-Mover-Leaver processes (such as New Hire, Terminate, Transfer) to IT provisioning actions (such as Create, Enable, Disable)

거 버 넌 스 및 보고 배포Deploy governance and reporting

기능Capability 설명Description
Privileged Identity ManagementPrivileged Identity Management Azure AD PIM(Privileged Identity Management)을 사용하면 Azure AD, Azure 리소스 및 기타 Microsoft 온라인 서비스 간에 권한 있는 관리자 역할을 관리할 수 있습니다.Azure AD Privileged Identity Management (PIM) helps you manage privileged administrative roles across Azure AD, Azure resources, and other Microsoft Online Services. PIM은 권한 있는 역할의 악성 활동을 실시간으로 식별, 발견 및 방지할 수 있도록 Just-In-Time 액세스, 요청 승인 워크플로 및 완전히 통합된 액세스 검토와 같은 솔루션을 제공합니다.PIM provides solutions like just-in-time access, request approval workflows, and fully integrated access reviews so you can identify, uncover, and prevent malicious activities of privileged roles in real time.
보고 및 모니터링Reporting and Monitoring Azure AD 보고 및 모니터링 솔루션의 디자인은 법적 요구 사항, 보안 및 운영 요구 사항 뿐만 아니라 기존 환경 및 프로세스에 따라 달라 집니다.The design of your Azure AD reporting and monitoring solution depends on your legal, security, and operational requirements as well as your existing environment and processes. 이 문서에서는 다양 한 디자인 옵션을 제공 하 고 올바른 배포 전략에 대 한 지침을 제공 합니다.This article presents the various design options and guides you to the right deployment strategy.