클라우드 우선 접근 방식 구현

주로 Active Directory에 새로운 종속성을 추가하고 IT 솔루션의 새로운 수요에 대한 클라우드 우선 접근 방식을 구현하여 최대한 중지하거나 제한하는 프로세스 및 정책 기반 단계입니다.

이 시점에서는 Active Directory에 새로운 종속성을 추가하는 내부 프로세스를 식별하는 것이 중요합니다. 예를 들어 대부분의 조직에는 새로운 시나리오, 기능 및 솔루션을 구현하기 전에 따라야 하는 변경 관리 프로세스가 있습니다. 이러한 변경 승인 프로세스가 다음으로 업데이트되도록 하는 것이 좋습니다.

• 제안된 변경 내용이 Active Directory에 새 종속성을 추가할지 여부를 평가하는 단계를 포함합니다.
• 가능하다면 Microsoft Entra 대안에 대한 평가를 요청합니다.

사용자 및 그룹

Microsoft Entra ID에서 사용자 특성을 보강하여 더 많은 사용자 특성을 포함할 수 있습니다. 풍부한 사용자 특성이 필요한 일반적인 시나리오는 다음과 같습니다.

• 앱 프로비전: 앱 프로비전의 데이터 원본은 Microsoft Entra ID이며 필요한 사용자 특성이 있어야 합니다.

• 애플리케이션 권한 부여: Microsoft Entra ID에서 발급한 토큰은 애플리케이션이 토큰의 클레임을 기반으로 권한 부여 결정을 내릴 수 있도록 사용자 특성에서 생성된 클레임을 포함할 수 있습니다. 또한 사용자 지정 클레임 공급자를 통해 외부 데이터 원본에서 들어오는 특성을 포함할 수도 있습니다.

• 그룹 멤버 자격 모집단 및 유지 관리: 동적 그룹은 부서 정보와 같은 사용자 특성에 따라 그룹 멤버 자격의 동적 모집단을 사용합니다.

다음 두 링크는 스키마를 변경하는 방법에 대한 지침을 제공합니다.

• Microsoft Entra 스키마 및 사용자 지정식 이해

• Microsoft Entra Connect에 의해 동기화되는 특성

다음 링크는 이 토픽에 대한 추가 정보를 제공하지만 스키마 변경과 관련이 없습니다.

• 클레임의 Microsoft Entra 스키마 확장 특성 사용 - Microsoft ID 플랫폼

• Microsoft Entra ID(미리 보기)의 사용자 지정 보안 특성은 무엇인가요?

• 애플리케이션 프로비전에서 Microsoft Entra 특성 매핑 사용자 지정

• Microsoft Entra 앱에 선택적 클레임 제공 - Microsoft ID 플랫폼

이러한 링크는 그룹에 대한 자세한 정보를 제공합니다.

• 동적 그룹을 만들기 또는 편집하고 Microsoft Entra ID에서 상태 확인

• 사용자가 시작한 그룹 관리에 셀프 서비스 그룹 사용

• 범위 지정 필터를 사용하는 특성 기반 애플리케이션 프로비전 또는 Microsoft Entra 권한 관리란?(애플리케이션 액세스용)

• 그룹 비교

• Microsoft Entra ID에서 게스트 액세스 권한 제한

사용자와 사용자의 팀은 이 단계에서 클라우드 전용 계정을 사용하도록 현재 직원 프로비저닝을 변경해야 한다고 생각할 수 있습니다. 이러한 노력은 사소하지는 않지만 비즈니스 가치를 충분히 제공하지는 못합니다. 변환의 다른 단계에서 이 전환을 계획하는 것이 좋습니다.

장치

클라이언트 워크스테이션은 일반적으로 Active Directory에 조인되어 GPO(그룹 정책 개체) 또는 Microsoft Configuration Manager와 같은 장치 관리 솔루션을 통해 관리됩니다. 팀은 새로 배포된 워크스테이션이 도메인에 가입되지 않도록 새 정책과 프로세스를 설정합니다. 주요 사항은 다음과 같습니다.

• "더 이상 도메인 가입 없음"을 달성하기 위해 새 Windows 클라이언트 워크스테이션에 대해 Microsoft Entra 조인을 의무화합니다.

• Intune과 같은 UEM(통합 엔드포인트 관리) 솔루션을 사용하여 클라우드에서 워크스테이션을 관리합니다.

Windows Autopilot을 사용하여 이러한 지시문을 적용할 수 있는 간소화된 온보딩 및 디바이스 프로비저닝을 설정할 수 있습니다.

LAPS(Windows 로컬 관리자 암호 솔루션)를 사용하면 클라우드 우선 솔루션에서 로컬 관리자 계정의 암호를 관리할 수 있습니다.

자세한 내용은 클라우드 네이티브 엔드포인트에 대해 자세히 알아보기를 참조하세요.

애플리케이션

일반적으로 애플리케이션 서버는 Windows 통합 인증(Kerberos 또는 NTLM), LDAP를 통한 디렉터리 쿼리, GPO 또는 Microsoft Configuration Manager를 통한 서버 관리를 사용할 수 있도록 온-프레미스 Active Directory 도메인에 조인하는 경우가 많습니다.

조직에는 새 서비스, 앱 또는 인프라를 고려할 때 Microsoft Entra 대안을 평가하는 프로세스가 있습니다. 애플리케이션에 대한 클라우드 우선 접근 방식에 대한 지시문은 다음과 같습니다. (최신 대안이 없는 경우 새 온-프레미스 애플리케이션 또는 레거시 애플리케이션은 드문 예외여야 합니다.)

• 최신 프로토콜(OIDC/OAuth2 및 SAML)을 요구하고 Microsoft Entra ID를 사용하여 인증하도록 조달 정책 및 애플리케이션 개발 정책을 변경하는 권장 사항을 제공합니다. 새 앱은 Microsoft Entra 앱 프로비전도 지원해야 하며 LDAP 쿼리에 대한 종속성이 없어야 합니다. 예외는 명시적 검토 및 승인이 필요합니다.

  Important

  레거시 프로토콜이 필요한 애플리케이션의 예상 수요에 따라 최신 대안이 작동하지 않을 때 Microsoft Entra Domain Services를 배포하도록 선택할 수 있습니다.

• 클라우드 네이티브 대안의 사용 우선 순위를 지정하는 정책을 만드는 권장 사항을 제공합니다. 정책은 도메인에 새 애플리케이션 서버 배포를 제한해야 합니다. Active Directory 조인 서버를 대체하는 일반적인 클라우드 네이티브 시나리오는 다음과 같습니다.

  • 파일 서버:

    • SharePoint 또는 OneDrive는 Microsoft 365 솔루션 및 기본 제공 거버넌스, 위험, 보안 및 규정 준수 전반에 걸쳐 협업을 지원합니다.

    • Azure Files는 산업 표준 SMB 또는 NFS 프로토콜을 통해 액세스할 수 있는 클라우드에서 완전 관리형 파일 공유를 제공합니다. 고객은 도메인 컨트롤러에 대한 시야 없이 인터넷을 통해 Azure Files에 네이티브 Microsoft Entra 인증을 사용할 수 있습니다.

    • Microsoft Entra ID는 Microsoft 애플리케이션 갤러리의 타사 애플리케이션에서 작동합니다.

  • 인쇄 서버:

    • 조직에서 유니버설 인쇄 호환 프린터를 조달해야 하는 경우 파트너 통합을 참조하세요.

    • 호환되지 않는 프린터를 위해 유니버설 인쇄 커넥터로 연결합니다.

다음 단계

• 소개
• 클라우드 변환 상태
• Microsoft Entra 공간 확보
• 클라우드로 전환