Azure 랜딩 존 및 여러 Microsoft Entra 테넌트
Azure 랜딩 존은 관리 그룹을 기반으로 합니다. Azure 정책이 할당되고 구독이 관리 그룹에 배치되어 조직이 보안 및 규정 준수 요구 사항을 충족하는 데 필요한 거버넌스 제어를 제공합니다.
팁
Azure 랜딩 존 및 Azure Policy를 사용하여 조직의 보안, 규정 준수 및 규정 요구 사항을 달성하는 방법을 알아보려면 Azure 랜딩 존과의 보안 제어 매핑을 참조하세요.
이러한 리소스는 단일 Microsoft Entra 테넌트 내에 배포됩니다. 관리 그룹 및 Azure Policy와 같은 대부분의 다른 Azure 리소스는 단일 Microsoft Entra 테넌트 내에서만 작동을 지원합니다. Azure 구독은 Microsoft Entra 테넌트를 사용하여 ARM(Azure Resource Manager)에 대해 사용자, 서비스 및 디바이스를 인증하여 평면 작업 및 Azure Storage와 같은 일부 Azure 서비스를 데이터 평면 작업에 제어합니다.
여러 구독은 동일한 Microsoft Entra 테넌트에 의존할 수 있습니다. 각 구독은 단일 Microsoft Entra 테넌트에만 의존할 수 있습니다. 자세한 내용은 테넌트에 기존 Azure 구독 추가를 참조하세요.
이전 다이어그램에서 관리 그룹, Azure 정책 및 Azure 구독은 단일 Microsoft Entra 테넌트 내의 Azure 랜딩 존 개념 아키텍처 에 따라 배포됩니다.
이 방법은 요구 사항에 따라 대부분의 조직에 권장됩니다. 이 방법은 조직에 최상의 공동 작업 환경을 제공하고 단일 Microsoft Entra 테넌트 내에서 사용자 및 리소스를 제어, 제어 및 격리할 수 있도록 합니다.
조직에서 여러 시나리오에 대해 여러 Microsoft Entra 테넌트 사용이 필요할 수 있습니다. 이러한 각 테넌트에 Azure 랜딩 존 배포를 배포하고 관리하는 방법과 여러 Microsoft Entra 테넌트 처리를 위한 고려 사항 및 권장 사항을 참조하세요.
참고 항목
이 문서에서는 Microsoft 365 또는 Dynamics 365 또는 Power Platform과 같은 다른 Microsoft 클라우드 제품이 아닌 Azure에 중점을 둡니다.
테넌트에서 플랫폼 위에 빌드된 애플리케이션보다는 플랫폼에 중점을 둡니다. 여러 Microsoft Entra 테넌트 및 애플리케이션 아키텍처에 대한 자세한 내용은 다음을 참조하세요.
단일 Microsoft Entra 테넌트가 충분한 이유
여러 Microsoft Entra 테넌트가 필요할 수 있는 이유가 있지만 단일 Microsoft Entra 테넌트가 일반적으로 충분한 이유를 이해하는 것이 중요합니다. 모든 조직의 기본 시작점이어야 합니다.
플랫폼 전체에서 최상의 생산성 및 공동 작업 환경을 위해 Azure 구독에 기존 회사 Microsoft Entra 테넌트 사용
단일 테넌트 내에서 개발 팀과 애플리케이션 소유자는 Azure 리소스 및 신뢰할 수 있는 앱의 비프로덕션 인스턴스를 만들고, 앱을 테스트하고, 사용자 및 그룹을 테스트하고, 해당 개체에 대한 테스트 정책을 만들 수 있는 권한이 가장 낮은 역할을 가질 수 있습니다. 단일 테넌트를 사용하여 관리를 위임하는 방법에 대한 자세한 내용은 단일 테넌트에서 리소스 격리를 참조 하세요.
회사 Microsoft Entra 테넌트에서 충족할 수 없는 요구 사항이 있는 경우에만 더 많은 Microsoft Entra 테넌트 만들기
Microsoft 365를 사용하는 회사 Microsoft Entra 테넌트는 일반적으로 조직에서 프로비전된 첫 번째 테넌트입니다. 이 테넌트는 회사 애플리케이션 액세스 및 Microsoft 365 서비스에 사용됩니다. 조직 내에서 협업을 지원합니다. 이 기존 테넌트부터 시작하는 이유는 이미 프로비전, 관리 및 보안이 유지되었기 때문입니다. ID의 정의된 수명 주기가 이미 설정되었을 수 있습니다. 이 과정을 통해 새 앱, 리소스 및 구독을 더 쉽게 온보딩할 수 있습니다. 이는 확립된 프로세스, 절차 및 제어를 갖춘 성숙하고 이해된 환경입니다.
여러 Microsoft Entra 테넌트가 있는 복잡성
새 Microsoft Entra 테넌트를 만들 때 ID를 프로비전, 관리, 보안 및 제어하기 위한 추가 작업이 필요합니다. 필요한 정책 및 절차도 설정해야 합니다. 협업은 단일 Microsoft Entra 테넌트에서 가장 적합합니다. 다중 테넌트 모델로 이동하면 경계가 만들어지며, 이로 인해 사용자 마찰, 관리 오버헤드가 발생하고 공격 노출 영역이 증가하여 보안 위험이 발생하고 제품 시나리오 및 제한이 복잡해질 수 있습니다. 예는 다음과 같습니다.
- 각 테넌트에 대한 사용자 및 관리자에 대한 여러 ID – Microsoft Entra B2B 를 사용하지 않으면 사용자가 관리할 자격 증명 집합이 여러 개 있습니다. 자세한 내용은 다중 테넌트 Azure 랜딩 존 시나리오에 대한 고려 사항 및 권장 사항을 참조 하세요.
- 여러 Microsoft Entra 테넌트 지원의 Azure 서비스 제한 사항 - 바인딩된 테넌 트에 있는 ID만 지원하는 Azure 워크로드입니다. 자세한 내용은 Azure 제품 및 서비스 Microsoft Entra 통합을 참조하세요.
- Microsoft Entra 테넌트에 대한 중앙 집중식 구성 또는 관리 없음 – 여러 보안 정책, 관리 정책, 구성, 포털, API 및 JML(조인자, 이동자 및 이탈자) 프로세스.
- Microsoft Entra ID P1 또는 P2 라이선스 의 라이선스 중복에 대한 청구 및 라이선스 복잡성 및 잠재적 요구 사항 - 자세한 내용은 다중 테넌트 Azure 랜딩 존 시나리오에 대한 고려 사항 및 권장 사항을 참조 하세요.
조직은 요구 사항을 충족할 때 추가 오버헤드 및 복잡성이 정당화되도록 회사 Microsoft Entra 테넌트 모델에서 벗어나는 이유를 명확히 해야 합니다. 시나리오 문서에는 이러한 인스턴스의 예가 있습니다.
Global 관리istrator(Global 관리) 역할은 또 다른 관심사입니다. 전역 관리 역할은 Microsoft Entra 테넌트에서 사용할 수 있는 가장 높은 수준의 권한을 제공합니다. Azure에서 전역 관리 Microsoft Entra 테넌트에 연결된 모든 Azure 구독을 제어할 수 있습니다. 자세한 내용은 모든 Azure 구독 및 관리 그룹을 관리할 수 있도록 액세스 권한 상승을 참조하세요.
Important
Microsoft Entra Privileged Identity Management 는 Microsoft Entra ID 및 Azure 내에서 이 역할 및 기타 권한 있는 역할을 보호하는 데 사용해야 합니다.
ID 팀과 Azure 팀이 서로 다른 팀, 부서 및 조직 구조에 있는 경우가 많기 때문에 내부 팀 및 부서에서 이 역할의 소유권은 문제를 제공할 수 있습니다.
Azure를 운영하는 팀은 Azure 서비스를 담당하며 관리하는 서비스의 보안을 보장하려고 합니다. 해당 팀 외부의 개인이 잠재적으로 자신의 환경에 액세스할 수 있는 권한이 있는 역할을 맡으면 보안이 약해집니다. 자세한 내용은 필수 클라우드 함수 이해(Understand)를 참조 하세요.
Microsoft Entra ID는 기술 수준에서 이 문제를 완화하는 데 도움이 되는 컨트롤을 제공하지만 이 문제는 사람 및 프로세스 토론이기도 합니다. 자세한 내용은 권장 사항 참조하세요.
Important
여러 Microsoft Entra 테넌트는 대부분의 고객에게 권장 되는 방법이 아닙니다. 단일 Microsoft Entra 테넌트(일반적으로 회사 Microsoft Entra 테넌트)는 필요한 분리 요구 사항을 제공하기 때문에 대부분의 고객에게 권장됩니다.
자세한 내용은 다음을 참조하세요.