Azure Active Directory

인증과 권한 부여를 하기 위해서는 아이디가 필요하다. 이 아이디 서비스의 이름을 Azure Active Directory라 한다. 마이크소프트의 클라우드 기반 디렉터리 및 ID 서비스다. 그런데 디렉터리 말고도 테넌트라는 용어도 접하기 쉬운데, AAD 테넌트라는 것이 있다. 디렉터리 실제 서비스를 운영하다 보면, 결국 같은 용어로 인지하게 되는데, 단일 조직을 나타내는 애저 AD의 전용 인스턴스 및 신뢰할 수 있는 인스턴스를 말한다. 즉, Azure Active Directory의 전용 인스턴스인 것이다. 그리고 도메인 값에 대한 부분들은 x.onmicrosoft.com이라는 초기 도메인을 할당받는다. 이 x부분은 내가 임의로 정할 수 있고, 사용자 맞춤형 도메인 추가 및 확인이 가능하다. 

Azure Active Directory의 기능으로는 위를 통해 이해할 수 있다. 클라우드 환경에서는 SSO를 빼놓을 수가 없는데, 로컬로 원래 사용하고 있던 계정들을 복제하여 클라우드에서 그대로 쓸 수 있게 하는 것이다. Azure Active Directory는 SAML, Oauth 기반의 Open ID Connect, WS-Federation의 인증을 사용하며, 방식은 테넌트고, 그 용도는 Microsoft 365, 애저 서비스 및 타사 SaaS 애플리케이션과 같은 인터넷 기반 서비스 및 애플리케이션이라 할 수 있다. 

 

애저 AD에서의 역할을 살펴본다면, 사실 세세하게 들어가면 수십 가지가 있겠다만, 대표적으로 4가지를 정리하도록 한다.

① 전역 관리자: Azure Active Directory의 모든 관리에 대한 엑세스 권한 보유

② 보안 관리자: Microsoft 365 보안센터, Security Center, Azure Active Directory Identity Protection, Azure Information Protection 및 Office 365 보안 및 준수센터에서 보안 관련 기능 관리

③ 대금 청구 관리자: 구매, 구독관리, 지원 티켓 관리, 서비스 상태 모니터링

④ 전역 읽기 권한자: Microsoft 365 서비스에서 설정 및 관리 정보를 읽을 수 있지만, 관리 작업을 수행할 수는 없음

 

이 Azure AD를 사용할 때 가장 기본이 되는 것은 계정을 만들고 그 계정을 사용하는 법에 관한 것인데, 관리자 관점에서는 생성부터 권한 부여까지를 다 입맛에 맞게 할 수 있다. 이 계정 로그인에 있어서는 당연하게도 SSO가 가장 먼저 떠오를 텐데, 그것 외에도 다른 사항이 많다. 아웃룩 계정, 메타 계정 등으로도 로그인하게 설정할 수 있고, Business to Business 방식으로 다른 회사의 계정 인스턴스와 우리 회사의 계정 인스턴스를 연결할 수도 있을 것이다. 

 

계정이 있다면 당연히 자연스레 나오는 것이 그룹이다. 구성원이 많은데 팀이 없을리는 없으니 말이다. 이 그룹에는 보안그룹과 Microsoft 365 그룹이 있는데, 보안 그룹은 애저 리소스에 대한 권한을 할당해 주는 등 일반적으로 애저를 관리할 때 많이 쓰이는 그룹이고, 후자는 애저보다는 마소 365 쪽에서 별도로 사용하는 메일링 등으로 이해할 수 있다. 마소 팀즈 기능을 쓰게 되면 보통 이 365 그룹을 쓰게 될 것이다.

 

다음으로, 할당 유형으로 보면 할당됨, 동적 사용자, 동적 디바이스를 언급할 수 있다. 여기서 동적 사용자는 예를 들면, 부서 정보에 수달이라고 되어 있다면, 이 계정들은 수달 그룹에 자동으로 포함시키는 것이다. 부서 정보가 수탉으로 바뀐다면? 자동으로 그룹에서 제외되고 말이다. 조직 구성은 빈번하게는 아니어도 지속적으로 바뀔 여지가 있고, 놓치기 쉬운 포인트이기 때문에 이렇게 동적 사용자로 할당하는 것이 편할 수 있다.

 

그렇다면 다음엔 이런 계정들의 보안을 강화해야 하는데, 유료긴 하다만, AD Identity Protection 위험 이벤트를 활용할 수 있다. 사용자 보호를 위해 ID 기반의 위험의 감지 및 수정을 자동화하는 것으로, 위험을 검색하는 대상은 다음과 같은 것들이 있다. 유출된 자격증명, 익명 IP주소에서의 로그인, 비정상 위치로의 불가능한 이동, 알 수 없는 위치에서의 로그인, 감염된 디바이스에서의 로그인, 의심스러운 활동을 하는 IP에서의 로그인 등이 있다.

 

그래서 계정이 손상됐다면 로그인 이후 PW 변경을 강제한다던지, 다른 나라에서 로그인을 했다면 2차 인증을 요구한다던지 등의 위험 대응을 하는 것이다. 그게 아니라면 조건부 액세스를 내세울 수도 있을 것이다. 신호를 사용하여 정보에 입각한 결정을 내리는 것인데, 조직 정책에 기반하여 결정하고, 리소스 전반에 걸쳐 적용하는 것이다.