blog

AAD Connect PHS Seamless SSO Cloud MFA Simple / Cheap 인증은 클라우드에서 AAD Connect 이외의 온프레미스 서버는 필요 없음 AAD Connect PTA Seamless SSO Cloud MFA Simple / Cheap Agent 설치서버 필요 인증은 클라우드에서 온-프레미스 인증 에이전트와 보안 암호 확인을 교환한 후 AAD Connect 이외의 온프레미스 서버는 추가 인증 에이전트마다 서버 1개 필요 ADFS Federated SSO Password on-premise Complex / Expensive Server Farm 인증은 온프레미스 온프레미스에 둘 이상의 AD FS서버 필요 경계/DMZ 네트워크에 둘 이상의 WAP서버

*조건부 액세스 설정 예 - Azure Portal 은 Guest 접근 불가, Office 365의 경우 가능 하도록 설정 1. 조건부 액세스 새정책 선택 2. 정책 이름 입력후 정책 범위를 설정한다. 여기서는 외부 사용자만 포함하는 정책이라 모든 게스트 및 외부 사용자 선택 3. 클라우드 앱 또는 작업에서 Azure Portal 접근 제어를 위해 Microsoft Azure Management를선택한다. 이 경우 해당 앱에 대해서만 적용되기때문에, 다른 앱에는 영향이없다. 4. 허용조건에 액세스 차단 선택, 이후 정책사용에 설정을 눌러준다. 5. 정책 적용후 외부사용자 Azure portal 접속화면 구독에 대한 소유자 권한이 있더라도, 외부사용자는 접근할 수 없다. 끝.

회사에서 O365와 Azure를 동일한 테넌트로 사용한다면 Azure와 O365에 개별 정책 적용이 불가능하다.(O365는 Azure AD를 기반으로 하기때문에..예를 들면, Azure 로그인시에만 MFA적용) 조건부 Access를 이용해서 별도의 정책 설정이 가능하다. 조건부액세스 자세한 설명: https://docs.microsoft.com/ko-kr/azure/active-directory/conditional-access/overview *사용방법* 1. 보안 기본값 사용 해제 - 보안 기본값이란 Azure에서 권장되는 기본적인 보안 설정값을 말하며, 조건부 Access에서 동일하게 설정 가능하다. 보안기본값과 조건부access에서 설정방법: https://docs.microsoft.com/ko-..

외부 사용자를 Azure AD에 등록하는 방법 1. 검색창에 Azure Active Directory입력 - 사용자 선택 2. 새사용자 3. 사용자 초대를 선택하고 등록할 상대방 이메일 입력 4. 사용자에게 아래와같은 메일이 전송되며, get started를 눌러준다. 로그인 창이 뜨면 로그인 후 수락한다. Azure AD에 등록이 되더라도, 역할이 할당 되지 않으면 초대된 사용자는 리소스를 사용할 수 없다. 리소스에서 IAM설정이 필요하다.

Azure AD 사용자 초대 제한 설정방법입니다. 1. Azure AD - 사용자설정 - 외부 협업 관리 설정 선택 2. 옵션에 대해서 아니요 설정합니다. 자세한 옵션 설명: https://docs.microsoft.com/ko-kr/azure/active-directory/b2b/delegate-invitations 이후에 아래와 같이 Azure 전역관리자에서 설정한 도메인만 초대할 수 있습니다. 3. 다른 도메인의 경우 초대되지 않습니다.