AAD 단계별 배포전략 요건정의

테넌트 만들고, 구독에서 디렉터리 변경으로 연결가능

애플리케이션 관리는 별로 할 수 있는게 없을 듯

 

그래도 요건정리가 잘된 문서로 보임

1단계: 안전한 기반 구축

첫 번째 단계에서는 Azure AD에 대한 보안 기반을 구축합니다. 의사, 내부 직원 및 외부 의료 파트너는 모두 제공할 수 있는 가장 안전한 액세스 권한이 필요합니다. 사용자 계정을 추가하거나 만들기 전에 기준 보안 기능을 구성합니다. 여기에서 수행하는 작업을 통해 Azure AD 인스턴스를 처음부터 보안 상태에서 시작할 수 있습니다. 다음 표에서는 각 작업에 대해 설명합니다.

작업	설명	라이선스 필요
2개 이상의 전역 관리자 할당.	2개 이상의 Azure AD 계정에 전역 관리자 역할을 부여합니다. 매일 이러한 계정을 사용하지 않는지 확인합니다. 계정에 길고 복잡한 암호가 있는지 확인합니다.	Free
가능한 경우 일반 관리자 역할을 사용.	비전역 관리자는 작업을 수행하는 데 필요한 이상의 권한을 보유하지 않아야 합니다. 기본적으로 이러한 일반 관리자 역할을 사용합니다. 필요한 경우가 아니면 전역 관리자 역할을 사용하지 않도록 합니다.	Free
관리자를 추적하도록 PIM(Privileged Identity Management) 구성.	PIM을 사용하여 관리자 역할이 사용되는 방법을 모니터링합니다. 이 작업은 거버넌스 및 규정 준수를 개선하는 데 도움이 됩니다.	Azure AD Premium P2
셀프 서비스 암호 재설정 구성.	내부 사용자가 구성된 정책을 통해 암호를 다시 설정하도록 합니다. 이 작업을 수행하면 암호 재설정에 대한 지원 센터 티켓 수가 줄어듭니다.	Free
금지된 암호 목록 만들기.	이 목록을 사용하여 사용자가 조직에서 일반적인 구 또는 단어로 이루어진 암호를 사용하지 못하도록 할 수 있습니다. 예를 들어, 목록에 회사 이름 또는 본사 위치가 포함될 수 있습니다.	Free
자격 증명을 다시 사용하지 않도록 사용자에게 경고.	누군가가 여러 플랫폼에서 동일한 자격 증명을 다시 사용하는 경우 단일 플랫폼이 손상되면 공격자가 이러한 자격 증명을 사용하여 모든 플랫폼에 액세스할 수 있습니다.	Free
클라우드 기반 사용자 계정에 대한 암호를 만료되지 않도록 설정.	정기적 암호 재설정은 사용자가 기존 암호를 연장하도록 합니다. 예를 들어, 암호를 R4ndom1Strong에서 R4ndom2Strong으로 변경하는 등의 방법을 사용할 수 있습니다. 이 경우, 대부분의 암호는 동일하게 유지되므로 이미 노출된 자격 증명을 사용하여 계정에 액세스할 수 있는 위험이 높아집니다.	Free
조건부 액세스 정책을 통해 다단계 인증 적용.	애플리케이션에 액세스하기 전에 사용자가 여러 인증 챌린지를 통과하도록 하는 조건부 액세스 정책을 구성합니다.	Azure AD Premium P1
AADIP(Azure Active Directory Identity Protection) 구성.	조직의 사용자에 대해 의심스러운 로그인 및 손상된 사용자 자격 증명에 플래그를 지정하고 차단합니다. 검색된 위험의 심각도에 따라 다단계 인증 또는 암호 재설정을 자동으로 트리거하는 데 AADIP를 사용할 수도 있습니다.	Azure AD Premium P2

2단계: 사용자 추가, 디바이스 관리 및 동기화 구성

이제 사용자를 추가하고 외부 게스트 사용자 액세스를 처리하는 방법을 계획할 수 있습니다. 다음 표에서는 이 단계에서의 작업에 대해 설명합니다.

작업	설명	라이선스 필요
Azure AD Connect 설치 및 구성.	Azure AD Connect를 사용하여 Active Directory의 온-프레미스 인스턴스에서 Azure로 사용자를 동기화할 수 있습니다.	Free
암호 해시 동기화 사용.	암호 변경을 동기화하고 잘못된 암호를 검색 및 수정할 수 있습니다. 누수 사용자 자격 증명에 대한 보고서를 가져옵니다.	Free
비밀번호 쓰기 저장 사용.	Azure에서 암호 변경 내용이 온-프레미스 Active Directory 인스턴스에 기록되도록 비밀번호 쓰기 저장을 구성합니다.	Azure AD Premium P1
Azure AD Connect Health 사용.	Azure AD Connect Health를 사용하여 Azure AD Connect 환경에 대한 상태 통계를 모니터링합니다.	Azure AD Premium P1
그룹 수준에서 필요한 라이선스를 사용자에게 제공.	그룹 수준에서 라이선스를 할당하는 경우 여러 사용자의 라이선스를 동시에 제어합니다. 이 작업을 수행하면 조직 시간이 절약되고 복잡성이 줄어듭니다.	Free
게스트 사용자 액세스에 Azure AD B2B Collaboration 사용.	이 리소스를 사용하여 외부 의료 파트너 사용자가 자신의 회사 또는 소셜 ID를 사용하여 애플리케이션 및 서비스에 액세스할 수 있도록 합니다. 이러한 사용자의 자격 증명은 관리할 필요가 없습니다.	필요한 라이선스는 게스트 사용자가 액세스할 수 있도록 하려는 기능에 따라 달라집니다.
디바이스 관리 전략 준비.	회사에서 허용하는 디바이스에 따라 플랜을 수립합니다. 예를 들어, BYOD(Bring Your Own Device)를 허용하나요? 아니면 회사에서 사용자에게 제공한 디바이스만 수락하나요?	Free
암호를 요구하지 않는 인증 방법 제공.	인증을 더 편리하게 만듭니다. 예를 들어 사용자의 휴대폰에 Microsoft Authenticator가 설치되어 있는 경우 로그인 시 입력할 코드와 PIN 또는 지문 같은 생체 인식 특성을 제공하는 알림을 수신할 수 있습니다.	Azure AD Premium P1

 

3단계: 애플리케이션 관리

이제 애플리케이션을 Azure AD와 통합할 수 있습니다. 다음 표에서는 이 단계에서의 작업에 대해 설명합니다.

작업	설명	라이선스 필요
애플리케이션 식별.	조직의 애플리케이션을 조사합니다. 예를 들어 조직이 온-프레미스 애플리케이션을 사용하거나 클라우드에서 SaaS(Software-as-a-Service) 애플리케이션을 사용할 수 있습니다. Azure AD를 사용하여 관리하려는 애플리케이션을 선택합니다.	N/A
Azure AD 갤러리에서 SaaS 애플리케이션 사용,	조직이 이미 갤러리에 있는 SaaS 애플리케이션을 사용하고 있으면 Azure Portal에서 찾을 수 있습니다. 가능하면 갤러리에서 이러한 애플리케이션을 사용합니다. 애플리케이션과 Azure AD를 통합하여 시간을 절약할 수 있습니다.	Free
애플리케이션 프록시를 사용하여 온-프레미스 앱 통합.	Azure AD 사용자가 Azure AD 계정을 사용하여 온-프레미스 애플리케이션에 로그인하도록 할 수 있습니다.	Free

 

4단계: 관리자 모니터링, 액세스 검토 수행 및 사용자 수명 주기 자동화

이제 관리자가 보유해야 하는 권한 범위를 결정하고 액세스 검토를 완료할 수 있습니다. 이 단계에서는 일반적인 사용자 수명 주기 작업을 자동화하는 방법도 구성합니다. 다음 표에서는 이 단계에서의 작업에 대해 설명합니다.

작업	설명	라이선스 필요
PIM을 사용하여 관리자 액세스 제어.	관리자가 다단계 인증 챌린지를 통과하거나 수락된 승인자에게서 승인을 받은 후에만 계정을 사용할 수 있는지 확인합니다.	Azure AD Premium P2
PIM의 Azure AD 디렉터리 역할에 대한 액세스 검토 완료.	조직의 권한 있는 역할에 대한 조직 요구 사항에 따라 관리 액세스를 정기적으로 검토할 수 있도록 PIM에서 액세스 검토 정책을 구성합니다.	Azure AD Premium P2
동적 그룹 구성원 자격 정책 구성.	부서 또는 지역과 같은 알려진 프로필 정보에 따라 특정 그룹에 사용자를 자동으로 추가하여 시간과 노력을 절감합니다. 예를 들어 인사부에 속한 모든 사용자를 인사라는 사용자 그룹에 자동으로 추가할 수 있습니다.	Free
그룹 기반 애플리케이션 할당 사용.	그룹 기반 액세스 관리를 사용하여 그룹 멤버에게 특정 애플리케이션에 대한 액세스 권한을 부여합니다. 동적 그룹을 사용하는 경우 그룹에서 제거된 사용자는 자동으로 애플리케이션에 대한 액세스 권한을 잃게 됩니다. 이 작업을 통해 애플리케이션의 보안을 유지할 수 있습니다.	Free
자동 사용자 계정 프로비전 및 비활성화 구성.	사용자가 기존 Azure AD 사용자 및 그룹을 기반으로 SaaS 애플리케이션을 사용할 수 있도록 자동으로 애플리케이션별 계정을 만듭니다. 또한 사용자는 조직을 떠날 때 사용자 계정을 자동으로 프로비전 해제할 수 있습니다. 이 작업을 통해 조직은 무단 액세스로부터 보호됩니다.	Free