Azure Active Directory 일반

Windows Server Active Directory의 클라우드 버전  아님 

기술적으로 인증방식도 다름

 

 

AD

온프렘 ID의 Azure 확장을 위한 Identity 서비스

혹은 클라우드 전용환경을 위한 Identity 서비스

 

 

일반적으로 Azure AD는 세 가지 방법으로 사용자를 정의합니다.

 

클라우드 ID- 이러한 사용자는 Azure AD에만 존재합니다. 예를 들어 관리자 계정과 직접 관리하는 사용자가 있습니다. 사용자가 다른 Azure AD 인스턴스에 정의되어 있지만이 디렉터리에서 제어하는 구독 리소스에 액세스해야하는 경우 해당 소스는 Azure Active Directory 또는 외부 Azure Active Directory 입니다. 이러한 계정이 기본 디렉터리에서 제거되면 삭제됩니다.

 

디렉터리 동기화 ID- 이러한 사용자는 온-프레미스 Active Directory에 있습니다. Azure AD Connect 를 통해 발생하는 동기화 활동 은 이러한 사용자를 Azure로 가져옵니다. 소스는 Windows Server AD 입니다.

 

게스트 사용자 -이러한 사용자는 Azure 외부에 있습니다. 예를 들어 다른 클라우드 공급자의 계정과 Xbox LIVE 계정과 같은 Microsoft 계정이 있습니다. 소스는 초대 된 사용자 입니다. 이 유형의 계정은 외부 공급 업체 또는 계약자가 Azure 리소스에 액세스해야 할 때 유용합니다. 도움이 더 이상 필요하지 않으면 계정과 모든 액세스 권한을 제거 할 수 있습니다.

 

Azure AD를 사용하면 두 가지 유형의 그룹을 정의 할 수 있습니다.

1. 보안 그룹 . 가장 일반적

사용자 그룹의 공유 리소스에 대한 구성원 및 컴퓨터 액세스를 관리하는 데 사용

특정 보안 정책에 대한 보안 그룹을 생성 할 수 있습니다. 

이렇게하면 각 구성원에게 개별적으로 권한을 추가하는 대신 모든 구성원에게 한 번에 권한 집합을 부여 할 수 있습니다. 이 옵션에는 Azure AD 관리자가 필요합니다.

1. Microsoft 365 그룹 . 이러한 그룹은 구성원에게 공유 사서함, 일정, 파일, SharePoint 사이트 등에 대한 액세스 권한을 부여하여 공동 작업 기회를 제공합니다. 이 옵션을 사용하면 조직 외부의 사람들에게 그룹에 대한 액세스 권한을 부여 할 수도 있습니다. 이 옵션은 사용자와 관리자가 사용할 수 있습니다.

 

멤버쉽유형

1. 할당 됨 . 그룹에는 선택한 특정 사용자 또는 그룹이 포함됩니다.
2. 동적 사용자 . 특성을 기반으로 규칙을 작성하여 그룹에 대한 속성 기반 동적 멤버십을 활성화합니다. 예를 들어 사용자의 부서가 Sales 인 경우 해당 사용자는 Sales 그룹에 동적으로 할당됩니다. 보안 그룹 또는 Office 365 그룹에서 동적 멤버 자격에 대한 규칙을 설정할 수 있습니다. 사용자의 부서가 나중에 변경되면 그룹에서 자동으로 제거됩니다. 이 기능을 사용하려면 Azure AD Premium P1 라이선스가 필요합니다.

 

 

 

등록할 사람이 많을때

파워셸

# Create a password object

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile

 

# Assign the password

$PasswordProfile.Password = "<Password>"

 

# Create the new user

New-AzureADUser -AccountEnabled $True -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com"

 

CLI

az ad user create --display-name "Abby Brown" \

                  --password "<password>" \

                  --user-principal-name "AbbyB@contoso.com" \

                  --force-change-password-next-login true \

                  --mail-nickname "AbbyB"

 

파워셸 그룹생성

New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"