- 사용자에게 미치는 영향을 최소화하기 위해 사내 AD를 AD Azure와 동기화하는 것이 좋음
- Azure AD tenant는 여러 개의 구독을 가질 수 있지만 azure 구독은 하나의 Azure AD tenant와만 연결 할 수 있음
- Azure 구독과 관련된 Azure AD tenant를 변경할 수 있음
- 구독이 만료되면 구독과 관련된 리소스에 대한 접근을 모두 잃게 됨. 그러나 Azure AD directory는 Auzre에 그대로 남는다. ⇒ 다른 구독을 이용하여 관리 가능(구독 만료 된다고 Azure AD tenant가 사라지지는 않음)
- 토큰에 대한 액세스 권한을 부여
- 응용 프로그램은 Azure AD에 ID 공급자로 연결, 사용자 ID를 확인하고 인증 성공 시 궁극적으로 security token 발급
- windows 10 devices만 join 할 수 있음
- Group Polices 생성 가능
** key vault는 보안 토큰을 저장하기 위한 것
Azure AD Identity Protection
https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/howto-sign-in-risk-policy
- Azure AD 사용자가 익명 IP 주소를 사용하여 인터넷에서 Azure AD에 연결할 때 사용자에게 암호를 변경하라는 메시지 자동으로 표시될 수 있게 가능
- 사용자 ID와 관련하여 탐지된 의심스러운 작업에 대한 자동 응답 구성 가능
- 신원 기반 위험 감지 및 치료를 자동화합니다.
- 포털의 데이터를 사용하여 위험을 조사합니다.
- 위험 감지 데이터를 SIEM으로 내보낼 수 있습니다.
Azure Privileged Identity Management
조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있는 Azure AD의 서비스
시간 기반 및 승인 기반 역할 활성화를 제공하여 사용자가 관심 있는 리소스에 대한 액세스 권한이 과도하거나 불 필요하거나, 잘못 사용되는 위험을 완화할 수 있도록 지원.
주요 기능
- Azure AD 및 Azure 리소스에 대한 적시 액세스 권한 제공
- 시작 및 종료 날짜를 사용하여 리소스에 시간 제한 액세스 할당
- 권한 있는 역할을 활성화하려면 승인 필요
- 역할을 활성화하기 위해 다단계 인증 적용
- 권한 있는 역할이 활성화되면 알림 가져오기
- 액세스 검토를 수행하여 사용자에게 여전히 역할이 필요한지 확인
- 내부 또는 외부 감사를 위한 감사 기록 다운로드
Azure AD Connect
password has synchronization을 위해서는 staging mode가 반드시 disabled상태여야 한다
Azure AD Connect 서버가 준비 모드인 경우 password hash sync가 일시적으로 비활성화 된다
Azure AD Connect는 하이브리드 ID 목표를 충족하고 달성하기 위해 설계된 MS 도구 이며 다음과 같은 특징을 갖는다
- Password has synchronization: 사내 AD 암호의 해시를 Azure AD와 동기화하는 로그인 방법
- Pass-through authentication: 사용자가 사내 및 클라우드에서 동일한 암호를 사용할 수 있지만 연합 환경의 추가 인프라가 필요하지 않은 로그인 방법
- Federation Integration: Azure AD Connect의 선택 사항. 사내 AD FS 인프라를 사용하여 하이브리드 환경을 구성하는데 사용할 수 있음
- Synhronization: 사용자, 그룹 및 기타 개체 생성을 담당. 사내 사용자 및 그룹의 ID 정보가 클라우드와 일치하는지 확인. 암호 해시도 포함 됨
- Health Monitoring: 강력한 모니터링 제공. Azure 포털에서 이 활동을 볼 수 있는 central location 제공
multi-factor authentication service setting
2단계 검증의 보안은 layered approach에 있다
여러 인증 factor를 손상시키는 것은 공격자들에게는 중요한 도전이다
비밀번호를 알 더라도 추가 authentication method 없이는 접근 불가능 함
이는 다음 authentication methods중 2개 이상을 요구한다
- Something you know (typically a pwd)
- Something you have (a trusted device that is not easily duplicated, like a phone)
- Something you are (biometrics)
가능한 멀티 인증 요소
- Call to phone
- Text message to phone
- Notification through. mobile app
- Verification code from mobile app or hardware token
Inivite Guest
- 기본적으로 디렉토리에 있는 모든 사용자 및 게스트는 admin role이 없더라도 guest를 초대할 수 있으
- 외부 협업 설정(External coolaboration settings)을 통해 조직의 다양한 유형의 사용자에 대해 게스트 초대장을 켜거나 끌 수 있습니다.
- 게스트를 초대할 수 있는 역할을 할당하여 개별 사용자에게 초대장을 위임할 수도 있습니다.