Azure Active Directory(Azure AD)란?
Azure Active Directory(Azure AD, 현재 Microsoft Entra ID로 리브랜딩)는 Microsoft의 클라우드 기반 ID 및 접근 관리(IAM) 서비스입니다. 기업의 직원, 파트너, 고객이 Microsoft 365, Azure Portal, Salesforce, GitHub, SAP 등 수천 가지 애플리케이션에 안전하게 접근할 수 있도록 중앙화된 인증 및 권한 부여를 제공합니다. 온프레미스 Active Directory와 달리 클라우드 네이티브로 설계되어 별도 서버 운영 없이 글로벌하게 제공됩니다.
Azure AD는 현재 전 세계 수억 명의 사용자와 수십만 개 기업이 사용하는 엔터프라이즈 ID 플랫폼으로 성장했습니다. Microsoft 365 구독에 기본 포함되어 있으며, Azure 구독을 생성하면 기본 테넌트가 자동으로 생성됩니다. Zero Trust 보안 모델의 핵심 구성 요소로, “명시적으로 확인하라, 최소 권한을 사용하라, 침해를 가정하라”는 원칙을 구현하는 데 Azure AD가 중심 역할을 합니다.
Azure AD의 핵심 기능
Single Sign-On(SSO)
Azure AD SSO는 한 번의 로그인으로 연동된 모든 애플리케이션에 접근할 수 있게 합니다. SAML 2.0, OpenID Connect(OIDC), OAuth 2.0 프로토콜을 지원하며, Azure AD 앱 갤러리에는 Salesforce, ServiceNow, Workday, Zoom, Box 등 3,000개 이상의 사전 통합 SaaS 애플리케이션이 등록되어 있습니다. 커스텀 애플리케이션도 앱 등록(App Registration)을 통해 Azure AD SSO에 통합할 수 있습니다. SSO를 도입하면 사용자당 비밀번호 관리 부담이 줄고, IT 헬프데스크의 비밀번호 재설정 요청이 현저히 감소합니다.
다중 인증(MFA)
Azure AD MFA(Multi-Factor Authentication)는 ID와 비밀번호 외에 추가적인 인증 요소를 요구해 계정 탈취 위험을 99.9% 이상 감소시킵니다. 인증 방법으로는 Microsoft Authenticator 앱(푸시 알림 또는 TOTP), FIDO2 보안 키, Windows Hello for Business, SMS/전화 인증 등이 있습니다. Conditional Access(조건부 액세스)와 결합하면 고위험 로그인(알 수 없는 위치, 새 기기)에서만 MFA를 요구하는 세밀한 정책도 구성할 수 있습니다.
조건부 액세스(Conditional Access) 정책
조건부 액세스는 사용자, 위치, 기기, 애플리케이션, 위험 수준을 조건으로 설정하고, 이에 따라 액세스 허용, MFA 요구, 차단 등의 제어를 적용하는 Zero Trust 정책 엔진입니다. 예를 들어 “Azure Portal 접근 시 규정 준수 기기에서만 허용”이나 “해외 IP에서의 로그인 시 MFA 필수” 같은 정책을 구성할 수 있습니다. Named Locations를 정의해 신뢰할 수 있는 IP 범위(사내 VPN, 사무실 IP)를 지정하고, 이 범위 외에서의 접근은 더 강화된 인증을 요구하는 방식이 일반적입니다.
Azure AD 사용자 및 그룹 관리
동적 그룹
동적 그룹(Dynamic Group)은 사용자의 속성(부서, 직함, 위치 등)을 기반으로 자동으로 그룹 멤버십을 결정합니다. 예를 들어 부서가 “Engineering”인 사용자를 자동으로 엔지니어링 그룹에 추가하고, Azure DevOps 프로젝트 접근 권한을 부여하는 식입니다. HR 시스템에서 부서 이동이 발생하면 자동으로 그룹 멤버십이 업데이트되어 수동 관리 부담을 크게 줄일 수 있습니다.
셀프서비스 비밀번호 재설정(SSPR)
SSPR(Self-Service Password Reset)은 사용자가 IT 헬프데스크 도움 없이 직접 비밀번호를 재설정할 수 있게 합니다. 보안을 위해 비밀번호 재설정 시 인증 방법(이메일, 전화, 보안 질문 등) 중 최소 2가지를 요구하도록 설정합니다. Microsoft 조사에 따르면 SSPR 도입으로 헬프데스크 비밀번호 관련 문의가 평균 32% 감소하는 효과가 있습니다.
온프레미스 AD와 Azure AD 연동
Azure AD Connect
기존에 온프레미스 Active Directory를 운영 중이라면 Azure AD Connect를 사용해 사용자 계정, 그룹, 디바이스를 Azure AD로 동기화할 수 있습니다. 동기화 방식은 비밀번호 해시 동기화(Password Hash Sync, PHS), 패스스루 인증(Pass-Through Authentication, PTA), AD FS 페더레이션 세 가지 중 선택합니다. 대부분의 기업에는 구성이 간단하고 클라우드 탄력성이 높은 비밀번호 해시 동기화 방식을 권장합니다.
Hybrid Azure AD Join
Hybrid Azure AD Join은 온프레미스 AD에 가입된 기기를 동시에 Azure AD에도 등록하는 구성입니다. 이를 통해 Intune을 통한 기기 관리, Azure AD 기반 SSO, 조건부 액세스의 “규정 준수 기기” 조건 적용이 가능해집니다. 기존 온프레미스 인프라를 유지하면서 클라우드 기능을 점진적으로 도입하는 하이브리드 전략에 적합합니다.
Azure AD 라이선스 비교
Azure AD는 Free, Microsoft 365 Apps, P1, P2 네 가지 에디션이 있습니다. Free 에디션은 기본 SSO, MFA, 사용자/그룹 관리를 제공합니다. P1 에디션은 조건부 액세스, 동적 그룹, SSPR, Azure AD Application Proxy를 추가로 제공하며, 대부분의 기업에 P1이 적합합니다. P2 에디션은 Identity Protection(위험 기반 조건부 액세스), Privileged Identity Management(PIM), Access Reviews 같은 고급 거버넌스 기능을 포함합니다. Microsoft 365 E3에 P1, E5에 P2가 포함됩니다.
마치며
Azure Active Directory는 현대 기업의 ID 및 보안 인프라의 핵심입니다. SSO로 생산성을 높이고, MFA와 조건부 액세스로 보안을 강화하며, 동적 그룹과 SSPR로 IT 운영 효율을 개선할 수 있습니다. 온프레미스 AD와의 연동을 통한 점진적 클라우드 전환도 Azure AD가 탁월하게 지원합니다. Zero Trust 보안 여정의 첫 걸음으로 Azure AD MFA와 조건부 액세스 정책 도입부터 시작해 보세요.