Azure Lighthouse의 일반적인 시나리오에는 고객의 Microsoft Entra 테넌트에서 리소스를 관리하는 서비스 공급자가 포함됩니다. Azure Lighthouse의 기능을 사용하여 여러 Microsoft Entra 테넌트를 사용하는 기업 내에서 테넌트 간 관리를 간소화할 수도 있습니다. 이 시나리오에서 엔터프라이즈 테넌트 중 하나의 사용자는 다른 서비스 공급자를 포함하지 않고도 Azure Lighthouse를 통해 다른 테넌트에서 관리 작업을 수행할 수 있습니다.
단일 및 다중 테넌트
대부분의 조직에서는 단일 Microsoft Entra 테넌트를 사용하여 관리가 더 쉽습니다. 한 테넌트 내에 모든 리소스가 있으면 해당 테넌트 내의 지정된 사용자, 사용자 그룹 또는 서비스 주체에 의한 관리 작업의 중앙 집중화가 가능합니다. 가능하면 조직에 테넌트 하나를 사용하는 것이 좋습니다.
일부 조직에서는 여러 Microsoft Entra 테넌트 사용이 필요할 수 있습니다. 이는 인수가 이루어지고 장기 테넌트 통합 전략이 아직 정의되지 않은 경우처럼 일시적인 상황이 될 수 있습니다. 조직에서는 완전히 독립적인 자회사, 지리적 또는 법적 요구 사항 또는 기타 고려 사항으로 인해 여러 테넌트를 지속적으로 유지해야 할 수도 있습니다.
다중 테넌트 아키텍처가 필요한 경우 Azure Lighthouse는 관리 작업을 중앙 집중화하고 간소화하는 데 도움이 될 수 있습니다. Azure Lighthouse를 사용하면 하나의 관리 테넌트에 있는 사용자가 중앙 집중식 확장성 방식으로 테넌트 간 관리 기능을 수행할 수 있습니다.
테넌트 관리 아키텍처
엔터프라이즈에서 Azure Lighthouse를 사용하려면 다른 테넌트에서 관리 작업을 수행하는 사용자를 포함할 테넌트를 결정해야 합니다. 즉, 한 테넌트는 다른 테넌트에 대한 관리 테넌트로 지정합니다.
예를 들어 조직에 테 넌트 A라고 하는 단일 테넌트가 있다고 가정해 보겠습니다. 그러면 조직에서 테넌트 B 및 테넌트 C를 획득하고 별도의 테넌트로 유지 관리해야 하는 비즈니스 이유가 있습니다. 그러나 동일한 사용자 집합에서 수행하는 관리 작업을 사용하여 모든 사용자에 대해 동일한 정책 정의, 백업 사례 및 보안 프로세스를 사용하려고 합니다.
테넌트 A에는 테넌트 A에 대해 이러한 작업을 수행한 조직의 사용자가 이미 포함되어 있으므로 테넌트 A를 관리 테넌트로 지정할 수 있습니다. 그런 다음 테넌트 B 및 테넌트 C 내에서 구독을 등록 하여 테넌트 A에 위임할 수 있습니다. 온보딩 프로세스 중에 테넌트 A의 사용자에게 권한을 부여하는 권한 부여를 만들어 테넌트 B 및 테넌트 C에서 관리 작업을 수행할 수 있습니다.
보안 및 액세스 고려 사항
대부분의 엔터프라이즈 시나리오에서는 Azure Lighthouse에 전체 구독을 위임하려고 합니다. 구독 내에서 특정 리소스 그룹만 위임하도록 선택할 수도 있습니다.
어느 쪽이든 위임된 리소스에 액세스할 수 있는 사용자를 정의할 때 최소 권한 원칙을 따라 야 합니다. 이렇게 하면 사용자에게 필요한 작업을 수행하는 데 필요한 권한만 있고 실수로 오류가 발생할 가능성을 줄일 수 있습니다.
Azure Lighthouse는 데이터 또는 리소스를 물리적으로 이동하는 대신 관리 테넌트와 관리되는 테넌트 간의 논리적 링크만 제공합니다. 또한 액세스는 항상 관리 테넌트에서 관리되는 테넌트에 이르기까지 한 방향으로만 진행됩니다. 관리 테넌트 리소스에 대한 관리 작업을 수행할 때 관리 테넌트에서 사용자 및 그룹은 다단계 인증을 사용해야 합니다.
내부 또는 외부 거버넌스 및 규정 준수 가드레일이 있는 기업은 Azure 활동 로그를 사용하여 투명성 요구 사항을 충족할 수 있습니다. 엔터프라이즈가 관리 및 관리되는 테넌트 관계를 설정하는 경우 각 테넌트 사용자는 기록된 활동을 보고 관리 테넌트에서 사용자가 수행한 작업을 볼 수 있습니다.
자세한 내용은 권장 보안 사례를 참조하세요.
온보딩 고려 사항
구독(또는 구독 내의 리소스 그룹)은 Azure Resource Manager 템플릿을 배포하거나 Azure Marketplace에 게시된 Managed Services 제품을 통해 Azure Lighthouse에 온보딩할 수 있습니다.
엔터프라이즈 사용자는 일반적으로 엔터프라이즈 테넌트에 직접 액세스할 수 있으며 관리 제품을 마케팅하거나 홍보할 필요가 없으므로 일반적으로 Azure Resource Manager 템플릿을 배포하는 것이 더 빠르고 간단합니다. 온보딩 지침은 서비스 공급자 및 고객을 참조하지만, 기업은 동일한 프로세스를 사용하여 임차인을 등록할 수 있습니다.
원하는 경우 Azure Marketplace에 Managed Services 제품을 게시하여 엔터프라이즈 내의 테넌트를 온보딩할 수 있습니다. 적절한 테넌트에서만 제품을 사용할 수 있도록 하려면 플랜이 프라이빗으로 설정되어 있는지 확인합니다. 프라이빗 플랜을 사용하면 온보딩하려는 각 테넌트에 대한 구독 ID를 제공하며, 다른 누구도 제안을 받을 수 없습니다.
Microsoft Entra 외부 식별자
Microsoft Entra 외부 ID 는 비즈니스-고객 간의 ID 관리 서비스를 제공합니다. Azure Lighthouse를 통해 리소스 그룹을 위임하는 경우 Azure Monitor를 사용하여 Microsoft Entra 외부 ID 로그인 및 감사 로그를 다른 모니터링 솔루션으로 라우팅할 수 있습니다. 로그를 장기간 사용하거나 타사 SIEM(보안 정보 및 이벤트 관리) 도구와 통합하여 사용자 환경에 대한 인사이트를 얻을 수 있습니다.
자세한 내용은 외부 테넌트에서 Azure Monitor 설정을 참조하세요.
용어 참고 사항
엔터프라이즈 내의 교차 테넌트 관리를 위해 Azure Lighthouse 설명서의 서비스 공급자에 대한 참조는 엔터프라이즈 내의 관리 테넌트, 즉 Azure Lighthouse를 통해 다른 테넌트에서 리소스를 관리할 사용자를 포함하는 테넌트에 적용되는 것으로 이해될 수 있습니다. 마찬가지로, 고객에 대한 모든 참조는 관리 테넌트의 사용자를 통해 관리될 리소스를 위임하는 테넌트에 적용되는 것으로 이해될 수 있습니다.
예를 들어 위에서 설명한 예제에서 테넌트 A는 서비스 공급자 테넌트(관리 테넌트)로 간주할 수 있으며 테넌트 B 및 테넌트 C는 고객 테넌트라고 생각할 수 있습니다.
이 예제를 계속 진행하면서 적절한 권한이 있는 테넌트 A 사용자는 Azure Portal의 내 고객 페이지에서 위임된 리소스를 보고 관리할 수 있습니다. 마찬가지로 적절한 권한이 있는 테넌트 B 및 테넌트 C 사용자는 Azure Portal의 서비스 공급자 페이지에서 위임에 대한 세부 정보를 보고 관리할 수 있습니다.
다음 단계
- 다중 테넌트 아키텍처에서 리소스 조직에 대한 옵션을 살펴봅니다.
- 테넌트 간 관리 환경에 대해 알아봅니다.
- Azure Lighthouse 작동 방식에 대해 자세히 알아봅니다.