...
| Table of Contents | ||
|---|---|---|
|
조직 별 R&R 및 업무 프로세스 개요
EA
...
CSP
...
구독 생성 신청서
[일반 정보]
...
신청인 이름
...
...
구독 용도(구체적으로)
...
...
계약 구분
...
EA( ) / SCE ( ) / CSP ( )
...
고객사 정보
...
고객사명
...
...
구독 사용 부서명
...
...
고객 담당자 이름
...
...
이메일
...
...
연락처
...
[EA / SCE 계약인 경우 기재]
...
생성 구분
...
신규 생성(계약 후 최초) ( ) / 추가 생성(기존 구독 있음) ( )
...
Enrollment Number
...
...
구독 연결 테넌트명
또는 테넌트ID
(선택 입력)
...
...
※ 고객이 Entra ID “멀티테넌트 사용중인 경우” 기재
※ 필요시 TDG 담당 엔지니어에게 사전 확인요
...
구독명
(선택 입력)
...
...
※ 고객이 특별히 원하는 구독명이 있는 경우 기재
※ 미기재시 CMS팀 구독명 생성 규칙에 따라 생성됨
...
구독 사용자 계정명
(다수 입력 가능)
...
...
※ 구독을 사용하기 위해 구독에 대한 액세스 권한이 필요한 사용자 리스트 입력
※ 사용자별 요구하는 역할 기재 / 미기재시 기본 역할(Owner) 부여
예시) 홍길동 / hong***@tdgl.co.kr / Owner
[CSP 계약인 경우 기재]
...
생성 구분
...
신규 생성(계약 후 최초) ( ) / 추가 생성(기존 구독 있음) ( )
...
주소(신규일 경우 기재)
...
...
※ 행정상 등록된 주소를 기입 / 우편번호 필수
...
MCA 동의서 제출 여부
...
Yes – 계약시 고객으로부터 이미 동의서 받았음( )
계약 날짜( ) / No ( )
...
구독명
(선택 입력)
...
...
※ 고객이 특별히 원하는 구독명이 있는 경우 기재
※ 미기재시 CMS팀 구독명 생성 규칙에 따라 생성됨
...
구독 사용자 계정명
(다수 입력 가능)
...
...
※ 구독을 사용하기 위해 구독에 대한 액세스 권한이 필요한 사용자 리스트 입력
※ 사용자별 요구하는 역할 기재 / 미기재시 기본 역할(Owner) 부여
예시) 홍길동 / hong***@tdgl.co.kr / Owner
...
도메인명
...
1 순위
...
...
※ 요청한 도메인명 뒤에 ‘.onmicrosoft.com’ 추가됨
...
2 순위
...
...
※ 1순위 요청 도메인명이 이미 사용중인 경우를 대비
What is a Tenant?
https://learn.microsoft.com/en-us/entra/fundamentals/whatis#terminology
...
Microsoft Entra ID의 신뢰할 수 있는 전용 인스턴스입니다. 테넌트는 조직에서 Microsoft 클라우드 서비스 구독에 등록할 때 자동으로 만들어집니다. 이러한 구독에는 Microsoft Azure, Microsoft Intune 또는 Microsoft 365가 포함됩니다. 한 Azure 테넌트는 단일 조직을 나타냅니다.
Azure Tenant와 Microsoft 365 (M365) Tenant는 Microsoft 클라우드 서비스의 관리 단위를 나타내는 용어로 사용되며, 둘 다 Azure Active Directory (Azure AD)를 기반으로 합니다. 다만, 각각의 Tenant는 특정 서비스에 초점을 맞추고 사용되는 방식이 다를 수 있습니다.
전체 조직을 나타내며 모든 액세스 관리 및 ID 관련 정보를 호스팅합니다.
기본 테넌트 이름은 항상 onmicrosoft.com으로 끝남 → 하지만 추가 DNS 이름 추가 가능
단일 ID를 두 개의 서로 다른 Azure 테넌트에 동기화 할 수는 없지만 테넌트에 여러 사용자 지정 도메인 이름을 추가할 수 있습니다.
도메인은 단일 테넌트에만 속할 수 있음. zerobig.kr은 이미 zerobig.onmicrosoft.com과 연결되어 있으므로 다른 테넌트와 함께 사용할 수 없음
테넌트에는 사용자 목록이 포함되어 있음. 사용자는 하나의 디렉터리에 속하지만 다른 여러 디렉터리에 게스트로 초대될 수 있음
온-프레미스 환경에서 Azure AD 테넌트로 ID를 동기화하면 해당 ID에 역할을 할당하여 효율적인 액세스 관리가 가능해집니다.
테넌트는 청구와 아무런 관련이 없으며 테넌트에 대해서는 부담하는 비용은 없음 → 현재 유료 정책으로 변경 확인 by 서비스케이스 with MS
"Azure 구독과 Azure Active Directory는 모두 Microsoft Azure 세계 내에서 서로 다른 두 엔터티이므로 구독 및 Azure 테넌트 ID의 혜택을 받으려면 이들을 연결해야 합니다."
Azure 구독은 여러 구독을 가질 수 있는 단일 테넌트에 연결되며, 사용자는 테넌트 내에서 권한을 관리하고 라이선스를 구매할 수 있습니다.
Single tenant
단일 테넌트를 사용하면 조직에서 Microsoft 365를 사용하는 여러 측면이 간소화됩니다. 단일 테넌트는 단일 계정, 그룹 및 정책 집합을 가진 단일 Microsoft Entra 테넌트를 의미합니다. 이 중앙 ID 공급자를 통해 조직 전체의 리소스에 대한 권한 및 공유를 수행할 수 있습니다.
단일 테넌트는 사용자에게 가장 풍부하고 간소화된 협업 및 생산성 환경을 제공합니다.
Multiple tenants
조직에 여러 테넌트가 있는 데에는 여러 가지 이유가 있습니다:
관리적 격리
분산형 IT
역사적인(Historical) 결정
합병, 인수 또는 매각
대기업 조직을 위한 명확한 브랜딩 분리
사전 프로덕션, 테스트 또는 샌드박스 테넌트
What is an Azure Subscription?
구독은 실제 작업이 완료되는 곳입니다. 구독에는 무료이거나 비용이 발생할 수 있는 리소스가 있음
구독은 Microsoft에서 구입할 수 있습니다.
With a credit card (PAYG)
On an Enterprise Agreement contract
Or from a Cloud Solution Partner like TDG
Office 365 또는 Power BI와 같은 소프트웨어 라이선스는 Azure와 동일한 방식으로 구매할 수 있지만 라이선스는 테넌트의 누구에게나 할당될 수 있습니다. Azure 구독에는 연결되어 있지 않습니다.
Exploring the Real Relationship Between Enrollment and Azure Subscriptions
엔터프라이즈 관리자 : 이 역할의 사용자는 가장 높은 수준의 액세스 권한을 갖습니다.
...
지정된 범위(관리 그룹, 구독, 리소스 그룹) 내에서 사용자와 그룹(Entra ID 계정 또는 자체 계정)은 리소스를 추가하거나 제거할 수 있습니다.
RBAC(Role-Based Access Control)을 통해 역할을 부여 받으며, 부모로부터 상속된 권한은 필요에 따라 재정의될 수 있습니다.
Azure 정책은 관리 그룹, 구독, 리소스 그룹에 할당되어 특정 규칙을 적용할 수 있으며, 사용자와 그룹은 자신들의 역할에 따라 필요한 작업을 수행하게 됩니다.
How an Enterprise Agreement enrollment relates to Microsoft Entra ID and Azure RBAC
재무 사용자에게는 기업계약 등록에 대한 엔터프라이즈 관리자 역할이 부여됩니다. Microsoft Entra ID 또는 Azure 관리 그룹, 구독, 리소스 그룹 또는 리소스에서 관리자 권한 또는 역할이 할당되지 않은 표준 사용자입니다. 재무 사용자는 Azure 기업계약 역할 관리에 나열된 역할만 수행할 수 있으며 등록 시 Azure 구독에 액세스할 수 없습니다. Azure 구독에 대한 액세스 권한이 있는 기업계약 역할은 계정 소유자 뿐입니다. 구독이 만들어질 때 이 권한이 부여되었기 때문입니다.
...
| Info |
|---|
How does elevated access work?Microsoft Entra ID 및 Azure 리소스는 서로 독립적으로 보호됩니다. 즉, Microsoft Entra 역할을 할당해도 Azure 리소스에 대한 액세스가 부여되지 않고, Azure 역할을 할당해도 Microsoft Entra ID에 대한 액세스가 부여되지 않습니다. 그러나 Microsoft Entra ID의 글로벌 관리자는 디렉터리에 있는 모든 Azure 구독 및 관리 그룹에 대한 액세스 권한을 자신에게 할당할 수 있습니다. 액세스 권한을 상승하면 루트 범위( 루트 범위에서 필요한 변경 작업을 마친 후에는 상승된 액세스 권한을 제거해야 합니다. |
ID 아키텍처 디자인
https://learn.microsoft.com/ko-kr/azure/architecture/identity/identity-start-here
...
https://youtu.be/S2NPZ-rS5qc?si=PGsbcDNaGwLELJXx
...
M365 Tenant와 Azure Tenant 차이 및 관계에 대해 설명해 주세요
Azure Tenant와 Microsoft 365 Tenant는 Microsoft 클라우드 서비스의 관리 단위를 나타내는 용어로 사용되며, 둘 다 Azure Active Directory (Azure AD)를 기반으로 합니다. 다만, 각각의 Tenant는 특정 서비스에 초점을 맞추고 사용되는 방식이 다를 수 있습니다.
Azure Tenant
정의: Azure Tenant는 Azure Active Directory (Azure AD) 인스턴스를 의미합니다. 이는 조직의 사용자, 그룹, 애플리케이션 등의 ID 및 액세스 관리를 담당합니다.
용도: Azure 기반의 클라우드 리소스를 관리하기 위해 사용됩니다. 예를 들어 가상 머신, SQL 데이터베이스, 웹 앱 등 Azure에서 제공하는 다양한 서비스를 포함합니다.
관리: Azure Portal을 통해 관리되며, 여기서 구독, 리소스 그룹, 리소스 및 기타 여러 관리 작업을 수행할 수 있습니다.
Microsoft 365 Tenant
정의: Microsoft 365 Tenant 또한 Azure AD 인스턴스를 사용하지만, Office 365, Windows 10, Enterprise Mobility + Security (EMS) 등 Microsoft 365에 포함된 서비스를 관리하기 위한 목적으로 사용됩니다.
용도: 주로 엔터프라이즈 생산성 및 협업 도구의 사용자와 라이선스를 관리하는 데 초점을 맞춥니다. 예를 들어 Exchange Online, SharePoint Online, Teams, OneDrive for Business 등이 있습니다.
관리: Microsoft 365 관리 센터를 통해 이메일, 문서 공유, 통신 등의 기능을 관리하며, 사용자 라이선스 할당 및 관리 작업을 수행합니다.
관계
Azure Tenant와 M365 Tenant의 기본적인 관계는 다음과 같습니다:
...
일반적으로 기업이 Microsoft 클라우우드를 구성할 때, 일반적으로 한 가지 Tenant를 사용하여 Azure 서비스와 Microsoft 365 서비스를 모두 관리합니다. 이렇게 하면 IT 관리자가 한 곳에서 사용자 계정을 관리하고, 인증과 권한 부여를 통합할 수 있는 장점이 있습니다. 또한, 사용자는 Single Sign-On (SSO) 기능을 통해 여러 서비스에 걸쳐 동일한 자격 증명을 사용하여 로그인할 수 있습니다.
Microsoft 클라우드 서비스 사용 시 주요 고려 사항
라이선싱: Microsoft 365 서비스의 라이선스는 사용자별로 할당됩니다. 예를 들어, 사용자가 Exchange Online, SharePoint Online, Teams 등의 서비스를 사용하려면 적절한 Microsoft 365 라이선스가 필요합니다. Azure 서비스의 경우 사용한 만큼 비용을 지불하는 Pay-As-You-Go 구조나 예약 인스턴스 같은 다양한 결제 옵션이 있습니다.
보안 및 규정 준수: Azure AD를 통해 조직은 다단계 인증(MFA), 조건부 액세스 정책, 정보 보호 정책 등을 설정하여 보안을 강화할 수 있습니다. 또한, EU의 GDPR 같은 규정 준수 요구 사항을 관리하는 데 있어 중요한 역할을 합니다.
도메인 관리: 조직의 사용자가 [email protected]와 같은 사용자 지정 도메인을 사용하려면, 해당 도메인을 Azure AD에 등록하고 설정해야 합니다. 이 도메인은 Azure 서비스와 Microsoft 365 서비스 모두에서 사용될 수 있습니다.
디렉토리 동기화: 많은 조직들이 현장 Active Directory와 Azure AD 간에 사용자 계정을 동기화합니다. 이를 위해 Azure AD Connect와 같은 도구를 사용하여 온프레미스와 클라우드 간의 일관성을 유지합니다.
실제 구축 시나리오
실제 구축 시나리오는 조직의 요구사항, 기존 인프라, 비즈니스 목표에 따라 달라질 수 있습니다. 여기에는 몇 가지 일반적인 시나리오가 있습니다:
...
이러한 전략들을 통해 조직은 Azure Tenant와 M365 Tenant를 효과적으로 구축하고 운영할 수 있으며, 클라우드 투자로부터 최대한의 가치를 창출할 수 있습니다. 클라우드 여정은 단순히 기술을 도입하는 것을 넘어서 조직 문화와 운영 방식에 변화를 가져오는 과정이기 때문에, 전사적인 차원에서의 철저한 계획과 실행이 필수적입니다.
상호 작용성
Azure Tenant와 M365 Tenant 간의 상호 작용성은 조직이 클라우드 리소스를 효율적으로 관리하는 데 핵심적입니다. 하나의 Azure AD Tenant를 사용하면 다음과 같은 혜택을 누릴 수 있습니다.
일관된 ID 관리: 사용자는 하나의 계정으로 모든 Microsoft 클라우드 서비스에 액세스할 수 있습니다.
애플리케이션 통합: Azure에서 호스팅되는 애플리케이션들은 Microsoft 365의 인증 방식을 사용하여 사용자에게 서비스를 제공할 수 있습니다.
자동화된 프로비저닝: 사용자가 새로운 Microsoft 365 라이선스를 받으면, 필요한 Azure 서비스 리소스에 자동으로 액세스할 수 있게 설정할 수 있습니다.
멀티-테넌트 환경
큰 조직이나 서비스 제공자는 때때로 멀티-테넌트 환경을 사용하기도 합니다. 이 경우, 여러 Azure AD Tenant를 관리해야 하며, 각각은 독립적인 사용자 그룹, 정책 및 구독을 가질 수 있습니다. 이런 환경은 복잡할 수 있으며, 각 Tenant 간의 상호 운용성이 제한적일 수 있습니다.
하이브리드 환경
많은 조직들이 클라우드와 온프레미스 환경을 혼합하여 사용합니다. Azure AD를 중심으로 하이브리드 아이덴티티 모델을 구축할 수 있으며, 이는 온프레미스 Active Directory와 Azure AD 간의 사용자 계정 동기화를 포함합니다. 이런 설정을 통해 사용자들은 온프레미스와 클라우드 리소스 모두에 대해 통합된 사용자 경험을 누릴 수 있습니다.
용어
https://learn.microsoft.com/ko-kr/entra/fundamentals/whatis#terminology
...