What is a Tenant?

https://learn.microsoft.com/en-us/entra/fundamentals/whatis#terminology

https://www.youtube.com/watch?v=VKbcvgWYV5Q

https://www.youtube.com/watch?v=sXurr46f3HA

• Microsoft Entra ID의 신뢰할 수 있는 전용 인스턴스입니다. 테넌트는 조직에서 Microsoft 클라우드 서비스 구독에 등록할 때 자동으로 만들어집니다. 이러한 구독에는 Microsoft Azure, Microsoft Intune 또는 Microsoft 365가 포함됩니다. 한 Azure 테넌트는 단일 조직을 나타냅니다.

• Azure Tenant와 Microsoft 365 (M365) Tenant는 Microsoft 클라우드 서비스의 관리 단위를 나타내는 용어로 사용되며, 둘 다 Azure Active Directory (Azure AD)를 기반으로 합니다. 다만, 각각의 Tenant는 특정 서비스에 초점을 맞추고 사용되는 방식이 다를 수 있습니다.

• 전체 조직을 나타내며 모든 액세스 관리 및 ID 관련 정보를 호스팅합니다.

• 기본 테넌트 이름은 항상 onmicrosoft.com으로 끝남 → 하지만 추가 DNS 이름 추가 가능

• 단일 ID를 두 개의 서로 다른 Azure 테넌트에 동기화 할 수는 없지만 테넌트에 여러 사용자 지정 도메인 이름을 추가할 수 있습니다.

• 도메인은 단일 테넌트에만 속할 수 있음. zerobig.kr은 이미 zerobig.onmicrosoft.com과 연결되어 있으므로 다른 테넌트와 함께 사용할 수 없음

• 테넌트에는 사용자 목록이 포함되어 있음. 사용자는 하나의 디렉터리에 속하지만 다른 여러 디렉터리에 게스트로 초대될 수 있음

• 온-프레미스 환경에서 Azure AD 테넌트로 ID를 동기화하면 해당 ID에 역할을 할당하여 효율적인 액세스 관리가 가능해집니다.

• 테넌트는 청구와 아무런 관련이 없으며 테넌트에 대해서는 부담하는 비용은 없음 → 현재 유료 정책으로 변경 확인 by 서비스케이스 with MS

• "Azure 구독과 Azure Active Directory는 모두 Microsoft Azure 세계 내에서 서로 다른 두 엔터티이므로 구독 및 Azure 테넌트 ID의 혜택을 받으려면 이들을 연결해야 합니다."

• Azure 구독은 여러 구독을 가질 수 있는 단일 테넌트에 연결되며, 사용자는 테넌트 내에서 권한을 관리하고 라이선스를 구매할 수 있습니다.

Single tenant

단일 테넌트를 사용하면 조직에서 Microsoft 365를 사용하는 여러 측면이 간소화됩니다. 단일 테넌트는 단일 계정, 그룹 및 정책 집합을 가진 단일 Microsoft Entra 테넌트를 의미합니다. 이 중앙 ID 공급자를 통해 조직 전체의 리소스에 대한 권한 및 공유를 수행할 수 있습니다.

단일 테넌트는 사용자에게 가장 풍부하고 간소화된 협업 및 생산성 환경을 제공합니다.

Multiple tenants

조직에 여러 테넌트가 있는 데에는 여러 가지 이유가 있습니다:

• 관리적 격리

• 분산형 IT

• 역사적인(Historical) 결정

• 합병, 인수 또는 매각

• 대기업 조직을 위한 명확한 브랜딩 분리

• 사전 프로덕션, 테스트 또는 샌드박스 테넌트

What is an Azure Subscription?

• 구독은 실제 작업이 완료되는 곳입니다. 구독에는 무료이거나 비용이 발생할 수 있는 리소스가 있음

• 구독은 Microsoft에서 구입할 수 있습니다.

  • With a credit card (PAYG)

  • On an Enterprise Agreement contract

  • Or from a Cloud Solution Partner like TDG

• Office 365 또는 Power BI와 같은 소프트웨어 라이선스는 Azure와 동일한 방식으로 구매할 수 있지만 라이선스는 테넌트의 누구에게나 할당될 수 있습니다. Azure 구독에는 연결되어 있지 않습니다.

Exploring the Real Relationship Between Enrollment and Azure Subscriptions

Open

엔터프라이즈 관리자 : 이 역할의 사용자는 가장 높은 수준의 액세스 권한을 갖습니다.

• 계정 및 계정 소유자를 관리합니다.

• 다른 엔터프라이즈 관리자를 관리합니다.

• 부서 관리자를 관리합니다.

• 알림 연락처를 관리합니다.

• 예약을 포함한 Azure 서비스를 구매합니다.

• 모든 계정의 사용량을 확인합니다.

• 모든 계정에서 청구되지 않은 요금을 확인합니다.

• 기업계약에 적용되는 모든 예약 주문 및 예약을 보고 관리합니다.

• 엔터프라이즈 관리자(읽기 전용)는 예약 주문 및 예약을 볼 수 있습니다. (별도 관리 불가)

부서 관리자

• 부서를 만들고 관리합니다.

• 새 계정 소유자를 만듭니다.

• 관리하는 부서에 대한 사용량 세부 정보를 봅니다.

• 필요한 권한이 있는 경우 비용을 봅니다.

•  각 기업 등록에 대해 여러 부서 관리자를 보유할 수 있습니다.

계정 소유자

• 구독을 만들고 관리합니다.

• 서비스 관리자를 관리합니다.

 구독에 대한 사용량을 봅니다.

사용자 및 그룹: 일반 기능 및 기술 사용자 및 그룹. 해당 액세스는 Azure Policy에 의해 제어됩니다.

• 지정된 범위(관리 그룹, 구독, 리소스 그룹) 내에서 사용자와 그룹(Entra ID 계정 또는 자체 계정)은 리소스를 추가하거나 제거할 수 있습니다.

• RBAC(Role-Based Access Control)을 통해 역할을 부여 받으며, 부모로부터 상속된 권한은 필요에 따라 재정의될 수 있습니다.

• Azure 정책은 관리 그룹, 구독, 리소스 그룹에 할당되어 특정 규칙을 적용할 수 있으며, 사용자와 그룹은 자신들의 역할에 따라 필요한 작업을 수행하게 됩니다.

How an Enterprise Agreement enrollment relates to Microsoft Entra ID and Azure RBAC

https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/landing-zone/design-area/azure-billing-enterprise-agreement#how-an-enterprise-agreement-enrollment-relates-to-microsoft-entra-id-and-azure-rbac

재무 사용자에게는 기업계약 등록에 대한 엔터프라이즈 관리자 역할이 부여됩니다. Microsoft Entra ID 또는 Azure 관리 그룹, 구독, 리소스 그룹 또는 리소스에서 관리자 권한 또는 역할이 할당되지 않은 표준 사용자입니다. 재무 사용자는 Azure 기업계약 역할 관리에 나열된 역할만 수행할 수 있으며 등록 시 Azure 구독에 액세스할 수 없습니다. Azure 구독에 대한 액세스 권한이 있는 기업계약 역할은 계정 소유자 뿐입니다. 구독이 만들어질 때 이 권한이 부여되었기 때문입니다.

Open

ID 아키텍처 디자인

https://learn.microsoft.com/ko-kr/azure/architecture/identity/identity-start-here

https://youtu.be/S2NPZ-rS5qc?si=PGsbcDNaGwLELJXx

M365 Tenant와 Azure Tenant 차이 및 관계에 대해 설명해 주세요

Azure Tenant와 Microsoft 365 Tenant는 Microsoft 클라우드 서비스의 관리 단위를 나타내는 용어로 사용되며, 둘 다 Azure Active Directory (Azure AD)를 기반으로 합니다. 다만, 각각의 Tenant는 특정 서비스에 초점을 맞추고 사용되는 방식이 다를 수 있습니다.

Azure Tenant

• 정의: Azure Tenant는 Azure Active Directory (Azure AD) 인스턴스를 의미합니다. 이는 조직의 사용자, 그룹, 애플리케이션 등의 ID 및 액세스 관리를 담당합니다.

• 용도: Azure 기반의 클라우드 리소스를 관리하기 위해 사용됩니다. 예를 들어 가상 머신, SQL 데이터베이스, 웹 앱 등 Azure에서 제공하는 다양한 서비스를 포함합니다.

• 관리: Azure Portal을 통해 관리되며, 여기서 구독, 리소스 그룹, 리소스 및 기타 여러 관리 작업을 수행할 수 있습니다.

Microsoft 365 Tenant

• 정의: Microsoft 365 Tenant 또한 Azure AD 인스턴스를 사용하지만, Office 365, Windows 10, Enterprise Mobility + Security (EMS) 등 Microsoft 365에 포함된 서비스를 관리하기 위한 목적으로 사용됩니다.

• 용도: 주로 엔터프라이즈 생산성 및 협업 도구의 사용자와 라이선스를 관리하는 데 초점을 맞춥니다. 예를 들어 Exchange Online, SharePoint Online, Teams, OneDrive for Business 등이 있습니다.

• 관리: Microsoft 365 관리 센터를 통해 이메일, 문서 공유, 통신 등의 기능을 관리하며, 사용자 라이선스 할당 및 관리 작업을 수행합니다.

관계

Azure Tenant와 M365 Tenant의 기본적인 관계는 다음과 같습니다:

• 공통 기반: 두 Tenant 모두 Azure Active Directory (Azure AD)에 의해 지원됩니다. 즉, 동일한 사용자 ID 및 그룹을 Azure 서비스 및 Microsoft 365 서비스 모두에서 사용할 수 있습니다.

• 상호 운용성: Azure Tenant 내에서 생성된 사용자는 Microsoft 365 서비스에 액세스할 수 있고, Microsoft 365 Tenant 내에서 생성된 사용자는 Azure 서비스에 액세스할 수 있습니다. 사용자는 동일한 로그인 정보로 두 서비스에 접근할 수 있습니다.

• 통합 관리: 조직은 Azure AD를 통해 사용자 ID 및 액세스 권한을 중앙에서 관리할 수 있으며, 이는 Azure와 Microsoft 365 서비스 전반에 걸쳐 일관된 보안 및 규정 준수 정책을 유지하는 데 도움이 됩니다.

일반적으로 기업이 Microsoft 클라우우드를 구성할 때, 일반적으로 한 가지 Tenant를 사용하여 Azure 서비스와 Microsoft 365 서비스를 모두 관리합니다. 이렇게 하면 IT 관리자가 한 곳에서 사용자 계정을 관리하고, 인증과 권한 부여를 통합할 수 있는 장점이 있습니다. 또한, 사용자는 Single Sign-On (SSO) 기능을 통해 여러 서비스에 걸쳐 동일한 자격 증명을 사용하여 로그인할 수 있습니다.

Microsoft 클라우드 서비스 사용 시 주요 고려 사항 

• 라이선싱: Microsoft 365 서비스의 라이선스는 사용자별로 할당됩니다. 예를 들어, 사용자가 Exchange Online, SharePoint Online, Teams 등의 서비스를 사용하려면 적절한 Microsoft 365 라이선스가 필요합니다. Azure 서비스의 경우 사용한 만큼 비용을 지불하는 Pay-As-You-Go 구조나 예약 인스턴스 같은 다양한 결제 옵션이 있습니다.

• 보안 및 규정 준수: Azure AD를 통해 조직은 다단계 인증(MFA), 조건부 액세스 정책, 정보 보호 정책 등을 설정하여 보안을 강화할 수 있습니다. 또한, EU의 GDPR 같은 규정 준수 요구 사항을 관리하는 데 있어 중요한 역할을 합니다.

• 도메인 관리: 조직의 사용자가 [email protected]와 같은 사용자 지정 도메인을 사용하려면, 해당 도메인을 Azure AD에 등록하고 설정해야 합니다. 이 도메인은 Azure 서비스와 Microsoft 365 서비스 모두에서 사용될 수 있습니다.

• 디렉토리 동기화: 많은 조직들이 현장 Active Directory와 Azure AD 간에 사용자 계정을 동기화합니다. 이를 위해 Azure AD Connect와 같은 도구를 사용하여 온프레미스와 클라우드 간의 일관성을 유지합니다.

실제 구축 시나리오 

실제 구축 시나리오는 조직의 요구사항, 기존 인프라, 비즈니스 목표에 따라 달라질 수 있습니다. 여기에는 몇 가지 일반적인 시나리오가 있습니다:

1. 신규 조직: 새로 시작하는 조직은 처음부터 Azure AD를 기반으로 한 테넌트를 생성하여 Azure 서비스와 Microsoft 365 서비스를 모두 통합하여 관리할 수 있습니다. 이러한 방식은 조직이 클라우드 기반의 서비스를 손쉽게 도입하고 관리할 수 있게 해줍니다.

2. 기존 조직의 클라우드 전환: 이미 온프레미스 인프라를 가지고 있는 기존 조직이 클라우드로 전환하는 경우, Azure AD Connect와 같은 도구를 사용하여 온프레미스 Active Directory와 Azure AD 간의 동기화를 설정할 수 있습니다. 이를 통해 사용자는 하나의 계정으로 온프레미스와 클라우드 자원에 모두 액세스할 수 있습니다.

3. 멀티-테넌트 환경: 대기업이나 서비스 제공업체는 여러 개의 테넌트를 사용해 각각의 비즈니스 유닛이나 고객을 위한 별도의 환경을 구축할 수 있습니다. 이는 각 테넌트가 독립적인 관리와 보안 정책을 유지하게 하면서도 전체 조직적인 통제를 가능하게 합니다.

4. 하이브리드 환경: 조직이 일부 자원을 클라우드에서, 일부는 온프레미스에서 유지하기를 원하는 경우 하이브리드 환경을 구축할 수 있습니다. 이를 위해 VPN이나 ExpressRoute와 같은 연결성 옵션을 사용하여 두 환경 간의 안정적인 연결을 확보할 수 있습니다.

5. 클라우드 전용 환경: 특히 중소기업이나 스타트업은 종종 클라우드 전용 환경을 선택합니다. 이 시나리오에서는 모든 인프라와 서비스를 클라우드에 구축하고 관리하는 것으로, 빠른 배포, 확장성 및 유지관리의 용이성을 제공합니다.

   실제 구축 시나리오를 결정할 때, 조직은 비즈니스 요구, 비용, 보안, 컴플라이언스, 사용자 경험 등 다양한 요소를 고려해야 합니다. 또한, IT 팀은 관리의 복잡성과 잠재적인 보안 리스크를 신중하게 평가하여 최적의 아키텍처 설계를 결정해야 합니다. 이러한 결정을 내릴 때 고려해야 할 몇 가지 추가적인 요소들이 있습니다.

6. 기술 역량: 조직 내부의 기술 역량과 자원을 고려하여, 내부 팀이 관리할 수 있는 범위 내에서 클라우드 서비스를 구축하거나, 필요한 경우 외부 컨설팅 또는 관리 서비스를 활용해야 합니다.

7. 데이터 이전 계획: 기존 데이터와 시스템을 클라우드로 이전할 때는 신중한 계획과 실행이 필요합니다. 데이터 마이그레이션은 조직에 중대한 영향을 미칠 수 있으므로, 데이터 손실이나 중단 없이 이전을 완료할 수 있는 전략이 필요합니다.

8. 보안 및 규정 준수: 클라우드 환경은 새로운 보안 과제를 제시할 수 있습니다. 따라서, 클라우드 서비스 제공자의 보안 기능과 조직의 보안 정책이 잘 통합되어야 하며, GDPR, HIPAA 등과 같은 관련 규정 준수 요구사항을 만족시켜야 합니다.

9. 비즈니스 연속성 및 재해 복구: 클라우드 서비스를 구축할 때는 비즈니스 연속성 계획과 재해 복구 전략을 포함해야 합니다. Azure와 Microsoft 365는 데이터 백업, 지역 간 복제, 자동 장애 조치(failover) 등 다양한 기능을 제공하여 조직이 예상치 못한 사태에 대비할 수 있게 도와줍니다.

10. 트레이닝 및 채택: 사용자들이 새로운 클라우드 기반 도구를 효과적으로 사용할 수 있도록 적절한 트레이닝을 제공해야 합니다. 이는 기술 채택을 가속화하고, 전반적인 생산성을 높이는 데 기여합니다.

11. 성능 모니터링 및 최적화: 클라우드 서비스의 성능을 지속적으로 모니터링하고 최적화해야 합니다. 이는 Azure Monitor나 Application Insights와 같은 도구를 사용하여 실시간으로 트래픽과 리소스 사용을 모니터링하고, 성능 문제를 신속하게 해결하는 것을 포함합니다.

12. 비용 관리: 클라우드 서비스의 비용을 관리하기 위해 Azure Cost Management와 같은 도구를 사용하여 지출을 모니터링하고 예산을 설정합니다. 이를 통해 예상치 못한 비용 상상승을 방지하고, 리소스 사용을 최적화하여 비용 효율성을 높일 수 있습니다. 예를 들어, 사용하지 않는 리소스를 정리하거나, 예약 인스턴스와 같은 비용 절감 옵션을 활용할 수 있습니다.

13. 확장성 및 유연성: 클라우드 서비스는 비즈니스의 성장과 변화에 맞춰 쉽게 확장할 수 있는 유연성을 제공합니다. 사용량이 증가하거나 감소함에 따라 리소스를 신속하게 조정하여 비용을 관리하고 성능을 유지할 수 있습니다.

14. 통합 및 자동화: 클라우드 환경에서 다양한 서비스와 애플리케이션을 통합하여 워크플로를 자동화할 수 있습니다. Microsoft Power Automate, Logic Apps, Azure Functions 등을 활용하여 반복적인 작업을 자동화하고, 시스템 간 데이터를 원활하게 이동시킬 수 있습니다.

15. 지속적인 개선: 클라우드 환경은 지속적인 모니터링, 평가 및 개선을 필요로 합니다. Azure와 Microsoft 365는 정기적인 업데이트와 새로운 기능을 제공하므로, IT 팀은 최신 기술 동향을 따라가고 조직의 클라우드 환경을 최신 상태로 유지해야 합니다.

16. 문서화 및 지식 관리: 클라우드 아키텍처, 정책, 절차, 그리고 운영 방법에 대한 문서화는 중요한 자산입니다. 이를 통해 새로운 팀원의 교육, 지식의 전달, 그리고 조직 내의 일관된 운영을 보장할 수 있습니다.

17. 사후 지원 및 서비스 유지 관리: 구축된 클라우드 환경에 대한 지속적인 지원과 유지 관리는 중요합니다. 문제 해결, 사용자 지원, 업데이트 실행 등을 포함하여 서비스의 연속성과 품질을 보장해야 합니다.

     

이러한 전략들을 통해 조직은 Azure Tenant와 M365 Tenant를 효과적으로 구축하고 운영할 수 있으며, 클라우드 투자로부터 최대한의 가치를 창출할 수 있습니다. 클라우드 여정은 단순히 기술을 도입하는 것을 넘어서 조직 문화와 운영 방식에 변화를 가져오는 과정이기 때문에, 전사적인 차원에서의 철저한 계획과 실행이 필수적입니다.

상호 작용성

Azure Tenant와 M365 Tenant 간의 상호 작용성은 조직이 클라우드 리소스를 효율적으로 관리하는 데 핵심적입니다. 하나의 Azure AD Tenant를 사용하면 다음과 같은 혜택을 누릴 수 있습니다.

• 일관된 ID 관리: 사용자는 하나의 계정으로 모든 Microsoft 클라우드 서비스에 액세스할 수 있습니다.

• 애플리케이션 통합: Azure에서 호스팅되는 애플리케이션들은 Microsoft 365의 인증 방식을 사용하여 사용자에게 서비스를 제공할 수 있습니다.

• 자동화된 프로비저닝: 사용자가 새로운 Microsoft 365 라이선스를 받으면, 필요한 Azure 서비스 리소스에 자동으로 액세스할 수 있게 설정할 수 있습니다.

멀티-테넌트 환경

큰 조직이나 서비스 제공자는 때때로 멀티-테넌트 환경을 사용하기도 합니다. 이 경우, 여러 Azure AD Tenant를 관리해야 하며, 각각은 독립적인 사용자 그룹, 정책 및 구독을 가질 수 있습니다. 이런 환경은 복잡할 수 있으며, 각 Tenant 간의 상호 운용성이 제한적일 수 있습니다.

하이브리드 환경

많은 조직들이 클라우드와 온프레미스 환경을 혼합하여 사용합니다. Azure AD를 중심으로 하이브리드 아이덴티티 모델을 구축할 수 있으며, 이는 온프레미스 Active Directory와 Azure AD 간의 사용자 계정 동기화를 포함합니다. 이런 설정을 통해 사용자들은 온프레미스와 클라우드 리소스 모두에 대해 통합된 사용자 경험을 누릴 수 있습니다.

용어

https://learn.microsoft.com/ko-kr/entra/fundamentals/whatis#terminology

Microsoft Entra ID와 해당 설명서를 더 잘 이해하려면 다음 용어를 검토하는 것이 좋습니다.