이 기사에서는 귀하의 조직을 위한 최적의 식별 제품 스위트를 선택하는 데 도움이 되도록 마이크로소프트의 Azure Directory Premium P1 및 P2 플랜을 비교할 것입니다. 우리는 Azure Active Directory(최근에 이름이 변경된 마이크로소프트 Entra ID) Premium P1 및 P2 플랜 간의 다른 기능을 이해하고 각 제공 제품의 가격 계층을 돕겠습니다.
마이크로소프트의 새로운 브랜드 식별 및 액세스 스위트인 마이크로소프트 Entra의 일부로 Azure Active Directory(Azure AD)는 모든 마이크로소프트 365 서비스(Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365 등)를 뒷받침하는 식별 및 액세스 관리(IAM) 플랫폼입니다. IT 전문가에게는 조직의 모든 응용 프로그램에 대한 중앙 집중식 식별 제공자인 Azure Active Directory를 사용하는 것이 관리해야 하는 모든 식별을 한 곳에서 안전하게 보호하는 것이 가능합니다.
Azure Active Directory는 Azure AD Connect를 사용하여 전통적인 온프레미스 Windows Server Active Directory(WAD) 서버를 확장할 수도 있습니다. 이를 통해 조직은 Microsoft 클라우드 응용 프로그램 및 OATH 2.0 및 SAML과 같은 현대 클라우드 인증 프로토콜을 지원하는 다른 공급업체 SaaS 응용 프로그램에 대한 단일 사인온을 활성화할 수 있습니다. Azure Active Directory.
최소한 하나의 라이선스가 있는 Microsoft 365 사용자(E1, E3, E5, F1 및 F3 구독 중 하나) 또는 Azure 또는 Intune과 같은 Microsoft 클라우드 서비스를 사용하는 모든 조직에는 Azure Active Directory 테넌트가 있습니다. 그러나 조직에는 Azure AD Free/Office 365, 프리미엄 P1 및 프리미엄 P2와 같은 다양한 버전의 Azure AD 라이선스가 제공됩니다.
Azure AD Free 및 Azure AD Office 365은 이 기사에서 모두 “Azure AD Free”로 참조됩니다. 그러나 Azure Active Directory Premium P1 및 Azure Active Directory Premium P2는 대부분의 기업 조직의 ID 보호 요구 사항을 충족하는 라이센스 서비스입니다. 귀하의 조직에 적합한 Azure AD 버전은 해당 요구 사항에 따라 달라집니다.
아래 표는 Azure Active Directory의 다른 에디션에서 사용 가능한 기능을 개요로 제공합니다:
Azure Active Directory Premium P1은 Azure AD Free 에디션의 기본 사용자 및 그룹 관리 기능을 기반으로 구축됩니다. 또한, Microsoft는 Azure Active Directory 서비스의 최소 99.9% 가용성을 보장하며, 이는 Azure AD의 무료 에디션에서 제공되지 않는 SLA입니다.
고급 그룹 관리 및 암호 보호
AAD 프리미엄 P1을 사용하면 고급 그룹 관리 (동적 그룹, 네이밍 정책, 만료, 기본 분류) 및 애플리케이션에 대한 그룹 할당을 받을 수 있습니다.
Azure Active Directory 프리미엄 P1은 또한 글로벌 암호 보호 사용을 가능하게 하며, 클라우드 및 온프레미스 AD 사용자가 일반적인 암호 스프레이 공격에 사용되는 단어를 포함한 취약한 암호를 설정하는 것을 방지합니다.
금지된 암호 목록은 각 조직에 맞게 생성될 수도 있습니다. Azure AD 프리미엄 P1은 클라우드 및 온프레미스 사용자가 온프레미스 Windows Active Directory에서 쓰기 백을 사용하여 계정을 변경하고 잠금 해제할 수 있는 셀프 서비스 암호 재설정 기능을 제공합니다.
Azure Active Directory 조건부 액세스
Azure Active Directory 조건부 액세스는 또한 조직이 인증 시도의 조건에 따라 클라우드 앱에 대한 액세스를 관리할 수 있도록 허용합니다. 액세스를 평가하는 데 사용되는 조건에는 사용자 또는 그룹 멤버십, IP 위치 정보, 연결된 장치(Windows, iOS 또는 Android) 및 응용 프로그램이 포함됩니다.
이러한 조건에 기반한 조건부 액세스 정책을 구성하면 조직이 MFA와 같은 제어를 사용하여 액세스 차단 또는 허용할 수 있습니다. AAD 조건부 액세스는 보안 관리자가 사용자 ID를 안전하게 보호하기 위한 강력한 도구입니다.
Microsoft Defender for Cloud Apps
아즈어 AD 프리미엄 P1에는 Microsoft Defender for Cloud Apps (구 Microsoft Cloud App Security)도 포함되어 있습니다. 대부분의 조직에서 클라우드 앱은 확장되어 있으며 그들을 통제하는 것이 조직의 보안 관리에 중요합니다.
Microsoft Defender for Cloud Apps는 조직이 그림자 IT를 감지하고 클라우드 앱 전반에 걸쳐 민감한 정보를 보호하며 사용자 활동을 이상으로 모니터링할 수 있는 클라우드 액세스 보안 브로커 (CASB)입니다. 이 제품은 사용 중인 클라우드 앱을 엄격히 통제하려는 조직에 적합하며 두 가지 다른 방식으로 작동합니다.
먼저, 방화벽 및 웹 프록시 장치에서 클라우드 트래픽 로그를 Microsoft Defender for Cloud Apps로 보내어 사후에 트래픽을 분석할 수 있습니다. 이 수동 모드는 “클라우드 발견”이라고도 불리며 조직이 클라우드 앱의 사용을 검토할 수 있도록 합니다. 또한 Microsoft Defender for Cloud Apps는 프록시 모드에서 작동하여 실시간으로 침해와 유출을 막기 위해 트래픽을 허용하고 차단하는 데도 사용할 수 있습니다.
Microsoft Defender for Cloud Apps는 조건부 액세스 앱 제어를 사용하여 Azure AD 조건부 액세스와 통합됩니다. 이 기능을 통해 세션 정책 및 역방향 프록시 아키텍처를 사용하여 앱 액세스를 실시간으로 모니터링하고 제어할 수 있습니다. 이러한 세션 정책을 통해 사용자가 인증 요청을 충족하는 경우에만 사용자가 수행할 수 있는 내용을 세밀하게 제어할 수 있습니다. 이러한 제어 기능에는 다운로드 차단 및 미준수 기기에서 민감한 문서를 복사하거나 인쇄하는 것이 포함됩니다.
Azure AD 응용 프로그램 프록시
Application Proxy 제품은 Azure AD Premium P1에 포함되어 있으며 온프레미스 웹 애플리케이션에 사용자가 원격으로 액세스할 수 있게 합니다. 프록시는 사용자의 Azure AD 로그인 토큰을 통해 통합 Windows 인증을 사용하는 온프레미스 웹 애플리케이션을 통과하여 작동합니다. 사용자의 웹 애플리케이션 액세스는 그런 다음 Application Proxy 서비스를 통해 프록시되어 인터넷에 애플리케이션을 게시할 필요가 없어집니다.
Microsoft Identity Manager
Azure AD Premium P1 라이선스는 또한 Microsoft Identity Manager (MIM)의 사용을 허용합니다. 이는 고급 ID 동기화 요구 사항이 있는 조직에서 사용되는 도구입니다. 이 도구는 조직에서 맞춤 ID 동기화가 필요한 경우에 매우 강력한 도구입니다.
AAD 프리미엄 P2에는 AAD 프리미엄 P1의 모든 제품이 포함되어 있지만, 강화된 신원 보안을 위해 몇 가지 추가 제품이 추가되었습니다.
Azure Active Directory Identity Protection
Azure Active Directory Identity Protection는 사용자의 로그인 요청을 알려진 유출 자격 증명, 이상한 여행, 악성 소프트웨어 링크 IP 주소 및 익숙하지 않은 로그인 속성과 같은 위험 요소와 비교 분석할 수 있습니다. 이 추가 정보는 의심스러운 피해 사용자 계정에 대한 자동 응답을 찾는 조직에 유용하며, 사용자가 이상한 행동을 보고하거나 관리자가 사후에 로그를 검토하는 데 의존하지 않아도 됩니다.
액세스 검토
액세스 검토를 통해 특정 리뷰어에게 정기적인 액세스 검토를 위임하여 그룹 멤버십 및 기업 애플리케이션 액세스를 더 잘 관리할 수 있습니다. 이는 고 권한 보안 그룹이나 민감한 데이터를 처리하는 애플리케이션에 특히 유용합니다. 효과적인 액세스 관리 프로세스를 시연하는 것은 종종 규제 및/또는 감사 요구 사항입니다.
특권 신원 관리
특권 사용자 ID 관리 (PIM)은 특권 Azure AD 역할에 대한 관리자들의 즉각적인 액세스를 가능하게 하는 AAD 프리미엄 P2 기능입니다. 이는 글로벌 관리자와 같은 특권 Azure AD 역할뿐만 아니라 소유자 및 기여자와 같은 Azure 역할도 지원합니다.
이 도구를 사용하면 관리자들이 권한을 영구적으로 할당하는 대신 필요할 때만 필요한 역할로 계정을 승격시킬 수 있습니다. 이는 공격자들의 주요 대상인 고특권 계정 침해를 완화하는 데 도움이 됩니다.
Azure AD 프리미엄 P1 및 프리미엄 P2 라이선스를 구매하는 것은 혼란스러울 수 있습니다. 이들은 독립적으로 구매할 수 있지만 다른 Microsoft 365 및 Enterprise Mobility Suite (EMS) 패키지와 번들로 제공될 수도 있습니다.
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
조직이 Microsoft 365를 라이선스하는 경우 Microsoft 365 E3 라이선스에는 Azure Active Directory 프리미엄 P1이 포함되어 있습니다. Microsoft 365 E5 라이선스에는 Azure Active Directory 프리미엄 P2도 포함되어 있습니다.
만약 전체 Microsoft 365 E5 라이선스로 업그레이드할 필요가 없다면, EMS E5 라이선스를 Microsoft 365 E3에 추가하여 Azure Active Directory Premium P2 기능에 액세스할 수 있습니다.
귀하의 조직에 적합한 계획은 신원 및 액세스 관리 요구 사항에 의해 결정되어야 합니다. Azure AD Premium P2 라이선스는 신원의 높은 수준의 관리를 증명해야 하는 조직에 유용합니다. 이는 특권 액세스를 관리하고 액세스 검토 및 잠재적으로 침해된 계정에 대한 응답을 자동화하는 것을 의미합니다.
귀하의 조직이 이러한 요구 사항을 갖고 있지 않다면, Azure AD Premium P1 라이선스가 충분할 것입니다.
Azure AD 무료 티어로 무엇을 할 수 있나요?
클라우드 기반 신원 및 액세스 관리 플랫폼에서 기대되는 핵심 인증 기능은 Azure AD 무료 티어에서 이용할 수 있습니다. 이 무료 티어에서 사용할 수 있는 주요 기능은 다음과 같습니다:
- 클라우드 인증 (패스스루 인증 및 비밀번호 해시 동기화)
- 온프레미스 Active Directory Federation Services (ADFS)와의 연합 인증.
- 사용자 및 그룹의 기본 보안 및 관리.
- 무제한 앱에 대한 단일 로그인 (SSO) 및 사용자를 위한 다중 요소 인증 (MFA) 지원
- 온프레미스 Windows Server Active Directory로부터 하이브리드 환경에서의 디렉터리 동기화를 지원하기 위해 Azure AD Connect 소프트웨어를 통한 지원. 그러나 Azure AD 무료 티어는 클라우드 사용자를 위한 셀프 서비스 암호 변경만 제공하며(온프레미스 사용자는 제외),
- 비밀번호 없는 인증 (Windows Hello for Business, Microsoft Authenticator 또는 FIDO2 보안 키 통합 사용)도 무료 티어에서 지원되며, 조직이 전환을 시작하길 원할 경우.
마지막으로, Azure Active Directory의 무료 티어에는 SLA가 제공되지 않는다는 점을 명심해야 합니다.
결론
요약하면, Azure AD 프리미엄 라이선스는 조직 내에서 신원 및 액세스를 안전하게 관리하는 보안 관리자를 위한 좋은 도구 세트를 제공합니다. Microsoft 365 및 Azure AD를 사용하는 경우, 모든 Azure AD 제품이 Microsoft 클라우드 스택의 나머지 부분과 잘 통합되어 있기 때문에 최적의 도구입니다.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/