Azure AD Connect Health로 하이브리드 ID 보호

Azure AD Connect Health로 하이브리드 ID 보호

2024년 6월 1일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft Entra Connect Health(이전의 Azure AD Connect Health)를 사용하여 하이브리드 ID를 모니터링하고 보호하도록 안내하는 것을 목표로 합니다. Azure AD Connect Health는 Azure AD Connect, AD FS(Active Directory Federation Services) 및 Active Directory 도메인 컨트롤러를 포함한 온-프레미스 ID 인프라에 대한 통합 보기를 제공하는 모니터링 서비스로, ID 동기화 및 인증이 안정적이고 안전하게 작동하도록 지원합니다[1].

소개

많은 조직에서 ID 관리는 복잡한 과제입니다. 특히 온프레미스 Active Directory와 클라우드의 Microsoft Entra ID 모두에 ID가 존재하는 하이브리드 환경에서는 더욱 그렇습니다. 이러한 ID를 동기화하고 인증하는 것은 리소스 및 서비스에 액세스하는 데 중요합니다. 동기화 실패 또는 성능 문제로 인해 서비스 중단, 보안 문제 및 사용자 불만이 발생할 수 있습니다. Azure AD Connect Health는 하이브리드 ID 문제를 사전에 식별하고 해결하여 환경의 상태와 보안을 보장할 수 있는 모니터링 및 보고 도구를 제공합니다[2].

이 실용적인 가이드에서는 Azure AD Connect Health 에이전트 설치, 모니터링 구성, 동기화 보고서 분석, 일반적인 오류 식별 및 문제 해결, 건강하고 안전한 하이브리드 ID 환경 유지를 위한 모범 사례를 다룹니다. 독자가 Azure AD Connect Health를 효과적으로 구현 및 관리하여 하이브리드 ID를 보호하고 비즈니스 연속성을 보장할 수 있도록 단계별 지침, 인터페이스 사용 예 및 유효성 검사 방법이 제공됩니다.

Azure AD Connect Health가 중요한 이유는 무엇입니까?

  • 사전 모니터링: 동기화, 성능 및 가용성 문제가 사용자에게 영향을 미치기 전에 이에 대한 경고 및 알림을 제공합니다.
  • 중앙 집중식 가시성: 하이브리드 ID 인프라의 모든 구성 요소 상태를 모니터링할 수 있는 단일 창을 제공합니다.
  • 자세한 보고: 동기화 오류, 인증 활동, AD FS 사용에 대한 보고서를 생성하여 감사 및 규정 준수를 용이하게 합니다.
  • 간편한 문제 해결: 동기화 및 인증 문제를 신속하게 진단하고 해결하여 가동 중지 시간을 줄이는 데 도움이 됩니다.
  • 향상된 보안: 보안 위험을 나타낼 수 있는 잘못된 구성과 의심스러운 사용 패턴을 식별합니다.

전제조건

Azure AD Connect Health를 사용하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft Entra ID Free, Premium P1 또는 Premium P2 라이선스. Azure AD Connect Health는 이러한 모든 라이선스에 포함되어 있습니다[3].
  2. 관리자 액세스: Microsoft에서 '글로벌 관리자' 역할을 가진 계정입니다. 서비스를 구성하려면 ID를 입력하세요.
  3. Azure AD Connect: 온프레미스 Active Directory와 Microsoft Entra ID 간의 ID를 동기화하려면 Azure AD Connect 인스턴스를 설치하고 구성해야 합니다.
  4. 네트워크 연결: Azure AD Connect 서버 및/또는 AD FS 서버에는 Azure AD Connect Health 엔드포인트(TCP 포트 443)에 대한 아웃바운드 연결이 있어야 합니다.

단계별: Azure AD Connect Health 구성 및 사용

에이전트 설치 및 ID 동기화 모니터링을 다루겠습니다.

1. Microsoft Portal에 액세스하기 관리 센터에 들어가기

  1. 브라우저를 열고 https://entra.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 왼쪽 탐색 창에서 보호 > Azure AD Connect를 선택합니다.

2. Azure AD Connect Health Agent 설치

에이전트는 Azure AD Connect 설치 중에 자동으로 설치됩니다. 그러나 다시 설치하거나 AD FS 서버 또는 도메인 컨트롤러에 설치해야 하는 경우 다음 단계를 따르세요.

  1. Azure AD Connect 페이지에서 Azure AD Connect Health를 클릭합니다.
  2. Azure AD Connect Health 왼쪽 탐색 창에서 연결 동기화를 선택합니다.

  3. 에이전트가 설치되지 않았거나 오래된 경우 경고가 표시됩니다. 설치를 클릭하세요.r 에이전트 또는 에이전트 다운로드.

  4. Azure AD Connect가 설치된 서버(또는 AD FS/도메인 컨트롤러 서버)에서 에이전트 설치 관리자(AdHealthAgentSetup.exe)를 실행합니다.

  5. 마법사의 지시를 따릅니다. 설치 중에 에이전트를 등록하려면 Microsoft Entra ID Global Administrator 계정으로 로그인하라는 메시지가 표시됩니다.

  6. 성공적으로 설치되면 에이전트는 데이터를 수집하여 Azure AD Connect Health 서비스로 보내기 시작합니다.

3. ID 동기화 모니터링

Azure AD Connect 상태 대시보드는 동기화 상태에 대한 자세한 보기를 제공합니다.

  1. Azure AD Connect Health 대시보드에서 연결 동기화를 선택합니다.
  2. 동기화 서비스 목록이 표시됩니다. 동기화 서비스(일반적으로 Azure AD Connect 서버의 이름)를 클릭합니다.
  3. 개요 패널에 다음이 표시됩니다.
    • 동기화 상태: 동기화가 올바르게 작동하는지 여부를 나타냅니다.
    • 동기화 오류: 해결해야 할 동기화 오류 차트 및 목록입니다.
    • 동기화 대기 시간: 변경 사항이 동기화되는 데 걸리는 시간입니다.
    • 내보낸 ​​변경 사항: Microsoft Entra ID로 내보낸 개체 수입니다.

4. 동기화 오류 분석

Azure AD Connect Health는 동기화 오류를 식별하고 진단하는 데 도움이 됩니다.

  1. 동기화 서비스 개요에서 동기화 오류 섹션을 클릭합니다.
  2. 유형별로 분류된 오류 목록이 표시됩니다(예: AttributeConfluence, DuplicateValue).
  3. 특정 오류를 클릭하면 다음을 포함한 세부정보를 볼 수 있습니다.
    • 영향을 받는 개체: 오류를 일으키는 개체 목록입니다.
    • 오류 세부정보: 오류에 대한 설명 및 제안된 해결 방법입니다.
    • 속성 충돌: 속성 충돌인 경우 어떤 속성이 문제를 일으키는지 확인합니다.

5. AD FS 모니터링(해당하는 경우)

페더레이션에 AD FS를 사용하는 경우 Azure AD Connect Health는 AD FS 서버의 상태와 성능을 모니터링할 수 있습니다.

  1. Azure AD Connect 상태 대시보드에서 페더레이션 서비스를 선택합니다.
  2. 다음을 포함하여 AD FS 환경의 개요가 표시됩니다.
    • 서버 상태: AD FS 및 웹 애플리케이션 프록시 서버의 상태입니다.
    • 인증 오류: 실패한 인증 시도에 대해 보고합니다.
    • 성능: 인증 요청에 대한 성능 측정항목입니다.

6. 도메인 컨트롤러 모니터링(해당하는 경우)

Azure AD Connect Health는 온-프레미스 도메인 컨트롤러의 상태도 모니터링할 수 있습니다.

  1. Azure AD Connect 상태 대시보드에서 Active Directory 도메인 서비스를 선택합니다.
  2. 다음을 포함하여 도메인 컨트롤러의 개요가 표시됩니다.
    • 서버 상태: 도메인 컨트롤러의 상태입니다.
    • 경고: 복제, 성능 또는 기타 문제에 대한 경고입니다.

검증 및 테스트

Azure AD Connect Health 구현의 유효성을 검사하는 것은 올바르게 모니터링하고 정확한 정보를 제공하는지 확인하는 데 중요합니다.

1. 에이전트 상태 확인

  1. Azure AD Connect Health 포털에서 모든 관련 서버(Azure AD Connect, AD FS, 도메인 컨트롤러)에 대해 에이전트 상태가 '활성'인지 확인합니다.

2. 동기화 오류 시뮬레이션

  1. 테스트 환경에서 동기화 충돌을 일으킬 수 있는 속성(예: Microsoft Entra ID의 기존 사용자와 중복된 proxyAddresses)을 사용하여 로컬 Active Directory에 사용자를 생성합니다.
  2. Azure AD Connect 동기화 주기를 강제로 적용합니다. ``파워셸 가져오기 모듈 ADSync 시작-ADSyncSyncCycle -PolicyType 델타 ````
  3. 몇 분 정도 기다린 후 Azure AD Connect Health 대시보드를 확인하여 동기화 오류가 감지되고 보고되었는지 확인합니다.

3. 경고 및 알림 확인

  1. Azure AD Connect Health의 중요 경고에 대한 이메일 알림이 구성되어 있는지 확인합니다.
  2. 받은편지함을 확인하여 시뮬레이션된 동기화 오류에 대한 알림을 받았는지 확인하세요.

보안 팁 및 모범 사례

  • 종합 설치: 모든 관련 서버(Azure AD Connect, AD FS, 도메인 컨트롤러)에 Azure AD Connect Health 에이전트를 설치하여 인프라를 전체적으로 살펴봅니다.신원 구조.
  • 경고 구성: 문제에 대해 사전에 알림을 받을 수 있도록 중요한 동기화, 성능 및 가용성 이벤트에 대한 경고를 구성합니다.
  • 정기 오류 검토: 동기화 오류를 정기적으로 모니터링하고 해결하여 ID 데이터 무결성을 유지하고 액세스 문제를 방지합니다.
  • Azure AD Connect 유지 관리: 최신 기능과 보안 수정 사항을 확보하려면 Azure AD Connect 소프트웨어를 최신 상태로 유지하세요.
  • 백업 및 복구: Azure AD Connect 서버 및 온-프레미스 Active Directory 데이터베이스에 대한 백업 및 복구 계획을 마련하세요.
  • 최소 권한의 원칙: Azure AD Connect 서비스 계정과 Connect Health 에이전트에서 사용하는 계정에 필요한 권한만 있는지 확인하세요.
  • 서버 보안: Azure AD Connect 서버 및 AD FS 서버는 ID 인프라의 중요한 구성 요소이므로 모범적인 보안 사례(패치, 바이러스 백신, 방화벽 등)를 사용하여 보호합니다.

일반적인 문제 해결

  • 에이전트가 연결되지 않음: 서버에서 Azure AD Connect Health 엔드포인트까지의 네트워크 연결을 확인합니다. 방화벽이 포트 443에서 아웃바운드 트래픽을 허용하는지 확인하십시오. 서버의 이벤트 로그에서 에이전트 관련 오류를 확인하십시오.
  • 대시보드의 오래된 데이터: 에이전트 데이터를 서비스에 동기화하는 데 지연이 발생할 수 있습니다. 에이전트가 서버에서 실행되고 있는지 확인하십시오. 필요한 경우 에이전트 서비스를 다시 시작하십시오.
  • 지속적인 동기화 오류: Azure AD Connect 상태 대시보드에서 오류 세부 정보를 검토합니다. Azure AD Connect 문제 해결 도구(예: '동기화 서비스 관리자')를 사용하여 근본 원인을 조사하세요. 특성 충돌은 흔히 발생하며 온-프레미스 Active Directory에서 데이터 수정이 필요한 경우가 많습니다.
  • 거짓 경고: 경고 설정 및 임계값을 검토합니다. 관련 없는 경고를 너무 많이 생성하는 경우 이를 조정하십시오.
  • AD FS 성능 문제: Azure AD Connect Health를 사용하여 AD FS 성능 메트릭을 모니터링하고 병목 현상을 식별합니다. AD FS 서버에서 이벤트 로그를 확인하세요.

결론

Azure AD Connect Health는 하이브리드 ID 환경을 운영하는 조직에 없어서는 안될 도구입니다. 사전 모니터링, 중앙 집중식 가시성, 문제 해결 기능을 제공함으로써 IT 및 보안 팀이 ID 인프라의 상태, 성능 및 보안을 유지할 수 있도록 지원합니다. Azure AD Connect Health를 효과적으로 구현하고 관리하면 ID 동기화 및 인증이 안정적으로 작동하여 중단을 최소화하고 보안 위협으로부터 보호할 수 있습니다. 이 실용적인 가이드를 통해 보안 전문가는 하이브리드 ID 보호를 강화하여 조직의 리소스에 대한 지속적이고 안전한 액세스를 보장할 수 있습니다.

참고자료:

[1] 마이크로소프트 런. Microsoft Entra Connect Health란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] 마이크로소프트 런. 동기화 기능이 있는 Microsoft Entra Connect Health 사용. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] 마이크로소프트 런. Microsoft Entra Connect Health 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements