랩 01 - Azure Active Directory ID 관리

랩 시나리오

Contoso 사용자가 Azure AD를 사용하여 인증할 수 있도록 사용자 및 그룹 계정을 프로비저닝하는 작업을 수행합니다. 그룹의 멤버 자격은 사용자 직책에 따라 자동으로 업데이트되어야 합니다. 또한 테스트 사용자 계정으로 테스트 Azure AD 테넌트를 생성하고, 해당 계정에 Contoso Azure 구독의 리소스에 대한 제한된 권한을 부여해야 합니다.

목표

이 과정에서, 우리는 다음과 같은 실습을 합니다 :

작업 1: Azure AD 사용자 생성 및 설정
작업 2: 할당 및 동적 멤버십이 있는 Azure AD 그룹 생성
작업 3: Azure Active Directory (AD) 테넌트 생성
작업 4: Azure AD 게스트 사용자 관리

설명

작업 1: Azure AD 사용자 생성 및 설정

이 작업에서는 Azure AD 사용자를 생성하고 설정합니다.

Azure 포털에서 Azure Active Directory를 찾아 선택한다.
Azure Active Directory 블레이드 관리 섹션의 사용자 설정을 클릭하여 가능한 옵션을 검토한다.
Azure Active Directory 블레이드 관리 섹션의 사용자를 클릭한다. 본인의 사용자 계정을 클릭하여 프로필 설정을 확인한다.
편집을 클릭하고 설정 섹션의 사용량 위치를 United States로 바꾸고, 변경 사항을 저장한다.

참고: 해당 작업은 사용자 계정에 Azure AD Premium P2 라이선스를 할당하기 위해 필요합니다.
사용자 - 모든 사용자 블레이드로 돌아가 + 새 사용자를 클릭한다.

다음 설정을 사용하여 새 사용자를 추가한다. (다른 값은 기본 설정을 사용한다)

설정	값
사용자 이름	az104-01a-aaduser1
이름	az104-01a-aaduser1
암호	암호 직접 만들기
초기 암호	Pa55w.rd124
사용량 위치	United States
직함	Cloud Administrator
부서	IT

참고: 사용자 이름을 클립 보드에 복사하십시오. 다음 과정에서 사용할 것입니다.

사용자 목록에서 새로 생성된 계정을 클릭한다.
관리 섹션에서 사용할 수 있는 옵션을 검토하고, 사용자 계정에 할당된 Azure AD 역할과 Azure 리소스에 대한 사용자 계정의 권한을 식별할 수 있다는 점을 확인한다.
관리 섹션에서 할당된 역할을 선택하고 + 할당 추가 버튼을 클릭하여 az104-01a-aaduser1에 사용자 관리자 역할을 할당한다.

참고: 새로운 사용자를 프로비저닝할 때 Azure AD 역할을 할당할 수 있습니다.
InPrivate 모드로 브라우저 창을 열어서 새롭게 생성된 사용자 계정으로 Azure portal에 로그인하고, 패스워드를 변경한다.

참고: 사용자 이름은 클립보드에 복사했던 것을 사용하십시오.
Azure 포털에서 Azure Active Directory를 찾아 선택한다.

참고: 이 사용자 계정은 Azure Active Directory 테넌트에 액세스할 수 있지만 Azure 리소스에 대한 액세스 권한은 없습니다. 이러한 액세스는 Azure Role-Based Access Control을 사용하여 명시적으로 허가되어야 하기 때문입니다.
Azure AD 블레이드의 관리 섹션에서 사용자 설정을 클릭하고, 설정 옵션을 수정할 권한이 없는 것을 확인한다.
Azure AD 블레이드 관리 섹션에서 사용자를 선택하고 + 새 사용자를 클릭한다.

다음 설정을 사용하여 새 사용자를 추가한다. (다른 값은 기본 설정을 사용한다)

설정	값
사용자 이름	az104-01a-aaduser2
이름	az104-01a-aaduser2
암호	암호 직접 만들기
초기 암호	Pa55w.rd124
사용량 위치	United States
직함	System Administrator
부서	IT

az104-01a-aaduser1 계정으로부터 로그아웃 하고 브라우저 창을 닫는다.

작업 2: 할당 및 동적 멤버십이 있는 Azure AD 그룹 생성

이 작업에서는 할당 및 동적 멤버십이 있는 Azure Active Directory 그룹을 생성합니다.

기존 계정으로 로그인된 Azure 포털로 돌아가서, Azure AD 테넌트 블레이드 관리 섹션의 라이선스를 클릭한다.

참고: 동적 그룹을 구현하려면 Azure AD Premium P1 또는 P2 라이선스가 필요합니다.
관리 섹션에서 모든 제품을 클릭한다.
+ 사용/구매를 클릭하고, Azure AD Premium P2의 무료 평가판을 활성화한다.
브라우저 창을 새로고침하여 활성화가 완료되었는지 확인한다.
라이선스 - 모든 제품 블레이드에서 Azure Active Directory Premium P2를 선택하고, 기존 사용자 계정과 새로 생성한 사용자 계정에 Azure AD Premium P2 라이선스 옵션을 할당한다.
Azure 포털의 Azure AD 테넌트 블레이드로 돌아가서 그룹을 클릭한다.

+ 새 그룹 버튼을 클릭하고, 다음 설정을 사용하여 새 그룹을 생성한다.

설정	값
그룹 유형	보안
그룹 이름	IT Cloud Administrators
그룹 설명	Contoso IT cloud administrators
구성원 자격 유형	동적 사용자

참고: 구성원 자격 유형의 드롭 다운 메뉴가 비활성화 상태라면, 브라우저 페이지를 새로고침 하십시오.

동적 쿼리 추가를 클릭한다.

동적 구성원 규칙 블레이드의 규칙 구성 탭에서 다음 설정을 사용하여 새 규칙을 생성한다.

설정	값
속성	jobTitle
연산자	Equals
값	Cloud Administrator

규칙을 저장하고, 새 그룹 블레이드에서 만들기를 클릭한다.

Azure AD 테넌트의 그룹 - 모든 그룹 블레이드로 돌아와서 + 새 그룹 버튼을 클릭하고, 다음 설정을 사용하여 새 그룹을 생성한다.

설정	값
그룹 유형	보안
그룹 이름	IT System Administrators
그룹 설명	Contoso IT system administrators
구성원 자격 유형	동적 사용자

동적 쿼리 추가를 클릭한다.

동적 구성원 규칙 블레이드의 규칙 구성 탭에서 다음 설정을 사용하여 새 규칙을 생성한다.

설정	값
속성	jobTitle
연산자	Equals
값	System Administrator

규칙을 저장하고, 새 그룹 블레이드에서 만들기를 클릭한다.

Azure AD 테넌트의 그룹 - 모든 그룹 블레이드로 돌아와서 + 새 그룹 버튼을 클릭하고, 다음 설정을 사용하여 새 그룹을 생성한다.

설정	값
그룹 유형	보안
그룹 이름	IT Lab Administrators
그룹 설명	Contoso IT Lab administrators
구성원 자격 유형	할당됨

선택한 멤버가 없음을 클릭한다.
구성원 추가 블레이드에서 IT Cloud Administrators 와 IT System Administrators 그룹을 선택하고 만들기를 클릭한다.
그룹 - 모든 그룹 블레이드로 돌아가서 IT Cloud Administrators 그룹을 클릭한다. 구성원 블레이드에서 az104-01a-aaduser1 가 목록에 나타나는지 확인한다.
그룹 - 모든 그룹 블레이드로 돌아가서 IT System Administrators 그룹을 클릭한다. 구성원 블레이드에서 az104-01a-aaduser2 가 목록에 나타나는지 확인한다.

참고: 동적 구성원 자격 그룹의 업데이트로 인해 지연이 발생할 수 있습니다. 업데이트를 빨리하려면 각 그룹의 동적 구성원 규칙 블레이드에서 규칙 구문 내용의 끝에 공백을 추가하고 변경 사항을 저장하십시오.

작업 3: Azure Active Directory (AD) 테넌트 생성

이 작업에서는 새로운 Azure AD 테넌트를 생성합니다.

Azure 포털에서 Azure Active Directory를 찾아 클릭한다.

+ Create a tenant를 클릭하여 다음 설정을 사용한다.

설정	값
디렉터리 형식 선택	Azure Active Directory
조직 이름	Contoso Lab
초기 도메인 이름	알파벳 소문자와 숫자로 구성된 유효한 DNS 이름
국가/지역	미국

참고: 초기 도메인 이름 텍스트 상자의 초록색 체크 표시는 입력한 도메인 이름이 유효하다는 것을 의미합니다.

검토 + 만들기를 클릭하고, 유효성 검사에 통과하면 만들기를 클릭한다.
새 디렉터리로 이동하려면 여기를 클릭합니다. Contoso Lab 링크를 사용하거나 Azure portal 툴바의 디렉터리 + 구독 버튼을 클릭하여 새로 생성한 Azure AD 테넌트로 이동한다. (Cloud Shell 버튼 오른쪽에 있음)

작업 4: Azure AD 게스트 사용자 관리

이 작업에서는 Azure AD 게스트 사용자를 생성하고 Azure 구독의 리소스에 대한 접근 권한을 부여합니다.

Contoso Lab Azure AD 테넌트의 Azure 포털에서 관리 섹션의 사용자를 선택하고, + 새 사용자를 클릭한다.

다음 설정을 사용하여 새 사용자를 추가한다. (다른 값은 기본 설정을 사용한다)

설정	값
사용자 이름	az104-01b-aaduser1
이름	az104-01b-aaduser1
암호	암호 직접 만들기
초기 암호	Pa55w.rd124
직함	System Administrator
부서	IT

참고: 사용자 이름을 클립 보드에 복사하십시오. 이 작업에서 이용할 것입니다.

포털 툴바의 디렉터리 + 구독 버튼을 이용하여 기본 Azure AD 테넌트로 돌아간다.
사용자 - 모든 사용자 블레이드로 돌아가 + 새 게스트 사용자를 클릭한다.

다음 설정을 사용하여 새 게스트 사용자를 추가한다. (다른 값은 기본 설정을 사용한다)

설정	값
이름	az104-01b-aaduser1
전자 메일 주소	이전 작업에서 클립 보드에 복사한 사용자 이름
사용량 위치	United States
직함	Lab Administrator
부서	IT

초대를 클릭한다.
사용자 - 모든 사용자 블레이드로 돌아가 새로 추가된 게스트 사용자 계정을 클릭한다.
az104-01b-aaduser1 - 프로필 블레이드에서 그룹을 클릭한다.
+ 멤버 자격 추가를 클릭하고 IT Lab Administrators 그룹에 게스트 사용자 계정을 추가한다.

리소스 삭제

참고: 더 이상 사용하지 않는 새로 생성된 Azure 리소스를 제거하십시오. 사용하지 않는 리소스를 제거해야 예상치 못한 비용이 발생하지 않습니다. 이 경우 Azure Active Directory 테넌트 및 해당 개체와 관련된 추가 비용은 없지만, 이 랩에서 생성한 사용자 계정, 그룹 계정 및 Azure Active Directory 테넌트를 제거하는 것을 고려할 수 있습니다.

사용자 - 모든 사용자 블레이드로 이동하여 az104-01b-aaduser1 게스트 사용자 계정을 클릭한다. az104-01b-aaduser1 - 프로필 블레이드에서 삭제를 클릭하고, 확인 창이 뜨면 예를 클릭한다.
동일한 단계를 반복하여 이 랩에서 생성한 나머지 사용자 계정을 삭제하십시오.
그룹 - 모든 그룹 블레이드로 이동하여 이 랩에서 생성한 그룹을 클릭한다. 삭제를 클릭하고 확인 창이 뜨면, 예를 클릭한다.
Azure Active Directory Premium P2 - 허가된 사용자 블레이드로 이동하여 이 랩에서 할당한 계정을 선택하고, 라이선스 제거를 클릭한다. 확인 창이 뜨면 예를 클릭한다.
Azure 포털에서 툴바의 디렉터리 + 구독 버튼을 클릭하여 Contoso Lab Azure AD 테넌트로 이동한다.
사용자 - 모든 사용자 블레이드로 이동하여 az104-01b-aaduser1 사용자 계정을 클릭한다. az104-01b-aaduser1 - 프로필 블레이드에서 삭제를 클릭하고, 확인 창이 뜨면 예를 클릭한다.
Contoso Lab - 개요 블레이드로 이동하여 테넌트 삭제를 클릭한다. ‘Contoso Lab’ 디렉터리 삭제 블레이드에서 Azure 리소스를 삭제할 권한 얻기 링크를 클릭한다. 속성 블레이드에서 Azure 리소스에 대한 액세스 관리를 예로 설정하고 저장을 클릭한다.
Azure 포털에서 로그아웃하고 다시 로그인한다.
‘Contoso Lab’ 디렉터리 삭제 블레이드로 돌아가 삭제를 클릭한다.

요약

이 랩에서 우리는

Azure AD 사용자를 생성 및 설정했습니다.
할당 및 동적 멤버십이 있는 Azure AD 그룹을 생성했습니다.
Azure Active Directory (AD) 테넌트를 생성했습니다.
Azure AD 게스트 사용자를 관리했습니다.