Microsoft Enterprise Mobility Suites에 대한 소개 및 데모, 실습
강의 개요
- 강의명: IT Camp: 엔터프라이즈 디바이스 인프라스트럭쳐와 함께 모바일 환경 함께 도입하기(EMS: Implementing a Mobile-First World with Microsoft Enterprise Device Infrastructure)
- 강사: 백승주 부장님
- 장소: 러닝웨이코리아 강남센터
- 일시: 2015년 1월 16일 금요일
- 수준: 300 정도의 레벨
강의 후기
연초라 그런지 강의를 들으러 새로운 분들이 많이 오셨다고 한다. 이전에 들었던 강의 기록을 들춰보니 작년에 원노트에 필기해둔 것들이 몇몇 나왔다. Enterprise Client 수업과도 관련성이 깊은 강좌였던 것 같다. 첫 부분이 작년과 달라진 것 덕분에 추가적으로 해볼 게 많아졌다. 즐겁게 강의를 들었다.
MS Enterprise Mobility Suites(패키지)
- Azure AD
- RMS
- Intune
(묶어서 사면 싸다고 함)
테스트 계정 생성(Office 365 Enterprise E3 평가판)
▲ 계정 생성
▲ 신뢰하는 사이트로 등록
▲ Office 365 로그인됨
▲ Intune 평가판 생성
시간이 지나니 Office 365 계정의 기능들이 활성화됨.
▲ 활성화됨
※ 위 작업을 끝낸 뒤 브라우저를 모두 닫고 InPrivate Browsing으로 AzurePass를 활성화하는 것이 좋음.
▲ AzurePass 활성화 완료
▲ 30일간 사용 가능.
Azure AD 생성 및 Office 365와 연결
▲ Azure Active Directory 생성
▲ 디렉터리 추가 -> 기존 디렉터리 사용으로 진행. 로그아웃한다고 함.
▲ 처음에 만들었던 Office 365 계정으로 로그인
▲ Office 365 테넌트의 디렉터리 사용?
▲ MS 계정 -> Azure에 추가한 테넌트의 계정으로 로그인하기 위해, 지금 로그아웃
▲ 로그아웃 뒤 다시 manage.windowsazure.com 에 들어가서 MS 계정으로 로그인
▲ archtest 테넌트가 붙은 것을 확인
▲ 좌측 메뉴 중 설정 -> 구독 -> 디렉터리 편집 클릭
▲ 오피스 365 테넌트를 확인.
▲ 체크하여 확인.
▲ 디렉터리 업데이트 중
▲ 설정 -> 구독 -> 디렉터리 부분에 archtest 테넌트로 적용이 되었는지 확인
▲ 설정 -> 관리자 -> 추가
▲ 오피스 365 테넌트의 관리자 계정을 추가.
▲ 공동 관리자가 추가됨
▲ Active Directory -> Rights Management -> 활성화
▲ 활성화하시겠습니까?
▲ 활성화됨.
이제 Azure에 RMS 활성화되고, OnMicrosoft.com(오피스 365 테넌트) 아이디로 로그인 가능하게 됨.
[현재 환경 전반에 대한 설명]
▲ Shutdown은 Right? Permission? Right.
▲ Administrator도 제거하면 컴퓨터를 끌 수 없게 된다. Administrator도 슈퍼맨은 아님.
Microsoft는 모바일에서 ID(Active Directory)부터 이야기한다.
- “어느 기계에 들어가도 너희 회사의 계정으로 들어갈 수 있게 해주겠다.”
Azure의 RMS는 어떤 파일이든 암호화 가능.(Windows Server RMS는 Office 제품만을 제공하는 듯)
- RMS: 안전히 보호/편리하게 공유/내용 변경 가능해야 함
- 권한 관리 서버에서 만들어주는 키도 Azure or 고객 서버에서 가능
[ADFS 시연] Azure AD Premium 활성화부터 해놓자
- Web Standard-Federation
- WS-Trust
- EMS 수업의 60% 이상이 Federation 이야기
실습
▲ Azure ActiveDirectoryConnect 설치
▲ Azure AD Premium 평가판 활성화
▲ 확인
▲ 활성화 중
▲ Premium이 목록에 올라옴
▲ 두 사용자에 대해 Premium 적용
▲적용 중…
▲ 적용완료
▲ Azure AD에서만 사용 가능한 기능(보고서 페이지의 ‘프리미엄 보고서’ 섹션 참고)
VM 설명
- DC – SYNC(Azure와 싱크시켜주는 곳)
- MOBILE(인터넷으로 들어오는 컴퓨터) – EDGE(를 통해서 내부로 들어옴)
- BYOD(회사 내의 컴퓨터)
- DC에서 RRAS를 통해 NAT 서버를 만들어 놓았기 때문에 나머지 컴퓨터들이 인터넷이 됨.
AD FS를 위한 사전 작업 시작
▲ DNS를 만들어주는 스크립트
네트워크에서 서버를 찾으려면 DNS가 있어야 함. 여기서는 DC에 DNS가 있음(외부에서 들어오기 위한 DNS는 EDGE에 있음)
▲ 서비스(services.msc) 전용 계정을 만듬
▲ 인증서 세팅(pfx를 복사하는 듯)
▲ 아 이렇게 필터링하는 방법이 있었네…
▲ ADFS 설정
▲ SSL 선택
▲ ADFS용 서비스 계정 선택(이후 쭉쭉 설치)
Windows Identity Foundation SDK에 있는 FedUtil.exe 활용
쉽게 AD FS 연동시켜 주는 유틸리티 활용하기
▲ FedUtil 실행
▲ 애플리케이션 위치와 URI 입력
▲ FederationMetaData.xml 위치 지정
▲ 확인 완료
▲ 클레임이 올라옴
Claims들은 사용자 정보 중 어떤 Attribute들을 제공할지 선택할 수 있다.
▲요약 정보 확인 후 진행
AD FS 관리자에서 애플리케이션에 제공할 Claim값 필터링
▲ ADFS 관리 콘솔 열기
▲ 위 주소를 넣고 쭉 next를 눌러 진행
주소가 중요한 이유? ADFS와 비교하는 정보가 됨!
▲ Ussuance Transform Rules 탭이 나타나면 Add Rule
▲ Send Claims Using a Custom Rule 선택
▲ c:[ ] => issue(claim = c); 입력
※ 이 사이트에서 필요한 정보가 뭔데? 쓸 수 있는 것 다 달라는 구문.
▲ IE에서 claimapp에 들어가봄.
[Configure Web Application Proxy(WAP: ADFS Proxy) prerequisites]
ADFS 서버는 DMZ 구간이라 외부에 노출할 수 없으므로 ADFS 프록시가 놓임.(ADFS 서버는 AD에 가입되지 않아도 무방)
※ 계속 DC에서 작업(EDGE라는 서버에 WAP이 깔리니 이것을 명시하는 작업)
▲ EDGE SPN 설정
▲ EDGE 컴퓨터명을 DC에 입력(계속)
Proxy는 대신해준다는 의미. 옛날 ISA Server나 TMG가 WAP으로 대체(윈도우 서버 내의 기능으로 자리잡음)
참고
- Windows Server 2012 R2는 내부 https 사이트 -> 외부 https 사이트로 퍼블리싱 가능하지만, http -> https는 안 됨.
- 장치등록을 할 때는 enterpriseregistration.도메인명에서 !(ADFS에 장치 등록 서비스가 포함되어 있다고 보면 됨)
- Azure에도 장치 등록 기능이 있음.(ADFS의 장치 등록 기능을 Azure로 대체)
▲ DRS(Device Registration Service)라고 부른다고 한다.
우리집 세탁기 끝점과 http로 통신하도록 허용
▲ AD Users and Computers 열기
▲ Edge의 속성 중 Deligation -> 특정 서비스에 대해 허용
▲ DC에서 해줄 것은 거의 끝난 듯…
[EDGE에서]▲ WAP 설치
[Configure WAP]
▲ Remote Access Management Console 실행
▲ Federation Service 정보 입력
▲ adfs.corp.contoso.com 선택
[Publish the claims-aware web app]
▲ Publish 클릭
▲ Relying Party를 intranet.corp.contoso.com으로 선택
▲ intranet.corp.contoso.com 외부 주소/인증서 선택
▲ Remote Access Management console에 나타남
[MOBILE에서 AD FS 설정 확인]
▲ https://intranet.corp.contoso.com/claimapp에 접속
▲ 정보 나타남.
[DC에서] Device Registration 설정 작업
▲ 스크립트 실행
▲ AD FS 관리에서 Authentication Policies -> Edit Global Primary Authentication 실행
▲ 아래쪽에 있는 Device Authentication을 활성화
▲ Device Authentication이 활성화된 것을 볼 수 있다.
▲ enterpriseregistration.corp.contoso.com을 등록해주는 스크립트 실행(DC와 EDGE에 동시 생성)
▲ DC에서 AD FS 서비스 재시작(그러면 Device Registration Service도 함께 재시작됨)
▲ intranet.corp.contoso.com의 Claim Rules 편집
▲ Claim Rule을 추가함
▲ 추가됨(잘못함!! Issuance Authorization Rules에 추가했어야 함)
▲ All Users에 대한 접근을 삭제
▲ 규칙을 추가하여 내부에서 접속한 것인지 확인
▲ 추가됨
[EDGE에서] WAP 장치 등록 설정
AD FS 관리에서 WAP -> Publish 이후 아래 창 나타남
▲ Pass-through로 추가
▲ enterpriseregistration.corp.contoso.com/EnrollmentServer를 외부 주소로 등록
▲ 잘 등록된 듯?
[Device Registration 기능 확인(MOBILE 컴퓨터에서)]
▲ intranet.corp.contoso.com/claimsapp/ 접속
▲ 아까 설정했던대로 장치 등록이 되지 않아 접근 불가
▲ Workplace Join을 위해 PC Settings의 Network -> Workplace에서 회사 이메일을 넣어 줌
▲ 로그인
▲ 장치 등록 완료
▲ 다시 intranet…/claimsapp/ 접속
※ 오류… 앞에서 claims 규칙을 만들 때 Issuance Authorization Rules에 만들었어야 함
▲ 이렇게!
▲ 인자 된다!! ㅋㅋ
▲ 여러 클레임 중 device로 검색해보면 관련 정보들이 나옴
※ 이 상태에서 다시 https://intranet.corp.contoso.com/claimsapp/ 에 들어가면 로그온 정보 입력 필요 없음(주의! claimsapp까지 입력해야 함!)
[SYNC에서 작업] Azure AD device registration 설정
▲ 회사 계정(onmicrosoft.com)으로 로그인
▲ 장치 등록 활성화 확인
[BYOD에서 작업] Azure AD와 연결▲ Workplace Join을 회사 계정(onmicrosoft.com)으로.
▲ 접속 완료!
[MFA(Multi-Factor Authentication) 향상]
▲ 다단계 설정 관리
▲ 두 명의 사용자에 대해 사용 설정(우측의 quick steps area에서 enable 선택)
▲ 사용
[MFA 확인] BYOD 컴퓨터에서 작업
https://myapps.microsoft.com 접속
▲ onmicrosoft.com 도메인으로 접속
▲ 오 떴다. 지금 설정 클릭
▲ 전화번호로 메시지 보내도록 설정
▲ 문자 메시지를 전송했다고 알려줌
▲ MFA 코드 문자로 옴
▲ 문자로 온 암호를 입력하면 이렇게 나옴.
▲ 이제 이렇게 접속 시 바로 문자 메시지 보냄
▲ 접속 완료!!
※ MFA는 Azure AD Premium에서만!
[DC 사설인증서 먹이기]
▲ DC에서 Certification Autority 실행
▲ Issued Certificates를 열어서 2번을 더블클릭
▲ detail에서 copy to file로 저장, MOBILE 컴퓨터의 downloads 폴더로 가져온다.
사설 인증기관의 인증서이기때문에 직접 가져와줘야 함.
▲ MOBILE 컴퓨터의 Internet Explorer 옵션에서 Advanced 탭에 들어가 Check for publisher’s certificate revocation과 check for server certificate revocation을 체크 해제.
▲ Install Certificate
▲ Trusted Root Certificate로 복사 후 시스템 재시작
※ 문서 내용 안에 Confidential이 들어가 있으면 자동으로 RMS를 적용할 수 있다! PDF파일은 Adobe의 Plugin을 설치해야 한다고 함,
또는 1년 이상 된 파일은 자동으로 두번째 파일 서버로 복사하는 기능이나 30일 이후에 파기 이런식으로 내용이 들어가 있으면 정말 30일 이후에 파기시키는 것도 가능
※ Azure RMS는 템플릿을 7일간 보관한다고 함
- %localappdata%\Microsoft\MSIPC\Templates 폴더에 있는 파일을 삭제하고 재부팅하면 새 내용으로 빠르게 갱신 가능
[Azure AD Applications Template 사용]
응용 프로그램 추가: Azure AD의 사용자와 Facebook, Twitter 계정 등을 연결할 수 있다.
갤러리에서 트위터 추가
▲ 사용자 지정
▲ 이렇게 추가하면 됨.,
▲ 해당 계정의 myapps.microsoft.com 사이트에 트위터가 나타남 ^^
▲ 클릭하면 트위터 설치(?) 창이 나타남
▲ Access Panel Extension 설치
▲ Access Panel Extension 설치 이후에는 사용 가능.
정말 즐거운 하루였다. 새로운 곳을 추천도 받았고… 아는 건 별로 없지만 계속 노력할 뿐이다.
*****추가*****
2014년 10월 23일 – 동일한 수업에서 필기한 것
이제는 PC 외에 다른 것들도 많이 챙겨야 한다.
Remote Desktop과 VDI의 차이점? 서버에서 가상화를 통해 쪼개주는 것이 VDI
Microsoft의 모든 보안은 Identity 기준으로 함
- People Centric IT
- 인증 창이 기본적으로 Mobile을 지원하도록 하는 것이 트렌드.
- AD의 가장 큰 한계: 밖으로 나오면 처리가 안 됨
Web Application Proxy: ADFS 를 포함하고 있음
- 앞단(ADFS)에서 처리하면 백단에서 부하가 안 걸림
- 뒷단(백 엔드 서버)에 통과시킬지
(위 둘 중의 하나를 고를 수 있음)
Windows Server 2015(Technical Preview)에서는 http -> https 리디렉션 사용 가능
Whoami /all
- 커베로스 인증 받았는지 보는 부분
- ADFS도 마찬가지로 토큰이 발급되어야 함(윈도우에서 받은 인증과 동일하지는 않음)
- 발급받은 토큰이 ADFS를 통과할 수 있어야.
Federation Utility를 사용하면 편리하게 Web.config에 ADFS 손도장을 넣을 수 있다.(SDK를 깔아야 하는 듯)
- 설치되면 Progra~1\Windows Identity Foundation\ 에 FedUtil.exe 로 존재
ADFS에서는 Claim이라는 단어가 아주 중요.
- 사용자의 개개별 속성 하나하나가 클레임. 이름만 필요한 경우에 전체 사용자 정보를 줄 필요 없이 선택적으로 줄 수 있다.
신뢰 당사자에 이러이러한 프로그램을 신뢰하겠다고 넣을 수 있음
- 아무나 데이터를 받아가면 안되기 때문
식별자
- Application URI(웹 서버 주소만이 아니라 주소 전체를 의미)
- 입력 시 끝에 /(슬래시)로 끝내야 함
클레임 공급자
- 내 쪽으로 클레임을 줄 수 있는 곳
- 클레임의 데이터를 쭉 갖고 있는 곳이 클레임 메타데이터
Relying Party Trust
ADFS끼리 트러스트를 맺을 때 A가 B의 공개키를 가져와서 A의 개인키로 전자서명해서 B로 날림. 암호화해서 보낼 수 있음. 그렇게 해서 풀리면 맞다고 인증하는 방식. SSL 인증서
클레임 변환으로 이름이 들어오면 뒤에다가 (외부) 이런식을 붙일 수 있다.
- 마치 외국에서 날짜를 명기할 때 10/23/2014 로 입력해야 할 것을 2014/10/23 넣으면 안되니까.
- 옛날에는 이 기능을 위해 직접 변환 코드를 짰어야 했다. 지금은 아주 편해짐
인증서를 클라이언트가 판단하는 3가지
- 인증서를 발급한 기관
- 인증서의 주소와 동일한지
- 신뢰할 수 있는 기관인지
WAP 을 제대로 쓰려면 와일드카드 인증서를 사는 것이 좋다
- Lync Server는 와일드카드 인증서가 먹지 않는다. 파워쉘로 밀어넣어야 함
SSL 인증서를 외부에서 구매해야 클라이언트가 붙을 수 있다.
제한된 위임
- 쉐어포인트에서 인증이 되었다고 그것이 그대로 SQL에도 적용되는 것은 아니다
Workplace Join
- 도메인 조인이 안되는 태블릿은 아이디/비밀번호를 매번 넣어야 하는데, 이 캐시를 늘려주는 기술(예를 들어 로그인 유지되는 기간이 몇 분 단위였다면 12시간 정도로 늘려주어 SSO 효과를 내게 해 줌)
- 도메인 조인 없이 기기 등록해줌
- 회사에 등록되어 있는 기기라는 것이 있어야 하는데, 이 값도 클레임으로 제공(managed device)
윈도우 7에서는 Domain 조인 뒤에 Workplace Join을 해야 함
- Domain Join 만으로는 Claim 사용이 안 되기 때문에
- GUI가 없이 명령으로 할 수 있음
- workplacejoin7_en-us.msi
- 명령어로 하기 싫으면 그룹정책으로 내려야 함
WIF(윈도우 아이덴티티 프레임워크) – 개발자가 보면 좋은 내용
2012 R2부터 IIS에 대한 ADFS 종속성이 사라졌음.
- CMD 에서 netsh -> http show ssl (ADFS 서버와 EDGE 에서 모두 실행)
- 이벤트 뷰어에서 Applications and Services Logs -> ADFS 확인
ADFS 서버 커스터마이징 하려면 (로고, 이미지 등) bing 에서 customize adfs 로 검색
ADFS 서버에서 Device Registration Services를 볼 수 있음.
- archmond@archmond.com 로 로그인하면 enterpriseregistration.archmond.com 을 찾게 됨
Work Folder(클라우드 폴더)
- Enterprise client 실습에서 설정법 나옴~ 50p 대에서
- 이 기능을 쓰기 위해 번거롭게 쉐어포인트를 올리지 않아도 됨
- 추후 OSX도 지원 예정
- Work Folder도 Oauth나 Windows 인증 지원
ADFS는 사내에 AD 서버가 있을 때 사용
- Azure AD에는 아직 DC가 없음. ADFS와 동일한 프로토콜을 제공하는 서비스를 제공한다고 보면 됨.
- Azure AD에서 디렉터리를 추가하면 계정을 만들 수 있는 DB가 생성됨. (~.onmicrosoft.com)
- ADFS를 호출할때처럼 Azure를 불러들일 수 있음
- ADFS 처럼 인증기관을 Azure에 가서 받아오게 함.
- (사용자 -> Web 사이트에 요청 -> Azure에 인증을 받아와라 -> Azure에서 사용자에게 토큰을 넘겨줌 -> 사용자가 Web 사이트에 제시
WSUS와 System Center의 차이는 Push인지 Pull인지의 차이.
- 리포트기능 차이. 어플리케이션 배포 기능 제공.
System Center는 기본적으로 사내용이고(물론 클라우드 저장소와 연동은 가능) Intune의 경우 외부에서 편리하게 사용 가능
- MS 내부에서 Intune은 MDM이라고 본다 함
- 뒷부분에 Applocker 도 있음
Lab 4 에 이미지 만들어서 실제 OS 배포하는 것. 재미있음.
- Dart – 옛날의 ERD Commander. MDOP Package에 넣어져 있음.
이런 교육은 어디서 받을 수 있나요?
맨 위에서도 밝혔지만,
강사: 백승주 부장님
장소: 러닝웨이코리아 강남센터
참고하세요.