액세스 검토란?
Microsoft Entra의 일부인 Microsoft Entra ID의 액세스 검토를 통해 조직은 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리할 수 있습니다. 사용자 액세스를 정기적으로 검토하여 올바른 사용자만 계속 액세스할 수 있는지 확인할 수 있습니다.
다음은 액세스 검토의 빠른 개요를 제공하는 비디오입니다.
액세스 검토가 중요한 이유는 무엇인가요?
Microsoft Entra ID를 사용하면 조직 내부 및 외부 사용자와 공동 작업할 수 있습니다. 사용자는 그룹에 가입하고, 게스트를 초대하고, 클라우드 앱에 연결하고, 회사 또는 개인 디바이스에서 원격으로 작업할 수 있습니다. 셀프 서비스 사용의 편리성으로 인해 더 나은 액세스 관리 기능이 필요하게 되었습니다.
- 새로운 직원이 참여했을 때 생산성을 유지하는 데 필요한 액세스 권한을 어떻게 보장할 수 있나요?
- 사용자가 팀을 이동하거나 회사를 떠날 때 이전 액세스 권한이 제거되었는지 어떻게 확인하나요?
- 과도한 액세스 권한이 있으면 손상될 수 있습니다.
- 과도한 액세스 권한은 액세스에 대한 제어가 부족하다는 것을 나타내므로 감사 결과를 이끌 수도 있습니다.
- 해당 리소스에 대한 액세스 권한이 있는 사용자를 정기적으로 검토하도록 리소스 소유자와 사전에 협의해야 합니다.
언제 액세스 검토를 사용해야 하나요?
- 권한 있는 역할의 사용자가 너무 많은 경우: 관리 액세스 권한이 있는 사용자 수, 그 중에서 전역 관리자의 수, 관리 작업을 수행할 권한이 할당된 후 제거되지 않은 초대된 게스트 또는 파트너가 있는지 확인하는 것이 좋습니다. Microsoft Entra PIM(Privileged Identity Management) 환경에서 전역 관리자와 같은 Microsoft Entra 역할 또는 사용자 액세스 관리자와 같은 Azure 리소스 역할의 역할 할당 사용자를 다시 인증할 수 있습니다.
- 자동화가 불가능한 경우: 보안 그룹 또는 Microsoft 365 그룹에서 동적 멤버 자격에 대한 규칙을 만들 수 있습니다. 하지만, HR 데이터가 Microsoft Entra ID에 없거나 사용자가 그룹을 떠난 뒤에도 대체자를 교육시키기 위해 액세스 권한이 필요한 경우 어떻게 해야 하나요? 그런 다음, 해당 그룹에 대한 검토를 만들어 여전히 액세스가 필요한 사용자가 액세스를 유지하도록 할 수 있습니다.
- 그룹을 새로운 용도로 사용하는 경우: Microsoft Entra ID로 동기화할 그룹이 있거나 영업 팀 그룹의 모든 사용자에게 애플리케이션 Salesforce를 사용하도록 설정하려는 경우 그룹이 다른 위험 콘텐츠에 사용되기 전에 그룹 소유자에게 그룹 멤버 자격을 검토하도록 요청하는 것이 유용합니다.
- 중요 비즈니스용 데이터 액세스:중요 비즈니스용 애플리케이션과 같은 특정 리소스의 경우 규정 준수 프로세스의 일부로 사용자에게 정기적으로 다시 확인하고 지속적인 액세스가 필요한 이유에 대한 근거를 제공해야 할 수 있습니다.
- 정책의 예외 목록을 유지 관리하려면: 이상적인 환경에서 모든 사용자는 조직의 리소스에 대한 액세스를 보호하는 액세스 정책을 따릅니다. 그러나 경우에 따라 예외가 있는 비즈니스 사례가 있습니다. IT 관리자로서, 이 작업을 관리하고, 정책 예외 감시를 방지하며, 이러한 예외를 정기적으로 검토했음에 대한 증명을 감사자에게 제공할 수 있습니다.
- 그룹 소유자에게 여전히 그룹에 게스트가 필요한지 확인하도록 요청합니다. 직원 액세스는 HR 원본의 데이터를 기반으로 하는 수명 주기 워크플로와 같은 다른 ID 및 액세스 관리 기능으로 자동화할 수 있지만 초대된 게스트의 액세스는 자동화할 수 없습니다. 그룹이 게스트에게 비즈니스상 중요한 콘텐츠에 대한 액세스 권한을 부여한 경우 게스트에게 액세스에 대한 합법적인 비즈니스 요구가 여전히 있는지를 확인할 책임은 그룹 소유자에게 있습니다.
- 검토를 주기적으로 되풀이되도록 함: 주간, 월별, 분기별 또는 연간과 같이 설정된 주기로 사용자의 액세스 검토 되풀이를 설정할 수 있으며, 검토자는 각 검토 시작 시 알림을 받게 됩니다. 검토자는 친숙한 인터페이스를 사용하거나 스마트 권장 사항을 활용하여 액세스를 승인하거나 거부할 수 있습니다.
참고 항목
액세스 검토를 시도할 준비가 되었으면 그룹 또는 애플리케이션의 액세스 검토 만들기를 살펴보세요.
검토는 어디에서 만드나요?
검토하려는 항목에 따라 액세스 검토, Microsoft Entra 엔터프라이즈 앱, PIM 또는 권한 관리에서 액세스 검토를 만듭니다.
| 사용자의 액세스 권한 | 검토자는 다음과 같음 | 검토 생성 위치 | 검토자 경험 |
|---|---|---|---|
| 보안 그룹 구성원Office 그룹 구성원 | 지정된 검토자그룹 소유자자체 검토 | 액세스 검토Microsoft Entra 그룹 | 액세스 패널 |
| 연결된 앱에 할당됨 | 지정된 검토자자체 검토 | 액세스 검토Microsoft Entra 엔터프라이즈 앱 | 액세스 패널 |
| Microsoft Entra 역할 | 지정된 검토자자체 검토 | PIM | Microsoft Entra 관리 센터 |
| Azure 리소스 역할 | 지정된 검토자자체 검토 | PIM | Microsoft Entra 관리 센터 |
| 액세스 패키지 할당 | 지정된 검토자그룹 멤버자체 검토 | 권한 관리 | 액세스 패널 |
라이선스 요구 사항
이 기능을 사용하려면 조직의 사용자에 대한 Microsoft Entra ID Governance 구독이 필요합니다. 이 기능의 일부 기능은 Microsoft Entra ID P2 구독을 통해 작동할 수 있습니다. 자세한 내용은 각 기능에 대한 문서를 참조하세요. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.
참고 항목
비활성 사용자에 대한 검토를 작성하고 사용자-그룹 연결 권장 사항을 사용하려면 Microsoft Entra ID Governance 라이선스가 필요합니다.