권한 관리란?

  • 아티클

권한 관리는 조직에서 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 대규모로 관리할 수 있는 ID 거버넌스 기능입니다.

조직의 인력은 다양한 그룹, 애플리케이션 및SharePoint Online 사이트에 액세스하여 자신의 업무를 수행해야 합니다. 요구 사항이 변경됨에 따라 이 액세스를 관리하는 것이 어렵습니다. 새 애플리케이션이 추가되거나 사용자에게 더 많은 액세스 권한이 필요합니다. 이 시나리오는 외부 조직과 협업할 때 더 복잡해집니다. 조직의 리소스에 액세스해야 하는 다른 조직의 사용자를 모를 수 있으며, 조직에서 사용하는 애플리케이션, 그룹 또는 사이트를 모를 수도 있습니다.

권한 관리를 사용하면 이러한 리소스에 액세스해야 하는 내부 사용자 및 조직 외부 사용자의 그룹, 애플리케이션 및 SharePoint Online 사이트에 대한 액세스를 더 효율적으로 관리할 수 있습니다.

권한 관리를 사용하는 이유는 무엇일까요?

기업 조직에서는 리소스에 액세스하는 인력을 관리할 때 다음과 같은 문제에 직면하는 경우가 많습니다.

  • 사용자가 자신에게 필요한 액세스 권한을 모를 수 있으며, 그렇지 않고 알고 있더라도 자신의 액세스를 승인할 수 있는 올바른 개인을 찾는 데 어려움이 있을 수 있습니다.
  • 사용자가 리소스에 대한 액세스 권한을 찾고 받은 후에는 업무상 필요한 것보다 더 오래 액세스할 수 있습니다.

공급망 조직 또는 다른 비즈니스 파트너의 외부 사용자와 같이 다른 조직에서 액세스해야 하는 사용자의 경우 이러한 문제는 더 복잡합니다. 예를 들면 다음과 같습니다.

  • 한 사용자가 다른 조직의 디렉터리에 있는 특정 사용자를 모두 초대할 수 있다는 것을 알지 못할 수 있습니다.
  • 이러한 사용자를 초대할 수 있는 경우에도 해당 조직의 사용자가 모든 사용자의 액세스를 일관되게 관리해야 한다는 것을 기억하지 못할 수 있습니다.

권한 관리는 이러한 문제를 해결하는 데 도움이 될 수 있습니다. 고객이 권한 관리를 사용하는 방법에 대해 자세히 알아보려면 Mississippi Division of Medicaid, StorebrandAvanade 사례 연구를 읽을 수 있습니다. 다음 비디오에서는 권한 관리 및 그 가치에 대해 간략히 설명합니다.

권한 관리를 통해 무엇을 할 수 있을까요?

몇 가지 권한 관리 기능은 다음과 같습니다.

  • 다단계 승인을 통해 애플리케이션, 그룹, Teams 및 SharePoint 사이트에 액세스할 수 있는 사용자를 제어하고 사용자가 시간 제한 할당 및 반복적인 액세스 검토를 통해 무기한 액세스를 유지하지 않도록 합니다.
  • 부서 또는 비용 센터와 같은 사용자 속성을 기반으로 사용자에게 해당 리소스에 대한 액세스 권한을 자동으로 부여하고 해당 속성이 변경되면 사용자의 액세스 권한을 제거합니다.
  • 관리자가 아닌 사용자에게 액세스 패키지를 만들 수 있는 권한을 위임합니다. 이러한 액세스 패키지에는 사용자가 요청할 수 있는 리소스가 포함되어 있으며, 위임된 액세스 패키지 관리자는 사용자가 요청할 수 있는 규칙, 액세스를 승인해야 하는 사용자 및 액세스가 만료되는 시기에 대한 정책을 정의할 수 있습니다.
  • 사용자가 액세스를 요청할 수 있는 연결된 조직을 선택합니다. 아직 디렉터리에 없는 사용자가 액세스를 요청하고 승인되면 해당 사용자가 자동으로 디렉터리로 초대되고 액세스 권한이 할당됩니다. 액세스가 만료되면 다른 액세스 패키지 할당이 없는 경우 디렉터리의 B2B 계정이 자동으로 제거될 수 있습니다.

참고 항목

자격 관리를 시도할 준비가 되었으면 첫 번째 액세스 패키지 만들기 자습서를 시작할 수 있습니다.

또한 다음을 포함하여 일반적인 시나리오를 참조하거나 비디오를 시청할 수 있습니다.

액세스 패키지는 무엇이며, 이를 통해 관리할 수 있는 리소스는 무엇일까요?

권한 관리는 액세스 패키지 개념을 도입합니다. 액세스 패키지는 사용자가 프로젝트에서 작업하거나 작업을 수행하는 데 필요한 액세스 권한이 있는 모든 리소스의 번들입니다. 액세스 패키지는 직원 및 조직 외부 사용자의 액세스를 제어하는 데 사용할 수 있습니다.

권한 관리를 통해 사용자의 액세스를 관리할 수 있는 리소스의 종류는 다음과 같습니다.

  • Microsoft Entra 보안 그룹의 멤버 자격
  • Microsoft 365 그룹 및 팀의 멤버 자격
  • 페더레이션/Single Sign-On 및/또는 프로비전을 지원하는 SaaS 애플리케이션 및 사용자 지정 페더레이션 애플리케이션을 포함한 Microsoft Entra 엔터프라이즈 애플리케이션에 할당
  • SharePoint Online 사이트의 멤버 자격

Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹을 사용하는 다른 리소스에 대한 액세스를 제어할 수도 있습니다. 예시:

  • 액세스 패키지의 Microsoft Entra 보안 그룹을 사용하고 해당 그룹에 대해 그룹 기반 라이선스를 구성하여 사용자에게 Microsoft 365 라이선스를 부여할 수 있습니다.
  • 액세스 패키지의 Microsoft Entra 보안 그룹을 사용하고 해당 그룹에 대한 Azure 역할 할당을 만들어 사용자에게 Azure 리소스를 관리할 수 있는 액세스 권한을 부여할 수 있습니다.
  • 액세스 패키지에서 Microsoft Entra 역할에 할당할 수 있는 그룹을 사용하고 해당 그룹에 Microsoft Entra 역할을 할당하여 사용자에게 Microsoft Entra 역할을 관리할 수 있는 액세스 권한을 부여할 수 있습니다.

액세스 권한을 얻는 사용자를 제어하려면 어떻게 할까요?

액세스 패키지를 사용하면 관리자 또는 위임된 액세스 패키지 관리자에서 리소스(그룹, 앱 및 사이트) 및 해당 리소스에 대해 사용자에게 필요한 역할을 나열합니다.

또한 액세스 패키지에는 하나 이상의 정책이 포함됩니다. 정책은 액세스 패키지에 할당할 규칙 또는 가드 레일을 정의합니다. 각 정책을 사용하여 적절한 사용자만 액세스를 할당할 수 있고, 액세스 시간이 제한되고, 갱신되지 않으면 만료되도록 보장할 수 있습니다.

Diagram of access package and policies.

사용자가 액세스를 요청하는 정책을 사용할 수 있습니다. 이러한 종류의 정책에서 관리자 또는 액세스 패키지 관리자가 정의합니다.

  • 액세스를 요청할 수 있는 기존 사용자(일반적으로 직원 또는 이미 초대된 게스트) 또는 외부 사용자의 파트너 조직
  • 승인 프로세스 및 액세스를 승인하거나 거부할 수 있는 사용자
  • 승인된 사용자의 할당 만료 이전의 액세스 할당 기간

관리자에 의해, 규칙에 따라 자동으로 또는 수명 주기 워크플로를 통해 사용자에게 액세스 권한을 할당하도록 정책을 지정할 수도 있습니다.

다음 다이어그램에서는 권한 관리의 다양한 요소에 대한 예를 보여 줍니다. 여기에는 두 개의 액세스 패키지 예가 포함된 하나의 카탈로그가 있습니다.

  • 액세스 패키지 1에는 단일 그룹이 리소스로 포함되어 있습니다. 액세스는 디렉터리의 사용자 세트에서 액세스를 요청할 수 있도록 하는 정책으로 정의됩니다.
  • 액세스 패키지 2에는 그룹, 애플리케이션 및 SharePoint Online 사이트가 리소스로 포함되어 있습니다. 액세스는 두 개의 서로 다른 정책으로 정의됩니다. 첫 번째 정책을 사용하면 디렉터리의 사용자 세트에서 액세스를 요청할 수 있습니다. 두 번째 정책을 사용하면 외부 디렉터리의 사용자가 액세스를 요청할 수 있습니다.

Entitlement management overview diagram

액세스 패키지는 언제 사용해야 하나요?

액세스 패키지는 액세스 할당을 위해 다른 메커니즘을 대체하지 않습니다. 다음과 같은 상황에서 가장 적합합니다.

  • 타사 엔터프라이즈 역할 관리에서 Microsoft Entra ID로 액세스 정책 정의를 마이그레이션합니다.
  • 사용자에게는 특정 작업에 대해 시간이 제한된 액세스가 필요합니다. 예를 들어 그룹 기반 라이선스 및 동적 그룹을 사용하여 모든 직원이 Exchange Online 사서함을 갖도록 한 다음, 직원에게 추가 액세스 권한이 필요한 상황에 대해 액세스 패키지를 사용할 수 있습니다. 예를 들어 다른 부서의 부서 리소스를 읽을 수 있는 권한입니다.
  • 인력의 관리자 또는 기타 지정된 개인의 승인이 필요한 액세스입니다.
  • 해당 작업 역할에서 해당 시간 동안 조직의 특정 부분에 있는 사용자에게 자동으로 할당되어야 하지만 조직 또는 비즈니스 파트너 조직의 사용자가 요청할 수 있는 액세스 권한입니다.
  • 각 부서에서 IT의 개입 없이 리소스에 대한 자체의 액세스 정책을 관리하려고 합니다.
  • 둘 이상의 조직에서 프로젝트를 협업하고 있으며, 그 결과로 Microsoft Entra B2B를 통해 한 조직의 여러 사용자를 호출하여 다른 조직의 리소스에 액세스해야 합니다.

액세스를 위임하려면 어떻게 할까요?

액세스 패키지는 카탈로그(catalogs)라는 컨테이너에 정의됩니다. 하나의 카탈로그를 모든 액세스 패키지에 사용하거나, 고유한 카탈로그를 만들고 소유할 수 있는 개인을 지정할 수 있습니다. 관리자는 리소스를 모든 카탈로그에 추가할 수 있지만, 관리자가 아닌 사용자는 자신이 소유한 리소스만 카탈로그에 추가할 수 있습니다. 카탈로그 소유자는 다른 사용자를 카탈로그 공동 소유자 또는 액세스 패키지 관리자로 추가할 수 있습니다. 이러한 시나리오는 권한 관리의 위임 및 역할 문서에서 자세히 설명하고 있습니다.

용어 요약

다음에 나오는 용어 목록은 권한 관리 및 해당 설명서를 더 잘 이해하기 위해 다시 참조할 수 있습니다.

용어 설명
액세스 패키지 팀 또는 프로젝트에 필요하고 정책으로 관리되는 리소스의 번들입니다. 액세스 패키지는 항상 카탈로그에 포함되어 있습니다. 사용자가 액세스를 요청해야 하는 시나리오에 맞는 새 액세스 패키지를 만듭니다.
액세스 요청 액세스 패키지의 리소스에 액세스하기 위한 요청입니다. 요청은 일반적으로 승인 워크플로를 통해 수행됩니다. 승인되면 요청하는 사용자가 액세스 패키지 할당을 받습니다.
할당 사용자에게 액세스 패키지를 할당하면 해당 액세스 패키지의 모든 리소스 역할이 사용자에게 할당됩니다. 액세스 패키지 할당에는 일반적으로 만료되기 전의 시간 제한이 있습니다.
카탈로그 관련 리소스 및 액세스 패키지로 구성된 컨테이너입니다. 카탈로그는 위임하는 데 사용되므로 관리자가 아닌 사용자는 자신의 액세스 패키지를 만들 수 있습니다. 카탈로그 소유자는 자신이 소유한 리소스를 카탈로그에 추가할 수 있습니다.
카탈로그 작성자 새 카탈로그를 만들 수 있는 권한이 있는 사용자의 컬렉션입니다. 카탈로그 작성자 권한이 있는 관리자가 아닌 사용자는 새 카탈로그를 만드는 경우 자동으로 해당 카탈로그의 소유자가 됩니다.
연결된 조직 관계가 있는 외부 Microsoft Entra 디렉터리 또는 도메인입니다. 연결된 조직의 사용자는 정책에서 액세스를 요청할 수 있도록 지정할 수 있습니다.
policy 사용자가 액세스하는 방법, 승인할 수 있는 사용자 및 할당을 통해 사용자가 액세스할 수 있는 기간과 같은 액세스 수명 주기를 정의하는 규칙 세트입니다. 정책은 액세스 패키지에 연결됩니다. 예를 들어 액세스 패키지에는 직원이 액세스를 요청하고, 외부 사용자가 액세스를 요청하는 두 개의 정책이 있을 수 있습니다.
resource 사용자에게 권한을 부여할 수 있는 역할이 있는 자산입니다(예: Office 그룹, 보안 그룹, 애플리케이션 또는 SharePoint Online 사이트).
리소스 디렉터리 공유할 하나 이상의 리소스가 있는 디렉터리입니다.
리소스 역할 리소스에서 연결하고 정의한 권한의 컬렉션입니다. 그룹에는 멤버 및 소유자의 두 가지 역할이 있습니다. SharePoint 사이트에는 일반적으로 세 개의 역할이 있지만, 다른 사용자 지정 역할도 있을 수 있습니다. 애플리케이션에는 사용자 지정 역할이 있을 수 있습니다.

라이선스 요구 사항

이 기능을 사용하려면 조직의 사용자에 대한 Microsoft Entra ID Governance 구독이 필요합니다. 이 기능의 일부 기능은 Microsoft Entra ID P2 구독을 통해 작동할 수 있습니다. 자세한 내용은 각 기능에 대한 문서를 참조하세요. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.

다음 단계