액세스 검토에서 그룹 및 애플리케이션의 액세스 검토 완료

  • 아티클

관리자는 그룹 또는 애플리케이션에 대한 액세스 검토를 만들고 검토자는 액세스 검토를 수행합니다. 이 문서에서는 액세스 검토 결과를 보고 적용하는 방법에 대해 설명합니다.

참고 항목

이 문서에서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법에 대한 단계를 제공하며 GDPR에 따라 의무를 지원하는 데 사용할 수 있습니다. GDPR에 대한 일반정인 정보는 Microsoft Trust Center의 GDPR 섹션Service Trust 포털의 GDPR 섹션을 참조하세요.

필수 조건

  • Microsoft Entra ID P2 또는 Microsoft Entra ID Governance
  • 전역 관리자, 사용자 관리자 또는 ID 거버넌스 관리자는 그룹 및 애플리케이션에 대한 검토 액세스를 관리합니다. 전역 관리주부 역할 또는 권한 있는 역할 관리주부 역할이 있는 사용자는 역할 할당 가능 그룹의 검토를 관리할 수 있습니다. Microsoft Entra 그룹을 사용하여 역할 할당 관리 참조
  • 보안 읽기 권한자에게 읽기 액세스 권한이 있습니다.

자세한 내용은 라이선스 요구 사항을 참조하세요.

액세스 검토 상태 보기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

액세스 검토가 완료되면 진행 상황을 추적할 수 있습니다.

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>액세스 검토로 이동합니다.

  3. 목록에서 액세스 검토를 선택합니다.

    개요 페이지에서 검토의 현재 인스턴스의 진행 상황을 볼 수 있습니다. 해당 시점에 열려 있는 활성 인스턴스가 없으면 이전 인스턴스에 대한 정보가 표시됩니다. 액세스 권한은 검토가 완료될 때까지 디렉터리에서 변경되지 않습니다.

    Review of All company group

    현재 아래의 모든 블레이드는 각 검토 인스턴스 기간 동안에만 볼 수 있습니다.

    참고 항목

    현재 액세스 검토에는 활성 검토 인스턴스에 대한 정보만 표시되지만 예약 검토 섹션에서 시리즈에서 아직 진행되지 않은 검토에 대한 정보를 얻을 수 있습니다.

    결과 페이지는 중지, 재설정 및 결과 다운로드 기능을 포함하여 인스턴스에서 검토 중인 각 사용자에 대한 추가 정보를 제공합니다.

    Review guest access across Microsoft 365 groups

    Microsoft 365 그룹 전체의 게스트 액세스를 검토하는 액세스 검토를 보고 있는 경우 개요 블레이드에 검토의 각 그룹이 나열됩니다.

    review guest access across Microsoft 365 groups

    그룹을 선택하면 해당 그룹에 대한 검토 진행 상황을 볼 수 있으며 중지, 초기화, 적용 및 삭제도 수행할 수 있습니다.

    review guest access across Microsoft 365 groups in detail

  4. 예정된 종료 날짜가 되기 전에 액세스 검토를 중지하려면 중지 단추를 선택합니다.

    검토를 중지하면 검토자가 더 이상 응답을 제공할 수 없습니다. 중단한 검토는 다시 시작할 수 없습니다.

  5. 액세스 검토에 더 이상 관심이 없으면 삭제 단추를 클릭하여 삭제할 수 있습니다.

다단계 검토 상태 보기(미리 보기)

다단계 액세스 검토의 상태 및 단계를 보려면 다음을 수행합니다.

  1. 상태를 확인하려는 다단계 검토를 선택하거나 어떤 단계에 있는지 확인합니다.

  2. 현재 아래 왼쪽 탐색 메뉴에서 결과를 선택합니다.

  3. 결과 페이지에 있으면 상태 아래에 다단계 검토가 진행 중인 단계가 표시됩니다. 액세스 검토 설정 중에 지정된 기간이 경과할 때까지 검토의 다음 단계가 활성화되지 않습니다.

  4. 결정이 내려졌지만 이 스테이지의 검토 기간이 아직 만료되지 않은 경우 결과 페이지에서 현재 스테이지 중지 단추를 선택할 수 있습니다. 그러면 다음 검토 단계가 트리거됩니다.

결과 검색

검토 결과를 보려면 결과 페이지를 선택합니다. 사용자의 액세스 권한만 보려면 검색 상자에 액세스가 검토된 사용자의 표시 이름 또는 사용자 계정 이름을 입력합니다.

Retrieve results for an access review

되풀이되는 액세스 검토의 완료된 인스턴스의 결과를 보려면 기록 검토을 선택한 다음, 인스턴스의 시작 및 종료 날짜를 기준으로 완료된 액세스 검토 인스턴스 목록에서 특정 인스턴스를 선택합니다. 이 인스턴스의 결과는 결과 페이지에서 얻을 수 있습니다. 반복적인 액세스 검토를 통해 일회성 액세스 검토보다 더 자주 업데이트해야 할 수 있는 리소스에 대한 액세스를 지속적으로 파악할 수 있습니다.

진행 중이거나 완료된 액세스 검토 결과를 검색하려면 다운로드 단추를 선택합니다. 결과 CSV 파일은 Excel 또는 UTF-8로 인코딩된 CSV 파일을 열 수 있는 다른 프로그램에서 볼 수 있습니다.

프로그래밍 방식으로 결과 검색

Microsoft Graph 또는 PowerShell을 사용하여 액세스 검토 결과를 검색할 수도 있습니다.

먼저 액세스 검토의 인스턴스찾아야 합니다. accessReviewScheduleDefinition이 되풀이 액세스 검토인 경우 인스턴스는 각 되풀이를 나타냅니다. 재귀하지 않는 검토에는 정확히 하나의 인스턴스가 있습니다. 또한 인스턴스는 일정 정의에서 검토 중인 각 고유 그룹을 나타냅니다. 일정 정의가 여러 그룹을 검토하는 경우 각 그룹에는 각 되풀이에 대한 고유한 인스턴스가 있습니다. 모든 인스턴스에는 검토자가 조치를 취할 수 있는 결정 목록이 포함되며 ID당 하나의 결정이 검토됩니다.

인스턴스를 식별한 후 Graph를 사용하여 결정을 검색하려면 Graph API를 호출하여 인스턴스의 결정을 나열합니다. 다단계 검토인 경우 Graph API를 호출하여 다단계 액세스 검토의 결정을 나열합니다. 호출자는 위임된 AccessReview.Read.All 또는 권한이 있는 애플리케이션이 있는 적절한 역할의 사용자이거나 AccessReview.ReadWrite.All 애플리케이션 권한이 있는 AccessReview.ReadWrite.All 애플리케이션 AccessReview.Read.All 이어야 합니다. 자세한 내용은 보안 그룹을 검토하는 방법에 대한 자습서를 참조하세요.

Id 거버넌스 모듈용 Microsoft Graph PowerShell Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision cmdlet에서 cmdlet을 사용하여 PowerShell에서 의사 결정을 검색할 수도 있습니다. 이 API의 기본 페이지 크기는 100개 의사 결정 항목입니다.

변경 내용 적용

완료 시 설정에서 선택한 항목에 따라 결과를 리소스에 자동 적용이 설정된 경우 검토 인스턴스가 완료되면 자동 적용이 실행되고, 수동으로 검토를 중지하는 경우 더 일찍 실행됩니다.

검토에 대해 결과를 리소스에 자동 적용이 설정되지 않은 경우 검토 기간이 종료되거나 검토가 조기에 중단된 후 시리즈 아래의 검토 기록으로 이동하여 적용하려는 검토의 인스턴스를 선택합니다.

Apply access review changes

변경 내용을 수동으로 적용하려면 적용을 선택합니다. 검토에서 사용자의 액세스가 거부된 경우 적용을 선택하면 Microsoft Entra ID에서 해당 멤버 자격 또는 애플리케이션 할당을 제거합니다.

Apply access review changes button

검토 상태는 완료됨에서 적용 중과 같은 중간 상태를 거쳐 마지막으로 결과 적용됨 상태로 변경됩니다. 거부된 사용자(있는 경우)가 몇 분 내에 그룹 구성원 자격 또는 애플리케이션 할당에서 제거되는 것을 볼 수 있어야 합니다.

수동 또는 자동으로 결과를 적용해도 온-프레미스 디렉터리에서 시작된 그룹에는 영향을 미치지 않습니다. 온-프레미스에서 시작된 그룹을 변경하려면 결과를 다운로드하고 이러한 변경 내용을 해당 디렉터리의 그룹 표시에 적용합니다.

참고 항목

일부 거부된 사용자는 결과를 적용할 수 없습니다. 이러한 상황이 발생할 수 있는 시나리오는 다음과 같습니다.

  • 동기화된 온-프레미스 Windows Server AD 그룹의 구성원 검토: 그룹이 온-프레미스 Windows Server AD에서 동기화된 경우 그룹을 Microsoft Entra ID로 관리할 수 없으므로 멤버 자격을 변경할 수 없습니다.
  • 중첩된 그룹이 할당된 리소스(역할, 그룹, 애플리케이션) 검토: 중첩된 그룹을 통해 멤버 자격이 있는 사용자의 경우 중첩된 그룹에 대한 멤버 자격을 제거하지 않으므로 검토 중인 리소스에 대한 액세스 권한은 유지됩니다.
  • 사용자를 찾을 수 없음/기타 오류로 인해 적용 결과가 지원되지 않을 수도 있습니다.
  • 메일 사용 그룹의 구성원 검토: 그룹을 Microsoft Entra ID로 관리할 수 없으므로 멤버 자격을 변경할 수 없습니다.
  • 그룹 할당을 사용하는 애플리케이션을 검토해도 해당 그룹의 구성원이 제거되지 않으므로 애플리케이션 할당에 대한 그룹 관계에서 기존 액세스 권한이 유지됩니다.

액세스 검토에서 거부된 게스트 사용자에 대한 작업

검토를 만들 때 작성자는 액세스 검토에서 거부된 게스트 사용자에 대해 두 가지 옵션 중에서 선택할 수 있습니다.

  • 거부된 게스트 사용자는 리소스에 대한 액세스 권한을 제거할 수 있습니다. 기본값입니다.
  • 거부된 게스트 사용자는 30일 동안 로그인을 차단한 후 테넌트에서 삭제할 수 있습니다. 30일 동안 게스트 사용자는 관리자가 테넌트에 대한 액세스를 복원할 수 있습니다. 30일 기간이 완료된 후 게스트 사용자에게 부여된 리소스에 대한 액세스 권한이 다시 부여되지 않으면 해당 사용자는 테넌트에서 영구적으로 제거됩니다. 또한 전역 관리자는 Microsoft Entra 관리 센터를 사용하여 해당 기간에 도달하기 전에 명시적으로 최근 삭제된 사용자를 영구적으로 삭제할 수 있습니다. 사용자가 영구적으로 삭제되면 해당 게스트 사용자에 대한 데이터는 활성 액세스 검토에서 제거됩니다. 삭제된 사용자에 대한 감사 정보는 감사 로그에 남아 있습니다.

거부된 B2B 직접 연결 사용자에 대한 작업

거부된 B2B 직접 연결 사용자 및 팀은 팀의 모든 공유 채널에 액세스할 수 없습니다.

다음 단계