Microsoft Entra ID의 사용자 및 관리자 동의

  • 아티클

이 문서에서는 Microsoft Entra ID의 사용자 및 관리자 동의와 관련된 기본 개념 및 시나리오에 대해 알아봅니다.

동의는 사용자가 애플리케이션에서 보호된 리소스에 액세스할 수 있는 권한을 부여할 수 있는 프로세스입니다. 필요한 액세스 수준을 나타내기 위해 애플리케이션에서 필요한 API 권한을 요청합니다. 예를 들어 애플리케이션은 로그인한 사용자의 프로필을 확인하고 사용자 사서함의 내용을 읽을 수 있는 권한을 요청할 수 있습니다.

동의는 다양한 방법으로 시작할 수 있습니다. 예를 들어 사용자가 애플리케이션에 처음으로 로그인하려고 할 때 동의를 요구하는 메시지가 표시될 수 있습니다. 필요한 권한에 따라 일부 애플리케이션에서 관리자가 동의를 허용해야 할 수 있습니다.

사용자는 해당 사용자 역할을 수행하는 동안 보호된 리소스의 일부 데이터에 액세스할 수 있는 권한을 애플리케이션에 부여할 수 있습니다. 이 유형의 액세스를 허용하는 권한을 "위임된 권한"이라고 합니다.

사용자 동의는 일반적으로 사용자가 애플리케이션에 로그인할 때 시작됩니다. 사용자에게 로그인 자격 증명이 제공되면 동의가 이미 허용되었는지 여부를 확인합니다. 필요한 권한에 대한 사용자 또는 관리자 동의에 대한 이전 기록이 없는 경우 사용자는 요청된 권한을 애플리케이션에 부여할 수 있는 동의 프롬프트 창으로 이동합니다.

관리자가 아닌 사용자의 사용자 동의는 애플리케이션 및 애플리케이션에 필요한 권한 집합에 대해 사용자 동의가 허용되는 조직에서만 가능합니다. 사용자 동의가 사용하지 않도록 설정되거나 사용자가 요청된 권한에 동의하도록 허용되지 않은 경우 동의를 요구하는 메시지가 표시되지 않습니다. 사용자가 동의하도록 허용되고 요청된 권한을 수락하면 동의가 기록되고 일반적으로 나중에 동일한 애플리케이션에 로그인할 때 다시 동의할 필요가 없습니다.

사용자는 자신의 데이터를 제어할 수 있습니다. 권한 있는 관리자는 관리자가 아닌 사용자가 애플리케이션에 대한 사용자 동의를 허용할 수 있도록 할지 여부를 구성할 수 있습니다. 이 설정은 애플리케이션, 애플리케이션의 게시자 및 요청되는 권한의 측면을 고려할 수 있습니다.

관리자는 사용자 동의가 허용되는지 여부를 선택할 수 있습니다. 사용자 동의를 허용하도록 선택한 경우 사용자가 애플리케이션에 동의하기 전에 충족해야 하는 조건도 선택할 수 있습니다.

모든 사용자에게 적용되는 애플리케이션 동의 정책을 선택하면 사용자가 애플리케이션에 대한 동의를 허용할 수 있는 경우와 관리자 검토 및 승인을 요청해야 하는 경우에 대한 제한을 설정할 수 있습니다. Microsoft Entra 관리 센터는 다음과 같은 기본 제공 옵션을 제공합니다.

  • 관리자는 사용자 동의를 사용하지 않도록 설정할 수 있습니다. 사용자는 권한을 애플리케이션에 부여할 수 없습니다. 사용자는 이전에 동의한 애플리케이션 또는 관리자가 사용자를 대신하여 동의를 허용한 애플리케이션에 계속 로그인하지만, 애플리케이션에 대한 새 권한에 직접 동의할 수는 없습니다. 동의를 허용할 수 있는 권한이 있는 디렉터리 역할이 부여된 사용자만 새 애플리케이션에 동의할 수 있습니다.

  • 사용자는 확인된 게시자 또는 조직의 애플리케이션에 동의할 수 있지만, 선택한 권한에 대해서만 가능합니다. 모든 사용자는 확인된 게시자가 게시한 애플리케이션 및 테넌트에서 등록된 애플리케이션에만 동의할 수 있습니다. 사용자는 관리자가 낮은 영향으로 분류한 권한에만 동의할 수 있습니다. 사용자가 동의할 수 있는 권한을 선택하려면 권한을 분류해야 합니다.

  • 사용자는 모든 애플리케이션에 동의할 수 있습니다. 이 옵션을 사용하면 모든 사용자가 모든 애플리케이션에 대해 관리자 동의가 필요하지 않은 모든 권한에 동의할 수 있습니다.

대부분의 조직에서는 기본 제공 옵션 중 하나가 적합합니다. 일부 고급 고객은 사용자가 동의할 수 있도록 허용되는 경우를 제어하는 조건을 더 자세히 제어하려고 할 수 있습니다. 이러한 고객은 사용자 지정 앱 동의 정책을 만들고 사용자 동의에 적용하도록 해당 정책을 구성할 수 있습니다.

관리자 동의 중에 권한 있는 관리자는 다른 사용자를 대신하여(일반적으로 전체 조직을 대신하여) 애플리케이션 액세스 권한을 부여할 수 있습니다. 또한 관리자 동의 중에 애플리케이션 또는 서비스는 로그인한 사용자가 없는 경우 애플리케이션에서 사용할 수 있는 API에 대한 직접 액세스를 제공합니다. 관리자 동의를 부여하는 데 필요한 특정 역할은 요청된 권한에 따라 다르며, 권한 부여 관리자 동의 문서에 설명되어 있습니다.

조직에서 새 애플리케이션에 대한 라이선스 또는 구독을 구매할 때 조직의 모든 사용자가 사용할 수 있도록 사전에 애플리케이션을 설정할 수 있습니다. 사용자 동의가 필요하지 않도록 관리자는 조직의 모든 사용자를 대신하여 애플리케이션에 대한 동의를 허용할 수 있습니다.

관리자가 조직을 대신하여 관리자 동의를 허용하면 일반적으로 사용자에게 해당 애플리케이션에 대한 동의를 요구하는 메시지가 표시되지 않습니다. 경우에 따라 관리자가 동의를 허용한 후에도 사용자에게 동의를 요구하는 메시지가 표시될 수 있습니다. 예를 들어 애플리케이션에서 관리자가 아직 부여하지 않은 다른 권한을 요청하는 경우일 수 있습니다.

조직을 대신하여 관리자 동의를 허용하는 것은 중요한 작업이며, 잠재적으로 애플리케이션의 게시자가 조직 데이터의 상당 부분에 액세스할 수 있도록 허용하거나 권한이 높은 작업을 수행할 수 있는 권한을 허용합니다. 이러한 작업의 예로 역할 관리, 모든 사서함 또는 모든 사이트에 대한 모든 권한, 전체 사용자 가장이 있습니다.

테넌트 전체 관리자 동의를 허용하기 전에 허용하려는 액세스 수준에 대해 애플리케이션과 애플리케이션 게시자를 신뢰하는지 확인해야 합니다. 애플리케이션을 제어하는 사용자 및 애플리케이션이 권한을 요청하는 이유를 알지 못하는 경우 동의를 부여하지 않습니다.

애플리케이션 관리자 동의를 허용할지 여부에 대한 단계별 지침은 테넌트 전체 관리자 동의에 대한 요청 평가를 참조하세요.

Microsoft Entra관리 센터에서 테넌트 전체 관리자 동의를 허용하는 단계별 지침은 애플리케이션에 대한 테넌트 전체 관리자 동의 허용을 참조하세요.

전체 조직에 대한 동의를 허용하는 대신, 관리자는 단일 사용자를 대신하여 Microsoft Graph API를 통해 동의를 위임된 권한에 허용할 수도 있습니다. Microsoft Graph PowerShell을 사용하는 자세한 예는 단일 사용자를 대신하여 PowerShell을 통해 동의 허용을 참조하세요.

애플리케이션에 대한 사용자 액세스 제한

테넌트 전체 관리자 동의가 허용된 경우에도 애플리케이션에 대한 사용자 액세스는 계속 제한될 수 있습니다. 애플리케이션에 대한 사용자 액세스를 제한하려면 사용자 할당을 요구하도록 애플리케이션의 속성을 구성합니다. 자세한 내용은 사용자 및 그룹을 할당하는 메서드를 참조하세요.

다른 복잡한 시나리오를 처리하는 방법을 포함하여 더 광범위한 개요는 애플리케이션 액세스 관리에 Microsoft Entra ID 사용을 참조하세요.

사용자가 직접 동의할 수 있도록 허용되지 않는 경우 관리자 동의 워크플로에서 애플리케이션에 대한 관리자 동의를 요청할 수 있는 방법을 제공합니다. 관리자 동의 워크플로를 사용하도록 설정하면 애플리케이션 액세스에 대한 관리자 승인을 요청할 수 있는 "승인 필요" 창이 사용자에게 표시됩니다.

사용자가 관리자 동의 요청을 제출하면 검토자로 지정된 관리자가 알림을 받습니다. 검토자가 요청에 대한 작업을 수행하면 사용자가 알림을 받습니다. Microsoft Entra 관리 센터를 사용하여 관리자 동의 워크플로를 구성하는 단계별 지침은 관리자 동의 워크플로 구성을 참조하세요.

관리자 동의 워크플로가 사용하도록 설정되면 사용자가 동의 권한이 없는 애플리케이션에 대한 관리자 승인을 요청할 수 있습니다. 이 프로세스의 단계는 다음과 같습니다.

  1. 사용자가 애플리케이션에 대한 로그인을 시도합니다.
  2. 승인 필요 메시지가 표시됩니다. 사용자가 애플리케이션에 액세스해야 하는 이유를 입력한 다음, "승인 요청"을 선택합니다.
  3. 요청 전송됨 메시지가 표시되어 요청이 관리자에게 전송되었음을 확인합니다. 사용자가 여러 요청을 전송하는 경우 첫 번째 요청만 관리자에게 전송됩니다.
  4. 요청이 승인, 거부 또는 차단되는 경우 사용자가 이메일 알림을 받습니다.

다음 단계