그룹용 PIM(Privileged Identity Management)
Microsoft Entra ID를 사용하면 그룹에 대한 PIM(Microsoft Entra)을 통해 사용자에게 Just-In-Time 멤버 자격 및 그룹 소유권을 부여할 수 있습니다. 그룹은 Microsoft Entra 역할, Azure 역할, Azure SQL, Azure Key Vault, Intune, 기타 애플리케이션 역할 및 타사 애플리케이션을 포함하는 다양한 시나리오에 대한 액세스를 제어하는 데 사용할 수 있습니다.
그룹용 PIM이란?
그룹용 PIM은 Microsoft Entra Privileged Identity Management의 일부입니다. Microsoft Entra 역할용 PIM 및 Azure 리소스용 PIM과 함께 그룹용 PIM을 사용하면 사용자가 Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹의 소유권 또는 멤버 자격을 활성화할 수 있습니다. 그룹은 Microsoft Entra 역할, Azure 역할, Azure SQL, Azure Key Vault, Intune, 기타 애플리케이션 역할 및 타사 애플리케이션을 포함하는 다양한 시나리오에 대한 액세스를 제어하는 데 사용할 수 있습니다.
그룹용 PIM을 사용하면 Microsoft Entra 역할의 PIM 및 Azure 리소스용 PIM에서 사용하는 것과 유사한 정책을 사용할 수 있습니다. 멤버 자격 또는 소유권 활성화에 대한 승인이 필요하고, MFA(다단계 인증)를 적용하고, 근거를 요구하고, 최대 정품 인증 시간을 제한할 수 있습니다. 그룹용 PIM의 각 그룹에는 두 가지 정책이 있습니다. 하나는 멤버 자격 활성화용 정책이고 다른 하나는 그룹의 소유권 활성화용 정책입니다. 2023년 1월까지 그룹용 PIM 기능을 "권한 있는 액세스 그룹"이라고 했습니다.
참고 항목
Microsoft Entra 역할로 승격하는 데 사용되는 그룹의 경우 적합한 멤버 할당에 대한 승인 프로세스를 요구하는 것이 좋습니다. 승인 없이 활성화할 수 있는 할당은 권한이 낮은 관리자의 보안 위험에 대해 취약해질 수 있습니다. 예를 들어 기술 지원팀 관리자는 적격 사용자의 암호를 재설정할 수 있는 권한이 있습니다.
Microsoft Entra 역할 할당 가능 그룹이란?
Microsoft Entra ID로 작업할 때 Microsoft Entra ID 보안 그룹 또는 Microsoft 365 그룹을 Microsoft Entra ID 역할에 할당할 수 있습니다. 이 작업은 역할 할당 가능으로 생성된 그룹에서만 가능합니다.
Microsoft Entra AD 역할 할당 가능 그룹에 대한 자세한 내용은 Microsoft Entra ID에서 역할 할당 가능 그룹 만들기를 참조하세요.
역할 할당 가능 그룹은 역할 할당 불가능 그룹과 비교하여 추가 보호의 이점을 누릴 수 있습니다.
- 역할 할당 가능 그룹 - 전역 관리자, 권한 있는 역할 관리자 또는 그룹 소유자만 그룹을 관리할 수 있습니다. 또한 다른 사용자가 그룹의 (활성) 멤버인 사용자의 자격 증명을 변경할 수 없습니다. 이 기능을 사용하면 관리자가 요청 및 승인 절차를 거치지 않고 더 높은 권한의 역할로 승격되는 것을 방지할 수 있습니다.
- 역할 할당 불가능 그룹 - 다양한 Microsoft Entra 역할이 이러한 그룹을 관리할 수 있습니다. 여기에는 Exchange 관리자, 그룹 관리자, 사용자 관리자 등이 포함됩니다. 또한 다양한 Microsoft Entra 역할은 인증 관리자, 기술 지원팀 관리자, 사용자 관리자 등을 비롯한 그룹의 (활성) 멤버인 사용자의 자격 증명을 변경할 수 있습니다.
Microsoft Entra 기본 제공 역할 및 해당 권한에 대한 자세한 내용은 Microsoft Entra 기본 제공 역할을 참조하세요.
Microsoft Entra 역할 할당 가능 그룹 기능은 Microsoft Entra PIM(Microsoft Entra Privileged Identity Management)의 일부가 아닙니다. 라이선스에 관한 자세한 내용은 Microsoft Entra ID 거버넌스 라이선스 기본 사항을 참조하세요.
역할 할당 가능 그룹과 그룹용 PIM 간 관계
Microsoft Entra ID의 그룹은 역할 할당 가능 또는 비 역할 할당 가능으로 분류할 수 있습니다. 또한 모든 그룹을 그룹용 Microsoft Entra PIM(Privileged Identity Management)과 함께 사용하도록 설정하거나 설정하지 않을 수 있습니다. 이러한 속성은 그룹의 독립적인 속성입니다. 모든 Microsoft Entra 보안 그룹 및 Microsoft 365 그룹(동적 그룹 및 온-프레미스 환경에서 동기화된 그룹 제외)은 그룹용 PIM에서 사용하도록 설정할 수 있습니다. 그룹을 그룹용 PIM에서 사용하도록 설정하기 위해 역할 할당 가능 그룹일 필요는 없습니다.
그룹에 Microsoft Entra 역할을 할당하려면 역할 할당 가능이어야 합니다. 그룹에 Microsoft Entra 역할을 할당하지 않지만 그룹이 중요한 리소스에 대한 액세스를 제공하는 경우에도 그룹을 역할 할당 가능으로 만드는 것이 좋습니다. 이는 역할 할당 가능 그룹이 제공하는 추가적인 보호 기능 때문입니다. 위의 섹션에서 "Microsoft Entra 역할 할당 가능 그룹이란?"을 참조하세요.
Important
2023년 1월까지 모든 권한 있는 액세스 그룹(이 그룹용 PIM 기능의 이전 이름)은 역할 할당 가능 그룹이어야 했습니다. 이 제한은 현재 제거되었습니다. 따라서 이제 PIM에서 테넌트당 500개 이상의 그룹을 사용하도록 설정할 수 있지만 최대 500개의 그룹만 역할을 할당할 수 있습니다.
사용자 그룹을 Microsoft Entra 역할에 적격으로 만들기
다음 두 가지 방법으로 사용자 그룹을 Microsoft Entra 역할에 적격하게 만들 수 있습니다.
- 사용자를 그룹에 적극적으로 할당한 다음, 그룹을 활성화할 수 있는 역할에 할당합니다.
- 그룹에 역할을 적극적으로 할당하고 사용자를 그룹 멤버 자격에 적격으로 할당합니다.
SharePoint, Exchange 또는 보안 및 Microsoft Purview 규정 준수 포털 권한이 있는 Microsoft Entra 역할에 대한 Just-In-Time 액세스 권한을 사용자 그룹에 제공하려면(예: Exchange 관리이스트레이터 역할) 그룹에 사용자를 적극적으로 할당한 다음 그룹을 활성화할 수 있는 역할에 할당해야 합니다(위의 옵션 #1). 대신 그룹에 역할을 적극적으로 할당하도록 선택하고 사용자를 그룹 멤버 자격에 적격으로 할당하는 경우 역할의 모든 권한을 활성화하고 사용할 준비가 되도록 하는 데 상당한 시간이 걸릴 수 있습니다.
Privileged Identity Management 및 그룹 중첩
Microsoft Entra ID에서 역할 할당 가능 그룹에는 다른 그룹이 내부에 중첩될 수 없습니다. 자세한 내용은 Microsoft Entra 그룹을 사용하여 역할 할당 관리를 참조하세요. 이러한 특성은 활성 멤버 자격에 해당될 수 있습니다. 즉, 한 그룹은 역할 할당이 가능한 다른 그룹의 활성 멤버가 될 수 없습니다.
해당 그룹 중 하나가 역할 할당 가능인 경우에도 한 그룹이 다른 그룹의 적격 멤버가 될 수 있습니다.
사용자가 그룹 A의 활성 멤버이고 그룹 A가 그룹 B의 적격 멤버인 경우 사용자는 그룹 B에서 멤버 자격을 활성화할 수 있습니다. 이 활성화는 활성화를 요청한 사용자에게만 해당되며 전체 그룹 A가 그룹 B의 활성 멤버가 된다는 의미는 아닙니다.
Privileged Identity Management 및 앱 프로비저닝
그룹이 앱 프로비전을 위해 구성된 경우 그룹 멤버 자격 활성화는 SCIM 프로토콜을 사용하여 애플리케이션에 그룹 멤버 자격(및 이전에 프로비전되지 않은 경우 사용자 계정 자체)의 프로비전을 트리거합니다.
공개 미리 보기에는 PIM에서 그룹 멤버 자격을 활성화한 직후 프로비전을 트리거하는 기능이 있습니다. 프로비전 구성은 애플리케이션에 따라 달라집니다. 일반적으로 애플리케이션에 두 개 이상의 그룹을 할당하는 것이 좋습니다. 애플리케이션의 역할 수에 따라 "추가 권한 있는 그룹"을 정의하도록 선택할 수 있습니다.
| 그룹 | 목적 | 멤버 | 그룹 구성원 | 애플리케이션에 할당된 역할 |
|---|---|---|---|---|
| 모든 사용자 그룹 | 애플리케이션에 액세스해야 하는 모든 사용자가 애플리케이션에 지속적으로 프로비전되는지 확인합니다. | 애플리케이션에 액세스해야 하는 모든 사용자. | 활성화 | 없음 또는 낮은 권한의 역할 |
| 권한 있는 그룹 | 애플리케이션에서 권한 있는 역할에 대한 Just-In-Time 액세스를 제공합니다. | 애플리케이션에서 권한 있는 역할에 대한 Just-In-Time 액세스 권한이 필요한 사용자입니다. | 적격 | 권한 있는 역할 |
주요 고려 사항
- 사용자가 애플리케이션에 프로비전되는 데 얼마나 걸리나요?
- 사용자가 Microsoft Entra PIM(Privileged Identity Management)을 사용하여 그룹 멤버 자격을 활성화하지 않고 Microsoft Entra ID의 그룹에 추가되는 경우:
- 그룹 멤버 자격은 다음 동기화 주기 동안 애플리케이션에서 프로비전됩니다. 동기화 주기는 40분마다 실행됩니다.
- 사용자가 Microsoft Entra PIM에서 그룹 멤버 자격을 활성화하는 경우:
- 그룹 멤버 자격은 2~10분 후에 프로비전됩니다. 한 번에 요청 비율이 높은 경우 요청은 10초당 5개 요청의 속도로 제한됩니다.
- 특정 애플리케이션에 대한 그룹 멤버 자격을 활성화하는 10초 이내에 처음 5명의 사용자는 2-10분 이내에 애플리케이션에서 그룹 멤버 자격이 프로비전됩니다.
- 특정 애플리케이션에 대한 그룹 멤버 자격을 활성화하는 10초 기간 내에 여섯 번째 사용자 이상인 경우 그룹 멤버 자격은 다음 동기화 주기에서 애플리케이션에 프로비전됩니다. 동기화 주기는 40분마다 실행됩니다. 제한 제한은 엔터프라이즈 애플리케이션당입니다.
- 사용자가 Microsoft Entra PIM(Privileged Identity Management)을 사용하여 그룹 멤버 자격을 활성화하지 않고 Microsoft Entra ID의 그룹에 추가되는 경우:
- 사용자가 대상 애플리케이션에서 필요한 그룹에 액세스할 수 없는 경우 PIM 로그 및 프로비전 로그를 검토하여 그룹 멤버 자격이 성공적으로 업데이트되었는지 확인하세요. 대상 애플리케이션을 설계하는 방법에 따라 그룹 멤버 자격이 애플리케이션에 적용되는 데 추가 시간이 걸릴 수 있습니다.
- 고객은 Azure Monitor를 사용하여 오류에 대한 경고를 만들 수 있습니다.