그룹 할당에 대한 PIM 연장 또는 갱신

  • 아티클

Microsoft Entra ID의 PIM(Privileged Identity Management)은 그룹 멤버 자격 및 소유권에 대한 액세스 및 할당 수명 주기를 관리하는 컨트롤을 제공합니다. 관리자는 그룹 멤버 자격 및 소유권 시작 및 종료 날짜/시간 속성을 할당할 수 있습니다. 할당 종료에 도달하면 Privileged Identity Management에서 영향을 받는 사용자 또는 그룹에 메일 알림을 보냅니다. 또한 리소스 관리자에게도 적절한 액세스가 유지되도록 메일 알림을 보냅니다. 액세스가 연장되지 않더라도 할당이 갱신되어 만료된 상태에서 최대 30일 동안 표시됩니다.

연장 및 갱신할 수 있는 사람

그룹 관리 권한이 있는 사용자만 그룹 멤버 자격 또는 소유권 기한 할당을 연장하거나 갱신할 수 있습니다. 영향을 받는 사용자 또는 그룹은 만료될 예정인 할당을 연장하도록 요청할 수 있고 이미 만료된 할당을 갱신하도록 요청할 수 있습니다.

역할 할당 가능 그룹은 전역 관리자, 권한 있는 역할 관리자 또는 그룹 소유자가 관리할 수 있습니다. 역할 할당이 불가능한 그룹은 전역 관리자, 디렉터리 작성자, 그룹 관리자, ID 거버넌스 관리자, 사용자 관리자 또는 그룹 소유자가 관리할 수 있습니다. 관리자에 대한 역할 할당 범위는 디렉터리 수준(관리 단위 수준 아님)으로 할당되어야 합니다.

참고 항목

그룹을 관리할 수 있는 권한이 있는 다른 역할(예: 역할 할당이 불가능한 M365 그룹의 Exchange 관리자) 및 관리 장치 수준으로 범위가 할당된 할당이 있는 관리자는 그룹 API/UX를 통해 그룹을 관리하고 Microsoft Entra PIM에서 변경한 내용을 재정의할 수 있습니다.

알림을 보내는 경우

Privileged Identity Management는 만료될 예정인 그룹에 대한 PIM 할당의 영향을 받는 사용자 및 관리자에게 메일 알림을 보냅니다.

  • 만료 전 14일 이내
  • 만료 전 1일
  • 할당이 만료되는 경우

만료될 예정이거나 만료된 할당을 연장하거나 갱신하도록 사용자 또는 그룹이 요청하면 관리자가 알림을 받게 됩니다. 관리자가 요청을 해결하면 모든 관리자 및 요청한 사용자에게 승인 또는 거부 알림이 제공됩니다.

그룹 할당 연장

다음 단계에서는 그룹 멤버 자격 및 소유권 할당 연장 또는 갱신을 요청하고, 해결하고, 관리하는 프로세스를 간략하게 설명합니다.

만료될 예정인 할당 자체 연장

그룹 멤버 자격 및 소유권에 할당된 사용자는 해당 그룹에 대한 할당 페이지의 적격 또는 활성 탭에서 만료될 예정인 그룹 할당을 직접 연장할 수 있습니다. 사용자 또는 그룹은 앞으로 14일 안에 만료될 적격 할당 및 활성 할당을 연장하도록 요청할 수 있습니다.

Screenshot of where to self-extend expiring assignments.

할당 종료 날짜-시간이 14일 이내이면 연장 명령을 사용할 수 있습니다. 그룹 할당 연장을 요청하려면 연장을 선택하여 요청 양식을 엽니다.

Screenshot of where to extend group assignment pane with a Reason box and details.

참고 항목

연장이 필요한 이유와 부여되어야 하는 연장 기간(이 정보가 있는 경우)에 대한 세부 정보를 포함시키는 것이 좋습니다.

관리자는 연장 요청을 검토하도록 요청하는 메일 알림을 받게 됩니다. 연장 요청이 이미 제출된 경우 Azure 알림이 포털에 표시됩니다.

요청 상태를 보거나 취소하려면 그룹 할당에 대한 보류 중인 요청 페이지를 엽니다.

Screenshot of the pending requests page showing the link to Cancel.

관리자 승인된 연장

사용자 또는 그룹이 그룹 할당 연장 요청을 제출하면 관리자는 원래 할당에 대한 세부 정보와 요청 이유가 포함된 메일 알림을 받게 됩니다. 알림에는 관리자가 요청을 승인하거나 거부할 수 있는 직접 링크가 포함됩니다.

관리자는 메일의 링크를 사용하는 것 외에도 Privileged Identity Management 관리 포털로 이동한 후 왼쪽 창에서 요청 승인을 선택하여 요청을 승인하거나 거부할 수 있습니다.

Screenshot of the approve requests page listing requests and links to approve or deny.

관리자가 승인 또는 거부를 선택하면 요청의 세부 정보가 감사 로그에 대한 비즈니스 타당성을 제공하는 필드와 함께 표시됩니다.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

그룹 할당 연장 요청을 승인하는 경우 리소스 관리자는 새로운 시작 날짜, 종료 날짜, 할당 유형을 선택할 수 있습니다. 관리자가 특정 작업을 완료하도록 제한된 액세스를 제공하려는 경우 할당 유형 변경이 필요할 수 있습니다(예: 하루). 이 예제에서는 관리자가 적격에서 활성으로 할당을 변경할 수 있습니다. 즉, 활성화를 요구하지 않고도 요청자에게 액세스 권한을 제공할 수 있습니다.

관리자가 시작한 연장

그룹에 할당된 사용자가 그룹 할당 연장을 요청하지 않는 경우 관리자는 사용자를 대신하여 할당을 연장할 수 있습니다. 그룹 할당을 관리자가 연장하는 경우 승인이 필요하지 않으나 할당이 연장되면 다른 모든 관리자에게 알림이 전송됩니다.

그룹 할당을 연장하려면 Privileged Identity Management에서 할당 보기로 이동합니다. 연장해야 하는 할당을 찾습니다. 그런 다음 작업 열에서 연장을 선택합니다.

Screenshot of the assignments page listing eligible group assignments with links to extend.

그룹 할당 갱신

만료된 그룹 할당을 갱신하는 프로세스는 연장 요청 프로세스와 개념적으로는 유사하지만 서로 다릅니다. 관리자는 필요한 경우 다음 단계를 수행하여 만료된 할당에 대한 액세스를 갱신할 수 있습니다.

자체 갱신

리소스에 더 이상 액세스할 수 없는 사용자는 최대 30일까지 만료된 할당 내역에 액세스할 수 있습니다. 할당 기록에 액세스하려면 왼쪽 창에서 내 역할로 이동하여 만료된 할당 탭을 선택합니다.

표시되는 할당 목록은 기본적으로 적격 할당으로 설정되어 있습니다. 드롭다운 메뉴를 사용하여 적격 할당 및 활성 할당 간에 전환합니다.

목록에 있는 그룹 할당 중 하나에 대한 갱신을 요청하려면 갱신 작업을 선택합니다. 그런 다음 요청 이유를 제공합니다. 리소스 관리자가 승인이나 거부를 결정하는 데 도움이 되도록 추가 컨텍스트 또는 비즈니스 타당성뿐만 아니라 기간을 제공하는 것이 좋습니다.

요청이 제출되면 리소스 관리자에게 보류 중인 그룹 할당 갱신 요청에 대한 알림이 제공됩니다.

관리자 승인

리소스 관리자는 이메일 알림의 링크를 통해 갱신 요청에 액세스하거나 Microsoft Entra 관리 센터에서 Privileged Identity Management에 액세스하고 왼쪽 창에서 요청 승인을 선택하여 갱신 요청에 액세스할 수 있습니다.

관리자가 승인 또는 거부를 선택하면 요청의 세부 정보가 감사 로그에 대한 비즈니스 타당성을 제공하는 필드와 함께 표시됩니다.

그룹 할당 갱신 요청을 승인하는 경우 리소스 관리자는 새로운 시작 날짜, 종료 날짜, 할당 유형을 입력해야 합니다.

다음 단계