Microsoft Entra 역할에 대한 모범 사례

  • 아티클

이 문서에서는 Microsoft Entra RBAC(Microsoft Entra 역할 기반 액세스 제어) 사용에 대한 몇 가지 모범 사례를 설명합니다. 이러한 모범 사례는 Microsoft Entra RBAC에 대한 당사의 환경과 사용자와 같은 고객의 환경에서 파생되었습니다. Microsoft Entra ID에서 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보호에 대한 자세한 보안 지침도 읽어 보시기 바랍니다.

1. 최소 권한 원칙 적용

액세스 제어 전략을 계획하는 경우 최소 권한으로 관리하는 것이 좋습니다. 최소 권한은 작업을 수행하는 데 필요한 권한만 관리자에게 부여하는 것을 의미합니다. 관리자에게 역할을 할당하는 경우 특정 권한 세트, 특정 범위, 특정 기간의 세 가지 측면을 고려해야 합니다. 처음에는 더 넓은 범위에서 더 넓은 역할을 할당하는 것이 더 편리하게 보이겠지만, 이렇게 하지 마세요. 역할과 범위를 제한함으로써 보안 주체가 손상된 경우 리소스를 위험으로부터 제한할 수 있습니다. Microsoft Entra RBAC는 65개 이상의 기본 제공 역할을 지원합니다. 사용자, 그룹, 애플리케이션과 같은 디렉터리 개체를 관리하고 Exchange, SharePoint, Intune과 같은 Microsoft 365 서비스를 관리하는 Microsoft Entra 역할이 있습니다. Microsoft Entra 기본 제공 역할을 더 잘 이해하려면 Microsoft Entra ID의 역할 이해를 참조하세요. 필요에 맞는 기본 제공 역할이 없는 경우 고유한 사용자 지정 역할을 만들 수 있습니다.

적합한 역할 찾기

올바른 역할을 찾는 데 도움이 되는 다음 단계를 따르세요.

  1. Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 서비스 필터를 사용하여 역할 목록의 범위를 좁힙니다.

    Roles and administrators page in admin center with Service filter open.

  4. Microsoft Entra 기본 제공 역할 설명서를 참조하세요. 가독성을 높이기 위해 각 역할과 연결된 권한이 함께 나열됩니다. 역할 권한의 구조와 의미를 이해하려면 역할 권한 이해 방법을 참조하세요.

  5. 작업별 최소 권한 역할 설명서를 참조하세요.

2. Privileged Identity Management를 사용하여 적시 액세스 권한 부여

최소 권한의 원칙 중 하나는 필요한 경우에만 액세스 권한을 부여해야 한다는 것입니다. Microsoft Entra PIM(Privileged Identity Management)을 사용하면 관리자에게 Just-In-Time 액세스 권한을 부여할 수 있습니다. Microsoft는 Microsoft Entra ID에서 PIM을 사용하는 것이 좋습니다. PIM을 사용하면 사용자는 Microsoft Entra 역할에 대한 자격을 얻을 수 있으며 필요할 때 제한된 시간 동안 역할을 활성화할 수 있습니다. 기간이 만료되면 권한 있는 액세스가 자동으로 제거됩니다. 승인이 필요하도록 PIM 설정을 구성하고, 누군가 역할 할당을 활성화할 때 알림 이메일을 받거나 기타 역할 설정을 구성할 수도 있습니다. 새로운 사용자가 권한이 높은 역할에 추가되면 알림이 경고를 제공합니다. 자세한 내용은 Privileged Identity Management에서 Microsoft Entra 역할 설정 구성을 참조하세요.

3. 모든 관리자 계정에 대해 다단계 인증을 켭니다.

Microsoft의 연구에 따르면, MFA(다단계 인증)를 사용하는 경우 계정이 손상될 가능성은 99.9% 더 적습니다.

다음 두 가지 방법을 사용하여 Microsoft Entra 역할에서 MFA를 사용하도록 설정할 수 있습니다.

4. 시간 경과에 따라 불필요한 권한을 취소하도록 반복 액세스 검토 구성

액세스 검토를 통해 조직은 관리자의 액세스를 정기적으로 검토하여 올바른 사람만 계속 액세스할 수 있도록 할 수 있습니다. 관리자를 정기적으로 감사해야 하는 이유는 다음과 같습니다.

  • 악의적인 행위자가 계정을 손상시킬 수 있습니다.
  • 사용자가 회사 내에서 팀을 이동합니다. 감사가 없으면 시간이 지남에 따라 불필요한 액세스 권한이 축적될 수 있습니다.

Microsoft에서는 액세스 검토를 사용하여 더 이상 필요하지 않은 역할 할당을 찾아서 제거하는 것이 좋습니다. 이를 통해 무단 또는 과도한 액세스의 위험을 줄이고 규정 준수 표준을 유지하는 데 도움이 됩니다.

역할의 액세스 검토에 대한 자세한 내용은 PIM에서 Azure 리소스 및 Microsoft Entra 역할의 액세스 검토 만들기를 참조하세요. 역할이 할당된 그룹의 액세스 검토에 대한 자세한 내용은 Microsoft Entra ID에서 그룹 및 애플리케이션의 액세스 검토 만들기를 참조하세요.

5. 전역 관리자 수를 5개 미만으로 제한

모범 사례에 따라 조직 내에서 5명 미만의 사용자에게 전역 관리자 역할을 할당하는 것이 좋습니다. 전역 관리자는 기본적으로 무제한 액세스 권한을 가지며 공격 표면을 낮게 유지하는 것이 가장 좋습니다. 앞에서 설명한 대로 이러한 계정은 모두 다단계 인증을 사용하여 보호해야 합니다.

권한이 있는 전역 관리자 역할 할당이 5개 이상인 경우 전역 관리자 역할 할당을 모니터링하는 데 도움이 되는 전역 관리자 경고 카드가 Microsoft Entra 개요 페이지에 표시됩니다.

Screenshot of the Microsoft Entra Overview page that shows a card with the number of privileged role assignments.

기본적으로 사용자가 Microsoft 클라우드 서비스에 등록하면 Microsoft Entra 테넌트가 만들어지고 사용자에게 전역 관리자 역할이 할당됩니다. 전역 관리자 역할이 할당된 사용자는 Microsoft Entra 조직의 거의 모든 관리 설정을 읽고 수정할 수 있습니다. 몇 가지를 제외하고 전역 관리자는 Microsoft 365 조직의 모든 구성 설정을 읽고 수정할 수도 있습니다. 전역 관리자는 데이터를 읽을 수 있도록 액세스 권한을 승격할 수도 있습니다.

전역 관리자 역할에 영구적으로 할당되는 두 개의 비상 계정을 유지하는 것이 좋습니다. Microsoft Entra ID에서 응급 액세스 계정 관리에서 설명하는 것처럼 이 계정에는 일반 관리 계정과 동일한 다단계 인증 메커니즘이 필요하지 않습니다.

6. 권한 있는 역할 할당 수를 10개 미만으로 제한합니다.

일부 역할에는 자격 증명 업데이트 기능과 같은 특권적인 권한이 포함됩니다. 이러한 역할은 잠재적으로 권한 상승으로 이어질 수 있으므로 조직에서 이러한 권한 있는 역할 할당의 사용을 10개 미만으로 제한해야 합니다. 권한 있는 역할 할당이 10개를 초과하면 역할 및 관리자 페이지에 경고가 표시됩니다.

Screenshot of the Microsoft Entra roles and administrators page that shows the privileged role assignments warning.

PRIVILEGED 레이블을 찾아 권한이 부여된 역할, 권한 및 역할 할당을 식별할 수 있습니다. 자세한 내용은 Microsoft Entra ID의 특권 역할 및 권한을 참조하세요.

7. Microsoft Entra 역할 할당을 위해 그룹을 사용하고 역할 할당을 위임합니다.

그룹을 활용하는 외부 거버넌스 시스템이 있는 경우 개별 사용자 대신 Microsoft Entra 그룹에 역할을 할당하는 것을 고려해야 합니다. PIM에서 역할 할당 가능 그룹을 관리하여 이 권한 있는 그룹에 지속적인 소유자 또는 멤버가 없는지 확인할 수도 있습니다. 자세한 내용은 그룹용 PIM(Privileged Identity Management)을 참조하세요.

역할 할당 가능 그룹에 소유자를 할당할 수 있습니다. 해당 소유자는 그룹에서 추가되거나 제거되는 사용자를 결정하므로 역할 할당을 받는 사용자를 간접적으로 결정합니다. 이러한 방식으로 전역 관리자 또는 권한 있는 역할 관리자는 그룹을 사용하여 역할별로 역할 관리를 위임할 수 있습니다. 자세한 내용은 Microsoft Entra 그룹을 사용하여 역할 할당 관리를 참조하세요.

8. 그룹용 PIM을 사용하여 한 번에 여러 역할 활성화

개인이 PIM을 통해 Microsoft Entra 역할에 5~6개의 적합 할당을 갖고 있는 경우가 있을 수 있습니다. 각 역할을 개별적으로 활성화해야 하므로 생산성이 저하될 수 있습니다. 더욱 심각한 것은 수십 또는 수백 개의 Azure 리소스가 할당될 수 있으므로 문제가 악화됩니다.

이 경우 그룹용 PIM(Privileged Identity Management)을 사용해야 합니다. 그룹용 PIM을 만들고 여러 역할(Microsoft Entra ID 및/또는 Azure)에 대한 영구 액세스 권한을 부여합니다. 해당 사용자를 이 그룹의 적격 멤버나 소유자로 설정합니다. 하나만 활성화하면 연결된 모든 리소스에 액세스할 수 있습니다.

PIM for Groups diagram showing activating multiple roles at once

9. Microsoft Entra 역할에 클라우드 네이티브 계정 사용

Microsoft Entra 역할 할당에 온-프레미스 동기화 계정을 사용하지 마세요. 온-프레미스 계정이 손상되면 Microsoft Entra 리소스도 손상될 수 있습니다.

다음 단계