Microsoft Entra ID의 권한 있는 역할 및 사용 권한(미리 보기)

  • 아티클

Important

권한 있는 역할 및 권한에 대한 레이블은 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Microsoft Entra ID에는 권한 있는 것으로 식별되는 역할과 사용 권한이 있습니다. 이러한 역할 및 권한을 사용하여 디렉터리 리소스 관리를 다른 사용자에게 위임하거나, 자격 증명, 인증 또는 권한 부여 정책을 수정하거나, 제한된 데이터에 액세스할 수 있습니다. 권한 있는 역할 할당은 안전하고 의도된 방식으로 사용되지 않으면 권한 상승으로 이어질 수 있습니다. 이 문서에서는 권한 있는 역할과 사용 권한, 사용 방법에 대한 모범 사례를 설명합니다.

어떤 역할과 사용 권한이 부여되나요?

권한 있는 역할 및 사용 권한 목록은 Microsoft Entra 기본 제공 역할을 참조하세요. Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Microsoft Graph API를 사용하여 권한 있는 것으로 식별된 역할, 사용 권한 및 역할 할당을 식별할 수도 있습니다.

Microsoft Entra 관리 센터에서 권한 있음 레이블을 찾습니다.

권한 있음 레이블 아이콘.

역할 및 관리자 페이지의 권한 있음 열에서 권한 있는 역할이 식별됩니다. 할당 열에는 역할 할당 수가 나열됩니다. 권한 있는 역할을 필터링할 수도 있습니다.

권한 있음 및 할당 열을 보여 주는 Microsoft Entra 역할 및 관리자 페이지의 스크린샷.

권한 있는 역할에 대한 사용 권한을 보면 권한이 있는 사용 권한을 확인할 수 있습니다. 기본 사용자로 사용 권한을 보면 어떤 권한이 부여되어 있는지 확인할 수 없습니다.

역할에 대한 권한 있는 사용 권한을 보여 주는 Microsoft Entra 역할 및 관리자 페이지의 스크린샷.

사용자 지정 역할을 만들면 어떤 사용 권한이 부여되어 있는지 확인할 수 있으며 사용자 지정 역할은 권한 있음으로 표시됩니다.

권한 있는 사용 권한이 있는 사용자 지정 역할을 보여 주는 새 사용자 지정 역할 페이지의 스크린샷.

권한 있는 역할 사용에 대한 모범 사례

다음은 권한 있는 역할 사용에 대한 몇 가지 모범 사례입니다.

  • 최소 권한 원칙 적용
  • Privileged Identity Management를 사용하여 Just-In-Time 액세스 권한 부여
  • 모든 관리자 계정에 대해 다단계 인증 켜기
  • 시간이 지남에 따라 불필요한 권한을 취소하도록 되풀이 액세스 검토 구성
  • 전역 관리자 수를 5개 미만으로 제한
  • 권한 있는 역할 할당 수를 10개 미만으로 제한합니다.

자세한 내용은 Microsoft Entra 역할을 위한 모범 사례를 참조하세요.

권한 있는 사용 권한과 보호된 작업

권한 있는 사용 권한과 보호된 작업은 다양한 목적을 가진 보안 관련 기능입니다. 권한 있음 레이블이 있는 권한은 안전하고 의도된 방식으로 사용되지 않을 경우 권한 상승으로 이어질 수 있는 사용 권한을 식별하는 데 도움이 됩니다. 보호된 작업은 다단계 인증 요구와 같은 추가 보안을 위해 조건부 액세스 정책이 할당된 역할 사용 권한입니다. 사용자가 보호된 작업을 수행할 때 조건부 액세스 요구 사항이 적용됩니다. 보호된 작업은 현재 미리 보기 상태입니다. 자세한 내용은 Microsoft Entra ID에서 보호되는 작업이란?(미리 보기)을 참조하세요.

기능 권한 있는 사용 권한 보호된 작업
안전한 방식으로 사용해야 하는 사용 권한 식별
작업을 수행하려면 추가 보안이 필요합니다.

용어

Microsoft Entra ID의 권한 있는 역할 및 사용 권한을 이해하려면 다음 용어 중 일부를 아는 것이 도움이 됩니다.

용어 정의
action 보안 주체가 개체 형식에 대해 수행할 수 있는 활동입니다. 때로는 작업이라고도 합니다.
permission 보안 주체가 개체 형식에 대해 수행할 수 있는 작업을 지정하는 정의입니다. 사용 권한에는 하나 이상의 작업이 포함됩니다.
권한 있는 사용 권한 Microsoft Entra ID에서 권한을 사용하여 디렉터리 리소스 관리를 다른 사용자에게 위임하거나, 자격 증명, 인증 또는 권한 부여 정책을 수정하거나, 제한된 데이터에 액세스할 수 있습니다.
권한 있는 역할 하나 이상의 권한이 있는 사용 권한이 있는 기본 제공 또는 사용자 지정 역할입니다.
권한 있는 역할 할당 권한 있는 역할을 사용하는 역할 할당입니다.
권한 상승 보안 주체가 처음에 다른 역할을 가장하여 할당된 역할보다 더 많은 사용 권한을 가져오는 경우입니다.
보호된 작업 보안 강화를 위해 조건부 액세스 사용 권한이 적용되었습니다.

역할 권한을 이해하는 방법

권한에 대한 스키마는 Microsoft Graph의 REST 형식을 느슨하게 따릅니다.

<namespace>/<entity>/<propertySet>/<action>

예시:

microsoft.directory/applications/credentials/update

권한 요소 설명
namespace 작업을 노출하고 앞에 microsoft가 붙는 제품 또는 서비스입니다. 예를 들어 Microsoft Entra ID의 모든 작업은 microsoft.directory 네임스페이스를 사용합니다.
개체 Microsoft Graph의 서비스에서 노출하는 논리적 기능 또는 구성 요소입니다. 예를 들어 Microsoft Entra ID는 사용자 및 그룹을 노출하고, OneNote는 노트를 노출하고, Exchange는 사서함과 달력을 노출합니다. 네임스페이스의 모든 엔터티를 지정하는 특수 키워드 allEntities가 있습니다. 이 키워드는 전체 제품에 대한 액세스 권한을 부여하는 역할에 자주 사용됩니다.
propertySet 액세스 권한이 부여되는 엔터티의 속성 또는 요소입니다. 예를 들어, microsoft.directory/applications/authentication/read는 Microsoft Entra ID의 애플리케이션 개체에 대한 회신 URL, 로그아웃 URL 및 암시적 흐름 속성을 읽을 수 있는 기능을 부여합니다.
  • allProperties는 권한 있는 속성을 포함하여 엔터티의 모든 속성을 지정합니다.
  • standard는 공통 속성을 지정하지만 read 작업과 관련된 권한 있는 속성을 제외합니다. 예를 들어 microsoft.directory/user/standard/read는 퍼블릭 전화 번호 및 이메일 주소와 같은 표준 속성을 읽을 수 있지만, 다단계 인증에 사용되는 프라이빗 보조 전화 번호 또는 이메일 주소는 읽을 수 없습니다.
  • basic은 공통 속성을 지정하지만 update 작업과 관련된 권한 있는 속성을 제외합니다. 읽을 수 있는 속성 세트는 업데이트할 수 있는 속성과 다를 수 있습니다. 이를 반영하기 위해 standardbasic 키워드가 있습니다.
action 부여되는 작업. 대부분 만들기, 읽기, 업데이트 또는 삭제(CRUD) 작업입니다. 위의 모든 기능(만들기, 읽기, 업데이트 및 삭제)을 지정하는 특수 키워드 allTasks가 있습니다.

인증 역할 비교

다음 표에서는 인증 관련 역할의 기능을 비교합니다.

역할 사용자의 인증 방법 관리 사용자별 MFA 관리 MFA 설정 관리 인증 방법 정책 관리 암호 보호 정책 관리 중요한 속성 업데이트 사용자 삭제 및 복원
인증 관리자 일부 사용자의 경우 예 일부 사용자의 경우 예 없음 일부 사용자의 경우 예 일부 사용자의 경우 예
권한 있는 인증 관리자 모든 사용자에 대해 예 모든 사용자에 대해 예 아니요 없음 아니요 모든 사용자에 대해 예 모든 사용자에 대해 예
인증 정책 관리자 아니요 없음 없음 아니요
사용자 관리자 아니요 없음 없음 없음 일부 사용자의 경우 예 일부 사용자의 경우 예

암호를 재설정할 수 있는 사용자

다음 표의 열에는 암호를 재설정하고 새로 고침 토큰을 무효화할 수 있는 역할이 나와 있습니다. 행에는 암호를 다시 설정할 수 있는 역할이 나열되어 있습니다. 예를 들어 암호 관리이스트레이터는 디렉터리 읽기 권한자, 게스트 초대자, 암호 관리이스트레이터 및 관리자 역할이 없는 사용자의 암호를 재설정할 수 있습니다. 사용자에게 다른 역할이 할당된 경우 암호 관리istrator는 암호를 재설정할 수 없습니다.

다음 표는 테넌트 범위에서 할당된 역할에 대한 것입니다. 관리 단위 범위에서 할당된 역할의 경우 추가 제한 사항이 적용됩니다.

암호를 다시 설정할 수 있는 역할 암호 관리자 헬프 데스크 관리자 인증 관리자 사용자 관리 권한 있는 인증 관리자 전역 관리자
인증 관리자      
디렉터리 읽기 권한자
전역 관리자         ✅*
그룹 관리자      
게스트 초대자
헬프 데스크 관리자    
메시지 센터 읽기 권한자  
암호 관리자
권한 있는 인증 관리자        
권한 있는 역할 관리자        
보고서 읽기 권한자  
사용자
(관리자 역할 없음)
사용자
(관리자 역할은 없지만 역할 할당 가능 그룹의 구성원 또는 소유자)		        
제한된 관리 장치로 범위가 지정된 역할을 가진 사용자        
사용자 관리      
사용 현황 요약 보고서 읽기 권한자  
모든 사용자 지정 역할

Important

파트너 계층2 지원 역할은 암호를 다시 설정할 수 있으며 관리자가 아닌 모든 사용자와 관리자(전역 관리자 포함)의 새로 고침 토큰을 무효화할 수 있습니다. 파트너 계층1 지원 역할은 관리자가 아닌 사용자의 암호를 다시 설정하고 새로 고침 토큰을 무효화할 수 있습니다. 이러한 역할은 더 이상 사용되지 않으므로 사용하면 안 됩니다.

암호를 재설정하는 기능에는 셀프 서비스 암호 재설정에 필요한 다음과 같은 중요한 속성을 업데이트하는 기능이 포함됩니다.

  • businessPhones
  • mobilePhone
  • otherMails

중요한 작업을 수행할 수 있는 사용자

일부 관리자는 몇몇 사용자에 대해 다음과 같은 중요한 작업을 수행할 수 있습니다. 모든 사용자는 중요한 속성을 읽을 수 있습니다.

중요한 작업 중요한 속성 이름
사용자 사용 안 함 또는 사용 accountEnabled
회사 전화 업데이트 businessPhones
휴대폰 업데이트 mobilePhone
온-프레미스 변경할 수 없는 ID 업데이트 onPremisesImmutableId
기타 메일 업데이트 otherMails
암호 프로필 업데이트 passwordProfile
사용자 계정 이름 업데이트 userPrincipalName
사용자 삭제 또는 복원 해당 없음

다음 표의 열에는 중요한 작업을 수행할 수 있는 역할이 나와 있습니다. 행에는 중요한 작업을 수행할 수 있는 역할이 나열됩니다.

다음 표는 테넌트 범위에서 할당된 역할에 대한 것입니다. 관리 단위 범위에서 할당된 역할의 경우 추가 제한 사항이 적용됩니다.

중요한 작업을 수행할 수 있는 역할 인증 관리자 사용자 관리 권한 있는 인증 관리자 전역 관리자
인증 관리자  
디렉터리 읽기 권한자
전역 관리자    
그룹 관리자  
게스트 초대자
헬프 데스크 관리자  
메시지 센터 읽기 권한자
암호 관리자
권한 있는 인증 관리자    
권한 있는 역할 관리자    
보고서 읽기 권한자
사용자
(관리자 역할 없음)
사용자
(관리자 역할은 없지만 역할 할당 가능 그룹의 구성원 또는 소유자)		    
제한된 관리 장치로 범위가 지정된 역할을 가진 사용자    
사용자 관리  
사용 현황 요약 보고서 읽기 권한자
모든 사용자 지정 역할

다음 단계