Microsoft Entra Privileged Identity Management란?
PIM(Privileged Identity Management)은 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하도록 지원하는 Microsoft Entra ID의 서비스입니다. 이러한 리소스에는 Microsoft Entra ID, Azure 및 Microsoft 365 또는 Microsoft Intune과 같은 기타 Microsoft Online Services의 리소스가 포함됩니다. 다음 비디오에서는 중요한 PIM 개념 및 기능을 설명합니다.
사용 이유
조직에서는 악의적인 사용자가 해당 액세스 권한을 갖게 될 가능성을 줄일 수 있기 때문에
- 보안 정보 또는 리소스에 액세스하는 사용자 수를 최소화하려고 합니다.
- 권한 있는 사용자가 실수로 중요한 리소스에 영향을 미치는 경우
그러나 사용자는 여전히 Microsoft Entra ID, Azure, Microsoft 365 또는 SaaS 앱에서 권한 있는 작업을 수행해야 합니다. 조직은 사용자에게 Azure 및 Microsoft Entra 리소스에 대한 Just-In-Time 권한 있는 액세스 권한을 부여하고 해당 사용자가 권한 있는 액세스로 수행하는 작업을 감독할 수 있습니다.
라이선스 요구 사항
Privileged Identity Management를 사용하려면 라이선스가 필요합니다. 라이선스에 관한 자세한 내용은 Microsoft Entra ID 거버넌스 라이선스 기본 사항을 참조하세요.
수행하는 작업
Privileged Identity Management는 중요한 리소스에 대한 과도한, 불필요한 또는 잘못 사용된 액세스 권한의 위험을 완화할 수 있도록 시간 기반 및 승인 기반 역할 활성화를 제공합니다. 다음은 Privileged Identity Management의 주요 기능입니다.
- Microsoft Entra ID 및 Azure 리소스에 대한 JIT(Just-In-Time) 권한 있는 액세스 제공
- 시작 및 종료 날짜를 사용하여 리소스에 시간 범위 액세스 할당
- 권한 있는 역할을 활성화하기 위해 승인 필요
- 다단계 인증을 적용하여 모든 역할 활성화
- 근거를 사용하여 사용자가 활성화하는 이유 이해
- 권한 있는 역할이 활성화되면 알림 가져오기
- 액세스 검토를 수행하여 사용자에게 여전히 역할이 필요한지 확인
- 내부 또는 외부 감사를 위해 감사 기록 다운로드
- 마지막 활성 전역 관리자 및 권한 있는 역할 관리자 역할 할당 제거 방지
이를 통해 수행할 수 있는 작업은 무엇인가요?
Privileged Identity Management를 설정하면 작업, 관리 및 활동 옵션이 왼쪽 탐색 메뉴에 표시됩니다. 관리자는 Microsoft Entra 역할 관리, Azure 리소스 역할 또는 그룹용 PIM 관리 등의 옵션 중에서 선택할 수 있습니다. 관리할 항목을 선택하면 해당 옵션에 대한 적절한 옵션 세트가 표시됩니다.
누가 무엇을 수행할 수 있나요?
Privileged Identity Management의 Microsoft Entra 역할의 경우 권한 있는 역할 관리자 또는 전역 관리자 역할에 있는 사용자만이 다른 관리자에 대한 할당을 관리할 수 있습니다. 또한 전역 관리자, 보안 관리자, 글로벌 읽기 권한자 및 보안 읽기 권한자는 Privileged Identity Management에서 Microsoft Entra 역할에 대한 할당을 볼 수 있습니다.
Privileged Identity Management의 Azure 리소스 역할의 경우 구독 관리자, 리소스 소유자 또는 리소스 사용자 액세스 관리자만이 다른 관리자에 대한 할당을 관리할 수 있습니다. 권한 있는 역할 관리자, 보안 관리자 또는 보안 읽기 권한자인 사용자는 기본적으로 Privileged Identity Management에서 Azure 리소스 역할에 대한 할당을 볼 수 있는 액세스 권한을 가지고 있지 않습니다.
용어
Privileged Identity Management 및 설명서를 보다 정확하게 이해하려면 다음 용어를 검토해야 합니다.
| 용어 또는 개념 | 역할 할당 범주 | 설명 |
|---|---|---|
| 적격 | Type | 사용자가 역할을 사용하기 위해 하나 이상의 작업을 수행해야 하는 역할 할당입니다. 사용자가 역할에 대한 자격을 얻은 경우 권한 있는 작업을 수행해야 할 때 해당 역할을 활성화할 수 있음을 의미합니다. 영구 및 적격 역할 할당을 비교했을 때 이 둘을 통해 다른 사람에게 주어진 액세스에는 차이가 없습니다. 유일한 차이는 사람들이 그 액세스를 항상 필요로 하지 않는다는 점입니다. |
| 활성 | Type | 사용자가 역할을 사용하기 위해 어떤 작업을 수행할 필요가 없는 역할 할당입니다. 활성으로 할당된 사용자에게는 역할에 할당된 권한이 있습니다. |
| 설치 | 사용자가 자격이 있는 역할을 사용하기 위해 하나 이상의 작업을 수행하는 프로세스입니다. 작업은 MFA(Multi-Factor Authentication) 검사를 수행하고, 비즈니스 근거를 제공하거나 지정된 승인자의 승인을 요청하는 과정을 포함할 수 있습니다. | |
| 할당됨 | 시 | 활성 역할 할당이 있는 사용자입니다. |
| 활성화됨 | 시 | 적격 역할 할당이 있고, 역할을 활성화하기 위한 작업을 수행했으며, 현재 활성화된 사용자입니다. 활성화되면 사용자는 미리 구성된 기간 동안 역할을 사용할 수 있으며, 이 기간이 끝나면 다시 활성화해야 합니다. |
| 영구 적격 | 기간 | 사용자가 항상 역할을 활성화할 수 있는 자격이 있는 역할 할당입니다. |
| 영구 활성 | 기간 | 사용자가 어떤 작업도 수행하지 않고 항상 역할을 사용할 수 있는 역할 할당입니다. |
| 시간 범위 적격 | 기간 | 사용자가 시작 및 종료 날짜 내에만 역할을 활성화할 수 있는 자격이 있는 역할 할당입니다. |
| 시간 범위 활성 | 기간 | 사용자가 시작 및 종료 날짜에만 역할을 사용할 수 있는 역할 할당입니다. |
| JIT(Just In Time) 액세스 | 사용자가 권한 있는 작업을 수행하기 위해 임시 사용 권한을 받는 모델이며, 악의적 또는 권한이 없는 사용자가 권한이 만료된 후 액세스 권한을 획득하는 것을 방지합니다. 액세스 권한은 사용자에게 필요한 경우에만 부여됩니다. | |
| 최소 권한 액세스 원칙 | 모든 사용자에게 수행할 권한이 있는 작업을 수행하는 데 필요한 최소 권한만 제공하는 권장 보안 방법입니다. 이 방법은 글로벌 관리자 수를 최소화하고, 그 대신 특정 시나리오에 대해 구체적 관리자 역할을 사용합니다. |
역할 할당 개요
PIM 역할 할당은 조직의 리소스에 대한 액세스 권한을 안전하게 부여할 수 있는 방법을 제공합니다. 이 섹션에서는 할당 프로세스에 대해 설명합니다. 여기에는 멤버에게 역할 할당, 할당 활성화, 요청 승인 또는 거부, 할당 연장 및 갱신이 포함됩니다.
PIM은 사용자 및 다른 참가자에게 이메일 알림을 보내 계속해서 정보를 제공합니다. 이러한 이메일에는 활성화, 요청 승인 또는 거부와 같은 관련 작업에 대한 링크도 포함될 수 있습니다.
다음 스크린샷은 PIM에서 보낸 이메일 메시지를 보여줍니다. 이메일은 Alex가 Emily에 대한 역할 할당을 업데이트했다고 Patti에게 알려줍니다.
대입
할당 프로세스는 멤버에게 역할을 할당하는 것으로 시작됩니다. 리소스에 대한 액세스 권한을 부여하기 위해 관리자는 사용자, 그룹, 서비스 주체 또는 관리 ID에 역할을 할당합니다. 할당에는 다음 데이터가 포함됩니다.
- 역할을 할당할 멤버 또는 소유자
- 할당의 범위. 범위는 할당된 역할을 특정 리소스 집합으로 제한합니다.
- 할당의 유형
- 적격 할당에는 역할을 사용하는 작업을 수행하기 위해 역할의 구성원이 필요합니다. 작업에는 활성화 또는 지정된 승인자의 승인 요청하기가 포함될 수 있습니다.
- 활성 할당에는 역할을 사용하는 작업을 수행하기 위해 멤버가 필요하지 않습니다. 활성으로 할당된 멤버는 역할에 할당된 권한을 갖습니다.
- 할당 기간. 시작 및 종료 날짜 또는 영구를 사용합니다. 적격 할당의 경우 멤버는 시작 및 종료 날짜 동안 승인을 요청하거나 활성화할 수 있습니다. 활성 할당의 경우 멤버는 이 기간 동안 할당 역할을 사용할 수 있습니다.
다음 스크린샷은 관리자가 멤버에게 역할을 할당하는 방법을 보여줍니다.
자세한 내용은 Microsoft Entra 역할 할당, Azure 리소스 역할 할당 및 그룹용 PIM에 대한 자격 할당 문서를 확인하세요.
활성화
사용자가 역할에 적격한 경우 역할을 사용하기 전에 역할 할당을 활성화해야 합니다. 역할을 활성화하기 위해 사용자는 최대(관리자가 구성함) 내에서 특정 활성화 기간 및 활성화 요청 이유를 선택합니다.
다음 스크린샷은 멤버가 제한된 시간 동안 역할을 활성화하는 방법을 보여줍니다.
역할을 활성화하기 위해 승인이 필요한 경우 브라우저의 오른쪽 위 모서리에 요청이 승인 보류 중임을 알리는 알림이 표시됩니다. 승인이 필요하지 않은 경우 멤버는 역할 사용을 시작할 수 있습니다.
자세한 내용은 Microsoft Entra 역할 활성화, 내 Azure 리소스 역할 활성화 및 그룹용 PIM 역할 활성화 문서를 확인하세요.
승인 또는 거부
위임된 승인자는 역할 요청이 승인 보류 중인 경우 이메일 알림을 받습니다. 승인자는 PIM에서 이렇게 보류 중인 요청을 보거나 승인하거나 거부할 수 있습니다. 요청이 승인된 후 멤버는 역할 사용을 시작할 수 있습니다. 예를 들어 사용자 또는 그룹에 리소스 그룹에 대한 기여 역할이 할당된 경우 이들은 해당하는 특정 리소스 그룹을 관리할 수 있습니다.
자세한 내용은 Microsoft Entra 역할에 대한 요청 승인 또는 거부, Azure 리소스 역할에 대한 요청 승인 또는 거부 및 그룹용 PIM에 대한 활성화 요청 승인 문서를 확인하세요.
할당 확장 또는 갱신
관리자가 시간이 제한된 소유자 또는 멤버 할당을 설정한 후, 제일먼저 드는 의문은 할당이 만료되면 어떻게 될까? 이 새 버전에서는 이 시나리오에 대한 다음 두 가지 옵션이 제공됩니다.
- 연장 – 역할 할당이 만료될 시기가 다가오면 사용자는 Privileged Identity Management를 사용하여 역할 할당 연장을 요청할 수 있습니다.
- 갱신 – 역할 할당이 이미 만료된 경우 사용자는 Privileged Identity Management를 사용하여 역할 할당 갱신을 요청할 수 있습니다.
사용자가 시작하는 두 작업은 전역 관리자 또는 권한 있는 역할 관리자의 승인이 필요합니다. 관리자는 할당 만료를 관리할 필요가 없습니다. 간단한 승인 또는 거부를 위해 연장 또는 갱신 요청이 도착할 때까지 기다릴 수 있습니다.
자세한 내용은 Microsoft Entra 역할 할당 연장 또는 갱신, Azure 리소스 역할 할당 연장 또는 갱신, 그룹용 PIM 할당 연장 또는 갱신 문서를 확인하세요.
시나리오
Privileged Identity Management에서 지원하는 시나리오는 다음과 같습니다.
권한 있는 역할 관리자 권한
- 특정 역할에 대한 승인을 사용하도록 설정
- 요청을 승인할 승인자 사용자 또는 그룹 지정
- 모든 권한 있는 역할에 대한 요청 및 승인 기록 보기
승인자 사용 권한
- 보류 중인 승인(요청) 보기
- 역할 상승 요청 승인 또는 거부(단일 및 대량)
- 승인 또는 거부에 대한 근거 제공
적격 역할 사용자 사용 권한
- 승인이 필요한 역할의 활성화 요청
- 활성화 요청 상태 보기
- 활성화가 승인되면 Microsoft Entra ID에서 작업 수행
Microsoft Graph API
다음 Microsoft Graph API를 통해 프로그래밍 방식으로 Privileged Identity Management를 사용할 수 있습니다.