Microsoft Entra 권한 관리를 사용하여 외부 액세스 관리

권한 관리 기능을 사용하여 ID 및 액세스 수명 주기를 관리합니다. 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화할 수 있습니다. 위임된 비관리자는 권한 관리를 사용하여 다른 조직의 외부 사용자가 액세스를 요청할 수 있는 액세스 패키지를 만듭니다. 하나의 다단계 승인 워크플로는 요청을 평가하고 사용자에게 반복 검토를 통해 시간 제한 액세스를 프로비전하도록 구성할 수 있습니다. 외부 계정의 정책 기반 프로비저닝 및 프로비저닝 해제를 위해 권한 관리를 사용합니다.

자세히 보기:

• 권한 관리란?
• 액세스 패키지는 무엇이며, 이를 통해 관리할 수 있는 리소스는 무엇일까요?
• 프로비저닝이란?

시작하기 전에

이 문서는 10개의 문서 중 6번째 문서입니다. 문서를 순서대로 검토하는 것이 좋습니다. 전체 시리즈를 보려면 다음 단계 섹션으로 이동합니다.

권한 관리 사용

다음 주요 개념은 권한 관리를 이해하는 데 중요합니다.

액세스 패키지

액세스 패키지는 사용자가 프로젝트에서 협업하거나 다른 작업을 수행할 수 있도록 정책 관리 리소스를 그룹화하는 권한 관리의 기반입니다. 예를 들어, 액세스 패키지에는 다음이 포함될 수 있습니다.

• SharePoint 사이트에 대한 액세스
• 사용자 지정 사내 및 SaaS(Software as a Service) 앱을 포함한 엔터프라이즈 애플리케이션(예: Salesforce)
• Microsoft Teams
• Microsoft 365 그룹

카탈로그

액세스 패키지는 카탈로그에 있습니다. 관련 리소스 및 액세스 패키지를 그룹화하고 해당 관리를 위임하려는 경우 카탈로그를 만듭니다. 먼저 카탈로그에 리소스를 추가한 다음, 액세스 패키지에 리소스를 추가할 수 있습니다. 예를 들어, 재무 카탈로그를 만들고 재무 팀원에게 관리를 위임할 수 있습니다. 해당 팀원은 리소스를 추가하고, 액세스 패키지를 만들고, 액세스 승인을 관리할 수 있습니다.

자세히 보기:

• 권한 관리에서 리소스 카탈로그 만들기 및 관리
• 권한 관리의 위임 및 역할
• 카탈로그에 리소스를 추가합니다.

다음 다이어그램에서는 만료된 액세스 패키지에 대한 액세스 권한을 얻는 외부 사용자의 일반적인 거버넌스 수명 주기를 보여 줍니다.

셀프 서비스 외부 액세스

Microsoft Entra 내 액세스 포털을 통해 외부 사용자가 액세스를 요청할 수 있도록 액세스 패키지를 사용할 수 있습니다. 정책에 따라 액세스 패키지를 요청할 수 있는 사용자가 결정됩니다. 권한 관리에서 액세스 패키지에 대한 액세스 요청을 참조하세요.

액세스 패키지를 요청할 수 있는 사용자를 지정합니다.

• 연결된 조직
  • 권한 관리에서 연결된 조직 추가를 참조하세요.
• 구성된 연결된 조직
• 조직의 사용자
• 테넌트의 멤버 또는 게스트 사용자

승인

액세스 패키지에는 액세스에 대한 필수 승인이 포함될 수 있습니다. 승인 단일 또는 다단계일 수 있으며 정책에 따라 결정됩니다. 내부 및 외부 사용자가 동일한 패키지에 액세스해야 하는 경우 연결된 조직의 범주 및 내부 사용자에 대해 액세스 정책을 설정할 수 있습니다.

Important

외부 사용자의 승인 프로세스를 구현합니다.

만료

액세스 패키지에는 만료 날짜 또는 액세스에 대해 설정한 일 수가 포함될 수 있습니다. 액세스 패키지가 만료되고 액세스가 종료되면 사용자를 나타내는 B2B 게스트 사용자 개체를 삭제하거나 로그인을 차단할 수 있습니다. 외부 사용자의 액세스 패키지에 만료를 적용하는 것이 좋습니다. 일부 액세스 패키지에는 만료가 없습니다.

Important

만료가 없는 패키지의 경우 정기적인 액세스 검토를 수행합니다.

액세스 검토

액세스 패키지에는 정기적인 액세스 검토가 필요할 수 있으며, 패키지 소유자 또는 설계자가 사용자의 액세스에 대한 지속적인 필요성을 증명해야 합니다. 액세스 검토를 사용하여 게스트 액세스 관리를 참조하세요.

검토를 설정하기 전에 다음 기준을 결정합니다.

• 대상
  • 지속적인 액세스에 대한 조건
  • 검토자
• 빈도
  • 기본 제공 옵션은 매월, 분기별, BI 연간 또는 매년입니다.
  • 외부 액세스를 지원하는 패키지의 경우 매 분기 또는 더 자주 검토하는 것이 좋습니다.

Important

액세스 패키지 검토는 권한 관리를 통해 부여된 액세스를 검토합니다. 외부 사용자, 외부 권한 관리에 대한 액세스를 검토하도록 다른 프로세스를 설정합니다.

자세한 정보: Microsoft Entra 액세스 검토 배포를 계획합니다.

권한 관리 자동화 사용

• Microsoft Entra 권한 관리 API 사용
• accessPackage 리소스 종류
• Microsoft Entra 액세스 검토
• connectedOrganization 리소스 종류
• entitlementManagementSettings 리소스 종류

외부 액세스 거버넌스 권장 사항

모범 사례

권한 관리를 사용하여 외부 액세스를 다음과 같은 방법을 사용하는 것이 좋습니다.

• 하나 이상의 비즈니스 파트너를 포함하는 프로젝트의 경우 액세스 패키지를 만들고 사용하여 온보딩하고 리소스에 대한 액세스를 제공합니다.
  • 권한 관리에서 새 액세스 패키지 만들기
• 디렉터리에 B2B 사용자가 있는 경우 액세스 패키지에 할당할 수 있습니다.
• Azure Portal 또는 Microsoft Graph를 사용하여 액세스 권한을 할당할 수 있습니다.
  • 권한 관리에서 액세스 패키지에 대한 할당 보기, 추가 및 제거
  • 권한 관리에서 새 액세스 패키지 만들기

ID 거버넌스 - 설정

ID 거버넌스 - 설정을 사용하여 액세스 패키지가 만료될 때 디렉터리에서 사용자를 제거합니다. 다음 설정은 권한 관리로 온보딩된 사용자에게 적용됩니다.

카탈로그 및 패키지 관리 위임

누가 액세스해야 하는지에 관한 자세한 정보를 보유한 비즈니스 소유자에게 카탈로그 및 패키지 관리를 위임할 수 있습니다. 권한 관리의 위임 및 역할을 참조하세요.

액세스 패키지 만료 적용

외부 사용자에 대한 액세스 만료를 적용할 수 있습니다. 권한 관리에서 액세스 패키지의 수명 주기 설정 변경을 참조하세요.

• 프로젝트 기반 액세스 패키지의 종료 날짜의 경우 시작 날짜를 사용하여 날짜를 설정합니다.
  • 그렇지 않으면 다년 프로젝트가 아니면 만료가 더 이상 365일이 아닌 것이 좋습니다.
• 사용자가 액세스를 연장하도록 허용
  • 연장 권한을 부여하려면 승인이 필요합니다.

게스트 액세스 패키지 검토 적용

게스트 액세스 패키지 검토를 적용하여 게스트의 부적절한 액세스를 방지할 수 있습니다. 액세스 검토를 사용하여 게스트 액세스 관리를 참조하세요.

• 분기별 검토 적용
• 규정 준수 관련 프로젝트의 경우 검토자를 외부 사용자의 직접 검토 대신 검토자로 설정합니다.
  • 액세스 패키지 관리자를 검토자로 사용할 수 있습니다.
• 덜 중요한 프로젝트의 경우 사용자 자체 검토를 통해 더 이상 조직에 속하지 않는 사용자의 액세스 권한을 제거해야 하는 부담이 줄어듭니다.

자세한 정보: 권한 관리에서 외부 사용자에 대한 액세스 제어

다음 단계

다음 문서 시리즈를 사용하여 리소스에 대한 외부 액세스 보호에 대해 알아봅니다. 나열된 순서를 따르는 것이 좋습니다.

1. Microsoft Entra ID를 사용하여 외부 액세스에 대한 보안 태세 결정

2. 조직에서 외부 협업의 현재 상태 파악

3. 리소스에 대한 외부 액세스를 위한 보안 계획 수립

4. Microsoft Entra ID 및 Microsoft 365의 그룹으로 외부 액세스 보호

5. Microsoft Entra B2B 협업을 통해 관리되는 협업으로 전환

6. Microsoft Entra 권한 관리를 사용하여 외부 액세스 관리(현재 문서)

7. 조건부 액세스 정책을 사용하여 리소스에 대한 외부 액세스 관리

8. 민감도 레이블을 사용하여 Microsoft Entra ID의 리소스에 대한 외부 액세스 제어

9. Microsoft Entra ID를 사용하여 Microsoft Teams, SharePoint 및 비즈니스용 OneDrive에 대한 외부 액세스 보호

10. 로컬 게스트 계정을 Microsoft Entra B2B 게스트 계정으로 변환