Microsoft Entra 권한 관리를 사용하여 외부 액세스 관리
권한 관리 기능을 사용하여 ID 및 액세스 수명 주기를 관리합니다. 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화할 수 있습니다. 위임된 비관리자는 권한 관리를 사용하여 다른 조직의 외부 사용자가 액세스를 요청할 수 있는 액세스 패키지를 만듭니다. 하나의 다단계 승인 워크플로는 요청을 평가하고 사용자에게 반복 검토를 통해 시간 제한 액세스를 프로비전하도록 구성할 수 있습니다. 외부 계정의 정책 기반 프로비저닝 및 프로비저닝 해제를 위해 권한 관리를 사용합니다.
자세히 보기:
시작하기 전에
이 문서는 10개의 문서 중 6번째 문서입니다. 문서를 순서대로 검토하는 것이 좋습니다. 전체 시리즈를 보려면 다음 단계 섹션으로 이동합니다.
권한 관리 사용
다음 주요 개념은 권한 관리를 이해하는 데 중요합니다.
액세스 패키지
액세스 패키지는 사용자가 프로젝트에서 협업하거나 다른 작업을 수행할 수 있도록 정책 관리 리소스를 그룹화하는 권한 관리의 기반입니다. 예를 들어, 액세스 패키지에는 다음이 포함될 수 있습니다.
- SharePoint 사이트에 대한 액세스
- 사용자 지정 사내 및 SaaS(Software as a Service) 앱을 포함한 엔터프라이즈 애플리케이션(예: Salesforce)
- Microsoft Teams
- Microsoft 365 그룹
카탈로그
액세스 패키지는 카탈로그에 있습니다. 관련 리소스 및 액세스 패키지를 그룹화하고 해당 관리를 위임하려는 경우 카탈로그를 만듭니다. 먼저 카탈로그에 리소스를 추가한 다음, 액세스 패키지에 리소스를 추가할 수 있습니다. 예를 들어, 재무 카탈로그를 만들고 재무 팀원에게 관리를 위임할 수 있습니다. 해당 팀원은 리소스를 추가하고, 액세스 패키지를 만들고, 액세스 승인을 관리할 수 있습니다.
자세히 보기:
다음 다이어그램에서는 만료된 액세스 패키지에 대한 액세스 권한을 얻는 외부 사용자의 일반적인 거버넌스 수명 주기를 보여 줍니다.
셀프 서비스 외부 액세스
Microsoft Entra 내 액세스 포털을 통해 외부 사용자가 액세스를 요청할 수 있도록 액세스 패키지를 사용할 수 있습니다. 정책에 따라 액세스 패키지를 요청할 수 있는 사용자가 결정됩니다. 권한 관리에서 액세스 패키지에 대한 액세스 요청을 참조하세요.
액세스 패키지를 요청할 수 있는 사용자를 지정합니다.
- 연결된 조직
- 권한 관리에서 연결된 조직 추가를 참조하세요.
- 구성된 연결된 조직
- 조직의 사용자
- 테넌트의 멤버 또는 게스트 사용자
승인
액세스 패키지에는 액세스에 대한 필수 승인이 포함될 수 있습니다. 승인 단일 또는 다단계일 수 있으며 정책에 따라 결정됩니다. 내부 및 외부 사용자가 동일한 패키지에 액세스해야 하는 경우 연결된 조직의 범주 및 내부 사용자에 대해 액세스 정책을 설정할 수 있습니다.
Important
외부 사용자의 승인 프로세스를 구현합니다.
만료
액세스 패키지에는 만료 날짜 또는 액세스에 대해 설정한 일 수가 포함될 수 있습니다. 액세스 패키지가 만료되고 액세스가 종료되면 사용자를 나타내는 B2B 게스트 사용자 개체를 삭제하거나 로그인을 차단할 수 있습니다. 외부 사용자의 액세스 패키지에 만료를 적용하는 것이 좋습니다. 일부 액세스 패키지에는 만료가 없습니다.
Important
만료가 없는 패키지의 경우 정기적인 액세스 검토를 수행합니다.
액세스 검토
액세스 패키지에는 정기적인 액세스 검토가 필요할 수 있으며, 패키지 소유자 또는 설계자가 사용자의 액세스에 대한 지속적인 필요성을 증명해야 합니다. 액세스 검토를 사용하여 게스트 액세스 관리를 참조하세요.
검토를 설정하기 전에 다음 기준을 결정합니다.
- 대상
- 지속적인 액세스에 대한 조건
- 검토자
- 빈도
- 기본 제공 옵션은 매월, 분기별, BI 연간 또는 매년입니다.
- 외부 액세스를 지원하는 패키지의 경우 매 분기 또는 더 자주 검토하는 것이 좋습니다.
Important
액세스 패키지 검토는 권한 관리를 통해 부여된 액세스를 검토합니다. 외부 사용자, 외부 권한 관리에 대한 액세스를 검토하도록 다른 프로세스를 설정합니다.
자세한 정보: Microsoft Entra 액세스 검토 배포를 계획합니다.
권한 관리 자동화 사용
- Microsoft Entra 권한 관리 API 사용
accessPackage
리소스 종류- Microsoft Entra 액세스 검토
connectedOrganization
리소스 종류entitlementManagementSettings
리소스 종류
외부 액세스 거버넌스 권장 사항
모범 사례
권한 관리를 사용하여 외부 액세스를 다음과 같은 방법을 사용하는 것이 좋습니다.
- 하나 이상의 비즈니스 파트너를 포함하는 프로젝트의 경우 액세스 패키지를 만들고 사용하여 온보딩하고 리소스에 대한 액세스를 제공합니다.
- 디렉터리에 B2B 사용자가 있는 경우 액세스 패키지에 할당할 수 있습니다.
- Azure Portal 또는 Microsoft Graph를 사용하여 액세스 권한을 할당할 수 있습니다.
ID 거버넌스 - 설정
ID 거버넌스 - 설정을 사용하여 액세스 패키지가 만료될 때 디렉터리에서 사용자를 제거합니다. 다음 설정은 권한 관리로 온보딩된 사용자에게 적용됩니다.
카탈로그 및 패키지 관리 위임
누가 액세스해야 하는지에 관한 자세한 정보를 보유한 비즈니스 소유자에게 카탈로그 및 패키지 관리를 위임할 수 있습니다. 권한 관리의 위임 및 역할을 참조하세요.
액세스 패키지 만료 적용
외부 사용자에 대한 액세스 만료를 적용할 수 있습니다. 권한 관리에서 액세스 패키지의 수명 주기 설정 변경을 참조하세요.
- 프로젝트 기반 액세스 패키지의 종료 날짜의 경우 시작 날짜를 사용하여 날짜를 설정합니다.
- 그렇지 않으면 다년 프로젝트가 아니면 만료가 더 이상 365일이 아닌 것이 좋습니다.
- 사용자가 액세스를 연장하도록 허용
- 연장 권한을 부여하려면 승인이 필요합니다.
게스트 액세스 패키지 검토 적용
게스트 액세스 패키지 검토를 적용하여 게스트의 부적절한 액세스를 방지할 수 있습니다. 액세스 검토를 사용하여 게스트 액세스 관리를 참조하세요.
- 분기별 검토 적용
- 규정 준수 관련 프로젝트의 경우 검토자를 외부 사용자의 직접 검토 대신 검토자로 설정합니다.
- 액세스 패키지 관리자를 검토자로 사용할 수 있습니다.
- 덜 중요한 프로젝트의 경우 사용자 자체 검토를 통해 더 이상 조직에 속하지 않는 사용자의 액세스 권한을 제거해야 하는 부담이 줄어듭니다.
자세한 정보: 권한 관리에서 외부 사용자에 대한 액세스 제어
다음 단계
다음 문서 시리즈를 사용하여 리소스에 대한 외부 액세스 보호에 대해 알아봅니다. 나열된 순서를 따르는 것이 좋습니다.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기