Microsoft Entra ID의 그룹 및 액세스 권한에 대해 알아보기
Microsoft Entra ID는 리소스, 애플리케이션 및 작업에 대한 액세스를 관리하는 여러 가지 방법을 제공합니다. Microsoft Entra 그룹을 사용하면 액세스 및 권한을 각 개별 사용자 대신 사용자 그룹에 부여할 수 있습니다. Microsoft Entra 리소스에 대한 액세스를 액세스가 필요한 사용자로만 제한하는 것은 제로 트러스트의 핵심 보안 원칙 중 하나입니다.
이 문서에서는 그룹과 액세스 권한을 함께 사용하여 Microsoft Entra 사용자를 더 쉽게 관리하는 동시에 보안 모범 사례를 적용하는 방법에 대해 간략히 설명합니다.
Microsoft Entra ID를 사용하면 그룹을 사용하여 애플리케이션, 데이터 및 리소스에 대한 액세스를 관리할 수 있습니다. 리소스는 다음과 같습니다:
- Microsoft Entra ID의 역할을 통해 개체를 관리할 수 있는 권한과 같은 Microsoft Entra 조직의 일부
- SaaS(Software as a Service) 앱과 같은 조직 외부
- Azure 서비스
- SharePoint 사이트
- 온-프레미스 리소스
일부 그룹은 Azure Portal에서 관리할 수 없습니다.
- 온-프레미스 Active Directory에서 동기화된 그룹은 온-프레미스 Active Directory에서만 관리할 수 있습니다.
- 배포 목록 및 메일 사용 가능 보안 그룹은 Exchange 관리 센터 또는 Microsoft 365 관리 센터에서만 관리됩니다. 이러한 그룹을 관리하려면 Exchange 관리 센터 또는 Microsoft 365 관리 센터에 로그인해야 합니다.
그룹을 만들기 전에 알아야 할 사항
두 가지 그룹 유형과 세 가지 그룹 멤버 유형이 있습니다. 옵션을 검토하여 시나리오에 적합한 조합을 찾습니다.
그룹 유형:
보안: 공유 리소스에 대한 사용자 및 컴퓨터 액세스를 관리하는 데 사용됩니다.
예를 들어 모든 그룹 멤버가 동일한 보안 권한 세트를 갖도록 보안 그룹을 만들 수 있습니다. 보안 그룹의 멤버는 액세스 정책 및 권한을 정의하는 사용자, 디바이스, 서비스 주체 및 다른 그룹(중첩된 그룹이라고도 함)을 포함할 수 있습니다. 보안 그룹의 소유자는 사용자와 서비스 주체를 포함할 수 있습니다.
참고 항목
기존 보안 그룹을 다른 보안 그룹에 중첩하면 부모 그룹의 멤버만 공유 리소스 및 애플리케이션에 액세스할 수 있습니다. 중첩된 그룹의 멤버에게 할당되는 멤버 자격은 부모 그룹 멤버와 동일하지 않습니다. 중첩된 그룹을 관리하는 방법에 대한 자세한 내용은 그룹을 관리하는 방법을 참조하세요.
Microsoft 365: 그룹 멤버에게 공유 사서함, 일정, 파일, SharePoint 사이트 등에 대한 액세스 권한을 부여하여 협업 기회를 제공합니다.
이 옵션을 통해 조직 외부에 있는 사용자에게 그룹에 대한 액세스를 제공할 수 있습니다. Microsoft 365 그룹의 멤버는 사용자만 포함할 수 있습니다. Microsoft 365 그룹의 소유자는 사용자 및 서비스 주체를 포함할 수 있습니다. Microsoft 365 그룹에 대한 자세한 내용은 Microsoft 365 그룹에 대해 알아보세요를 참조하세요.
멤버 자격 유형:
할당된 그룹: 특정 사용자를 그룹의 멤버로 추가하고 고유한 권한을 가질 수 있습니다.
사용자용 동적 멤버 자격 그룹: 사용자에 대한 규칙을 사용하여 사용자를 자동으로 멤버로 추가하고 제거할 수 있습니다. 멤버의 특성이 변경되면 시스템은 디렉터리에서 동적 멤버 자격 그룹에 대한 규칙을 확인합니다. 시스템은 멤버가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.
디바이스용 동적 멤버 자격 그룹: 디바이스에 대한 규칙을 사용하여 디바이스를 자동으로 멤버로 추가하고 제거할 수 있습니다. 디바이스의 특성이 변경되면 시스템은 디렉터리의 동적 멤버 자격 그룹 규칙을 확인하여 디바이스가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.
Important
디바이스 또는 사용자 중 하나의 동적 그룹만 만들 수 있습니다. 디바이스 소유자의 특성을 기반으로 하는 디바이스 그룹은 만들 수 없습니다. 디바이스 멤버 자격 규칙은 디바이스 특성만 참조할 수 있습니다. 사용자 및 디바이스에 대한 동적 그룹을 만드는 방법에 대한 자세한 내용은 동적 그룹 만들기 및 상태 확인을 참조하세요.
액세스 권한을 그룹에 추가하기 전에 알아야 할 사항
Microsoft Entra 그룹이 만들어지면 적절한 액세스 권한을 부여해야 합니다. 액세스 권한이 다른 권한과 동일하지 않을 수 있으므로 이 액세스 권한이 필요한 각 애플리케이션, 리소스 및 서비스는 별도로 관리해야 합니다. 최소 권한 원칙을 사용하여 액세스 권한을 부여하면 공격 또는 보안 위반의 위험을 줄이는 데 도움이 됩니다.
Microsoft Entra ID의 액세스 관리 작동 방식
Microsoft Entra ID는 단일 사용자 또는 전체 Microsoft Entra 그룹에게 액세스 권한을 제공하여 조직의 리소스에 액세스하는 데 유용합니다. 그룹을 사용하면 리소스 소유자 또는 Microsoft Entra 디렉터리 소유자가 그룹의 모든 멤버에게 액세스 권한 세트를 할당할 수 있습니다. 또한 리소스 또는 디렉터리 소유자는 부서 관리자 또는 기술 지원팀 관리자와 같은 다른 사용자에게 관리 권한을 부여하여 해당 사용자가 멤버를 추가하고 제거하도록 할 수 있습니다. 그룹 소유자를 관리하는 방법에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.
액세스 권한을 할당하는 방법
그룹이 만들어지면 액세스 권한을 할당하는 방법을 결정해야 합니다. 액세스 권한을 할당하는 방법을 검색하여 시나리오에 가장 적합한 프로세스를 결정합니다.
직접 할당. 리소스 소유자는 사용자를 리소스에 직접 할당합니다.
그룹 할당. 리소스 소유자는 Microsoft Entra 그룹을 리소스에 할당하여 자동으로 모든 그룹 구성원에게 리소스에 대한 액세스 권한을 부여합니다. 그룹 소유자와 리소스 소유자 모두 그룹 멤버 자격을 관리하며, 두 소유자 모두 그룹에서 멤버를 추가하거나 제거할 수 있습니다. 그룹 멤버 자격 관리에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.
규칙 기반 할당. 리소스 소유자는 그룹을 만들고 규칙을 사용하여 특정 리소스에 할당되는 사용자를 정의합니다. 규칙은 개별 사용자에게 할당되는 특성을 따릅니다. 리소스 소유자는 규칙을 관리하며, 리소스에 대한 액세스를 허용하는 데 필요한 특성 및 값을 결정합니다. 자세한 내용은 동적 그룹 만들기 및 상태 확인을 참조하세요.
외부 기관 할당. 온-프레미스 디렉터리 또는 SaaS 앱 등의 외부 소스에서 액세스가 제공됩니다. 이 상황에서 리소스 소유자가 리소스에 대한 액세스 권한을 제공하는 그룹을 할당한 다음, 외부 소스가 그룹 구성원을 관리합니다.
사용자는 할당되지 않고 그룹에 조인할 수 있나요?
그룹 소유자는 사용자가 자신의 그룹을 할당하지 않고 조인할 자신의 그룹을 찾도록 할 수 있습니다. 소유자는 조인하는 모든 사용자를 자동으로 수용하거나 승인이 필요하도록 그룹을 설정할 수도 있습니다.
사용자가 그룹에 조인을 요청하면 해당 요청은 그룹 소유자에게 전달됩니다. 필요한 경우 소유자는 요청을 승인할 수 있으며, 사용자는 그룹 멤버 자격을 통보받습니다. 여러 명의 소유자가 있고 그 중 한 명이 승인하지 않으면 사용자는 알림을 받지만 그룹에 추가되지는 않습니다. 사용자가 그룹에 조인을 요청하게 하는 방법에 대한 자세한 내용 및 지침은 사용자가 그룹에 조인을 요청할 수 있도록 Microsoft Entra ID 설정을 참조하세요.