다음을 통해 공유


Microsoft Entra ID의 사용자 지정 보안 특성은 무엇인가요?

Microsoft Entra ID의 사용자 지정 보안 특성은 Microsoft Entra 개체에 정의하고 할당할 수 있는 비즈니스별 특성(키-값 쌍)입니다. 이러한 특성을 사용하여 정보를 저장하거나, 개체를 분류하거나, 특정 Azure 리소스에 대해 세분화된 액세스 제어를 적용할 수 있습니다. 사용자 지정 보안 특성은 ABAC(Azure 특성 기반 액세스 제어)에서 사용할 수 있습니다.

사용자 지정 보안 특성을 사용하는 이유

사용자 지정 보안 특성을 사용할 수 있는 몇 가지 시나리오는 다음과 같습니다.

  • 모든 직원에게 시간당 급여를 추가하는 것처럼 사용자 프로필을 확장합니다.
  • 관리자만 내 직원의 프로필에서 시간당 급여 특성을 확인할 수 있도록 합니다.
  • 수백 또는 수천 개의 애플리케이션을 분류하여 감사를 위한 필터링 가능한 인벤토리를 쉽게 만듭니다.
  • 사용자에게 프로젝트에 속한 Azure Storage Blob에 대한 액세스 권한을 부여합니다.

사용자 지정 보안 특성으로 수행할 수 있는 작업

사용자 지정 보안 특성에는 다음 기능이 포함됩니다.

  • 테넌트에 대한 비즈니스 관련 정보(특성)를 정의합니다.
  • 사용자 및 애플리케이션에 대한 사용자 지정 보안 특성 집합을 추가합니다.
  • 쿼리 및 필터가 포함된 사용자 지정 보안 특성을 사용하여 Microsoft Entra 개체를 관리합니다.
  • 특성 거버넌스를 제공하여 액세스 권한을 얻을 수 있는 사용자를 결정합니다.

다음 영역에서는 사용자 지정 보안 특성이 지원되지 않습니다.

사용자 지정 보안 특성의 기능

사용자 지정 보안 특성에는 다음 기능이 포함됩니다.

  • 테넌트 전체에서 사용 가능
  • 설명 포함
  • 다양한 데이터 형식 지원: 부울, 정수, 문자열
  • 단일 값 또는 다중 값 지원
  • 사용자 지정 자유 형식 값 또는 미리 정의된 값 지원
  • 온-프레미스 Active Directory에서 디렉터리가 동기화된 사용자에게 사용자 지정 보안 특성 할당

다음 예제에서는 사용자에게 할당된 몇 가지 사용자 지정 보안 특성을 보여줍니다. 사용자 지정 보안 특성은 서로 다른 데이터 형식이며 단일, 다중, 자유 형식 또는 미리 정의된 값을 갖습니다.

사용자에게 할당된 사용자 지정 보안 특성 예제 스크린샷

사용자 지정 보안 특성을 지원하는 개체

다음 Microsoft Entra 개체에 대한 사용자 지정 보안 특성을 추가할 수 있습니다.

  • Microsoft Entra 사용자
  • Microsoft Entra 엔터프라이즈 애플리케이션(서비스 주체)

사용자 지정 보안 특성과 확장을 비교하는 방법

확장 및 사용자 지정 보안 특성을 모두 사용하여 Microsoft Entra ID 및 Microsoft 365에서 개체를 확장할 수 있지만 근본적으로 다른 사용자 지정 데이터 시나리오에 적합합니다. 사용자 지정 보안 특성을 확장과 비교하는 몇 가지 방법은 다음과 같습니다.

기능 확장 사용자 지정 보안 특성
Microsoft Entra ID 및 Microsoft 365 개체 확장
지원되는 개체 확장 형식에 따라 다름 사용자 및 서비스 주체
제한된 액세스 아니요. 개체를 읽을 수 있는 권한이 있으면 확장 데이터를 읽을 수 있습니다. 예. 별도의 권한 집합 및 RBAC(역할 기반 액세스 제어)를 통해 읽기 및 쓰기 액세스를 제한합니다.
사용 시기 애플리케이션에서 사용할 데이터 저장
중요하지 않은 데이터 저장
중요한 데이터 저장
권한 부여 시나리오에 사용
라이선스 요구 사항 모든 버전의 Microsoft Entra ID에서 사용 가능 모든 버전의 Microsoft Entra ID에서 사용 가능

확장 작업에 대한 자세한 내용은 확장을 사용하여 리소스에 사용자 지정 데이터 추가를 참조하세요.

사용자 지정 보안 특성을 사용하는 단계

  1. 권한 확인

    특성 정의 관리자 또는 특성 할당 관리자 역할이 할당되었는지 확인합니다. 필요한 경우 최소한 권한 있는 역할 관리자 역할이 있는 사람이 이러한 역할을 할당할 수 있습니다.

    Microsoft Entra ID에서 사용자 지정 보안 특성을 추가할 수 있는 권한의 확인을 보여 주는 다이어그램

  2. 특성 집합 추가

    관련 사용자 지정 보안 특성을 그룹화하고 관리하기 위한 특성 집합을 추가합니다. 자세한 정보

    여러 특성 집합 추가를 보여 주는 다이어그램

  3. 특성 집합 관리

    특성 집합에서 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 사용자를 지정합니다. 자세한 정보

    특성 정의 관리자 및 특성 할당 관리자를 특성 집합에 할당하는 것을 보여 주는 다이어그램

  4. 특성 정의

    사용자 지정 보안 특성을 디렉터리에 추가합니다. 날짜 형식(부울, 정수 또는 문자열) 및 미리 정의된 값, 자유 형식 값, 단일 값 또는 다중 값인지 여부를 지정할 수 있습니다. 자세한 정보

    사용자 지정 보안 특성을 정의하는 위임된 관리자를 보여 주는 다이어그램

  5. 특성 할당

    비즈니스 시나리오에 맞게 Microsoft Entra 개체에 사용자 지정 보안 특성을 할당합니다. 자세한 정보

    위임된 관리자가 Microsoft Entra 개체에 사용자 지정 보안 특성을 할당하는 모습을 보여 주는 다이어그램.

  6. 특성 사용

    사용자 지정 보안 특성을 사용하는 사용자 및 애플리케이션을 필터링합니다. 자세한 정보

    세분화된 액세스 제어를 위해 사용자 지정 보안 특성을 Azure 역할 할당에 사용하는 조건을 추가합니다. 자세한 정보

용어

사용자 지정 보안 특성을 더 잘 이해하기 위해 다음 용어 목록을 다시 참조할 수 있습니다.

용어 정의
특성 정의 사용자 지정 보안 특성 또는 키-값 쌍의 스키마입니다. 예를 들어 사용자 지정 보안 특성 이름, 설명, 데이터 형식 및 미리 정의된 값이 있습니다.
특성 집합 관련 사용자 지정 보안 특성의 컬렉션입니다. 특성 집합은 사용자 지정 보안 특성을 정의하고 할당하기 위해 다른 사용자에게 위임할 수 있습니다.
특성 이름 특성 집합 내 사용자 지정 보안 특성에 대한 고유한 이름입니다. 특성 집합과 특성 이름의 조합은 테넌트에 대한 고유한 특성을 형성합니다.
특성 할당 사용자 및 엔터프라이즈 애플리케이션(서비스 주체)과 같은 Microsoft Entra 개체에 사용자 지정 보안 특성을 할당합니다.
미리 정의된 값 사용자 지정 보안 특성에 허용되는 값입니다.

사용자 지정 보안 특성

다음 표에는 특성 집합 및 사용자 지정 보안 특성에 대해 지정할 수 있는 속성이 나와 있습니다. 일부 속성은 변경할 수 없으며 나중에 변경할 수도 없습니다.

속성 Required 나중에 변경 가능 설명
특성 집합 이름 특성 집합의 이름입니다. 테넌트 내에서 고유해야 합니다. 공백 또는 특수 문자를 포함할 수 없습니다.
특성 집합 설명 특성 집합에 대한 설명입니다.
최대 특성 수 특성 집합에서 정의할 수 있는 사용자 지정 보안 특성의 최대 수입니다. 기본값은 null여야 합니다. 지정되지 않으면 관리자가 테넌트당 최대 500개의 활성 특성을 추가할 수 있습니다.
특성 집합 관련 사용자 지정 보안 특성의 컬렉션입니다. 모든 사용자 지정 보안 특성은 특성 집합의 일부여야 합니다.
Attribute name 사용자 지정 보안 특성의 이름입니다. 특성 집합 내에서 고유해야 합니다. 공백 또는 특수 문자를 포함할 수 없습니다.
특성 설명 사용자 지정 보안 특성에 대한 설명입니다.
데이터 형식 사용자 지정 보안 특성 값의 데이터 형식입니다. 지원되는 형식은 Boolean, IntegerString입니다.
여러 값 할당 허용 여러 값을 사용자 지정 보안 특성에 할당할 수 있는지 여부를 나타냅니다. 데이터 형식이 Boolean으로 설정되면 Yes로 설정할 수 없습니다.
미리 정의된 값만 할당 허용 미리 정의된 값만 사용자 지정 보안 특성에 할당할 수 있는지 여부를 나타냅니다. No로 설정되면 자유 형식 값이 허용됩니다. 나중에 Yes에서 No로 변경할 수 있지만, No에서 Yes로 변경할 수는 없습니다. 데이터 형식이 Boolean으로 설정되면 Yes로 설정할 수 없습니다.
미리 정의된 값 선택한 데이터 형식의 사용자 지정 보안 특성에 대해 미리 정의된 값입니다. 나중에 더 많은 미리 정의된 값을 추가할 수 있습니다. 값에는 공백이 포함될 수 있지만 일부 특수 문자는 허용되지 않습니다.
미리 정의된 값이 활성 상태임 미리 정의된 값이 활성 또는 비활성화 상태인지 여부를 지정합니다. false로 설정되면 미리 정의된 값을 지원되는 추가 디렉터리 개체에 할당할 수 없습니다.
특성 활성화 사용자 지정 보안 특성이 활성 또는 비활성화 상태인지 여부를 지정합니다.

제한 사항 및 제약 조건

사용자 지정 보안 특성에 대한 몇 가지 제한 및 제약 조건은 다음과 같습니다.

리소스 제한 주의
테넌트별 특성 정의 수 500 테넌트에서 활성 특성에만 적용됩니다.
테넌트당 특성 집합 수 500
특성 집합 이름 길이 32 유니코드 문자 및 대/소문자 구분
특성 집합 설명 길이 128 유니코드 문자
특성 이름 길이 32 유니코드 문자 및 대/소문자 구분
특성 설명 길이 128 유니코드 문자
미리 정의된 값 유니코드 문자 및 대/소문자 구분
특성 정의당 미리 정의된 값 수 100
특성 값 길이 64 유니코드 문자
개체당 할당되는 특성 값 수 50 값은 단일 및 다중 값 특성에 분산될 수 있습니다.
예: 각각 10개의 값이 있는 5개의 특성 또는 각각 하나의 값이 있는 50개의 특성
다음에는 특수 문자가 허용되지 않습니다.
특성 집합 이름
Attribute name
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / 특성 집합 이름 및 특성 이름은 숫자로 시작할 수 없습니다.
특성 값에 허용되는 특수 문자 모든 특수 문자
Blob 인덱스 태그와 함께 사용할 때 속성 값에 허용되는 특수 문자 <space> + - . : = _ / Blob 색인 태그가 있는 특성 값을 사용하려는 경우 이는 Blob 색인 태그에 허용되는 유일한 특수 문자입니다. 자세한 내용은 Blob 인덱스 태그 설정을 참조하세요.

사용자 지정 보안 특성 역할

Microsoft Entra ID는 사용자 지정 보안 특성을 사용하기 위한 기본 제공 역할을 제공합니다. 특성 정의 관리자 역할은 사용자 지정 보안 특성을 관리하는 데 필요한 최소 역할입니다. 특성 할당 관리자 역할은 사용자 및 애플리케이션과 같은 Microsoft Entra 개체에 대한 사용자 지정 보안 특성 값을 할당하는 데 필요한 최소 역할입니다. 이러한 역할은 테넌트 범위 또는 특성 집합 범위에서 할당할 수 있습니다.

역할 사용 권한
특성 정의 읽기 권한자 특성 집합 읽기
사용자 지정 보안 특성 정의 읽기
특성 정의 관리자 특성 집합의 모든 측면 관리
사용자 지정 보안 특성 정의의 모든 측면 관리
특성 할당 읽기 권한자 특성 집합 읽기
사용자 지정 보안 특성 정의 읽기
사용자 및 서비스 주체에 대한 사용자 지정 보안 특성 키 및 값 읽기
특성 할당 관리자 특성 집합 읽기
사용자 지정 보안 특성 정의 읽기
사용자 및 서비스 주체에 대한 사용자 지정 보안 특성 키 및 값 읽기 및 업데이트
특성 로그 판독기 사용자 지정 보안 특성에 대한 감사 로그 읽기
특성 로그 관리자 사용자 지정 보안 특성에 대한 감사 로그 읽기
사용자 지정 보안 특성에 대한 진단 설정 구성

Important

기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다.

Microsoft Graph API

Microsoft Graph API를 사용하여 프로그래밍 방식으로 사용자 지정 보안 특성을 관리할 수 있습니다. 자세한 내용은 Microsoft Graph API를 사용하는 사용자 지정 보안 특성 개요를 참조하세요.

Graph Explorer와 같은 API 클라이언트를 사용하여 사용자 지정 보안 특성에 대해 Microsoft Graph API를 더 쉽게 시도할 수 있습니다.

사용자 지정 보안 특성에 대한 Microsoft Graph API 호출을 보여 주는 스크린샷

라이선스 요구 사항

이 기능은 무료이며 Azure 구독에 포함되어 있습니다.

다음 단계