권한 관리에서 액세스 패키지에 대한 할당 보기, 추가 및 제거

  • 아티클

권한 관리에서 액세스 패키지에 할당된 사용자, 해당 정책, 상태 및 사용자 수명 주기(미리 보기)를 확인할 수 있습니다. 액세스 패키지에 적절한 정책이 있는 경우 액세스 패키지에 직접 사용자를 할당할 수도 있습니다. 이 문서에서는 액세스 패키지에 대한 할당을 확인, 추가, 제거하는 방법을 설명합니다.

필수 조건

권한 관리를 사용하고 패키지에 액세스할 사용자를 할당하려면 다음 라이선스 중 하나가 있어야 합니다.

  • Microsoft Entra ID P2
  • EMS(Enterprise Mobility + Security) E5 라이선스
  • Microsoft Entra ID 거버넌스 구독

할당이 있는 사용자 보기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

필수 구성 요소 역할: 전역 관리istrator, ID 거버넌스 관리istrator, 카탈로그 소유자, Access 패키지 관리자 또는 Access 패키지 할당 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. Access 패키지 페이지에서 액세스 패키지를 엽니다.

  4. 할당을 선택하여 활성 할당 목록을 확인합니다.

    List of assignments to an access package

  5. 특정 할당을 선택하여 추가 세부 정보를 확인합니다.

  6. 모든 리소스 역할이 제대로 프로비전되지 않은 할당 목록을 보려면 필터 상태를 선택하고 배달 중을 선택합니다.

    요청 페이지에서 사용자의 해당 요청을 찾아 배달 오류에 대한 추가 세부 정보를 확인할 수 있습니다.

  7. 만료된 할당을 보려면 필터 상태를 선택하고 만료됨을 선택합니다.

  8. 필터링된 목록의 CSV 파일을 다운로드하려면 다운로드를 선택합니다.

프로그래밍 방식으로 할당 보기

Microsoft Graph로 할당 보기

Microsoft Graph를 사용하여 액세스 패키지에서 할당을 검색할 수도 있습니다. 위임된 EntitlementManagement.Read.All 또는 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션의 적절한 역할 사용자는 API를 호출하여 accessPackageAssignments를 나열할 수 있습니다. 애플리케이션 권한 EntitlementManagement.Read.All 또는 EntitlementManagement.ReadWrite.All이 있는 애플리케이션도 이 API를 사용하여 모든 카탈로그에 대한 할당을 검색할 수 있습니다.

Microsoft Graph는 결과를 페이지로 반환하고 결과의 모든 페이지를 읽을 때까지 각 응답과 함께 @odata.nextLink 속성의 다음 결과 페이지에 대한 참조를 계속 반환합니다. 모든 결과를 읽으려면 앱에서 Microsoft Graph 데이터 페이징에 설명된 대로 @odata.nextLink 속성이 더 이상 반환되지 않을 때까지 각 응답에서 반환된 @odata.nextLink 속성으로 Microsoft Graph를 계속 호출해야 합니다.

ID 거버넌스 관리자가 여러 카탈로그에서 액세스 패키지를 검색하는 중에, 사용자 또는 애플리케이션 서비스 주체가 카탈로그별로 위임된 관리 역할에만 할당된 경우 요청에서 $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'처럼 특정 액세스 패키지를 표시하는 필터를 제공해야 합니다.

PowerShell로 할당 보기

ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상 모듈 버전의 Get-MgEntitlementManagementAssignment cmdlet을 사용하여 PowerShell에서 액세스 패키지에 대한 할당을 검색할 수도 있습니다. 이 스크립트는 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하여 특정 액세스 패키지에 대한 모든 할당을 검색하는 방법을 보여 줍니다. 이 cmdlet은 액세스 패키지 ID 매개 변수를 사용하는데, Get-MgEntitlementManagementAccessPackage cmdlet의 응답에 포함되어 있습니다. 모든 할당 페이지가 반환되도록 하려면 Get-MgEntitlementManagementAccessPackage cmdlet을 사용하여 -All 플래그를 포함해야 합니다.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

이전 쿼리는 만료된 할당과 전달된 할당을 반환합니다. 액세스 패키지 ID와 할당 상태를 포함하는 필터를 사용하여 만료되었거나 배달되고 있는 할당을 제외할 수 있습니다. 이 스크립트는 필터를 사용하여 특정 액세스 패키지에 대해 상태 Delivered의 할당만 검색하는 방법을 보여 줍니다. 그러면 스크립트는 할당마다 하나의 행이 포함된 CSV 파일 assignments.csv를 생성합니다.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

사용자 직접 할당

경우에 따라 사용자가 액세스 패키지를 요청하는 프로세스를 진행할 필요가 없도록 특정 사용자를 액세스 패키지에 직접 할당할 수 있습니다. 사용자를 직접 할당하려면 액세스 패키지에 관리자 직접 할당을 허용하는 정책이 있어야 합니다.

필수 역할은 전역 관리자, ID 거버넌스, 관리자, 카탈로그 소유자, 액세스 패키지 관리자 또는 액세스 패키지 할당 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. 액세스 패키지 페이지에서 액세스 패키지를 엽니다.

  4. 왼쪽 메뉴에서 할당을 선택합니다.

  5. 새 할당을 선택하여 액세스 패키지에 사용자 추가를 엽니다.

    Assignments - Add user to access package

  6. 정책 선택 목록에서 사용자의 향후 요청 및 수명 주기를 관리하고 추적하는 데 사용할 정책을 선택합니다. 선택한 사용자에게 다른 정책 설정을 사용하려는 경우 새 정책 만들기를 선택하여 새 정책을 추가할 수 있습니다.

  7. 정책을 선택한 후에는 사용자를 추가하여, 선택한 정책에서 이 액세스 패키지를 할당할 사용자를 선택할 수 있습니다.

    참고 항목

    질문을 포함한 정책을 선택할 경우 한 번에 한 사용자만 할당할 수 있습니다.

  8. 선택한 사용자의 할당을 시작하고 종료할 날짜 및 시간을 설정합니다. 종료 날짜를 지정하지 않으면 정책의 수명 주기 설정이 사용됩니다.

  9. 필요에 따라 레코드 보관을 위해 직접 할당의 사유를 제공합니다.

  10. 선택한 정책이 추가적인 요청자 정보를 포함할 경우 질문 보기를 선택하여 사용자를 대신에 질문에 답한 다음, 저장을 선택합니다.

    Assignments - click view questions

    Assignments - questions pane

  11. 추가를 선택하여 선택한 사용자를 액세스 패키지에 직접 할당합니다.

    잠시 후에 새로 고침을 선택하여 할당 목록에서 사용자를 확인합니다.

참고 항목

사용자를 액세스 패키지에 할당하는 경우 관리자는 기존 정책 요구 사항에 따라 사용자가 해당 액세스 패키지에 적합한지 확인해야 합니다. 그렇지 않으면 사용자가 액세스 패키지에 성공적으로 할당되지 않습니다. 액세스 패키지가 사용자 요청 승인을 요구하는 정책을 포함하는 경우 사용자는 지정된 승인자로부터 필요한 승인 없이 패키지에 직접 할당될 수 없습니다.

모든 사용자 직접 할당(미리 보기)

권한 관리를 사용하면 외부 사용자를 액세스 패키지에 직접 할당하여 파트너와 더 쉽게 협업할 수도 있습니다. 이렇게 하려면 액세스 패키지에 아직 디렉터리에 없는 사용자가 액세스를 요청할 수 있는 정책이 있어야 합니다.

필수 역할은 전역 관리자, ID 거버넌스, 관리자, 카탈로그 소유자, 액세스 패키지 관리자 또는 액세스 패키지 할당 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. Access 패키지 페이지에서 액세스 패키지를 엽니다.

  4. 왼쪽 메뉴에서 할당을 선택합니다.

  5. 새 할당을 선택하여 액세스 패키지에 사용자 추가를 엽니다.

  6. 정책 선택 목록에서 디렉터리에 없는 사용자용으로 설정된 정책을 선택합니다.

  7. 모든 사용자를 선택합니다. 이 액세스 패키지에 할당할 사용자를 지정할 수 있습니다. Assignments - Add any user to access package

  8. 사용자의 이름(선택 사항) 및 사용자의 이메일 주소(필수)를 입력합니다.

    참고 항목

    • 추가하려는 사용자는 정책 범위 내에 있어야 합니다. 예를 들어 정책이 연결된 특정 조직으로 설정된 경우 사용자의 이메일 주소는 선택한 조직의 도메인에 있어야 합니다. 추가하려는 사용자에게 jen@foo.com 이메일 주소가 있지만 선택한 조직의 도메인이 bar.com인 경우 해당 사용자를 액세스 패키지에 추가할 수 없습니다.
    • 마찬가지로 구성된 모든 연결된 조직을 포함하도록 정책을 설정한 경우 사용자의 이메일 주소는 구성된 연결 조직 중 하나에서 가져온 주소여야 합니다. 그렇지 않으면 사용자가 액세스 패키지에 추가되지 않습니다.
    • 액세스 패키지에 사용자를 추가하려는 경우 정책을 구성할 때 모든 사용자(연결된 모든 조직 + 외부 사용자)를 선택해야 합니다.

  9. 선택한 사용자의 할당을 시작하고 종료할 날짜 및 시간을 설정합니다. 종료 날짜가 제공되지 않으면 정책의 수명 주기 설정이 사용됩니다.

  10. 추가를 선택하여 선택한 사용자를 액세스 패키지에 직접 할당합니다.

  11. 잠시 후에 새로 고침을 선택하여 할당 목록에서 사용자를 확인합니다.

프로그래밍 방식으로 사용자 직접 할당

Microsoft Graph로 액세스 패키지에 사용자 할당

Microsoft Graph를 사용하여 액세스 패키지에 사용자를 직접 할당할 수도 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션 또는 애플리케이션 권한이 있는 애플리케이션이 있는 적절한 역할의 EntitlementManagement.ReadWrite.All 사용자는 API를 호출하여 accessPackageAssignmentRequest를 만들 수 있습니다. 이 요청에서 requestType 속성의 값은 adminAdd고, assignment 속성은 할당될 사용자의 targetId를 포함하는 구조입니다.

PowerShell로 액세스 패키지에 사용자 할당

Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상에서 New-MgEntitlementManagementAssignmentRequest cmdlet을 사용하여 PowerShell에서 액세스 패키지에 사용자를 할당할 수 있습니다. 이 스크립트는 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하는 방법을 보여 줍니다.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0 이상에서 New-MgBetaEntitlementManagementAccessPackageAssignment cmdlet과 함께 PowerShell을 사용하여 디렉터리에 있는 여러 사용자를 액세스 패키지에 할당할 수도 있습니다. 이 cmdlet은 다음과 같은 매개 변수를 사용합니다.

  • Get-MgEntitlementManagementAccessPackage cmdlet의 응답에 포함된 액세스 패키지 ID
  • cmdlet의 응답 Get-MgEntitlementManagementAccessPackage 에 있는 assignmentpolicies 필드의 정책에 포함된 액세스 패키지 할당 정책 ID
  • 대상 사용자의 개체 ID로, 문자열 배열 또는 Get-MgGroupMember cmdlet에서 반환한 사용자 멤버 목록 형태입니다.

예를 들어 현재 그룹 멤버인 모든 사용자가 액세스 패키지도 할당 받게 하려면 이 cmdlet을 사용하여 현재 할당이 없는 사용자에 대한 요청을 만들 수 있습니다. 이 cmdlet은 할당만 만듭니다. 더 이상 그룹의 멤버가 아닌 사용자의 할당은 제거하지 않습니다.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

디렉터리에 아직 없는 사용자에 대한 할당을 추가하려는 경우 Id 거버넌스 베타 모듈 버전 2.1.x 이상 베타 모듈 버전에 대한 Microsoft Graph PowerShell cmdlet의 cmdlet을 사용할 New-MgBetaEntitlementManagementAccessPackageAssignmentRequest 수 있습니다. 이 스크립트는 Graph beta 프로필 및 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하는 방법을 보여 줍니다. 이 cmdlet은 다음과 같은 매개 변수를 사용합니다.

  • Get-MgEntitlementManagementAccessPackage cmdlet의 응답에 포함된 액세스 패키지 ID
  • cmdlet의 응답 Get-MgEntitlementManagementAccessPackage 에 있는 필드의 assignmentpolicies 정책에 포함된 액세스 패키지 할당 정책 ID
  • 대상 사용자의 이메일 주소
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

수명 주기 워크플로의 일부로 액세스 할당 구성

Microsoft Entra 수명 주기 워크플로 기능에서 온보딩 워크플로에 사용자 액세스 패키지 할당 요청 작업을 추가할 수 있습니다. 작업은 사용자에게 있어야 하는 액세스 패키지를 지정할 수 있습니다. 사용자에 대해 워크플로를 실행하면 액세스 패키지 할당 요청이 자동으로 만들어집니다.

  1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>수명 주기 워크플로>워크플로로 이동합니다.

  3. 직원 온보딩 또는 이동 워크플로를 선택합니다.

  4. 작업을 선택하고 작업 추가를 선택합니다.

  5. 사용자 액세스 패키지 할당 요청을 선택하고 추가를 선택합니다.

  6. 새로 추가된 작업을 선택합니다.

  7. 액세스 패키지 선택을 선택하고 새 사용자 또는 이동 중인 사용자를 할당해야 하는 액세스 패키지를 선택합니다.

  8. 정책 선택을 선택하고 해당 액세스 패키지에서 액세스 패키지 할당 정책을 선택합니다.

  9. 저장을 선택합니다.

할당 제거

사용자 또는 관리자가 이전에 요청한 할당을 제거할 수 있습니다.

필수 역할은 전역 관리자, ID 거버넌스, 관리자, 카탈로그 소유자, 액세스 패키지 관리자 또는 액세스 패키지 할당 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. Access 패키지 페이지에서 액세스 패키지를 엽니다.

  4. 왼쪽 메뉴에서 할당을 선택합니다.

  5. 액세스 패키지에서 할당을 제거할 사용자 옆에 있는 확인란을 선택합니다.

  6. 왼쪽 창의 위쪽에 있는 제거 단추를 선택합니다.

    Assignments - Remove user from access package

    할당이 제거되었음을 알리는 알림이 나타납니다.

프로그래밍 방식으로 할당 제거

Microsoft Graph로 할당 제거

Microsoft Graph를 사용하여 액세스 패키지에 대한 사용자 할당을 제거할 수도 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션 또는 애플리케이션 권한이 있는 애플리케이션이 있는 적절한 역할의 EntitlementManagement.ReadWrite.All 사용자는 API를 호출하여 accessPackageAssignmentRequest를 만들 수 있습니다. 이 요청에서 requestType 속성의 값은 adminRemove고, assignment 속성은 accessPackageAssignment 제거를 식별하는 id 속성을 포함하는 구조입니다.

PowerShell로 할당 제거

Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상에서 New-MgEntitlementManagementAssignmentRequest cmdlet을 사용하여 PowerShell에서 사용자의 할당을 제거할 수 있습니다. 이 스크립트는 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하는 방법을 보여 줍니다.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

수명 주기 워크플로의 일부로 할당 제거 구성

Microsoft Entra 수명 주기 워크플로 기능에서 오프보딩 워크플로에 사용자에 대한 액세스 패키지 할당 제거 작업을 추가할 수 있습니다. 해당 작업은 사용자를 할당할 수 있는 액세스 패키지를 지정할 수 있습니다. 사용자에 대해 워크플로를 실행하면 해당 액세스 패키지 할당이 자동으로 제거됩니다.

  1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>수명 주기 워크플로>워크플로로 이동합니다.

  3. 직원 오프보딩 워크플로를 선택합니다.

  4. 작업을 선택하고 작업 추가를 선택합니다.

  5. 사용자에 대한 액세스 패키지 할당 제거를 선택하고 추가를 선택합니다.

  6. 새로 추가된 작업을 선택합니다.

  7. 액세스 패키지 선택을 선택하고 오프보딩 중인 사용자가 제거되어야 하는 하나 이상의 액세스 패키지를 선택합니다.

  8. 저장을 선택합니다.

다음 단계