권한 관리에서 액세스 패키지의 요청 설정을 변경합니다.
액세스 패키지 관리자 자격으로 언제든지 액세스 패키지 할당 요청에 대한 정책을 편집하거나 액세스 패키지에 새 정책을 추가하여 액세스 패키지를 요청할 수 있는 사용자를 변경할 수 있습니다. 이 문서에서는 기존 액세스 패키지 할당 정책의 요청 설정을 변경하는 방법을 설명합니다.
하나 또는 여러 정책 중에서 선택
정책을 사용해서 액세스 패키지를 요청할 수 있는 사용자를 지정할 수 있습니다. 액세스 패키지에서 새 정책을 만들거나 기존 정책을 편집하기 전에 액세스 패키지에 필요한 정책 수를 결정해야 합니다.
액세스 패키지를 만들 때 액세스 패키지의 첫 번째 정책에 저장되는 요청, 승인 및 수명 주기 설정을 지정할 수 있습니다. 대부분의 액세스 패키지에는 사용자가 액세스를 요청하는 단일 정책이 있지만 단일 액세스 패키지에는 여러 정책이 있을 수 있습니다. 서로 다른 요청 및 승인 설정을 사용하여 다른 사용자 집합에 할당을 부여할 수 있도록 허용하려면 액세스 패키지에 대한 정책을 여러 개 만듭니다.
예를 들어 단일 정책을 사용하여 내부 및 외부 사용자를 동일한 액세스 패키지에 할당할 수 없습니다. 그러나 동일한 액세스 패키지에 두 개의 정책을 만들 수 있습니다. 하나는 내부 사용자용이고 다른 하나는 외부 사용자용입니다. 요청할 사용자에게 여러 정책이 적용되는 경우 요청 시 할당하려는 정책을 선택하라는 메시지가 표시됩니다. 다음 다이어그램에서는 두 개의 정책을 포함하는 액세스 패키지를 보여 줍니다.
사용자가 액세스를 요청하는 정책 외에도 자동 할당에 대한 정책과 관리자 또는 카탈로그 소유자가 직접 할당하는 정책을 사용할 수 있습니다.
필요한 정책 수는 몇 개인가요?
| 시나리오 | 정책 수 |
|---|---|
| 내 디렉터리의 모든 사용자에게 액세스 패키지에 대한 동일한 요청 및 승인 설정을 포함하려고 합니다 | 하나 |
| 연결된 특정 조직의 모든 사용자가 액세스 패키지를 요청할 수 있도록 하려고 합니다 | 하나 |
| 내 디렉터리 내부의 사용자와 내 디렉터리 외부의 사용자 모두가 액세스 패키지를 요청하도록 허용합니다 | 둘 |
| 일부 사용자에 다른 승인 설정을 지정하려고 합니다 | 각 사용자 그룹에 대해 하나씩 |
| 일부 사용자가 패키지 할당에 액세스하여 다른 사용자가 액세스를 확장할 수 있도록 하려고 합니다 | 각 사용자 그룹에 대해 하나씩 |
| 일부 사용자가 액세스 권한을 요청하고 다른 사용자에게 관리자가 액세스 권한을 할당하도록 하려는 경우 | 둘 |
| 조직의 일부 사용자가 자동으로 액세스 권한을 받도록 하고, 조직의 다른 사용자가 요청할 수 있도록 하고, 다른 사용자에게 관리자가 액세스 권한을 할당하려고 합니다. | 3단계 |
여러 정책이 적용될 때 사용되는 우선 순위 논리에 대한 자세한 내용은 여러 정책을 참조하세요.
기존 액세스 패키지를 열고 다른 요청 설정으로 새 정책 추가
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
다른 요청 및 승인 설정이 필요한 사용자 집합이 있는 경우 새 정책을 만들어야 할 수 있습니다. 기존 액세스 패키지에 새 정책 추가를 시작하려면 다음 단계를 수행합니다.
필수 역할: 전역 관리자, ID 거버넌스 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
액세스 패키지 페이지에서 편집하려는 액세스 패키지를 엽니다.
정책을 선택한 다음 정책 추가를 선택합니다.
기본 사항 탭에서 정책에 대한 이름과 설명을 입력합니다.
다음을 선택하여 요청 탭을 엽니다.
액세스를 요청할 수 있는 사용자를 변경합니다. 다음 섹션의 단계를 통해 설정을 다음 옵션 중 하나로 변경할 수 있습니다.
디렉터리에 있는 사용자
디렉터리에 있는 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 다음 단계를 수행합니다. 요청 정책을 정의할 때 개별 사용자 또는 더 일반적으로 사용자 그룹을 지정할 수 있습니다. 예를 들어 조직에 모든 직원과 같은 그룹이 이미 있을 수 있습니다. 해당 그룹이 액세스를 요청할 수 있는 사용자에 대한 정책에 추가되면 해당 그룹의 모든 구성원이 액세스를 요청할 수 있습니다.
Users who can request access(액세스를 요청할 수 있는 사용자) 섹션에서 For users in your directory(디렉터리에 있는 사용자의 경우) 클릭합니다.
이 옵션을 선택하면 디렉터리에서 이 액세스 패키지를 요청할 수 있는 사용자를 더 구체화하는 새로운 옵션이 표시됩니다.
다음 옵션 중 하나를 선택합니다.
설명 특정 사용자 및 그룹 디렉터리에 있는 특정한 사용자나 그룹만 액세스 패키지 요청을 할 수 있도록 허용하려면 이 옵션을 선택합니다. 모든 구성원(게스트 제외) 디렉터리의 모든 구성원 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 이 옵션을 선택합니다. 이 옵션에는 디렉터리에 초대했을 수 있는 게스트 사용자가 포함되지 않습니다. 모든 사용자(게스트 포함) 디렉터리의 모든 구성원 사용자와 게스트 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 이 옵션을 선택합니다. 게스트 사용자는 Microsoft Entra B2B를 사용하여 디렉터리에 초대된 외부 사용자를 참조합니다. 구성원 사용자와 게스트 사용자의 차이점에 대한 자세한 내용은 Microsoft Entra ID의 기본 사용자 권한이란?을 참조하세요.
특정 사용자 및 그룹을 선택한 경우 사용자 및 그룹 추가를 클릭합니다.
[사용자 및 그룹 선택] 창에서 추가하려는 사용자와 그룹을 선택합니다.
선택을 클릭하여 사용자 및 그룹을 추가합니다.
승인이 필요한 경우 권한 관리에서 액세스 패키지에 대한 승인 설정 변경 단계를 통해 승인 설정을 구성합니다.
요청 사용 섹션으로 이동합니다.
디렉터리에 없는 사용자
디렉터리에 없는 사용자는 다른 Microsoft Entra 디렉터리나 도메인에 있는 사용자를 의미합니다. 이러한 사용자는 아직 디렉터리에 초대되지 않았을 수 있습니다. 협업 제한 사항에서 초대를 허용하도록 Microsoft Entra 디렉터리를 구성해야 합니다. 자세한 내용은 외부 협업 설정 구성을 참조하세요.
참고 항목
요청이 승인되거나 자동으로 승인되는 게스트 사용자 계정은 디렉터리에 아직 없는 사용자에 대해 만들어집니다. 게스트는 초대되지만 초대 메일은 받지 않습니다. 대신 액세스 패키지 할당이 전달되면 이메일을 받게 됩니다. 기본값으로 나중에 해당 게스트 사용자에게 액세스 패키지 할당이 더 이상 없는 경우 마지막 할당이 만료되었거나 취소되었으므로 게스트 사용자 계정은 로그인이 차단되며 이후에 삭제됩니다. 게스트 사용자에게 패키지 할당이 없는 경우에도 해당 게스트 사용자가 무기한으로 디렉터리에 남아 있게 하려면 권한 관리 구성 설정을 변경할 수 있습니다. 게스트 사용자 개체 정의에 대한 자세한 내용은 Microsoft Entra B2B 협업 사용자 속성을 참조하세요.
디렉터리에 없는 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 다음 단계를 수행합니다.
액세스를 요청할 수 있는 사용자 섹션에서 디렉터리에 없는 사용자의 경우를 클릭합니다.
이 옵션을 선택하면 새 옵션이 표시됩니다.
액세스를 요청할 수 있는 사용자가 기존 연결된 조직에 속해야 하는지 아니면 인터넷상의 모든 사용자가 될 수 있는지 선택합니다. 연결된 조직은 기존 관계가 있는 조직으로, 외부 Microsoft Entra 디렉터리 또는 다른 ID 공급자가 있을 수 있습니다. 다음 옵션 중 하나를 선택합니다.
설명 연결된 특정 조직 관리자가 이전에 추가한 조직 목록에서 선택하려면 이 옵션을 선택합니다. 선택한 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있습니다. 구성된 모든 연결 조직 구성된 모든 연결된 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있는 경우 이 옵션을 선택합니다. 구성된 연결된 조직의 사용자만 액세스 패키지를 요청할 수 있으므로 사용자가 기존 연결된 조직과 연결된 Microsoft Entra 테넌트, 도메인 또는 ID 공급자가 아닌 경우 요청할 수 없습니다. 모든 사용자(연결된 모든 조직 + 모든 새 외부 사용자) 인터넷의 모든 사용자가 이 액세스 패키지를 요청할 수 있어야 하는 경우 이 옵션을 선택합니다. 사용자가 디렉터리의 연결된 조직에 속해 있지 않으면 패키지를 요청할 때 연결된 조직이 자동으로 생성됩니다. 자동으로 생성된 연결된 조직은 제안된 상태가 됩니다. 제안된 상태에 대한 자세한 내용은 연결된 조직의 상태 속성을 참조하세요. 연결된 특정 조직을 선택한 경우 디렉터리 추가를 클릭하여 관리자가 이전에 추가한 연결된 조직 목록에서 선택합니다.
이전에 연결된 조직을 검색할 이름 또는 도메인 이름을 입력합니다.
협업하려는 조직이 목록에 없는 경우 관리자에게 연결된 조직으로 추가하도록 요청할 수 있습니다. 자세한 내용은 연결된 조직 추가를 참조하세요.
연결된 조직을 모두 선택했으면 선택을 클릭합니다.
참고 항목
선택한 연결된 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있습니다. Microsoft Entra 디렉터리가 있는 연결된 조직의 경우 해당 도메인이 Azure B2B 허용 또는 거부 목록에 의해 차단되지 않는 한 Microsoft Entra 디렉터리에 연결된 확인된 모든 도메인의 사용자가 요청할 수 있습니다. 자세한 내용은 특정 조직의 B2B 사용자 초대 허용 또는 차단을 참조하세요.
그런 다음 권한 관리에서 액세스 패키지에 대한 승인 설정 변경 단계에서 조직에 속하지 않은 사용자의 요청을 승인해야 하는 사용자를 지정하는 승인 설정을 구성합니다.
요청 사용 섹션으로 이동합니다.
없음(관리자 직접 할당만 해당)
액세스 요청을 무시하고 관리자가 특정 사용자를 이 액세스 패키지에 직접 할당할 수 있게 하려면 다음 단계를 수행합니다. 사용자는 액세스 패키지를 요청할 필요가 없습니다. 수명 주기 설정은 계속 지정할 수 있지만 요청 설정이 없습니다.
액세스를 요청할 수 있는 사용자 섹션에서 없음(관리자 직접 할당만 해당)을 클릭합니다.
액세스 패키지가 만들어지면 특정 내부 및 외부 사용자를 액세스 패키지에 직접 할당할 수 있습니다. 외부 사용자를 지정하는 경우 게스트 사용자 계정이 디렉터리에 만들어집니다. 사용자를 직접 할당하는 방법에 대한 자세한 내용은 액세스 패키지에 대한 할당 보기, 추가 및 제거를 참조하세요.
요청 사용 섹션으로 건너뜁니다.
참고 항목
사용자를 액세스 패키지에 할당하는 경우 관리자는 기존 정책 요구 사항에 따라 사용자가 해당 액세스 패키지에 적합한지 확인해야 합니다. 그렇지 않으면 사용자가 액세스 패키지에 성공적으로 할당되지 않습니다. 액세스 패키지가 사용자 요청 승인을 요구하는 정책을 포함하는 경우 사용자는 지정된 승인자로부터 필요한 승인 없이 패키지에 직접 할당될 수 없습니다.
기존 정책의 요청 설정 열기 및 편집
액세스 패키지에 대한 요청 및 승인 설정을 변경하려면 해당 설정으로 해당하는 정책을 열어야 합니다. 다음 단계를 수행하여 액세스 패키지 할당 정책에 대한 요청 설정을 열고 편집합니다.
필수 역할: 전역 관리자, ID 거버넌스 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
액세스 패키지 페이지에서 정책 요청 설정을 편집하려는 액세스 패키지를 엽니다.
정책을 선택한 다음 편집하려는 정책을 클릭합니다.
정책 세부 정보 창이 페이지 맨 아래에 열립니다.
정책을 편집하려면 편집을 선택합니다.
요청 탭을 선택하여 요청 설정을 엽니다.
필요에 따라 요청 설정을 변경하려면 이전 섹션의 단계를 사용합니다.
요청 사용 섹션으로 이동합니다.
요청 사용
요청 정책의 사용자가 액세스 패키지를 즉시 사용할 수 있게 하려면 [사용] 토글을 예로 이동합니다.
액세스 패키지 만들기가 완료되면 나중에 언제든지 사용할 수 있습니다.
없음(관리자 직접 할당에만 해당)을 선택하고 사용을 아니요로 설정하면 관리자가 이 액세스 패키지를 직접 할당할 수 없습니다.
다음을 선택합니다.
액세스 패키지에 대한 액세스를 요청할 때 요청자에게 추가 정보를 제공하도록 요구하려면 권한 관리에서 액세스 패키지에 대한 승인 및 요청자 정보 설정 변경의 단계를 통해 요청자 정보를 구성합니다.
수명 주기 설정을 구성합니다.
정책을 편집하는 경우 업데이트를 선택합니다. 새 정책을 추가하는 경우 만들기를 선택합니다.
프로그래밍 방식으로 액세스 패키지 할당 정책 만들기
Microsoft Graph 및 Microsoft Graph용 PowerShell cmdlet을 통해 프로그래밍 방식으로 액세스 패키지 할당 정책을 만드는 방법에는 두 가지가 있습니다.
Graph를 통해 액세스 패키지 할당 정책 만들기
Microsoft Graph를 사용하여 정책을 만들 수 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션 또는 카탈로그 역할 또는 사용 권한이 있는 애플리케이션이 있는 적절한 역할의 EntitlementManagement.ReadWrite.All 사용자는 assignmentPolicy API 만들기를 호출할 수 있습니다.
PowerShell을 통해 액세스 패키지 할당 정책 만들기
ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상 모듈 버전의 cmdlet을 사용하여 PowerShell에서 액세스 패키지를 만들 수도 있습니다.
아래 스크립트는 액세스 패키지에 직접 할당하기 위한 정책을 만드는 방법을 보여 줍니다. 이 정책에서는 관리자만 액세스 권한을 할당할 수 있으며, 승인이나 액세스 검토는 없습니다. 자동 할당 정책을 만들고 assignmentPolicy를 만드는 방법에 대한 예제는 자동 할당 정책 만들기를 참조하세요.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
호환되지 않는 액세스 권한이 있는 사용자의 요청 방지
요청할 수 있는 사용자에 대한 정책 확인 외에도, 그룹이나 또 다른 액세스 패키지를 통해 일부 액세스 권한이 이미 있는 사용자가 과도한 액세스 권한을 얻지 못하도록 액세스를 추가로 제한할 수 있습니다.
사용자가 액세스 패키지를 요청할 수 없도록 구성하려는 경우 사용자에게 또 다른 액세스 패키지에 대한 할당이 이미 있거나 사용자가 그룹의 멤버이면 액세스 패키지에 대한 의무 분리 검사 구성의 단계를 사용합니다.