사용자 환경의 애플리케이션에 대한 액세스 거버넌스
Microsoft Entra ID 거버넌스를 사용하면 올바른 프로세스 및 표시 유형을 사용하여 보안 및 직원 생산성에 대한 조직의 필요를 분산시킬 수 있습니다. 이 기능을 통해 적절한 사용자가 조직의 적절한 리소스에 적시에 액세스할 수 있습니다.
규정 준수 요구 사항 또는 위험 관리 계획이 있는 조직에는 중요한 애플리케이션이나 중요 비즈니스용 애플리케이션이 있습니다. 애플리케이션 민감도는 조직의 고객에 대한 재무 정보 또는 개인 정보와 같이 해당 용도 또는 포함된 데이터를 기반으로 할 수 있습니다. 이러한 애플리케이션의 경우 일반적으로 조직의 모든 사용자 중 일부만 액세스 권한을 부여받으며 문서화된 비즈니스 요구 사항에 따라서만 액세스를 허용해야 합니다. 액세스 관리를 위한 조직의 컨트롤의 일부로 Microsoft Entra 기능을 사용하여 다음을 수행할 수 있습니다.
- 적절한 액세스 설정
- 사용자를 애플리케이션에 프로비전
- 액세스 검사 적용
- 이러한 제어가 규정 준수 및 위험 관리 목표를 충족하는 데 사용되는 방법을 보여주는 보고서를 생성합니다.
애플리케이션 액세스 거버넌스 시나리오 외에도 다른 조직에서 사용자를 검토 및 제거하거나 조건부 액세스 정책에서 제외된 사용자 관리와 같은 다른 시나리오에 Microsoft Entra ID 거버넌스 기능 및 기타 Microsoft Entra 기능을 사용할 수도 있습니다. 조직의 Microsoft Entra ID 또는 Azure에 여러 명의 관리자가 있고 B2B 또는 셀프 서비스 그룹 관리를 사용하는 경우 해당 시나리오에 대한 액세스 검토 배포를 계획해야 합니다.
라이선스 요구 사항
이 기능을 사용하려면 Microsoft Entra ID Governance 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.
애플리케이션에 대한 액세스 거버넌스 시작
Microsoft Entra ID 거버넌스는 OpenID 커넥트, SAML, SCIM, SQL 및 LDAP와 같은 표준을 사용하여 많은 애플리케이션과 통합할 수 있습니다. 이러한 표준을 통해 널리 사용되는 여러 SaaS 애플리케이션, 온-프레미스 애플리케이션 및 조직에서 개발한 애플리케이션과 함께 Microsoft Entra ID를 사용할 수 있습니다. 아래 섹션에 설명된 대로 Microsoft Entra 환경을 준비한 후에는 3단계 계획에 따라 애플리케이션을 Microsoft Entra ID에 연결하고 해당 애플리케이션에 ID 거버넌스 기능을 사용하도록 설정하는 방법이 포함됩니다.
- 애플리케이션에 대한 액세스 거버넌스를 수행하기 위한 조직의 정책을 정의합니다.
- 애플리케이션을 Microsoft Entra ID와 통합하여 권한이 있는 사용자만 애플리케이션에 액세스할 수 있도록 하고 애플리케이션에 대한 사용자의 기존 액세스를 검토하여 검토된 모든 사용자의 기준을 설정합니다. 이를 통해 인증 및 사용자 프로비전이 가능합니다.
- SSO(Single Sign-On)를 제어하고 해당 애플리케이션에 대한 액세스 할당을 자동화하기 위한 을 배포합니다.
ID 거버넌스에 대한 Microsoft Entra ID 및 Microsoft Entra ID 거버넌스를 구성하기 전의 필수 구성 요소
Microsoft Entra ID 거버넌스에서 애플리케이션 액세스를 제어하는 프로세스를 시작하기 전에 Microsoft Entra 환경이 적절하게 구성되었는지 검사 합니다.
Microsoft Entra ID 및 Microsoft Online Services 환경이 애플리케이션 통합 및 적절한 라이선스 부여에 대한 규정 준수 요구 사항을 충족할 준비가 되어 있는지 확인합니다. 규정 준수는 Microsoft, CSP(클라우드 서비스 공급자) 및 조직 간의 공유 책임입니다. Microsoft Entra ID를 사용하여 애플리케이션에 대한 액세스를 관리하려면 테넌트에 다음 라이선스 조합 중 하나가 있어야 합니다.
- Microsoft Entra ID 거버넌스 및 필수 조건인 Microsoft Entra ID P1
- Microsoft Entra ID P2를 위한 Microsoft Entra ID 거버넌스 강화 및 필수 조건인 Microsoft Entra ID P2 또는 EMS(Enterprise Mobility + Security) E5
테넌트는 애플리케이션에 대한 액세스 권한을 갖고 있거나 요청할 수 있고, 애플리케이션에 대한 액세스를 승인 또는 검토할 수 있는 사용자를 포함하여 관리되는 멤버(비게스트) 사용자 수만큼 최소한의 라이선스를 보유해야 합니다. 이러한 사용자에 대한 적절한 라이선스가 있으면 사용자당 최대 1,500개의 애플리케이션에 대한 액세스 거버넌스를 수행할 수 있습니다.
애플리케이션에 대한 게스트의 액세스를 관리하려면 Microsoft Entra 테넌트를 MAU 청구 구독에 연결합니다. 이 단계는 고객이 액세스를 요청하거나 검토하기 전에 필요합니다. 자세한 내용은 Microsoft Entra 외부 ID에 대한 청구 모델을 참조하세요.
Microsoft Entra ID가 이미 감사 로그 및 선택적으로 다른 로그를 Azure Monitor로 보내고 있는지 확인합니다. Microsoft Entra는 감사 로그에 최대 30일 동안만 감사 이벤트를 저장하므로 Azure Monitor는 선택 사항이지만 앱에 대한 액세스를 제어하는 데 유용합니다. 감사 데이터를 기본 보존 기간(Microsoft Entra ID에서 보고 데이터를 얼마나 오래 보관하나요?에서 설명)보다 더 오래 보관하고, Azure Monitor 통합 문서와 기록 감사 데이터에 대한 사용자 지정 쿼리 및 보고서를 사용할 수 있습니다. Microsoft Entra 관리 센터의 Microsoft Entra ID에서 Workbooks를 클릭하여 Microsoft Entra 구성이 Azure Monitor를 사용하고 있는지 확인할 수 있습니다. 이 통합이 구성되지 않았고 Azure 구독이 있고
Global Administrator또는Security Administrator역할에 있는 경우 Azure Monitor를 사용하도록 Microsoft Entra ID를 구성할 수 있습니다.권한이 있는 사용자만 Microsoft Entra 테넌트에서 높은 권한을 가진 관리 역할을 갖고 있는지 확인합니다. 관리전역 관리주체, ID 거버넌스 관리istrator, User 관리istrator, Application 관리istrator, Cloud Application 관리istrator 및 Privileged Role 관리istrator는 사용자 및 해당 애플리케이션 역할 할당을 변경할 수 있습니다. 최근에 이러한 역할의 멤버 자격을 아직 검토하지 않은 경우 전역 관리자 또는 권한 있는 역할 관리자에 속한 사용자가 이러한 디렉터리 역할에 대한 액세스 검토를 시작하도록 해야 합니다. 또한 Microsoft Entra 구성 작업에 필요한 Azure Monitor, Logic Apps 및 기타 리소스를 보유하는 구독의 Azure 역할 사용자가 검토되었는지 확인해야 합니다.
테넌트에 적절한 격리가 있는지 확인합니다. 조직에서 Active Directory 온-프레미스를 사용하고 이러한 AD 도메인이 Microsoft Entra ID에 연결되는 경우 클라우드 호스팅 서비스에 대한 높은 권한의 관리 작업이 온-프레미스 계정에서 격리되도록 해야 합니다. 온-프레미스 손상으로부터 Microsoft 365 클라우드 환경을 보호하도록 시스템을 구성했는지 확인합니다.
Microsoft Entra 환경이 준비되었는지 확인한 후 애플리케이션에 대한 거버넌스 정책 정의를 진행합니다.