애플리케이션 동의 관리 및 동의 요청 평가

  • 아티클

Microsoft는 사용자가 선택한 권한과 확인된 게시자의 앱에 대해서만 동의할 수 있도록 사용자 동의를 제한할 것을 권장합니다. 이러한 조건을 충족하지 않는 앱의 경우 의사 결정 프로세스는 조직의 보안 및 ID 관리자 팀과 함께 중앙 집중화됩니다.

사용자 동의를 사용하지 않도록 설정하거나 제한한 후에는 중요 비즈니스용 애플리케이션을 계속 사용하도록 허용하면서 조직을 안전하게 유지하기 위해 수행해야 할 몇 가지 중요한 단계가 있습니다. 이러한 단계는 조직의 지원 팀과 IT 관리자에게 미치는 영향을 최소화하고 타사 애플리케이션에서 관리되지 않는 계정을 사용하지 못하도록 하는 데 중요합니다.

이 문서에서는 확인된 게시자 및 선택한 권한에 대한 사용자 동의 제한을 포함하여 애플리케이션에 대한 동의를 관리하고 Microsoft 권장 사항에서 동의 요청을 평가하는 방법에 대한 지침을 제공합니다. 프로세스 변경, 관리자 교육, 감사 및 모니터링, 테넌트 전체 관리자 동의 관리와 같은 개념을 다룹니다.

변경 내용 및 교육 처리

  • 사용자가 동의 화면에서 직접 관리자 승인을 요청할 수 있도록 관리자 동의 워크플로를 사용하도록 설정하는 것이 좋습니다.

  • 모든 관리자가 다음을 이해해야 합니다.

  • 사용자가 애플리케이션에 대한 관리자 승인을 요청하고 필요한 경우 업데이트하도록 조직의 기존 프로세스를 검토합니다. 프로세스가 변경된 경우:

    • 관련 설명서, 모니터링, 자동화 등을 업데이트합니다.
    • 영향을 받는 모든 사용자, 개발자, 지원 팀 및 IT 관리자에게 프로세스 변경 사항을 전달합니다.

감사 및 모니터링

  • 보증이 없거나 의심스러운 애플리케이션이 이전에 데이터에 대한 액세스 권한을 부여받지 않았는지 확인하기 위해 조직에서 앱을 감사하고 권한을 부여합니다.

  • OAuth 동의를 요청하는 의심스러운 애플리케이션에 대한 모범 사례와 보호 장치에 대한 자세한 내용은 Office 365에서 불법적인 동의 부여 검색 및 해결 문서를 검토합니다.

  • 조직에 적절한 라이선스가 있는 경우 다음을 수행합니다.

    • 다른 Microsoft Defender for Cloud Apps의 OAuth 애플리케이션 감사 기능을 사용합니다.
    • Azure Monitor Workbooks를 사용하여 권한 및 동의 관련 활동을 모니터링합니다. 동의 Insights 통합 문서는 실패한 동의 요청 수에 따른 앱 보기를 제공합니다. 이 정보는 관리자가 관리자 동의를 부여할지 여부를 검토하고 결정할 수 있도록 애플리케이션의 우선 순위를 지정하는 데 유용할 수 있습니다.

마찰을 줄이기 위한 기타 고려 사항

이미 사용 중인 신뢰할 수 있는 비즈니스에 중요한 애플리케이션에 대한 영향을 최소화하려면 많은 사용자 동의가 부여된 애플리케이션에 관리자의 동의를 사전에 부여하는 것이 좋습니다.

  • 로그인 로그 또는 동의 부여 작업을 기반으로 하여 이미 조직에 추가된 앱의 인벤토리를 사용합니다. PowerShell 스크립트를 사용하여 많은 수의 사용자 동의 부여로 애플리케이션을 쉽고 빠르게 검색할 수 있습니다.

  • 상위 애플리케이션을 평가하여 관리자 동의를 부여합니다.

    Important

    조직에서 많은 사용자가 이미 동의한 경우에도 테넌트 전체 관리자 동의를 부여하기 전에 애플리케이션을 신중하게 평가합니다.

  • 승인된 각 애플리케이션에 대해 테넌트 전체 관리자 동의를 부여하고 사용자 할당을 요구하여 사용자 액세스를 제한하는 것이 좋습니다.

테넌트 전체 관리자 동의를 부여하는 것은 중요한 작업입니다. 전체 조직을 대신하여 사용 권한을 부여하고, 높은 권한의 작업을 시도하는 사용 권한을 포함할 수 있습니다. 이러한 작업의 예로는 역할 관리, 모든 사서함 또는 모든 사이트에 대한 모든 권한, 전체 사용자 가장이 있습니다.

테넌트 전체 관리자 동의를 부여하기 전에 부여하려는 액세스 수준에 대해 애플리케이션과 애플리케이션 게시자를 신뢰하는지 확인하는 것이 중요합니다. 애플리케이션을 제어하는 사용자 및 애플리케이션이 권한을 요청하는 이유를 알지 못하는 경우 동의를 부여하지 않습니다.

관리자 동의 부여 요청을 평가할 때 고려해야 할 몇 가지 권장 사항은 다음과 같습니다.

  • Microsoft ID 플랫폼의 권한 및 동의 프레임워크를 이해합니다.

  • 위임 권한 및 애플리케이션 권한 간의 차이점을 이해

    애플리케이션 권한을 통해 애플리케이션은 사용자 개입 없이 전체 조직의 데이터에 액세스할 수 있습니다. 위임된 권한을 통해 애플리케이션은 특정 시점에 애플리케이션에 로그인한 사용자를 대신하여 작업을 수행할 수 있습니다.

  • 요청된 사용 권한을 이해합니다.

    애플리케이션에서 요청하는 권한은 동의 확인 프롬프트에 나열됩니다. 권한 제목을 확장하면 권한의 설명이 표시됩니다. 애플리케이션 권한에 대한 설명은 일반적으로 "로그인한 사용자 없음"으로 끝납니다. 위임된 권한에 대한 설명은 일반적으로 "로그인한 사용자를 대신하여"로 끝납니다. Microsoft Graph API에 대한 권한은 Microsoft Graph 권한 참조에 설명되어 있습니다. 다른 API가 노출하는 권한을 이해하려면 다른 API에 대한 설명서를 참조하세요.

    요청된 권한을 이해하지 못하는 경우 동의를 부여하지 않습니다.

  • 권한을 요청하는 애플리케이션 및 애플리케이션을 게시한 사용자를 이해합니다.

    다른 애플리케이션처럼 보이는 악의적인 애플리케이션을 주의해야 합니다.

    애플리케이션 또는 해당 게시자의 적법성이 확실하지 않다면 동의를 부여하지 않습니다. 대신 확인합니다(예: 애플리케이션 게시자에게서 직접 확인).

  • 요청된 권한이 애플리케이션에서 원하는 기능과 일치하는지 확인합니다.

    예를 들어 SharePoint 사이트 관리를 제공하는 애플리케이션은 모든 사이트 모음을 읽기 위해 위임된 액세스 권한을 필요로 할 수 있지만 모든 사서함에 대한 모든 권한 또는 디렉터리의 전체 가장 권한이 반드시 필요한 것은 아닙니다.

    애플리케이션에 필요한 것보다 많은 권한을 요청하는 것으로 의심되는 경우 동의를 부여하지 않습니다. 자세한 내용은 애플리케이션 게시자에 게 문의하세요.

Microsoft Entra관리 센터에서 테넌트 전체 관리자 동의를 허용하는 단계별 지침은 애플리케이션에 대한 테넌트 전체 관리자 동의 허용을 참조하세요.

테넌트 전체 관리자 동의를 철회하려면 이전에 애플리케이션에 부여된 권한을 검토하고 철회할 수 있습니다. 자세한 내용은 애플리케이션에 부여된 권한 검토를 참조하세요. 애플리케이션에 대한 사용자 로그인을 사용하지 않도록 설정하거나 내 앱 포털에 표시되지 않도록 애플리케이션을 숨겨 애플리케이션에 대한 사용자의 액세스를 제거할 수도 있습니다.

관리자는 전체 조직에 대한 동의를 부여하는 대신 Microsoft Graph API를 사용하여 단일 사용자 대신 위임된 권한에 대한 동의를 부여할 수도 있습니다. Microsoft Graph PowerShell을 사용하는 자세한 예는 단일 사용자를 대신하여 PowerShell을 통해 동의 허용을 참조하세요.

애플리케이션에 대한 사용자 액세스 제한

테넌트 전체 관리자 동의가 부여된 경우에도 애플리케이션에 대한 사용자 액세스는 계속 제한될 수 있습니다. 사용자 액세스를 제한하려면 애플리케이션에 대한 사용자 할당이 필요합니다. 자세한 내용은 사용자 및 그룹을 할당하는 메서드를 참조하세요. 관리자는 또한 애플리케이션에 대한 모든 향후 사용자 동의 작업을 사용하지 않도록 설정하여 애플리케이션에 대한 사용자 액세스를 제한할 수 있습니다.

다른 복잡한 시나리오를 처리하는 방법을 포함하여 더 광범위한 개요는 애플리케이션 액세스 관리에 Microsoft Entra ID 사용을 참조하세요.

다음 단계