애플리케이션에 대한 액세스 관리
앱을 조직의 ID 시스템에 통합하면 액세스 관리, 사용 평가 및 보고에 문제가 발생합니다. IT 관리자 또는 지원 센터 담당자는 일반적으로 앱 액세스를 감독해야 합니다. 액세스 할당은 일반 또는 부서별 IT 팀에 맡길 수 있지만 이상적으로는 비즈니스 의사 결정자가 참여하여 IT가 프로세스를 완료하기 전에 승인을 제공해야 합니다.
다른 조직에서는 역할 기반 Access Control(RBAC) 또는 특성 기반 Access Control(ABAC)과 같은 기존의 자동화된 ID 및 액세스 관리 시스템의 통합에 투자합니다. 통합 및 규칙 개발은 모두 전문화되고 비용이 높은 경향이 있습니다. 관리 방법에 대한 모니터링 또는 보고는 별도로 비용이 드는 복잡한 투자입니다.
Microsoft Entra ID는 어떻게 도움이 되나요?
Microsoft Entra ID는 구성된 애플리케이션에 대한 광범위한 액세스 관리를 지원하며 이는 조직이 위임을 통해 자동으로 특성 기반 할당(ABAC 또는 RBAC 시나리오)에 걸쳐서 관리자 관리를 포함하는 올바른 액세스 정책을 쉽게 달성할 수 있도록 합니다. Microsoft Entra ID를 사용하면 단일 애플리케이션에 대한 여러 관리 모델을 결합하여 복잡한 정책을 쉽게 달성할 수 있으며 동일한 대상 그룹이 있는 애플리케이션 전체에서 관리 규칙을 재사용할 수도 있습니다.
Microsoft Entra ID를 사용하면 사용량 및 할당 보고가 완전히 통합되어 관리자가 할당 상태, 할당 오류 및 사용량까지 쉽게 보고할 수 있습니다.
앱에 사용자 및 그룹 할당
Microsoft Entra 애플리케이션 할당은 두 가지 기본 할당 모드에 중점을 둡니다.
개별 할당 디렉터리 클라우드 애플리케이션 관리자 권한이 있는 IT 관리자는 개별 사용자 계정을 선택하고 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다.
그룹 기반 할당(Microsoft Entra ID P1 또는 P2 필요) 디렉터리 클라우드 애플리케이션 권한이 있는 IT 관리자는 애플리케이션에 그룹을 할당할 수 있습니다. 특정 사용자의 액세스는 애플리케이션에 액세스하려고 할 때 그룹의 멤버인지 여부로 결정됩니다. 즉, 관리자는 "할당된 그룹의 현재 멤버는 애플리케이션에 액세스한다"는 내용의 할당 규칙을 효율적으로 만들 수 있습니다. 이 할당 옵션을 사용하여 관리자는 특성 기반 동적 그룹, 외부 시스템 그룹(예: 온-프레미스 Active Directory 또는 Workday), 관리자 관리 또는 셀프 서비스 관리된 그룹을 포함하는 Microsoft Entra 그룹 관리 옵션 중 하나에서 혜택을 줄 수 있습니다. 단일 그룹은 쉽게 여러 앱에 할당할 수 있으며 할당 선호도가 있는 애플리케이션은 할당 규칙을 공유하여 전반적인 관리 복잡성을 줄일 수 있습니다.
참고 항목
중첩된 그룹 구성원은 이번 애플리케이션에 대한 그룹 기반 할당에 지원되지 않습니다.
이러한 두 가지 할당 모드 관리자를 사용하면 바람직한 할당 관리 방법을 달성할 수 있습니다.
애플리케이션에 대한 사용자 할당 요구
특정 유형의 애플리케이션에는 사용자를 애플리케이션에 할당하도록 요구하는 옵션이 있습니다. 이렇게 하면 애플리케이션에 명시적으로 할당한 사용자를 제외한 모든 사용자가 로그인할 수 없습니다. 다음 유형의 애플리케이션은 이 옵션을 지원합니다.
- SAML 기반 인증을 사용하여 페더레이션된 SSO(Single Sign-On)에 대해 구성된 애플리케이션
- Microsoft Entra 사전 인증을 사용하는 애플리케이션 프록시 애플리케이션
- 사용자 또는 관리자가 해당 애플리케이션에 동의한 후 OAuth 2.0/OpenID Connect 인증을 사용하는 Microsoft Entra 애플리케이션 플랫폼을 기반으로 빌드된 애플리케이션입니다. 특정 엔터프라이즈 애플리케이션은 로그인할 수 있는 사용자를 보다 강력하게 제어할 수 있습니다.
사용자 할당이 필요한 경우 사용자가 직접 사용자 할당을 통해 또는 그룹 멤버 자격을 통해 애플리케이션에 할당하는 사용자만 로그인할 수 있습니다. 내 앱 포털에서 또는 직접 링크를 사용하여 앱에 액세스할 수 있습니다.
사용자 할당이 필요하지 않은 경우, 할당되지 않은 사용자에게는 내 앱에 앱이 표시되지 않지만 애플리케이션 자체에는 로그인(SP 시작 로그온이라고도 함)하거나 애플리케이션의 속성 페이지에서 사용자 액세스 URL을 사용(IDP 시작 로그온이라고도 함)할 수 있습니다. 사용자 할당 구성을 요구하는 자세한 내용은 애플리케이션 구성을 참조하세요.
이 설정은 애플리케이션이 내 앱에 표시되는지 여부에 영향을 주지 않습니다. 애플리케이션에 사용자 또는 그룹을 할당하면 애플리케이션이 사용자의 내 앱 포털에 표시됩니다.
참고 항목
애플리케이션에 할당이 필요한 경우 해당 애플리케이션에 대한 사용자 동의가 허용되지 않습니다. 이는 해당 앱에 대한 사용자 동의가 다른 방식으로 허용된 경우에도 마찬가지입니다. 할당이 필요한 앱에 대해 테넌트 전체 관리자 동의를 부여해야 합니다.
일부 애플리케이션의 경우 사용자 할당을 요구하는 옵션을 애플리케이션의 속성에서 사용할 수 없습니다. 이러한 경우 PowerShell을 사용하여 서비스 주체에 대해 appRoleAssignmentRequired 속성을 설정할 수 있습니다.
애플리케이션 액세스를 위한 사용자 환경 결정
Microsoft Entra ID는 조직의 최종 사용자에게 애플리케이션을 배포하는 여러 가지 사용자 지정 방법을 제공합니다.
- Microsoft Entra 내 앱
- Microsoft 365 애플리케이션 시작 관리자
- 페더레이션된 앱에 직접 로그온(서비스 주체)
- 페더레이션된 앱, 비밀번호로 보호된 앱 또는 기존 앱에 대한 딥 링크
엔터프라이즈 앱에 할당된 사용자가 내 앱 및 Microsoft 365 애플리케이션 시작 관리자에서 해당 앱을 볼 수 있는지 여부를 결정할 수 있습니다.
예: Microsoft Entra ID를 사용한 복잡한 애플리케이션 할당
Salesforce와 같은 애플리케이션을 고려합니다. 많은 조직에서 Salesforce는 마케팅 및 판매 팀에서 주로 사용됩니다. 마케팅 팀 멤버는 Salesforce에 대한 높은 액세스 권한을 갖고 있는 반면 영업 팀 멤버는 제한된 액세스 권한을 갖는 경우가 많습니다. 대부분의 경우 정보 작업자의 광범위한 집단은 애플리케이션에 액세스가 제한되었습니다. 이러한 규칙의 예외는 문제를 복잡하게 만듭니다. 이러한 일반 규칙에 관계 없이 사용자에게 액세스 권한을 부여하거나 해당 역할을 변경하는 것은 마케팅 또는 판매 리더십 팀의 특권입니다.
Microsoft Entra ID를 사용하면 Salesforce와 같은 애플리케이션을 Single Sign-On 및 자동화된 프로비전을 위해 사전 구성할 수 있습니다. 애플리케이션이 구성되면 관리자는 일회성 작업을 만들어 적절한 그룹을 만들고 할당할 수 있습니다. 이 예제에서 관리자는 다음의 할당을 실행할 수 있습니다.
동적 그룹 은 역할 또는 부서와 같은 특성을 사용하여 자동으로 마케팅 및 판매 팀의 모든 멤버를 나타내도록 정의될 수 있습니다.
- 마케팅 그룹의 모든 멤버는 Salesforce에서 "마케팅" 역할에 할당됩니다.
- 판매 팀 그룹의 모든 멤버는 Salesforce에서 "판매" 역할에 할당됩니다. 추가로 개선하여 다른 Salesforce 역할에 할당된 지역 판매 팀을 나타내는 여러 그룹을 사용할 수 있습니다.
예외 메커니즘을 사용하려면 각 역할에 셀프 서비스 그룹을 만들 수 있습니다. 예를 들어 "Salesforce 마케팅 예외" 그룹을 셀프 서비스 그룹으로 만들 수 있습니다. 그룹을 Salesforce 마케팅 역할에 할당할 수 있고 마케팅 리더십 팀을 소유자가 만들 수 있습니다. 마케팅 리더십 팀의 멤버는 사용자를 추가 또는 제거하거나 가입 정책을 설정, 개별 사용자의 가입 요청을 승인 또는 거부합니다. 이 메커니즘은 소유자 또는 멤버에 대한 특별한 교육을 요구하지 않는 정보 작업자에 적절한 환경을 통해 지원됩니다.
이 경우 할당된 모든 사용자가 Salesforce에 자동으로 프로비저닝됩니다. 다른 그룹에 추가되면 Salesforce에서 역할 할당이 업데이트됩니다. 사용자는 내 앱, Office 웹 클라이언트를 사용하거나 해당 조직의 Salesforce 로그인 페이지로 이동하여 Salesforce를 검색하고 액세스할 수 있습니다. 관리자는 Microsoft Entra ID 보고를 사용하여 사용량 및 할당 상태를 쉽게 볼 수 있습니다.
관리자는 Microsoft Entra 조건부 액세스를 사용하여 특정 역할에 대한 액세스 정책을 설정할 수 있습니다. 이러한 정책은 기업 환경 외부 및 다단계 인증 또는 디바이스 요구 사항에 액세스가 허용되는지 여부를 포함하여 다양한 경우에 액세스를 달성할 수 있습니다.
Microsoft 애플리케이션에 대한 액세스
Microsoft 애플리케이션(예: Exchange, SharePoint, Yammer 등)은 Microsoft 이외의 SaaS 애플리케이션이나 Single Sign-On을 위해 Microsoft Entra ID와 통합하는 기타 애플리케이션과 약간 다르게 할당되고 관리됩니다.
사용자는 세 가지 방법으로 Microsoft 게시 애플리케이션에 대한 액세스 권한을 얻을 수 있습니다.
Microsoft 365 또는 기타 유료 도구 모음에 있는 애플리케이션의 경우 사용자는 라이선스 할당을 통해 해당 사용자 계정으로 직접 액세스가 부여되거나 그룹 기반 라이선스 할당 기능을 사용하여 그룹을 통해 액세스가 부여됩니다.
Microsoft 조직 또는 Microsoft가 아닌 조직에서 누구나 사용할 수 있도록 무료로 게시하는 애플리케이션의 경우 사용자는 사용자 동의를 통해 액세스 권한을 부여받을 수 있습니다. 사용자는 Microsoft Entra 회사 또는 학교 계정으로 애플리케이션에 로그인하고 자신의 계정에 있는 일부 제한된 데이터 집합에 액세스할 수 있도록 허용합니다.
Microsoft 조직 또는 Microsoft가 아닌 조직에서 누구나 사용할 수 있도록 무료로 게시하는 애플리케이션의 경우 관리자 동의를 통해 사용자에게 액세스 권한을 부여할 수도 있습니다. 즉, 관리자가 조직의 모든 사용자가 애플리케이션을 사용할 수 있다고 판단하여 권한 있는 역할 관리자 역할로 애플리케이션에 로그인하고 조직의 모든 사용자에게 액세스 권한을 부여합니다.
일부 애플리케이션에서는 이러한 방법이 결합됩니다. 예를 들어 특정 Microsoft 애플리케이션은 Microsoft 365 구독의 일부지만 여전히 동의가 필요합니다.
사용자는 Office 365 포털을 통해 Microsoft 365 애플리케이션에 액세스할 수 있습니다. 또한 사용자 디렉터리의 사용자 설정에서 Office 365 표시 토글을 사용하여 내 앱에서 Microsoft 365 애플리케이션을 표시하거나 숨길 수 있습니다.
엔터프라이즈 앱과 마찬가지로 Microsoft Entra 관리 센터를 통하거나 PowerShell을 사용하여 특정 Microsoft 애플리케이션에 사용자를 할당할 수 있습니다.
로컬 계정을 통한 애플리케이션 액세스 방지
Microsoft Entra ID를 사용하면 조직에서 사용자가 조건부 액세스, 다단계 인증 등을 사용하여 애플리케이션에 인증하는 방법을 보호하기 위해 Single Sign-On을 설정할 수 있습니다. 지금까지 일부 애플리케이션에는 자체 로컬 사용자 저장소가 있으며 사용자가 Single Sign-On을 사용하는 대신 로컬 자격 증명 또는 애플리케이션별 백업 인증 방법을 사용하여 애플리케이션에 로그인할 수 있습니다. 이러한 애플리케이션 기능은 오용될 수 있으며 사용자가 Microsoft Entra ID의 애플리케이션에 더 이상 할당되지 않았거나 더 이상 Microsoft Entra ID에 로그인할 수 없는 경우에도 애플리케이션에 대한 액세스를 유지할 수 있으며 공격자가 Microsoft Entra ID 로그에 나타나지 않고 애플리케이션을 손상하려고 시도할 수 있습니다. 이러한 애플리케이션에 대한 로그인이 Microsoft Entra ID로 보호되도록 하려면 다음을 수행합니다.
- Single Sign-On을 위해 디렉터리에 연결된 애플리케이션을 식별하여 최종 사용자가 로컬 애플리케이션 자격 증명 또는 백업 인증 방법으로 Single Sign-On을 우회할 수 있습니다. 가능한지와 사용 가능한 설정을 이해하려면 애플리케이션 공급자가 제공하는 설명서를 검토해야 합니다. 그런 다음, 해당 애플리케이션에서 최종 사용자가 SSO를 바이패스할 수 있도록 하는 설정을 사용하지 않도록 설정합니다. InPrivate에서 브라우저를 열고, 애플리케이션의 로그인 페이지에 연결하고, 테넌트에서 사용자의 ID를 제공하고, Microsoft Entra를 통해 로그인할 수 있는 옵션이 없는지 확인하여 최종 사용자 환경이 보호되었는지 테스트합니다.
- 애플리케이션에서 사용자 암호를 관리하는 API를 제공하는 경우 로컬 암호를 제거하거나 API를 사용하여 각 사용자에 대해 고유한 암호를 설정합니다. 이렇게 하면 최종 사용자가 로컬 자격 증명을 사용하여 애플리케이션에 로그인하지 못하게 됩니다.
- 애플리케이션에서 사용자를 관리하는 API를 제공하는 경우 사용자가 더 이상 애플리케이션 또는 테넌트 범위에 있지 않을 때 사용자 계정을 사용하지 않도록 설정하거나 삭제하도록 해당 애플리케이션에 대한 Microsoft Entra 사용자 프로비저닝을 구성합니다.