Microsoft Entra ID의 제한된 관리 장치(미리 보기)
Important
제한된 관리 장치는 현재 미리 보기 버전입니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 법적 용어는 제품 약관을 참조하세요.
제한된 관리 장치를 사용하면 지정한 특정 관리자 집합이 아닌 다른 사용자가 수정하지 못하도록 테넌트의 특정 개체를 보호할 수 있습니다. 이를 통해 관리자로부터 테넌트 수준 역할 할당을 제거하지 않고도 보안 또는 규정 준수 요구 사항을 충족할 수 있습니다.
제한된 관리 장치를 사용하는 이유는 무엇인가요?
제한된 관리 장치를 사용하여 테넌트의 액세스를 관리할 수 있는 몇 가지 이유는 다음과 같습니다.
- 암호를 초기화하거나 BitLocker 복구 키에 액세스할 수 있는 기술 지원 관리자로부터 C레벨 경영진 계정과 해당 디바이스를 보호하려고 합니다. 제한된 관리 장치에 C레벨 사용자 계정을 추가하고 필요할 때 암호를 초기화하고 BitLocker 복구 키에 액세스할 수 있는 신뢰할 수 있는 특정 관리자 집합을 사용하도록 설정할 수 있습니다.
- 특정 국가의 관리자만 특정 리소스를 관리할 수 있도록 규정 준수 제어를 구현하고 있습니다. 제한된 관리 장치에 해당 리소스를 추가하고 로컬 관리자를 할당하여 해당 개체를 관리할 수 있습니다. 전역 관리자라도 제한된 관리 장치(감사 가능한 이벤트)로 범위가 할당된 역할에 자신을 명시적으로 할당하지 않는 한 개체를 수정할 수 없습니다.
- 보안 그룹을 사용하여 조직의 중요한 애플리케이션에 대한 액세스를 제어하고 그룹을 수정할 수 있는 테넌트 범위 관리자가 애플리케이션에 액세스할 수 있는 사용자를 제어할 수 없도록 하고 싶지 않습니다. 이러한 보안 그룹을 제한된 관리 장치에 추가한 다음 할당한 특정 관리자만 보안 그룹을 관리할 수 있도록 할 수 있습니다.
참고 항목
제한된 관리 장치에 개체를 배치하면 개체를 변경할 수 있는 사용자가 엄격하게 제한됩니다. 이러한 제한으로 인해 기존 워크플로가 중단될 수 있습니다.
어떤 개체가 멤버가 될 수 있나요?
제한된 관리 장치의 멤버가 될 수 있는 개체는 다음과 같습니다.
| Microsoft Entra 개체 형식 | 관리 단위 | 제한된 관리 설정이 사용하도록 설정된 관리 장치 |
|---|---|---|
| 사용자 | 예 | 예 |
| 장치 | 예 | 예 |
| 그룹(보안) | 예 | 예 |
| 그룹(Microsoft 365) | 예 | 아니요 |
| 그룹(메일 사용 가능 보안) | 예 | 아니요 |
| 그룹(배포) | 예 | 아니요 |
어떤 형식의 작업이 차단되나요?
제한된 관리 장치 범위에 명시적으로 할당되지 않은 관리자의 경우 제한된 관리 장치에 있는 개체의 Microsoft Entra 속성을 직접 수정하는 작업은 차단되지만 Microsoft 365 서비스의 관련 개체에 대한 작업은 영향을 받지 않습니다.
| 작업 유형 | 차단됨 | 허용됨 |
|---|---|---|
| 사용자 계정 이름, 사용자 사진과 같은 표준 속성 읽기 | ✅ | |
| 사용자, 그룹 또는 디바이스의 Microsoft Entra 속성 수정 | ❌ | |
| 사용자, 그룹 또는 디바이스 삭제 | ❌ | |
| 사용자의 암호 업데이트 | ❌ | |
| 제한된 관리 장치에서 그룹의 소유자 또는 멤버 수정 | ❌ | |
| 제한된 관리 장치의 사용자, 그룹 또는 디바이스를 Microsoft Entra ID의 그룹에 추가 | ✅ | |
| 제한된 관리 관리 단위의 사용자에 대한 Exchange의 전자 메일 및 사서함 설정 수정 | ✅ | |
| Intune을 사용하여 제한된 관리 장치의 디바이스에 정책 적용 | ✅ | |
| SharePoint에서 사이트 소유자로 그룹 추가 또는 제거 | ✅ |
누가 개체를 수정할 수 있나요?
제한된 관리 장치 범위에서 명시적 할당이 있는 관리자만 제한된 관리 장치에 있는 개체의 Microsoft Entra 속성을 변경할 수 있습니다.
| 사용자 역할 | 차단됨 | 허용됨 |
|---|---|---|
| 전역 관리자 | ❌ | |
| 테넌트 범위 관리자(전역 관리자 포함) | ❌ | |
| 제한된 관리 장치 범위에 할당된 관리자 | ✅ | |
| 개체가 멤버로 속해 있는 다른 제한된 관리 장치의 범위에 할당된 관리자 | ✅ | |
| 개체가 멤버로 속해 있는 다른 일반 관리 장치의 범위에 할당된 관리자 | ❌ | |
| 그룹 관리자, 사용자 관리자 및 리소스 범위에 할당된 기타 역할 | ❌ | |
| 제한된 관리 장치에 추가된 그룹 또는 디바이스의 소유자 | ❌ |
제한 사항
제한된 관리 장치에 대한 몇 가지 제한 사항은 다음과 같습니다.
- 제한된 관리 설정은 관리 장치 만들기 중에 적용되어야 하며 관리 장치가 만들어진 후에는 변경할 수 없습니다.
- 제한된 관리 관리 단위의 그룹은 Microsoft Entra Privileged Identity Management 또는 Microsoft Entra 권한 관리와 같은 Microsoft Entra ID 거버넌스 기능으로 관리할 수 없습니다.
- 제한된 관리 장치에 추가된 역할 할당 가능 그룹은 해당 멤버 자격을 수정할 수 없습니다. 그룹 소유자는 제한된 관리 장치에서 그룹을 관리할 수 없으며 전역 관리자 및 권한 있는 역할 관리자(둘 다 관리 장치 범위에서 할당될 수 없음)만 멤버 자격을 수정할 수 있습니다.
- 필요한 역할이 관리 단위 범위에서 할당할 수 있는 역할 중 하나가 아닌 경우 개체가 제한된 관리 관리 단위에 있는 경우 특정 작업이 불가능할 수 있습니다. 예를 들어, 제한된 관리 장치의 전역 관리자는 전역 관리자의 암호를 초기화할 수 있는 관리 장치 범위에 할당할 수 있는 관리자 역할이 없기 때문에 시스템의 다른 관리자가 자신의 암호를 초기화하도록 할 수 없습니다. 이러한 시나리오에서는 먼저 제한된 관리 장치에서 전역 관리자를 제거한 다음 다른 전역 관리자 또는 권한 있는 역할 관리자가 암호를 초기화해야 합니다.
- 제한된 관리 장치를 삭제하는 경우 이전 멤버의 모든 보호를 제거하는 데 최대 30분이 걸릴 수 있습니다.
프로그래밍 기능
애플리케이션은 기본적으로 제한된 관리 장치의 개체를 수정할 수 없습니다. 제한된 관리 장치에서 개체를 관리하기 위해 애플리케이션 액세스 권한을 부여하려면 Directory.Write.RestrictedMicrosoft Graph에서 권한을 할당해야 합니다.
라이선스 요구 사항
제한된 관리 장치에는 각 관리 장치 관리자에 대한 Microsoft Entra ID P1 라이선스와 관리 장치 멤버에 대한 Microsoft Entra ID Free 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 체험판 및 프리미엄 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.