Share via

Microsoft Entra ID에서 엔터프라이즈 앱을 관리하기 위한 사용자 지정 역할 만들기

  • 아티클

이 문서에서는 Microsoft Entra ID에서 사용자 및 그룹에 대한 엔터프라이즈 앱 할당을 관리할 수 있는 권한이 있는 사용자 지정 역할을 만드는 방법을 설명합니다. 역할 할당의 요소와 하위 형식, 권한 및 속성 집합과 같은 용어의 의미에 대해서는 사용자 지정 역할 개요를 참조하세요.

필수 조건

  • Microsoft Entra ID P1 또는 P2 라이선스
  • 권한 있는 역할 관리자
  • PowerShell을 사용할 때 설치된 Microsoft Graph PowerShell SDK
  • Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

엔터프라이즈 앱 역할 권한

이 문서에서는 두 가지 엔터프라이즈 앱 권한에 대해 설명합니다. 모든 예에서는 업데이트 권한을 사용합니다.

  • 범위에서 사용자 및 그룹 할당을 읽으려면 microsoft.directory/servicePrincipals/appRoleAssignedTo/read 권한을 부여합니다.
  • 범위에서 사용자 및 그룹 할당을 관리하려면 microsoft.directory/servicePrincipals/appRoleAssignedTo/update 권한을 부여합니다.

업데이트 권한을 부여하면 담당자가 엔터프라이즈 앱에 대한 사용자 및 그룹의 할당을 관리할 수 있습니다. 사용자 및/또는 그룹 할당의 범위를 부여하는 것은 단일 애플리케이션 또는 모든 애플리케이션에 대해 가능합니다. 조직 전체 수준에서 부여되는 경우 담당자는 모든 애플리케이션에 대한 할당을 관리할 수 있습니다. 애플리케이션 수준에서 부여되는 경우 담당자는 지정된 애플리케이션에 대한 할당을 관리할 수 있습니다.

업데이트 권한을 부여하는 작업은 다음과 같이 두 단계로 수행됩니다.

  1. 권한이 microsoft.directory/servicePrincipals/appRoleAssignedTo/update인 사용자 지정 역할을 만듭니다.
  2. 사용자 또는 그룹에게 엔터프라이즈 앱에 대한 사용자 및 그룹 할당을 관리할 수 있는 권한을 부여합니다. 이는 범위를 조직 전체 수준 또는 단일 애플리케이션으로 설정할 수 있는 경우입니다.

Microsoft Entra 관리 센터

새 사용자 지정 역할 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

참고 항목

사용자 지정 역할은 조직 전체 수준에서 만들어지고 관리되며 조직의 개요 페이지에서만 사용할 수 있습니다.

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 새 사용자 지정 역할을 선택합니다.

    Microsoft Entra ID의 역할 목록에서 새 사용자 지정 역할 추가

  4. 기본 사항 탭에서 역할의 이름에 "사용자 및 그룹 할당 관리"를 제공하고 역할 설명에 "사용자 및 그룹 할당을 관리하는 권한 부여"를 선택한 후 다음을 선택합니다.

    사용자 지정 역할에 대한 이름 및 설명 제공

  5. 사용 권한 탭에서 검색 상자에 "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"를 입력한 다음 원하는 사용 권한 옆의 확인란을 선택한 후 다음을 선택합니다.

    사용자 지정 역할에 대한 사용 권한 추가

  6. 검토 + 만들기 탭에서 권한을 검토하고 만들기를 선택합니다.

    이제 사용자 지정 역할을 만들 수 있습니다.

Microsoft Entra 관리 센터를 사용하여 사용자에게 역할 할당

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 사용자 및 그룹 할당 관리 역할을 선택합니다.

    역할 및 관리자를 열고 사용자 지정 역할 검색

  4. 할당 추가를 선택하고 원하는 사용자를 선택한 다음 선택을 클릭하여 사용자에게 역할 할당을 추가합니다.

    사용자 지정 역할에 대한 할당을 사용자에게 추가합니다.

할당 팁

  • 조직 전체에서 모든 엔터프라이즈 앱에 대한 사용자 및 그룹 액세스를 관리하기 위해 담당자에게 권한을 부여하려면 조직에 대한 Microsoft Entra ID 개요 페이지의 조직 전체 역할 및 관리자 목록에서 시작합니다.

  • 담당자에게 특정 엔터프라이즈 앱에 대한 사용자 및 그룹 액세스를 관리할 수 있는 권한을 부여하려면 Microsoft Entra ID에서 해당 앱으로 이동하여 해당 앱의 역할 및 관리자 목록을 엽니다. 새 사용자 지정 역할을 선택하고 사용자 또는 그룹 할당을 완료합니다. 담당자는 특정 앱에 대한 사용자 및 그룹 액세스만 관리할 수 있습니다.

  • 사용자 지정 역할 할당을 테스트하려면 담당자로 로그인하고 애플리케이션의 사용자 및 그룹 페이지를 열어 사용자 추가 옵션이 설정되어 있는지 확인합니다.

    사용자 권한 확인

PowerShell

자세한 내용은 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당PowerShell을 사용하여 리소스 범위로 사용자 지정 역할 할당을 참조하세요.

사용자 지정 역할 만들기

다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

사용자 지정 역할 할당

이 PowerShell 스크립트를 사용하여 역할을 할당합니다.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

Create unifiedRoleDefinition API를 사용하여 사용자 지정 역할을 만듭니다. 자세한 내용은 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당Microsoft Graph API를 사용하여 사용자 지정 관리자 역할 할당을 참조하세요.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Microsoft Graph API를 사용하여 사용자 지정 역할 할당

Create unifiedRoleAssignment API를 사용하여 사용자 지정 역할을 할당합니다. 역할 할당은 보안 주체 ID(사용자 또는 서비스 주체일 수 있음), 역할 정의 ID 및 Microsoft Entra 리소스 범위를 결합합니다. 역할 할당의 요소에 대한 자세한 내용은 사용자 지정 역할 개요를 참조하세요.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

다음 단계