Microsoft Entra ID의 역할 기반 액세스 제어 개요

  • 아티클

이 문서에서는 Microsoft Entra 역할 기반 액세스 제어를 이해하는 방법을 설명합니다. Microsoft Entra 역할을 사용하면 최소 권한 원칙에 따라 관리자에게 세부적인 사용 권한을 부여할 수 있습니다. Microsoft Entra 기본 제공 및 사용자 지정 역할은 Azure 리소스에 대한 역할 기반 액세스 제어 시스템(Azure 역할)에서 볼 수 있는 것과 유사한 개념으로 작동합니다. 이러한 두 역할 기반 액세스 제어 시스템 간의 차이점은 다음과 같습니다.

  • Microsoft Entra 역할은 Microsoft Graph API를 사용하여 사용자, 그룹, 애플리케이션과 같은 Microsoft Entra 리소스에 대한 액세스를 제어합니다.
  • Azure 역할은 Azure 리소스 관리를 사용하여 가상 머신 또는 스토리지와 같은 Azure 리소스에 대한 액세스를 제어합니다.

두 시스템 모두 유사하게 사용되는 역할 정의 및 역할 할당을 포함합니다. 그러나 Microsoft Entra 역할 권한은 Azure 사용자 지정 역할에서 사용할 수 없으며 그 반대의 경우도 마찬가지입니다.

Microsoft Entra RBAC(역할 기반 액세스 제어) 개요 이해

Microsoft Entra ID는 두 가지 유형의 역할 정의를 지원합니다.

기본 제공 역할은 고정된 권한 세트가 있는 기본 제공 역할입니다. 이러한 역할 정의는 수정할 수 없습니다. Microsoft Entra ID에서 지원하는 다양한 기본 제공 역할이 있으며 목록이 증가하고 있습니다. 가장자리를 반올림하고 정교한 요구 사항을 충족하기 위해 Microsoft Entra ID는 사용자 지정 역할도 지원합니다. 사용자 지정 Microsoft Entra 역할을 사용하여 권한을 부여하는 작업은 사용자 지정 역할 정의를 만든 후 역할 할당을 사용하여 할당하는 두 단계로 이루어진 프로세스입니다. 사용자 지정 역할 정의는 사전 설정 목록에서 추가하는 권한 컬렉션입니다. 이러한 권한은 기본 제공 역할에 사용되는 권한과 동일한 권한입니다.

사용자 지정 역할 정의를 생성(또는 기본 제공 역할 사용)한 후에는 역할 할당을 만들어 사용자에게 할당할 수 있습니다. 역할 할당은 지정된 범위의 역할 정의에서 사용자에게 권한을 부여합니다. 이 2단계 프로세스를 통해 단일 역할 정의를 만든 후 여러 범위에서 여러 번 할당할 수 있습니다. 범위는 역할 멤버가 액세스할 수 있는 Microsoft Entra 리소스 집합을 정의합니다. 가장 일반적인 범위는 조직 전체 범위입니다. 조직 전체 범위에서 사용자 지정 역할을 할당할 수 있으며, 이렇게 하면 역할 멤버가 조직의 모든 리소스에 대한 역할 권한을 갖습니다. 개체 범위에서 사용자 지정 역할을 할당할 수도 있습니다. 개체 범위의 예로는 단일 애플리케이션이 있습니다. 조직 내 모든 애플리케이션에 대해 동일한 역할을 한 사용자에게 할당한 다음, 범위가 Contoso Expense Reports 앱인 다른 사용자에게 할당할 수 있습니다.

Microsoft Entra ID에서 사용자가 리소스에 대한 액세스 권한을 갖고 있는지 확인하는 방법

다음은 사용자가 관리 리소스에 액세스할 수 있는지 확인하기 위해 Microsoft Entra ID에서 사용하는 단계에 대한 간략한 정보입니다. 이 정보를 사용하여 액세스 문제를 해결할 수 있습니다.

  1. 사용자(또는 서비스 주체)가 Microsoft Graph 엔드포인트에 대한 토큰을 획득합니다.
  2. 사용자가 발급된 토큰을 사용하여 Microsoft Graph를 통해 Microsoft Entra ID에 대한 API 호출을 수행합니다.
  3. 환경에 따라 Microsoft Entra ID에서 다음 작업 중 하나를 수행합니다.
    • 사용자의 액세스 토큰에서 wids 클레임을 기반으로 사용자의 역할 멤버 자격을 평가합니다.
    • 직접 또는 그룹 멤버 자격을 통해 작업을 수행할 리소스에 적용되는 사용자의 모든 역할 할당을 검색합니다.
  4. Microsoft Entra ID는 사용자가 이 리소스에 대해 갖는 역할에 API 호출의 작업이 포함되는지 여부를 결정합니다.
  5. 사용자에게 요청된 범위에서 작업에 대한 역할이 없으면 액세스 권한이 부여되지 않습니다. 그렇지 않으면 액세스 권한이 부여됩니다.

역할 할당

역할 할당은 특정 범위에서 역할 정의보안 주체에 연결하여 Microsoft Entra 리소스에 대한 액세스 권한을 부여하는 Microsoft Entra 리소스입니다. 역할 할당을 만들어서 액세스 권한을 부여하고, 역할 할당을 제거하여 액세스 권한을 취소합니다. 그 내부를 보면 역할 할당은 다음과 같은 세 가지 요소로 구성됩니다.

  • 보안 주체 - 권한을 얻는 ID. 사용자, 그룹 또는 서비스 주체일 수 있습니다.
  • 역할 정의 - 권한 컬렉션
  • 범위 - 해당 권한이 적용되는 위치를 제한하는 방법

Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Microsoft Graph API를 사용하여 역할 할당을 만들고역할 할당을 나열할 수 있습니다. Microsoft Entra 역할 할당에는 Azure CLI가 지원되지 않습니다.

다음 다이어그램은 역할 할당의 예를 보여줍니다. 이 예에서 Chris는 Contoso Widget Builder 앱 등록 범위에서 앱 등록 관리자 사용자 지정 역할을 할당받았습니다. 이렇게 할당하면 이 특정 앱 등록에 대해서만 Chris에게 앱 등록 관리자 역할 권한이 부여됩니다.

역할 할당은 사용 권한을 적용하는 방법이며 세 부분으로 구성됩니다.

할당할 수 있습니다.

보안 주체는 Microsoft Entra 리소스에 대한 액세스 권한이 할당된 사용자, 그룹 또는 서비스 주체를 나타냅니다. 사용자는 Microsoft Entra ID에 프로필이 있는 개인입니다. 그룹은 역할 할당 가능 그룹으로 설정된 새 Microsoft 365 또는 보안 그룹입니다. 서비스 주체는 Microsoft Entra 리소스에 액세스하기 위해 애플리케이션, 호스트된 서비스 및 자동화된 도구에서 사용하도록 만든 ID입니다.

역할 정의

역할 정의 또는 역할은 권한 컬렉션입니다. 역할 정의는 만들기. 읽기, 업데이트 및 삭제와 같이 Microsoft Entra 리소스에 대해 수행할 수 있는 작업을 나열합니다. Microsoft Entra ID에는 두 가지 유형의 역할이 있습니다.

  • Microsoft에서 만들었으며 변경할 수 없는 기본 제공 역할
  • 조직에서 만들고 관리하는 사용자 지정 역할

Scope

범위는 역할 할당의 일부로 허용되는 작업을 특정 리소스 세트로 제한하는 방법입니다. 예를 들어 개발자에게 사용자 지정 역할을 할당하고 특정 애플리케이션 등록만 관리하려는 경우 특정 애플리케이션 등록을 역할 할당의 범위로 포함할 수 있습니다.

역할을 할당할 때 다음 범위 유형 중 하나를 지정합니다.

Microsoft Entra 리소스를 범위로 지정하는 경우 다음 중 하나일 수 있습니다.

  • Microsoft Entra 그룹
  • Enterprise 애플리케이션
  • 애플리케이션 등록

테넌트 또는 관리istrative Unit과 같은 컨테이너 범위에 역할이 할당되면 컨테이너 자체에는 포함되지 않은 개체에 대한 권한을 부여합니다. 반대로 리소스 범위에 역할이 할당되면 리소스 자체에 대한 사용 권한을 부여하지만 그 이상으로 확장되지는 않습니다(특히 Microsoft Entra 그룹의 구성원으로 확장되지 않음).

자세한 내용은 다양한 범위에서 Microsoft Entra 역할 할당을 참조하세요.

역할 할당 옵션

Microsoft Entra ID는 역할을 할당하기 위한 여러 옵션을 제공합니다.

  • 역할을 할당하는 기본적인 방법으로서 사용자에게 직접 역할을 할당할 수 있습니다. 기본 제공 역할과 사용자 지정 Microsoft Entra 역할은 모두 액세스 요구 사항에 따라 사용자에게 할당할 수 있습니다. 자세한 내용은 사용자에게 Microsoft Entra 역할 할당을 참조하세요.
  • Microsoft Entra ID P1을 사용하여 역할 할당 가능 그룹을 만들고 해당 그룹에 역할을 할당할 수 있습니다. 개인 대신 그룹에 역할을 할당하면 역할에서 사용자를 쉽게 추가하거나 제거할 수 있으며 그룹의 모든 멤버에 대해 일관된 권한이 만들어집니다. 자세한 내용은 그룹에 Microsoft Entra 역할 할당을 참조하세요.
  • Microsoft Entra ID P2를 사용하여 Microsoft Entra PIM(Microsoft Entra Privileged Identity Management)을 사용하여 역할에 대한 Just-In-Time 액세스를 제공할 수 있습니다. 이 기능을 사용하면 영구적인 액세스 권한을 부여하는 대신 역할이 필요한 사용자에게 시간이 제한된 액세스 권한을 부여할 수 있습니다. 또한 자세한 보고 및 감사 기능도 제공됩니다. 자세한 내용은 Privileged Identity Management에서 Microsoft Entra 역할 할당을 참조하세요.

라이선스 요구 사항

Microsoft Entra ID에서 기본 제공 역할을 사용하는 것은 무료입니다. 사용자 지정 역할을 사용하려면 사용자 지정 역할 할당이 있는 모든 사용자에 대해 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 체험판 및 프리미엄 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.

다음 단계