Microsoft Entra ID의 태스크별 최소 권한 역할
이 문서에서는 Microsoft Entra ID에서 최소 권한 역할을 할당하여 사용자의 관리자 권한을 제한하는 데 필요한 정보를 찾을 수 있습니다. 작업은 각 작업을 수행하는 데 필요한 기능 영역 및 최소 권한 역할, 그리고 작업을 수행할 수 있는 비 전역 관리자 역할에 따라 구성되는 것을 알 수 있습니다.
더 작은 범위에서 역할을 할당하거나 고유한 사용자 지정 역할을 만들어 사용 권한을 추가로 제한할 수 있습니다. 자세한 내용은 다양한 범위에서 Microsoft Entra 역할 할당 또는 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당을 참조하세요.
애플리케이션 프록시
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 애플리케이션 프록시 앱 구성 | 애플리케이션 관리자 | |
| 커넥터 그룹 속성 구성 | 애플리케이션 관리자 | |
| 모든 사용자에 대한 기능이 비활성화되면 애플리케이션 등록 만들기 | 애플리케이션 개발자 | 클라우드 애플리케이션 관리자 애플리케이션 관리자 |
| 커넥터 그룹 만들기 | 애플리케이션 관리자 | |
| 커넥터 그룹 삭제 | 애플리케이션 관리자 | |
| 애플리케이션 프록시 사용 안 함 | 애플리케이션 관리자 | |
| 커넥터 서비스 다운로드 | 애플리케이션 관리자 | |
| 모든 구성 읽기 | 애플리케이션 관리자 |
외부 ID/B2C
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| Azure AD B2C 디렉터리 만들기 | 게스트가 아닌 모든 사용자 | |
| 엔터프라이즈 애플리케이션 만들기 | 클라우드 애플리케이션 관리자 | 애플리케이션 관리자 |
| B2C 정책 만들기, 읽기, 업데이트 및 삭제 | B2C IEF 정책 관리자 | |
| ID 공급자 만들기, 읽기, 업데이트 및 삭제 | 외부 ID 공급자 관리자 | |
| 암호 재설정 사용자 흐름 만들기, 읽기, 업데이트 및 삭제 | 외부 ID 사용자 흐름 관리자 | |
| 프로필 편집 사용자 흐름 만들기, 읽기, 업데이트 및 삭제 | 외부 ID 사용자 흐름 관리자 | |
| 로그인 사용자 흐름 만들기, 읽기, 업데이트 및 삭제 | 외부 ID 사용자 흐름 관리자 | |
| 등록 사용자 흐름 만들기, 읽기, 업데이트 및 삭제 | 외부 ID 사용자 흐름 관리자 | |
| 사용자 특정 만들기, 읽기, 업데이트 및 삭제 | 외부 ID 사용자 흐름 특성 관리자 | |
| 사용자 만들기, 읽기, 업데이트 및 삭제 | 사용자 관리자 | |
| B2B 외부 협업 설정 구성 | 전역 관리자 | |
| 모든 구성 읽기 | 전역 판독기 | |
| B2C 감사 로그 읽기 | 전역 판독기 |
참고 항목
Azure AD B2C 전역 관리자는 Microsoft Entra 전역 관리자와 동일한 사용 권한을 가지고 있지 않습니다. Azure AD B2C 전역 관리자 권한이 있는 경우 Microsoft Entra 디렉터리가 아닌 Azure AD B2C 디렉터리에 있어야 합니다.
회사 브랜딩
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 회사 브랜딩 구성 | 조직 브랜딩 관리istrator | |
| 모든 구성 읽기 | 디렉터리 읽기 권한자 | 기본 사용자 역할 |
연결
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 통과 인증 | 하이브리드 ID 관리자 | |
| 모든 구성 읽기 | 전역 판독기 | 하이브리드 ID 관리자 |
| 원활한 Single Sign-On | 하이브리드 ID 관리자 |
클라우드 프로비저닝
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 통과 인증 | 하이브리드 ID 관리자 | |
| 모든 구성 읽기 | 전역 판독기 | 하이브리드 ID 관리자 |
| 원활한 Single Sign-On | 하이브리드 ID 관리자 |
Connect Health
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 서비스 추가 또는 삭제 | 담당자 | |
| 동기화 오류 수정 적용 | 기여자 | 담당자 |
| 알림 구성 | 기여자 | 담당자 |
| 설정 구성 | 담당자 | |
| 동기화 알림 구성 | 기여자 | 담당자 |
| ADFS 보안 보고서 읽기 | 보안 읽기 권한자 | 기여자 담당자 |
| 모든 구성 읽기 | 판독기 | 기여자 담당자 |
| 동기화 오류 읽기 | 판독기 | 기여자 담당자 |
| 동기화 서비스 읽기 | 판독기 | 기여자 담당자 |
| 메트릭 및 경고 보기 | 판독기 | 기여자 담당자 |
| 메트릭 및 경고 보기 | 판독기 | 기여자 담당자 |
| 동기화 서비스 메트릭 및 경고 보기 | 판독기 | 기여자 담당자 |
사용자 지정 도메인 이름
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 도메인 관리 | 도메인 이름 관리자 | |
| 모든 구성 읽기 | 디렉터리 읽기 권한자 | 기본 사용자 역할 |
Domain Services
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| Microsoft Entra Domain Services 인스턴스 만들기 | 애플리케이션 관리자 그룹 관리자 도메인 서비스 기여자 |
|
| 모든 Microsoft Entra Domain Services 작업 수행 | AAD DC 관리자 그룹 | |
| 모든 구성 읽기 | AD DS 서비스를 포함하는 Azure 구독에 대한 읽기 권한자 |
장치
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 디바이스 삭제 | 클라우드 디바이스 관리자 | Intune 관리자 |
| 디바이스 사용 안 함 | 클라우드 디바이스 관리자 | Intune 관리자 |
| 디바이스 사용 | 클라우드 디바이스 관리자 | Intune 관리자 |
| 기본 구성 읽기 | 기본 사용자 역할 | |
| BitLocker 키 읽기 | 클라우드 디바이스 관리자 | 기술 지원팀 관리자 Intune 관리자 보안 관리자 보안 읽기 권한자 |
Enterprise 애플리케이션
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 모든 위임된 권한에 동의 | 클라우드 애플리케이션 관리자 | 애플리케이션 관리자 |
| Microsoft Graph를 포함하지 않은 애플리케이션 권한에 동의 | 클라우드 애플리케이션 관리자 | 애플리케이션 관리자 |
| Microsoft Graph에 대한 애플리케이션 권한에 동의 | 권한 있는 역할 관리자 | |
| 자체 데이터에 액세스하는 애플리케이션에 동의 | 기본 사용자 역할 | |
| 엔터프라이즈 애플리케이션 만들기 | 클라우드 애플리케이션 관리자 | 애플리케이션 관리자 |
| 애플리케이션 프록시 관리 | 애플리케이션 관리자 | |
| 사용자 설정 관리 | 전역 관리자 | |
| 그룹 또는 앱의 액세스 검토 읽기 | 보안 읽기 권한자 | 보안 관리자 사용자 관리자 |
| 모든 구성 읽기 | 기본 사용자 역할 | |
| 엔터프라이즈 애플리케이션 할당 업데이트 | 엔터프라이즈 애플리케이션 소유자 | 클라우드 애플리케이션 관리자 애플리케이션 관리자 사용자 관리자 |
| 엔터프라이즈 애플리케이션 소유자 업데이트 | 엔터프라이즈 애플리케이션 소유자 | 클라우드 애플리케이션 관리자 애플리케이션 관리자 |
| 엔터프라이즈 애플리케이션 속성 업데이트 | 엔터프라이즈 애플리케이션 소유자 | 클라우드 애플리케이션 관리자 애플리케이션 관리자 |
| 엔터프라이즈 애플리케이션 프로비전 업데이트 | 엔터프라이즈 애플리케이션 소유자 | 클라우드 애플리케이션 관리자 애플리케이션 관리자 |
| 엔터프라이즈 애플리케이션 셀프 서비스 업데이트 | 엔터프라이즈 애플리케이션 소유자 | 클라우드 애플리케이션 관리자 애플리케이션 관리자 |
| Single Sign-On 속성 업데이트 | 엔터프라이즈 애플리케이션 소유자 | 클라우드 애플리케이션 관리자 애플리케이션 관리자 |
| 사용자 지정 인증 확장 만들기 및 수정 | 인증 확장성 관리istrator | 애플리케이션 관리자 |
자격 관리
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 카탈로그에 리소스를 추가합니다. | Identity Governance 관리자 | 권한 관리를 사용하여 이 작업을 카탈로그 소유자에게 위임할 수 있습니다. |
| 카탈로그에 SharePoint Online 사이트 추가 | SharePoint 관리자 |
그룹
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 라이선스 할당 | 사용자 관리자 | |
| 그룹 만들기 | 그룹 관리자 | 사용자 관리자 |
| 그룹 또는 앱의 액세스 검토 만들기, 업데이트 또는 삭제 | 사용자 관리자 | |
| 그룹 만료 관리 | 사용자 관리자 | |
| 그룹 설정 관리 | 그룹 관리자 | 사용자 관리자 |
| 모든 구성 읽기(숨겨진 멤버 자격 제외) | 디렉터리 읽기 권한자 | 기본 사용자 역할 |
| 숨겨진 멤버 자격 읽기 | 그룹 멤버 | 그룹 소유자 암호 관리자 Exchange 관리자 SharePoint 관리자 Teams 관리자 사용자 관리자 |
| 숨겨진 구성원이 있는 그룹의 멤버 자격 읽기 | 기술 지원팀 관리자 | 사용자 관리자 Teams 관리자 |
| 라이선스 해지 | 라이선스 관리자 | 사용자 관리자 |
| 그룹 멤버 자격 업데이트 | 그룹 소유자 | 사용자 관리자 |
| 그룹 소유자 업데이트 | 그룹 소유자 | 사용자 관리자 |
| 그룹 속성 업데이트 | 그룹 소유자 | 사용자 관리자 |
| 그룹 삭제 | 그룹 관리자 | 사용자 관리자 |
ID 보호
라이선스
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 라이선스 할당 | 라이선스 관리자 | 사용자 관리자 |
| 모든 구성 읽기 | 디렉터리 읽기 권한자 | 기본 사용자 역할 |
| 라이선스 해지 | 라이선스 관리자 | 사용자 관리자 |
| 구독 체험 또는 구입 | 대금 청구 관리자 |
모니터링 - 감사 로그
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 감사 로그 읽기 | 보고서 읽기 권한자 | 보안 읽기 권한자 보안 관리자 |
모니터링 - 로그인
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 로그인 로그 읽기 | 보고서 읽기 권한자 | 보안 읽기 권한자 보안 관리자 전역 판독기 |
다단계 인증
| 작업 | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 선택한 사용자가 생성한 모든 기존 앱 암호 삭제 | 인증 정책 관리자 | 인증 관리자 |
| 사용자별 MFA 사용 안 함 | 인증 관리자 | 권한 있는 인증 관리자 |
| 사용자별 MFA 사용 | 인증 관리자 | 권한 있는 인증 관리자 |
| MFA 서비스 설정 관리 | 인증 정책 관리자 | |
| 연락처 메서드를 다시 제공하도록 선택된 사용자 요구 | 인증 관리자 | |
| 기억되는 모든 디바이스에서 다단계 인증 복원 | 인증 관리자 |
MFA 서버
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 사용자 차단/차단 해제 | 인증 정책 관리자 | |
| 계정 잠금 구성 | 인증 정책 관리자 | |
| 캐시 규칙 구성 | 인증 정책 관리자 | |
| 사기 행위 경고 구성 | 인증 정책 관리자 | |
| 알림 구성 | 인증 정책 관리자 | |
| 일회성 바이패스 구성 | 인증 정책 관리자 | |
| 전화 통화 설정 구성 | 인증 정책 관리자 | |
| 공급자 구성 | 인증 정책 관리자 | |
| 서버 설정 구성 | 인증 정책 관리자 | |
| 활동 보고서 읽기 | 전역 판독기 | |
| 모든 구성 읽기 | 전역 판독기 | |
| 서버 상태 읽기 | 전역 판독기 |
조직 관계
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| ID 공급자 관리 | 외부 ID 공급자 관리자 | |
| 모든 구성 읽기 | 전역 판독기 |
암호 재설정
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 인증 방법 구성 | 인증 정책 관리자 | |
| 사용자 지정 구성 | 인증 정책 관리자 | |
| 알림 구성 | 인증 정책 관리자 | |
| 온-프레미스 통합 구성 | 인증 정책 관리자 | |
| 암호 재설정 속성 구성 | 사용자 관리자 | 인증 정책 관리자 |
| 등록 구성 | 인증 정책 관리자 | |
| 모든 구성 읽기 | 보안 관리자 | 사용자 관리자 |
권한이 부여된 ID 관리
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 역할에 사용자 할당 | 권한 있는 역할 관리자 | |
| 역할 설정 구성 | 권한 있는 역할 관리자 | |
| 감사 활동 보기 | 보안 읽기 권한자 | |
| 역할 멤버 자격 보기 | 보안 읽기 권한자 |
역할 및 관리자
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 역할 할당 관리 | 권한 있는 역할 관리자 | |
| Microsoft Entra 역할의 읽기 액세스 검토 | 보안 읽기 권한자 | 보안 관리자 권한 있는 역할 관리자 |
| 모든 구성 읽기 | 기본 사용자 역할 |
보안 - 인증 방법
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 인증 방법 사용 또는 사용 안 함 | 인증 정책 관리자 | |
| 개별 사용자 인증 방법 보기, 프로비전 및 관리 | 인증 관리자 | 권한 있는 인증 관리자 |
| 암호 보호 구성 | 보안 관리자 | |
| 스마트 잠금 구성 | 보안 관리자 | |
| 모든 구성 읽기 | 전역 판독기 |
보안 - 조건부 액세스
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| MFA에서 신뢰할 수 있는 IP 주소 구성 | 조건부 액세스 관리자 | |
| 사용자 지정 컨트롤 만들기 | 조건부 액세스 관리자 | 보안 관리자 |
| 명명된 위치 만들기 | 조건부 액세스 관리자 | 보안 관리자 |
| 정책 만들기 | 조건부 액세스 관리자 | 보안 관리자 |
| 사용 약관 만들기 | 조건부 액세스 관리자 | 보안 관리자 |
| VPN 연결 인증서 만들기 | 클라우드 애플리케이션 관리자 | 애플리케이션 관리자 |
| 클래식 정책 삭제 | 조건부 액세스 관리자 | 보안 관리자 |
| 사용 약관 삭제 | 조건부 액세스 관리자 | 보안 관리자 |
| VPN 연결 인증서 삭제 | 조건부 액세스 관리자 | 보안 관리자 |
| 클래식 정책 사용 안 함 | 조건부 액세스 관리자 | 보안 관리자 |
| 사용자 지정 컨트롤 관리 | 조건부 액세스 관리자 | 보안 관리자 |
| 명명된 위치 관리 | 조건부 액세스 관리자 | 보안 관리자 |
| 사용 약관 관리 | 조건부 액세스 관리자 | 보안 관리자 |
| 모든 구성 읽기 | 기본 사용자 역할 | |
| 명명된 위치 읽기 | 기본 사용자 역할 |
보안 - ID 보안 점수
보안 - 위험한 로그인
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 모든 구성 읽기 | 보안 읽기 권한자 | |
| 위험한 로그인 읽기 | 보안 읽기 권한자 |
보안 - 위험 플래그가 지정된 사용자
임시 액세스 패스
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 관리자 또는 구성원(자신은 제외)에 대한 임시 액세스 패스 만들기, 삭제 또는 보기 | 권한 있는 인증 관리자 | |
| 구성원(자신은 제외)에 대한 임시 액세스 패스 만들기, 삭제 또는 보기 | 인증 관리자 | |
| 사용자에 대한 임시 액세스 패스 세부 정보 보기(코드 자체를 읽지 않고) | 전역 판독기 | |
| 임시 액세스 패스 인증 방법 정책 구성 또는 업데이트 | 인증 정책 관리자 |
테넌트
| 작업 | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| Microsoft Entra ID 또는 Azure AD B2C 테넌트 만들기 | 테넌트 작성자 | |
| Microsoft Entra 테넌트 속성 업데이트 | 대금 청구 관리자 | |
| 개인정보처리방침 및 연락처 관리 | 대금 청구 관리자 |
사용자
| Task | 최소 권한 역할 | 추가 역할 |
|---|---|---|
| 디렉터리 역할에 사용자 추가 | 권한 있는 역할 관리자 | |
| 그룹에 사용자 추가 | 사용자 관리자 | |
| 라이선스 할당 | 라이선스 관리자 | 사용자 관리자 |
| 게스트 사용자 만들기 | 게스트 초대자 | 사용자 관리자 |
| 게스트 사용자 초대 재설정 | 기술 지원팀 관리자 | 사용자 관리자 |
| 사용자 만들기 | 사용자 관리자 | |
| 사용자 삭제 | 사용자 관리자 | |
| 제한된 관리자의 새로 고침 토큰 무효화 | 사용자 관리자 | |
| 비관리자의 새로 고침 토큰 무효화 | 기술 지원팀 관리자 | 사용자 관리자 |
| 권한 있는 관리자의 새로 고침 토큰 무효화 | 권한 있는 인증 관리자 | |
| 기본 구성 읽기 | 기본 사용자 역할 | |
| 제한된 관리자의 암호 재설정 | 사용자 관리자 | |
| 비관리자의 암호 다시 설정 | 암호 관리자 | 사용자 관리자 |
| 권한 있는 관리자의 암호 재설정 | 권한 있는 인증 관리자 | |
| 라이선스 해지 | 라이선스 관리자 | 사용자 관리자 |
| 사용자 계정 이름을 제외한 모든 속성 업데이트 | 사용자 관리자 | |
| 온-프레미스 동기화 사용 속성 업데이트 | 하이브리드 ID 관리자 | |
| 제한된 관리자의 사용자 계정 이름 업데이트 | 사용자 관리자 | |
| 권한 있는 관리자의 사용자 계정 이름 속성 업데이트 | 권한 있는 인증 관리자 | |
| 사용자 설정 업데이트 - 기본 사용자 역할 권한 | 권한 있는 역할 관리자 | |
| 사용자 설정 업데이트 - 게스트 사용자 액세스 | 권한 있는 역할 관리자 | |
| 인증 방법 업데이트 | 인증 관리자 | 권한 있는 인증 관리자 |