Azure 클래식 구독 관리자

  • 아티클

Important

클래식 리소스 및 클래식 관리자는 2024년 8월 31일에 종료됩니다. 2024년 4월 3일부터 새 공동 관리자를 추가할 수 없습니다. 이 날짜는 최근에 연장되었습니다. 불필요한 공동 관리자를 제거하여 세분화된 액세스 제어에 Azure RBAC를 사용하세요.

Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 Azure 리소스에 대한 액세스를 관리하는 것이 좋습니다. 그러나 클래식 배포 모델을 계속 사용하는 경우에는 클래식 구독 관리자 역할 서비스 관리자 및 공동 관리자를 사용해야 합니다. 리소스를 클래식 배포에서 Resource Manager 배포로 마이그레이션하는 방법에 대한 자세한 내용은 Azure Resource Manager와 클래식 배포 비교를 참조하세요.

클래식 관리자가 여전히 있는 경우 사용 중지 날짜 전에 이러한 역할 할당을 제거해야 합니다. 이 문서에서는 공동 관리자 및 서비스 관리자 역할의 사용 중지를 준비하는 방법과 이러한 역할 할당을 제거 또는 변경하는 방법을 설명합니다.

자주 묻는 질문

공동 관리자 및 서비스 관리자도 2024년 8월 31일 이후에 권한을 잃게 되나요?

  • 2024년 8월 31일부터 Microsoft는 공동 관리자 및 서비스 관리자의 액세스 권한을 제거하는 프로세스를 시작합니다.

클래식 관리자가 있는 구독을 어떻게 알 수 있나요?

  • Azure Resource Graph 쿼리를 통해 서비스 관리자 또는 공동 관리자 역할 할당을 사용하여 구독을 나열할 수 있습니다. 단계는 클래식 관리자 나열을 참조하세요.

공동 관리자에게 할당해야 하는 동등한 Azure 역할은 무엇인가요?

  • 구독 범위의 소유자 역할에는 동등한 액세스 권한이 있습니다. 그러나 소유자는 권한이 있는 관리자 역할이며 Azure 리소스를 관리할 수 있는 모든 권한을 부여합니다. 사용 권한이 적은 작업 함수 역할을 고려하거나 범위를 줄이거나 조건을 추가해야 합니다.

서비스 관리자에게 할당해야 하는 동등한 Azure 역할은 무엇인가요?

  • 구독 범위의 소유자 역할에는 동등한 액세스 권한이 있습니다.

Azure RBAC로 마이그레이션해야 하는 이유는 무엇인가요?

  • 클래식 관리자는 사용이 중지됩니다. Azure RBAC는 세분화된 액세스 제어, Microsoft Entra PIM(Privileged Identity Management)과의 호환성 및 전체 감사 로그 지원을 제공합니다. 향후 모든 투자는 Azure RBAC에 이루어질 것입니다.

계정 관리자 역할은 어떻게 되나요?

  • 계정 관리자는 청구 계정의 기본 사용자입니다. 계정 관리자는 더 이상 사용되지 않으며 이 역할 할당은 바꿀 필요가 없습니다. 계정 관리자와 서비스 관리자가 동일한 사용자일 수도 있습니다. 그러나 서비스 관리자 역할 할당만 제거하면 됩니다.

공동 관리자 또는 서비스 관리자에 대한 종속성이 높은 경우 어떻게 해야 하나요?

  • ACARDeprecation@microsoft.com으로 이메일을 보내 시나리오를 설명합니다.

공동 관리자 사용 중지 준비

여전히 클래식 관리자가 있는 경우 다음 단계를 사용하여 공동 관리자 역할 사용 중지를 준비합니다.

1단계: 현재 공동 관리자 검토

  1. 구독 소유자Azure Portal에 로그인합니다.

  2. Azure Portal 또는 Azure Resource Graph를 사용하여 공동 관리자를 나열합니다.

  3. 공동 관리자가 활성 사용자인지 여부를 평가하려면 로그인 로그를 검토합니다.

2단계: 더 이상 액세스할 필요가 없는 공동 관리자 제거

  1. 사용자가 더 이상 엔터프라이즈에 없는 경우 공동 관리자를 제거합니다.

  2. 사용자가 삭제되었지만 공동 관리자 할당이 제거되지 않은 경우 공동 관리자를 제거합니다.

    삭제된 사용자는 일반적으로 텍스트(이 디렉터리에서 사용자를 찾을 수 없음)를 포함합니다.

    디렉터리 및 공동 관리자 역할이 있는 사용자를 찾을 수 없는 사용자의 스크린샷.

  3. 사용자의 활동을 검토한 후 사용자가 더 이상 활성 상태가 아니면 공동 관리자를 제거합니다.

3단계: 기존 공동 관리자를 작업 함수 역할로 바꾸기

대부분의 사용자는 공동 관리자와 동일한 권한이 필요하지 않습니다. 대신 작업 함수 역할을 고려합니다.

  1. 사용자에게 여전히 액세스 권한이 필요한 경우 필요한 적절한 작업 함수 역할을 결정합니다.

  2. 사용자에게 필요한 범위를 결정합니다.

  3. 사용자에게 작업 함수 역할을 할당하는 단계를 수행합니다.

  4. 공동 관리자 제거

4단계: 기존 공동 관리자를 소유자 역할 및 조건으로 바꾸기

일부 사용자는 작업 함수 역할이 제공할 수 있는 것보다 더 많은 액세스 권한이 필요할 수 있습니다. 소유자 역할을 할당해야 하는 경우 역할 할당을 제한하는 조건을 추가하는 것이 좋습니다.

  1. 사용자에게 조건이 있는 구독 범위에서 소유자 역할을 할당합니다.

  2. 공동 관리자 제거

서비스 관리자 사용 중지 준비

여전히 클래식 관리자가 있는 경우 다음 단계를 사용하여 서비스 관리자 역할 사용 중지를 준비합니다. 서비스 관리자를 제거하려면 구독이 분리되지 않도록 조건 없이 구독 범위에서 소유자 역할이 할당된 사용자가 한 명 이상 있어야 합니다. 구독 소유자는 서비스 관리자와 동일한 액세스 권한을 갖습니다.

1단계: 현재 서비스 관리자 검토

  1. 구독 소유자Azure Portal에 로그인합니다.

  2. Azure Portal 또는 Azure Resource Graph를 사용하여 서비스 관리자를 나열합니다.

  3. 서비스 관리자가 활성 사용자인지 여부를 평가하려면 로그인 로그를 검토합니다.

2단계: 현재 청구 계정 소유자 검토

서비스 관리자 역할이 할당된 사용자는 청구 계정의 관리자와 동일한 사용자일 수도 있습니다. 현재 청구 계정 소유자가 여전히 정확한지 검토해야 합니다.

  1. Azure Portal을 사용하여 청구 계정 소유자를 가져옵니다.

  2. 청구 계정 소유자 목록을 검토합니다. 필요한 경우 다른 청구 계정 소유자를 업데이트하거나 추가할 수 있습니다.

3단계: 기존 서비스 관리자를 소유자 역할로 바꾸기

서비스 관리자는 Microsoft 계정 또는 Microsoft Entra 계정일 수 있습니다. Microsoft 계정은 Outlook, OneDrive, Xbox LIVE 또는 Microsoft 365와 같은 개인 계정입니다. Microsoft Entra 계정은 Microsoft Entra ID를 통해 만든 ID입니다.

  1. 서비스 관리자 사용자가 Microsoft 계정이고 이 사용자가 동일한 권한을 유지하도록 하려면 조건 없이 구독 범위에서 이 사용자에게 소유자 역할을 할당할 수 있습니다.

  2. 서비스 관리자 사용자가 Microsoft Entra 계정이고 이 사용자가 동일한 권한을 유지하도록 하려면 조건 없이 구독 범위에서 이 사용자에게 소유자 역할을 할당할 수 있습니다.

  3. 서비스 관리자 사용자를 다른 사용자로 변경하려면 조건 없이 구독 범위에서 이 새 사용자에게 소유자 역할을 할당할 수 있습니다.

  4. 서비스 관리자 제거.

클래식 관리자 나열

Azure Portal을 사용하여 구독에 대한 서비스 관리자 및 공동 관리자를 나열하려면 다음 단계를 수행합니다.

  1. 구독 소유자Azure Portal에 로그인합니다.

  2. 구독을 열고 구독을 선택합니다.

  3. 액세스 제어(IAM) 를 선택합니다.

  4. 공동 관리자 목록을 보려면 클래식 관리자 탭을 선택합니다.

    클래식 관리자 탭이 선택된 액세스 제어(IAM) 페이지의 스크린샷.

공동 관리자 제거

Important

클래식 리소스 및 클래식 관리자는 2024년 8월 31일에 종료됩니다. 2024년 4월 3일부터 새 공동 관리자를 추가할 수 없습니다. 이 날짜는 최근에 연장되었습니다. 불필요한 공동 관리자를 제거하여 세분화된 액세스 제어에 Azure RBAC를 사용하세요.

공동 관리자를 제거하려면 다음 단계를 따릅니다.

  1. 구독 소유자Azure Portal에 로그인합니다.

  2. 구독을 열고 구독을 선택합니다.

  3. 액세스 제어(IAM) 를 선택합니다.

  4. 공동 관리자 목록을 보려면 클래식 관리자 탭을 선택합니다.

  5. 제거할 공동 관리자 옆에 확인 표시를 추가합니다.

  6. 제거를 선택합니다.

  7. 표시되는 메시지 상자에서 를 선택합니다.

    공동 관리자를 제거할 때의 메시지 상자를 보여 주는 스크린샷.

공동 관리자 추가

Important

클래식 리소스 및 클래식 관리자는 2024년 8월 31일에 종료됩니다. 2024년 4월 3일부터 새 공동 관리자를 추가할 수 없습니다. 이 날짜는 최근에 연장되었습니다. 불필요한 공동 관리자를 제거하여 세분화된 액세스 제어에 Azure RBAC를 사용하세요.

사용자가 Azure 서비스 관리 PowerShell 모듈을 사용하여 Azure 클래식 배포를 관리해야 하는 경우에만 공동 관리자를 추가하면 됩니다. 사용자가 Azure Portal을 통해서만 클래식 리소스를 관리하는 경우 사용자에 대한 클래식 관리자를 추가할 필요가 없습니다.

  1. 구독 소유자Azure Portal에 로그인합니다.

  2. 구독을 열고 구독을 선택합니다.

    공동 관리자는 구독 범위에서만 할당할 수 있습니다.

  3. 액세스 제어(IAM) 를 선택합니다.

  4. 클래식 관리자 탭을 선택합니다.

    클래식 관리자 탭이 선택된 액세스 제어(IAM) 페이지의 스크린샷.

  5. 추가>공동 관리자 추가를 선택하여 공동 관리자 추가 창을 엽니다.

    공동 관리자 추가 옵션을 사용할 수 없는 경우 권한이 없는 것입니다.

  6. 추가할 사용자를 선택한 다음, 추가를 선택합니다.

    공동 관리자를 추가할 공동 관리자 추가 창을 보여 주는 스크린샷.

게스트 사용자를 공동 관리자로 추가

게스트 사용자를 공동 관리자로 추가하려면 위의 공동 관리자 추가 섹션과 동일한 단계를 수행합니다. 게스트 사용자는 다음 기준을 충족해야 합니다.

  • 게스트 사용자가 디렉터리에 존재해야 합니다. 이는 사용자가 디렉터리에 초대되고 초대를 수락했음을 의미합니다.

디렉터리에 게스트 사용자를 추가하는 방법에 대한 자세한 내용은 Azure Portal에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.

디렉터리에서 게스트 사용자를 제거하기 전에 먼저 해당 게스트 사용자에 대한 역할 할당을 제거해야 합니다. 자세한 내용은 디렉터리에서 외부 사용자 제거를 참조하세요.

게스트 사용자의 차이점

공동 관리자 역할이 할당된 게스트 사용자는 공동 관리자 역할의 멤버 사용자와 비교해 몇 가지 차이를 나타낼 수 있습니다. 다음 시나리오를 살펴 보십시오.

  • Microsoft Entra 계정(회사 또는 학교 계정)이 있는 사용자 A는 Azure 구독에 대한 서비스 관리자입니다.
  • 사용자 B에게는 Microsoft 계정이 있습니다.
  • 사용자 A가 사용자 B에게 공동 관리자 역할을 할당합니다.
  • 사용자 B는 거의 모든 작업을 수행할 수 있지만 애플리케이션을 등록하거나 Microsoft Entra 디렉터리에서 사용자를 조회할 수는 없습니다.

사용자 B는 모든 것을 관리할 수 있다고 예상할 수 있습니다. 이러한 차이가 나타나는 이유는 Microsoft 계정이 멤버 사용자가 아닌 게스트 사용자로 구독에 추가되기 때문입니다. 게스트 사용자는 멤버 사용자와 비교하여 Microsoft Entra ID의 기본 권한이 다릅니다. 예를 들어, 멤버 사용자는 Microsoft Entra ID에서 다른 사용자를 읽을 수 있지만 게스트 사용자는 읽을 수 없습니다. 멤버 사용자는 Microsoft Entra ID에 새로운 서비스 주체를 등록할 수 있지만 게스트 사용자는 등록할 수 없습니다.

게스트 사용자가 이러한 작업을 수행할 수 있어야 하는 경우 가능한 솔루션은 게스트 사용자에게 필요한 특정 Microsoft Entra 역할을 할당하는 것입니다. 예를 들어, 이전 시나리오에서는 다른 사용자를 읽기 위한 디렉터리 읽기 권한자 역할과 서비스 주체를 만들 수 있는 애플리케이션 개발자 역할을 할당할 수 있습니다. 멤버 및 게스트 사용자와 해당 권한에 대한 자세한 내용은 Microsoft Entra ID의 기본 사용자 권한은 무엇인가요?를 참조하세요. 게스트 사용자에게 액세스 권한을 부여하는 방법에 대한 자세한 내용은 Azure Portal을 사용하여 외부 사용자에게 Azure 역할 할당을 참조하세요.

Azure 기본 제공 역할Microsoft Entra 역할과 다릅니다. 기본 제공 역할은 Microsoft Entra ID에 대한 액세스 권한을 부여하지 않습니다. 자세한 내용은 다른 역할 이해를 참조하세요.

멤버 사용자와 게스트 사용자를 비교하는 자세한 내용은 Microsoft Entra ID의 기본 사용자 권한은 무엇인가요?를 참조하세요.

서비스 관리자 변경

계정 관리자만 구독에 대한 서비스 관리자를 변경할 수 있습니다. 기본적으로, Azure 구독에 가입할 때 서비스 관리자는 계정 관리자와 같습니다.

계정 관리자 역할이 있는 사용자는 Azure Portal에 액세스하고 청구를 관리할 수 있지만 구독을 취소할 수는 없습니다. 서비스 관리자 역할의 사용자는 Azure Portal에 대해 모든 권한을 지니고, 구독을 취소할 수 있습니다. 계정 관리자는 자신을 서비스 관리자로 만들 수 있습니다.

Azure Portal에서 서비스 관리자를 변경하려면 다음 단계를 수행합니다.

  1. 계정 관리자 권한으로 Azure Portal에 로그인합니다.

  2. Cost Management + Billing을 열고 구독을 선택합니다.

  3. 왼쪽 탐색 메뉴에서 속성을 선택합니다.

  4. 서비스 관리자 변경을 선택합니다.

    서비스 관리자를 변경하는 옵션을 보여 주는 구독 속성 페이지의 스크린샷.

  5. 서비스 관리자 편집 페이지에서 새 서비스 관리자의 이메일 주소를 입력합니다.

    서비스 관리자를 변경하는 서비스 관리자 편집 창의 스크린샷.

  6. 확인을 선택하여 변경 내용을 저장합니다.

서비스 관리자 제거

서비스 관리자를 제거하려면 구독이 분리되지 않도록 조건 없이 구독 범위에서 소유자 역할이 할당된 사용자가 있어야 합니다. 구독 소유자는 서비스 관리자와 동일한 액세스 권한을 갖습니다.

  1. 구독 소유자Azure Portal에 로그인합니다.

  2. 구독을 열고 구독을 선택합니다.

  3. 액세스 제어(IAM) 를 선택합니다.

  4. 클래식 관리자 탭을 선택합니다.

  5. 서비스 관리자 옆에 확인 표시를 추가합니다.

  6. 제거를 선택합니다.

  7. 표시되는 메시지 상자에서 를 선택합니다.

    서비스 관리자를 제거할 때 클래식 관리자 메시지를 제거하는 모습을 보여 주는 스크린샷.

서비스 관리자 사용자가 디렉터리에 없는 경우 서비스 관리자를 제거하려고 할 때 다음 오류가 발생할 수 있습니다.

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

서비스 관리자 사용자가 디렉터리에 없는 경우 서비스 관리자를 기존 사용자로 변경한 다음 서비스 관리자를 제거합니다.

다음 단계