다음을 통해 공유

직원 액세스 할당을 위한 Microsoft Entra ID 거버넌스 배포 가이드

  • 아티클

배포 시나리오는 Microsoft Security 제품 및 서비스를 결합하고 테스트하는 방법에 대한 지침입니다. 역량이 함께 작동하여 생산성을 향상시키고, 보안을 강화하며, 규정 준수 및 규정 요구 사항을 보다 쉽게 충족하는 방법을 알아봅니다.

다음 제품 및 서비스가 이 가이드에 표시됩니다.

이 시나리오를 사용하여 Microsoft Entra ID 거버넌스가 조직에 대한 액세스 권한을 만들고 부여할 필요성을 결정할 수 있습니다. 자동화된 워크플로, 액세스 할당, 액세스 검토 및 만료를 통해 직원 환경을 간소화하는 방법을 알아봅니다.

타임라인

타임라인은 대략적인 배달 단계 기간을 표시하며 시나리오 복잡성을 기반으로 합니다. 시간은 예측이며 환경에 따라 달라집니다.

  1. 권한 관리 - 1시간
  2. 자동 할당 정책 - 1시간
  3. 사용자 지정 확장 - 2시간
  4. 액세스 검토 - 2시간

액세스 요청: 워크플로 및 승인

권한 관리는 리소스에 대한 직원 액세스를 관리하는 ID 거버넌스 기능입니다. 액세스 요청 워크플로, 액세스 할당, 액세스 검토 및 만료를 자동화합니다. 사용자에게 셀프 서비스 리소스 액세스 요청을 제공합니다. 이렇게 하려면 셀프 서비스 정책 및 워크플로를 정의합니다.

  • 다단계 승인 워크플로 활성화, 직무 분리 강제 및 정기적인 액세스 재인증
  • Azure Logic Apps를 사용하여 액세스 수명 주기에 사용자 지정 워크플로 사용
  • 시간 제한 액세스 구성

권한 관리 배포

  1. 권한 관리에서 액세스 패키지 만들기로 이동합니다.
  2. 지침을 사용하여 액세스 패키지를 만듭니다.
  3. 자동 할당 정책을 만듭니다.

의무 분리

권한 관리에서 사용자 그룹 및 액세스 패키지에 대한 정책을 구성할 수 있습니다. 반대로, 업무 분리를 통해 사용자가 다른 액세스 패키지에 할당되거나 사용자가 호환되지 않는 그룹의 구성원인 경우 요청을 사용하지 않도록 설정할 수 있습니다. 호환되지 않는 액세스 권한이 있는 사용자의 보고서를 생성합니다. 사용자에게 애플리케이션에 대한 액세스 권한이 부여되면 경고를 만듭니다.

액세스 패키지에 대한 의무 분리 검사를 구성하는 방법을 배울 수 있습니다.

자동 할당 정책 만들기

이 액세스 정책 영역에서 장자권 할당 은 사용자 속성에 따라 리소스 액세스 권한을 자동으로 부여하는 것을 의미합니다. 할당 만들기도 비슷하게 작동합니다. 사용자 속성은 정책의 멤버 자격 규칙과 일치하거나 일치하지 않습니다. 규칙을 사용하여 동적 그룹과 유사한 사용자 속성을 기반으로 액세스 패키지 할당을 결정합니다. 규칙 조건에 따라 할당을 추가하거나 제거합니다.

다음 스크린샷에서는 자동 할당 정책 만들기 탭이 있는 정책 편집 대화 상자를 참조하세요.

정책 편집 대화 상자의 자동 할당 정책 만들기 탭 스크린샷

자세한 내용은 Microsoft Entra ID에서 그룹 및 액세스 권한에 대해 알아볼 수 있습니다.

정책 할당에 대한 자세한 내용은 다음 비디오를 참조하세요.

Azure Logic Apps를 사용하는 사용자 지정 워크플로

시각적 디자이너 및 미리 빌드된 작업을 사용하여 Azure Logic Apps를 사용하여 자동화된 워크플로를 만들고 실행합니다.

거버넌스 워크플로를 확장하려면 권한 관리와 Logic Apps를 통합합니다.

  • 액세스 패키지 요청이 생성되거나 승인됨
  • 액세스 패키지 할당이 부여되거나 제거됨
  • 액세스 패키지 할당이 자동으로 만료되기 14일 전
  • 액세스 패키지 할당이 자동 만료되기 하루 전

비고

Azure 구독 리소스를 계획에 사용할 수 있도록 합니다.

사용자 지정 사용 사례 예제

  • 사용자 지정 전자 메일 알림 보내기
  • Microsoft Teams 알림 보내기
  • 애플리케이션에서 사용자 정보 가져오기
  • 외부 시스템에 사용자 정보 다시 쓰기
  • 외부 웹 API를 호출하여 외부 시스템에 대한 작업 트리거
  • Microsoft Planner에서 작업 집합 만들기
  • TAP(임시 액세스 패스) 생성

액세스 패키지 사용자 지정 확장 배포

비고

사용자 지정 확장을 고려하려면 Azure Logic Apps 기능을 이해해야 합니다. 자세한 내용은 이전 섹션을 참조하세요.

  1. 권한 관리에서 사용자 지정 확장을 사용하여 Azure Logic Apps 트리거로 이동합니다.
  2. 지침을 사용하여 카탈로그에 사용자 지정 확장을 만들고 추가합니다.
  3. 사용자 지정 확장을 편집합니다.
  4. 액세스 패키지에 사용자 지정 확장을 추가합니다.

다음 비디오를 참조하여 Microsoft Entra ID 거버넌스의 사용자 지정 확장 및 액세스 패키지에 대해 알아봅니다.

접근 권한 재인증: 접근 권한 검토

액세스 재인증의 경우 되풀이 액세스 검토를 사용하여 액세스 권한을 검토할 수 있습니다. 그룹 멤버 자격 관리, 리소스 액세스 및 역할 할당을 수행하고, 규정 준수 요구 사항도 충족하세요.

관리자는 검토 범위를 결정한 다음 액세스 검토, Microsoft Entra 엔터프라이즈 앱, PIM( Privileged Identity Management ) 또는 권한 관리에서 검토를 만듭니다.

관리자를 위한 검토 만들기 다이어그램

검토 유형 탭과 함께 새 액세스 검토 대화 상자가 나타납니다. 검토 유형, 범위 및 기타 구성 세부 정보에 대한 옵션을 찾습니다.

이용 후기 작성자

관리자는 액세스 검토를 만드는 동안 기본 및 대체 검토자를 할당합니다. 이메일은 검토자에게 보류 중인 검토를 알립니다. 자체 검토에 사용자를 할당하거나 리소스 소유자를 할당하여 리소스를 검토할 수 있습니다. 자체 검토의 경우 사용자가 거부하거나 응답하지 않는 경우 권한을 제거할 수 있습니다.

관리자를 위한 검토자 할당 단계 다이어그램

내 액세스 대시보드에는 검토자의 보류 중인 승인 및 권장 사항이 표시됩니다.

보류 중인 검토 다이어그램

다단계 검토

다단계 검토 는 개별 검토자의 부담을 줄이고 검토자 전체에서 합의를 달성하는 데 도움이 될 수 있습니다. 대체 검토자는 검토되지 않은 결정을 결정하는 데 도움이 됩니다. 검토 단계 구성에는 단계 수를 나타내는 것이 포함됩니다.

액세스 깔때기의 다이어그램.

새 액세스 검토 대화 상자 및 검토 탭을 사용하여 검토 단계, 검토자, 기간 등을 구성합니다.

새 액세스 검토 대화 상자의 다이어그램

자동화된 의사 결정 조건

액세스 검토 구성 중에 검토자 의사 결정 도우미를 포함하여 다양한 의사 결정 기준을 나타낼 수 있습니다. 기타 옵션은 다음과 같습니다.

  • 응답 트리거
  • 계정 비활성
  • 근거 요구 사항
  • 경고 및 알림

의사 결정 도우미 옵션이 강조 표시된 새 액세스 검토 대화 상자 및 설정

새 액세스 검토 대화 상자 및 설정 탭의 스크린샷

비활성 사용자 리뷰

사용자가 지정된 기간 내에 테넌트에 로그인하지 않은 경우 비활성 상태로 간주됩니다. 이 동작은 애플리케이션 할당 검토 또는 앱에서 사용자의 마지막 활동에 맞게 조정됩니다. 시작하려면 조직에서 '비활성'이 무엇을 의미하는지 정의하십시오.

비활성 사용자 계정을 검색하고 조사하는 방법을 알아봅니다.

비활성 옵션이 강조 표시된 새 액세스 검토 대화 상자 및 검토 유형

새 액세스 검토 대화 상자 및 검토 유형 탭의 스크린샷

권장 사항 검토

검토자는 기계 학습 파생 권장 사항을 사용하여 액세스 결정을 내릴 수 있습니다. 권장 사항은 보고 구조 근접성을 기반으로 사용자-그룹 소속을 검색합니다. 그룹 구성원과 멀리 떨어져 있는 사용자는 소속이 낮습니다.

비고

사용자 그룹 소속은 디렉터리 내 사용자에게 제공됩니다. 그러나 600명 이상의 사용자 그룹은 지원되지 않습니다. 사용자에게 관리자 특성이 있는지 확인합니다.

그룹용 PIM에 대한 액세스 검토

그룹에 대한 PIM(Privileged Identity Management)을 사용하여 사용자에게 JIT(Just-In-Time) 멤버 자격 및 그룹 소유권을 부여할 수 있습니다. 검토에는 활성 그룹 구성원 및 적격 멤버가 포함됩니다.

그룹용 PIM에 대한 액세스 검토를 만드는 방법을 알아봅니다.

비고

액세스 검토는 최대 2년 동안 비활성 여부를 확인할 수 있습니다.

새 액세스 검토 대화 상자와 범위 등에 대한 옵션이 있는 검토 유형 대화 상자.

[검토 유형] 탭의 [새 액세스 검토] 대화 상자 스크린샷

액세스 검토 기록 보고서

액세스 검토를 통해 권한 있는 사용자는 검토자 결정, 시간 프레임 등에 대한 자세한 인사이트를 위해 다운로드 가능한 검토 기록 보고서를 만들 수 있습니다. 필터를 사용하여 검토 유형 및 결과를 포함합니다.

아이덴티티 거버넌스 대화 상자에서 검토 기록 영역 안에 검토 기록 옵션이 강조 표시되어 있습니다.

액세스 검토 실시

  1. Microsoft Entra 액세스 검토 배포 계획을 수립합니다.
  2. 그룹용 PIM에 대한 액세스 검토를 만듭니다.
  3. PIM에서 Azure 리소스 및 Microsoft Entra ID 역할에 대한 액세스 검토를 완료합니다.
  4. 권한 관리에서 액세스 패키지에 대한 액세스 검토를 만듭니다.

Azure Data Explorer를 사용하여 사용자 지정 보고서 만들기

사용자 지정 보고서를 생성할 수 있습니다. Microsoft Entra ID에서 Azure Data Explorer로 데이터를 내보내고 KQL(Kusto Query Language)을 사용하여 맞춤형 보기를 만듭니다. 자격 데이터를 분석하고, 인사이트를 사용자 지정하고, ID 거버넌스 보고를 최적화할 수 있습니다. 다음 비디오에서는 Azure Data Explorer를 사용하여 사용자 지정 보고서를 만드는 방법을 배울 수 있습니다.

액세스 패키지 요청

관리자는 내 액세스 포털 을 사용하여 액세스를 구성하고 사용자가 리소스에 대한 액세스(요청자)를 검토하거나 요청합니다. 내 액세스 포털에서 승인자는 요청자가 제출한 답변을 수정할 수 있습니다.

액세스 패키지를 요청하는 방법을 알아봅니다.

다음 단계