Microsoft Entra ID의 사용자 지정 보안 특성에 대한 액세스 관리
조직의 사용자가 사용자 지정 보안 특성을 효과적으로 사용하려면 적절한 액세스 권한을 부여해야 합니다. 사용자 지정 보안 특성에 포함하려는 정보에 따라 사용자 지정 보안 특성을 제한하거나 조직에서 광범위하게 액세스할 수 있도록 설정할 수 있습니다. 이 문서에서는 사용자 지정 보안 특성에 대한 액세스를 관리하는 방법에 대해 설명합니다.
필수 조건
사용자 지정 보안 특성에 대한 액세스를 관리하려면 다음이 있어야 합니다.
- 특성 할당 관리자
- Microsoft Graph PowerShell 사용 시 Microsoft.Graph 모듈
Important
기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다.
1단계: 특성을 구성하는 방법 결정
모든 사용자 지정 보안 특성 정의는 특성 집합의 일부여야 합니다. 특성 집합은 관련 사용자 지정 보안 특성을 그룹화하고 관리하는 방법입니다. 조직에 대한 특성 집합을 추가하는 방법을 결정해야 합니다. 예를 들어 부서, 팀 또는 프로젝트를 기반으로 하여 특성 집합을 추가할 수 있습니다. 사용자 지정 보안 특성에 대한 액세스 권한을 부여하는 기능은 특성 집합을 구성하는 방법에 따라 달라집니다.
2단계: 필요한 범위 확인
범위는 액세스가 적용되는 리소스의 세트입니다. 사용자 지정 보안 특성의 경우 테넌트 범위 또는 특성 집합 범위의 역할을 할당할 수 있습니다. 광범위한 액세스를 할당하려는 경우 테넌트 범위의 역할을 할당할 수 있습니다. 그러나 특정 특성 집합에 대한 액세스를 제한하려는 경우 특성 집합 범위의 역할을 할당할 수 있습니다.
Microsoft Entra 역할 할당은 추가 모델이므로 유효 권한은 역할 할당의 합계입니다. 예를 들어 사용자에게 테넌트 범위의 역할을 할당하고 동일한 사용자에게 특성 집합 범위의 동일한 역할을 할당하는 경우 사용자는 여전히 테넌트 범위의 권한을 갖습니다.
3단계: 사용 가능한 역할 검토
조직에서 사용자 지정 보안 특성을 사용하려면 액세스 권한이 필요한 사용자를 결정해야 합니다. 사용자 지정 보안 특성에 대한 액세스를 관리하는 데 도움이 되도록 네 가지 Microsoft Entra 기본 제공 역할이 있습니다. 필요한 경우 권한 있는 역할 관리주체 역할이 있는 사용자는 이러한 역할을 할당할 수 있습니다.
다음 표에서는 사용자 지정 보안 특성 역할에 대한 개략적인 비교를 제공합니다.
| Permission | 특성 정의 관리자 | 특성 할당 관리자 | 특성 정의 읽기 권한자 | 특성 할당 읽기 권한자 |
|---|---|---|---|---|
| 특성 집합 읽기 | ✅ | ✅ | ✅ | ✅ |
| 특성 정의 읽기 | ✅ | ✅ | ✅ | ✅ |
| 사용자 및 애플리케이션(서비스 주체)에 대한 특성 할당 읽기 | ✅ | ✅ | ||
| 특성 집합 추가 또는 편집 | ✅ | |||
| 특성 정의 추가, 편집 또는 비활성화 | ✅ | |||
| 사용자 및 애플리케이션(서비스 주체)에 특성 할당 | ✅ |
4단계: 위임 전략 결정
이 단계에서는 사용자 지정 보안 특성에 대한 액세스를 관리할 수 있는 두 가지 방법에 대해 설명합니다. 첫 번째 방법은 중앙에서 관리하는 것이고, 두 번째 방법은 다른 사람에게 관리를 위임하는 것입니다.
중앙에서 특성 관리
테넌트 범위의 특성 정의 관리자 및 특성 할당 관리자 역할이 할당된 관리자는 사용자 지정 보안 특성의 모든 측면을 관리할 수 있습니다. 다음 다이어그램에서는 단일 관리자가 사용자 지정 보안 특성을 정의하고 할당하는 방법을 보여 줍니다.
- 관리자(Xia)는 테넌트 범위로 할당된 특성 정의 관리자 및 특성 할당 관리자 역할을 모두 가지고 있습니다. 관리자는 특성 집합을 추가하고 특성을 정의합니다.
- 관리자는 특성을 Microsoft Entra 개체에 할당합니다.
특성을 중앙에서 관리하면 한두 명의 관리자가 관리할 수 있다는 장점이 있습니다. 단점은 관리자가 사용자 지정 보안 특성을 정의하거나 할당하도록 요구하는 여러 요청을 받을 수 있다는 것입니다. 이 경우 관리를 위임하는 것이 좋습니다.
위임을 사용하여 특성 관리
관리자는 사용자 지정 보안 특성을 정의하고 할당하는 방법의 모든 상황을 알지 못할 수 있습니다. 일반적으로 해당 영역에 대해 가장 잘 알고 있는 사람은 해당 부서, 팀 또는 프로젝트 내의 사용자입니다. 모든 사용자 지정 보안 특성을 관리할 수 있는 한두 명의 관리자를 할당하는 대신 특성 집합 범위의 관리를 위임할 수 있습니다. 이는 다른 관리자가 작업을 수행하고 불필요한 액세스를 방지하는 데 필요한 권한만 부여하는 최소 권한의 모범 사례를 따르는 것이기도 합니다. 다음 다이어그램에서는 여러 관리자에게 사용자 지정 보안 특성의 관리를 위임하는 방법을 보여 줍니다.
- 테넌트 범위의 특성 정의 관리자 역할이 할당된 관리자(Xia)가 특성 집합을 추가합니다. 또한 관리자는 다른 사용자에게 역할을 할당할 수 있는 권한(권한 있는 역할 관리자)과 각 특성 집합에 대한 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 대리자를 가지고 있습니다.
- 위임된 특성 정의 관리자(Alice 및 Bob)는 액세스 권한이 부여된 특성 집합의 특성을 정의합니다.
- 위임된 특성 할당 관리자(Chandra 및 Bob)는 특성 집합의 특성을 Microsoft Entra 개체에 할당합니다.
5단계: 적절한 역할 및 범위 선택
특성을 구성하는 방법 및 액세스 권한이 필요한 사용자를 더 잘 이해했으면 적절한 사용자 지정 보안 특성 역할 및 범위를 선택할 수 있습니다. 다음 표는 선택하는 데 도움이 될 수 있습니다.
| 부여하려는 액세스 권한 | 할당되는 역할 | Scope |
|---|---|---|
|
특성 정의 관리자 |  테넌트 |
|
특성 정의 관리자 |  특성 집합 |
|
특성 할당 관리자 | 테넌트 |
|
특성 할당 관리자 | 특성 집합 |
|
특성 정의 읽기 권한자 | 테넌트 |
|
특성 정의 읽기 권한자 | 특성 집합 |
|
특성 할당 읽기 권한자 | 테넌트 |
|
특성 할당 읽기 권한자 | 특성 집합 |
6단계: 역할 할당
적절한 사용자에게 액세스 권한을 부여하려면 다음 단계에 따라 사용자 지정 보안 특성 역할 중 하나를 할당합니다.
특성 집합 범위의 역할 할당
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
다음 예에서는 Engineering이라는 특성 집합 범위의 주체에게 사용자 지정 보안 특성 역할을 할당하는 방법을 보여 줍니다.
특성 할당 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>사용자 지정 보안 특성으로 이동합니다.
액세스 권한을 부여하려는 특성 집합을 선택합니다.
역할 및 관리자를 선택합니다.
사용자 지정 보안 특성 역할에 대한 할당을 추가합니다.
참고 항목
Microsoft Entra PIM(Privileged Identity Management)을 사용하는 경우 특성 집합 범위의 적격 역할 할당은 현재 지원되지 않습니다. 특성 집합 범위에서 영구 역할 할당이 지원됩니다.
테넌트 범위의 역할 할당
다음 예에서는 테넌트 범위의 보안 주체에 사용자 지정 보안 특성 역할을 할당하는 방법을 보여 줍니다.
특성 할당 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자>역할 및 관리자로 이동합니다.
사용자 지정 보안 특성 역할에 대한 할당을 추가합니다.
사용자 지정 보안 특성 감사 로그
감사 또는 문제 해결 목적으로 사용자 지정 보안 특성 변경에 대한 정보가 필요한 경우가 있습니다. 누군가가 정의 또는 할당을 변경할 때마다 활동이 기록됩니다.
사용자 지정 보안 특성 감사 로그는 새 정의를 추가하거나 사용자에게 특성 값을 할당하는 등 사용자 지정 보안 특성과 관련된 활동의 기록을 제공합니다. 기록되는 사용자 지정 보안 특성 관련 작업은 다음과 같습니다.
- 특성 집합 추가
- 특성 집합에 사용자 지정 보안 특성 정의 추가
- 특성 집합 업데이트
- servicePrincipal에 할당된 특성 값 업데이트
- 사용자에게 할당된 특성 값 업데이트
- 특성 집합에서 사용자 지정 보안 특성 정의 업데이트
특성 변경에 대한 감사 로그 보기
사용자 지정 보안 특성 감사 로그를 보려면 Microsoft Entra 관리 센터에 로그인하고 감사 로그를 찾아 사용자 지정 보안을 선택합니다. 사용자 지정 보안 특성 감사 로그를 보려면 다음 역할 중 하나를 할당을 받아야 합니다. 필요한 경우 권한 있는 역할 관리주체 역할이 있는 사용자는 이러한 역할을 할당할 수 있습니다.
Microsoft Graph API를 사용하여 사용자 지정 보안 특성 감사 로그를 가져오는 방법에 대한 자세한 내용은 리소스 종류를 참조 customSecurityAttributeAudit 하세요. 자세한 내용은 Microsoft Entra 감사 로그를 참조하세요.
진단 설정
추가 처리를 위해 사용자 지정 보안 특성 감사 로그를 다른 대상으로 내보내려면 진단 설정을 사용합니다. 사용자 지정 보안 특성에 대한 진단 설정을 만들고 구성하려면 특성 로그 관리자 역할이 할당되어야 합니다.
팁
Microsoft는 사용자 지정 보안 특성 감사 로그를 디렉터리 감사 로그와 별도로 유지하여 특성 할당이 실수로 표시되지 않도록 할 것을 권장합니다.
다음 스크린샷은 사용자 지정 보안 특성에 대한 진단 설정을 보여줍니다. 자세한 내용은 진단 설정을 구성하는 방법을 참조 하세요.
감사 로그 동작 변경
일상적인 작업에 영향을 줄 수 있는 일반 공급에 대한 사용자 지정 보안 특성 감사 로그가 변경되었습니다. 미리 보기 중에 사용자 지정 보안 특성 감사 로그를 사용한 경우 감사 로그 작업이 중단되지 않도록 하기 위해 수행해야 하는 작업은 다음과 같습니다.
- 새 감사 로그 위치 사용
- 감사 로그를 보려면 특성 로그 역할 할당
- 감사 로그를 내보내는 새 진단 설정 만들기
새 감사 로그 위치 사용
미리 보기 중에 사용자 지정 보안 특성 감사 로그가 디렉터리 감사 로그 엔드포인트에 기록되었습니다. 2023년 10월에는 사용자 지정 보안 특성 감사 로그에만 새 엔드포인트가 추가되었습니다. 다음 스크린샷은 디렉터리 감사 로그 및 새 사용자 지정 보안 특성 감사 로그 위치를 보여줍니다. Microsoft Graph API를 사용하여 사용자 지정 보안 특성 감사 로그를 얻으려면 리소스 종류를 참조 customSecurityAttributeAudit 하세요.
사용자 지정 보안 감사 로그가 디렉터리 및 사용자 지정 보안 특성 감사 로그 엔드포인트 모두에 기록되는 전환 기간이 있습니다. 앞으로 사용자 지정 보안 특성 감사 로그 엔드포인트를 사용하여 사용자 지정 보안 특성 감사 로그를 찾아야 합니다.
다음 표에서는 전환 기간 동안 사용자 지정 보안 특성 감사 로그를 찾을 수 있는 엔드포인트를 나열합니다.
| 이벤트 날짜 | 디렉터리 엔드포인트 | 사용자 지정 보안 특성 엔드포인트 |
|---|---|---|
| 2023년 10월 | ✅ | ✅ |
| 2024년 2월 | ✅ |
감사 로그를 보려면 특성 로그 역할 할당
미리 보기 중에 디렉터리 감사 로그에서 보안 관리이상 역할을 가진 사용자 지정 보안 특성 감사 로그를 볼 수 있습니다. 더 이상 이러한 역할을 사용하여 새 엔드포인트를 사용하여 사용자 지정 보안 특성 감사 로그를 볼 수 없습니다. 사용자 지정 보안 특성 감사 로그를 보려면 특성 로그 판독기 또는 특성 로그 관리자 역할이 할당되어야 합니다.
감사 로그를 내보내는 새 진단 설정 만들기
미리 보기 중에 감사 로그를 내보내도록 구성한 경우 사용자 지정 보안 감사 특성 감사 로그가 현재 진단 설정으로 전송되었습니다. 사용자 지정 보안 감사 특성 감사 로그를 계속 받으려면 이전 진단 설정 섹션에 설명된 대로 새 진단 설정을 만들어야 합니다.