Microsoft Entra ID에서 그룹 및 응용 프로그램에 대한 액세스 검토 만들기
직원 및 게스트용 그룹과 응용 프로그램에 대한 액세스는 시간이 지나면 변합니다. 관리자는 Microsoft Entra ID를 사용하여 그룹 구성원 또는 응용 프로그램 액세스에 대한 액세스 검토를 만들면 상태 액세스 할당과 관련된 위험을 줄일 수 있습니다.
ID 거버넌스 관리자 역할 이상의 권한을 가진 사용자가 액세스 검토 설정 창을 통해 설정을 사용하기만 하면 Microsoft 365 및 보안 그룹 소유자는 Microsoft Entra ID를 사용하여 그룹 구성원에 대한 액세스 검토를 만들 수도 있습니다. 이러한 시나리오에 대한 자세한 내용은 액세스 검토 관리를 참조하세요.
액세스 검토 사용에 대해 설명하는 짧은 동영상을 시청하세요.
이 문서에서는 그룹 구성원 또는 응용 프로그램 액세스를 위한 액세스 검토를 하나 이상 만드는 방법을 설명합니다.
- 액세스 패키지 할당을 검토하려면 권한 관리에서 액세스 검토 구성을 참조하세요.
- Azure 리소스 또는 Microsoft Entra 역할을 검토하려면 Privileged Identity Management에서 Azure 리소스 및 Microsoft Entra 역할에 대한 액세스 검토 만들기를 참조하세요.
- 그룹용 PIM에 대한 리뷰는 그룹용 PIM에 대한 액세스 검토 만들기를 참조하세요.
필수 조건
- Microsoft Entra ID P2 또는 Microsoft Entra ID Governance 라이선스.
- 비활성 사용자에 대한 리뷰를 작성하거나, 사용자-그룹 소속 권장 사항을 사용하려면 Microsoft Entra ID Governance 라이선스가 필요합니다.
- 전역 관리자 또는 ID 거버넌스 관리자는 그룹이나 응용 프로그램에 대한 리뷰를 만듭니다.
- 역할 할당 가능 그룹에 대한 리뷰를 만들려면 사용자는 최소한 권한 있는 역할 관리자여야 합니다. 자세한 내용은 Microsoft Entra 그룹을 사용하여 역할 할당 관리를 참조하세요.
- Microsoft 365 및 보안 그룹 소유자
자세한 내용은 라이선스 요구 사항을 참조하세요.
참고 항목
최소 권한 액세스 후에는 ID 거버넌스 관리자 역할을 사용하는 것이 좋습니다.
응용 프로그램에 대한 액세스를 검토하는 경우 리뷰를 만들기 전에 사용자의 응용 프로그램 액세스에 대한 액세스 검토를 준비하여 응용 프로그램이 테넌트의 Microsoft Entra ID와 통합되었는지 확인하는 방법에 대한 문서를 참조하세요.
참고 항목
액세스 검토는 각 리뷰 인스턴스의 시작 부분에 액세스 스냅샷을 캡처합니다. 리뷰 프로세스 중에 변경된 사항은 후속 리뷰 주기에 반영됩니다. 기본적으로 새로운 되풀이가 시작될 때마다 사용자, 리뷰 중인 리소스 및 해당 검토자에 대한 관련 데이터가 검색됩니다.
참고 항목
그룹 검토에서는 중첩된 그룹이 자동으로 평면화되므로 중첩된 그룹의 사용자는 개별 사용자로 표시됩니다. 사용자가 중첩된 그룹의 구성원으로 인해 제거 플래그가 지정된 경우, 해당 사용자는 중첩된 그룹에서 자동으로 제거되지 않고, 직접 그룹 구성원에서만 제거됩니다.
단일 단계 액세스 검토 만들기
범위
최소한 ID 거버넌스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>액세스 검토로 이동합니다.
새 액세스 검토를 선택하여 새 액세스 검토를 만듭니다.
검토할 항목 선택 상자에서 검토할 리소스를 선택합니다.
팀 + 그룹을 선택한 경우 다음 두 가지 옵션이 있습니다.
게스트 사용자가 있는 모든 Microsoft 365 그룹: 조직의 모든 Microsoft Teams 및 Microsoft 365 그룹에서 모든 게스트 사용자에 대한 반복적인 리뷰를 만들려면 이 옵션을 선택합니다. 동적 그룹 및 역할 할당 가능한 그룹은 포함되지 않습니다. 제외할 그룹 선택을 선택하여 개별 그룹을 제외하도록 선택할 수도 있습니다.
팀 + 그룹 선택: 검토할 팀 또는 그룹의 한정된 집합을 지정하려면 이 옵션을 선택합니다. 선택할 그룹 목록이 오른쪽에 나타납니다.
응용 프로그램을 선택한 경우 하나 이상의 응용 프로그램을 선택합니다.
참고 항목
여러 그룹 또는 응용 프로그램을 선택하면 여러 액세스 검토가 만들어집니다. 예를 들어, 검토할 5개의 그룹을 선택하는 경우 결과는 5개의 개별 액세스 검토입니다.
이제 리뷰 범위를 선택할 수 있습니다. 옵션은 다음과 같습니다.
- 게스트 사용자 전용 - 이 옵션은 디렉터리의 Microsoft Entra B2B 게스트 사용자로만 액세스 검토를 제한합니다.
- 모두: 이 옵션은 리소스와 연결된 모든 사용자 개체에 대한 액세스 검토 범위를 지정합니다.
참고 항목
게스트 사용자가 있는 모든 Microsoft 365 그룹을 선택한 경우 유일한 옵션은 게스트 사용자만을 검토하는 것입니다.
그룹 구성원 자격 리뷰를 수행하는 경우 그룹의 비활성 사용자에 대해서만 액세스 검토를 만들 수 있습니다. 사용자 범위 섹션에서 비활성 사용자(테넌트 수준) 옆의 확인란을 선택합니다. 확인란을 선택하면 리뷰 범위는 테넌트에 대화형으로 또는 비대화형으로 로그인하지 않은 비활성 사용자에만 초점을 맞춥니다. 그런 다음 최대 730일(2년)까지 비활성 일수로 비활성 일수를 지정합니다. 지정된 일수 동안 활동하지 않는 그룹의 사용자만 리뷰에 포함됩니다.
참고 항목
최근에 만든 사용자는 비활성 시간을 구성할 때 영향을 받지 않습니다. 액세스 검토는 사용자가 구성된 시간 프레임에 만들어졌는지 확인하고 적어도 해당 시간 동안 존재하지 않는 사용자를 무시합니다. 예를 들어 비활성 시간을 90일로 설정하고 게스트 사용자를 90일 내에 만들거나 초대한 경우 해당 게스트 사용자는 액세스 검토 범위에 포함되지 않습니다. 이렇게 하면 사용자가 제거되기 전에 한 번 이상 로그인할 수 있습니다.
다음: 리뷰를 선택합니다.
다음: 리뷰
단일 스테이지 또는 다중 스테이지 리뷰를 만들 수 있습니다. 단일 스테이지 리뷰는 여기에서 계속 진행합니다. 다중 스테이지 액세스 검토를 만들려면 다중 스테이지 액세스 검토 만들기 단계를 따르세요.
검토자 지정 섹션의 검토자 선택 상자에서 액세스 검토에서 결정을 내릴 사람을 한 명 이상 선택합니다. 다음 중 하나를 선택할 수 있습니다.
- 그룹 소유자: 이 옵션은 팀이나 그룹을 검토할 때만 사용할 수 있습니다.
- 선택한 사용자 또는 그룹
- 사용자가 자신의 액세스 권한을 리뷰합니다.
- 사용자의 관리자.
사용자의 관리자 또는 그룹 소유자를 선택하면 대체 검토자를 지정할 수도 있습니다. 사용자가 디렉터리에 관리자를 지정하지 않았거나 그룹에 소유자가 없는 경우에는 대체 검토자에게 리뷰를 수행하라는 메시지가 표시됩니다.
참고 항목
팀 또는 그룹 액세스 검토에서는 리뷰 시작 당시 그룹 소유자만 검토자로 간주됩니다. 리뷰 과정에서 그룹 소유자 목록이 업데이트되면 새 그룹 소유자는 검토자로 간주되지 않으며 이전 그룹 소유자는 여전히 검토자로 간주됩니다. 그러나 반복 리뷰의 경우 그룹 소유자 목록의 모든 변경 내용은 해당 리뷰의 다음 인스턴스에서 고려됩니다.
중요
그룹용 PIM(프리뷰)에 대한 액세스 검토의 경우 그룹 소유자를 검토자로 선택할 때 하나 이상의 대체 검토자를 할당해야 합니다. 리뷰는 활성 소유자만 검토자로 할당합니다. 적격 소유자는 포함되지 않습니다. 리뷰가 시작될 때 활성 소유자가 없으면 대체 검토자가 리뷰에 할당됩니다.
리뷰 되풀이 지정 섹션에서 다음 선택 항목을 지정합니다.
기간(일): 검토자의 입력을 위해 리뷰가 열리는 기간입니다.
시작 날짜: 일련의 리뷰가 시작되는 시간입니다.
종료일: 일련의 리뷰가 종료되는 시간입니다. 종료되지 않음으로 지정할 수 있습니다. 또는 특정 날짜에 종료 또는 발생 횟수 이후 종료를 선택할 수 있습니다.
다음: 설정을 선택합니다.
참고 항목
액세스 검토를 만들 때 시작 날짜를 지정할 수 있지만 시작 시간은 시스템 처리에 따라 몇 시간 정도 달라질 수 있습니다. 예를 들어, 09/12에 실행되도록 설정된 09/09 03:00 UTC에 액세스 검토를 생성하는 경우, 검토는 시작 날짜의 03:00 UTC에 실행되도록 예약되지만 시스템 처리로 인해 지연될 수 있습니다.
시작 날짜를 지정할 수 있지만 시작 시간은 시스템 처리에 따라 몇 시간 정도 달라질 수 있습니다.
다음: 설정
완료 시 설정 섹션에서 리뷰가 완료된 후 수행할 작업을 지정할 수 있습니다.
리소스에 결과 자동 적용: 리뷰 기간이 끝난 후 거부된 사용자의 액세스가 자동으로 제거되도록 하려면 이 확인란을 선택합니다. 옵션을 사용 중지한 경우 리뷰가 완료되면 결과를 수동으로 적용해야 합니다. 리뷰 결과를 적용하는 방법에 대한 자세한 내용은 액세스 검토 관리를 참조하세요.
검토자가 응답하지 않는 경우: 이 옵션을 사용하여 리뷰 기간 내에 검토자가 검토하지 않은 사용자에게 어떤 일이 발생하는지 지정합니다. 이 설정은 검토자가 리뷰한 사용자에게 영향을 미치지 않습니다. 드롭다운 목록에는 다음 옵션이 표시됩니다.
- 변경 내용 없음: 사용자의 액세스 권한을 변경하지 않은 상태로 둡니다.
- 액세스 제거: 사용자의 액세스 권한을 제거합니다.
- 액세스 승인: 사용자의 액세스를 승인합니다.
- 권장 작업 수행: 사용자의 지속적인 액세스를 거부하거나 승인하기 위해 시스템의 권장 사항을 적용합니다.
경고
검토자가 응답하지 않는 경우 설정이 액세스 제거 또는 권장 작업 수행으로 설정되고 리소스에 결과 자동 적용을 사용한 경우 검토자가 응답하지 않을 경우 이 리소스에 대한 모든 액세스가 잠재적으로 해지될 수 있습니다.
거부된 게스트 사용자에 적용할 작업 이 옵션은 검토자나 검토자가 응답하지 않는 경우 설정에 의해 게스트 사용자가 거부된 경우 게스트 사용자만 포함하도록 액세스 검토 범위가 지정된 경우에만 사용할 수 있습니다.
- 리소스에서 사용자 구성원 자격 제거: 이 옵션은 리뷰 중인 그룹 또는 응용 프로그램에 대한 거부된 게스트 사용자의 액세스 권한을 제거합니다. 여전히 테넌트에 로그인할 수 있으며 다른 액세스 권한을 잃지 않습니다.
- 사용자가 30일 동안 로그인하지 못하도록 차단한 후 테넌트에서 사용자 제거: 이 옵션은 거부된 게스트 사용자가 다른 리소스에 액세스할 수 있는지 여부에 관계없이 테넌트에 로그인하지 못하도록 차단합니다. 이 작업이 잘못 수행된 경우 관리자는 게스트 사용자를 사용 중지한 후 30일 이내에 게스트 사용자 액세스를 사용할 수 있습니다. 사용 중지된 게스트 사용자에 대해 30일 후에 작업을 취하지 않으면 테넌트에서 삭제됩니다.
조직의 리소스에 더 이상 액세스할 수 없는 게스트 사용자를 제거하기 위한 모범 사례에 관해 자세히 알아보려면 Microsoft Entra ID Governance를 사용하여 더 이상 리소스 액세스 권한이 없는 외부 사용자 리뷰 및 제거를 참조하세요.
참고 항목
거부된 게스트 사용자에게 적용되는 작업은 게스트 사용자 이상으로 범위가 지정된 리뷰에 대해서는 구성할 수 없습니다. 또한 게스트 사용자가 있는 모든 Microsoft 365 그룹 리뷰에 대해 구성할 수 없습니다. 구성할 수 없는 경우 리소스에서 사용자의 구성원 자격을 제거하는 기본 옵션이 거부된 사용자에게 사용됩니다.
리뷰 종료 시 알림 보내기 옵션을 사용하여 완료 업데이트가 있는 다른 사용자나 그룹에 알림을 보냅니다. 이 기능을 사용하면 리뷰 작성자 이외의 관련자를 리뷰 진행 상황에서 업데이트할 수 있습니다. 이 기능을 사용하려면 사용자 또는 그룹 선택을 선택하고 완료 상태를 받을 다른 사용자 또는 그룹을 추가합니다.
리뷰 판단 도우미 사용 섹션에서 리뷰 프로세스 중에 검토자가 권장 사항을 받을지 여부를 선택합니다.
- 30일 이내에 로그인 없음을 선택하는 경우 이전 30일 동안 로그인한 사용자를 승인하는 것이 좋습니다. 지난 30일 동안 로그인하지 않은 사용자는 거부하는 것이 좋습니다. 이 30일 간격은 로그인이 대화형인지 여부와 관계가 없습니다. 지정된 사용자의 마지막 로그인 날짜도 권장 사항과 함께 표시됩니다.
- 사용자-그룹 소속을 선택하는 경우 검토자는 조직의 보고 구조에서 사용자의 평균 거리에 따라 사용자에 대한 액세스 승인 또는 거부에 대한 권장 사항을 받습니다. 그룹 내의 다른 모든 사용자와 매우 멀리 떨어져 있는 사용자는 “낮은 유대 관계”를 가진 것으로 간주되며 그룹 액세스 검토에서 거부 권장 사항을 받게 됩니다.
참고 항목
응용 프로그램을 기반으로 액세스 검토를 만드는 경우 권장 사항은 테넌트가 아닌 사용자가 응용 프로그램에 마지막으로 로그인한 시간에 따라 30일 간격을 기준으로 합니다.
고급 설정 섹션에서 다음을 선택할 수 있습니다.
근거 필요: 검토자가 승인 또는 거부 이유를 제공하도록 하려면 이 확인란을 선택합니다.
이메일 알림: 액세스 검토가 시작될 때 Microsoft Entra ID가 검토자에게 이메일 알림을 보내고 리뷰가 완료되면 관리자에게 이메일 알림을 보내도록 하려면 이 확인란을 선택합니다.
알림: Microsoft Entra ID가 진행 중인 액세스 검토 알림을 모든 검토자에게 보내도록 하려면 이 확인란을 선택합니다. 검토자는 리뷰를 완료했는지 여부에 관계없이 리뷰 중간에 미리 알림을 받습니다.
검토자 이메일을 위한 추가 콘텐츠: 검토자에게 전송되는 이메일의 콘텐츠는 리뷰 이름, 리소스 이름, 기한과 같은 리뷰 세부 정보를 기반으로 자동 생성됩니다. 더 많은 정보를 전달해야 하는 경우 상자에 지침이나 연락처 정보와 같은 세부 정보를 지정할 수 있습니다. 입력한 정보는 초대에 포함되며 할당된 검토자에게 미리 알림 이메일이 전송됩니다. 다음 이미지에서 강조 표시된 섹션은 이 정보가 표시되는 위치를 보여 줍니다.
완료되면 다음: 리뷰 + 만들기를 선택합니다.
다음: 리뷰 + 만들기
액세스 검토의 이름을 지정합니다. 필요한 경우 리뷰에 설명을 지정합니다. 이름 및 설명이 검토자에게 표시됩니다.
정보를 검토하고 만들기를 선택합니다.
다중 스테이지 액세스 검토 만들기
다중 스테이지 리뷰를 사용하면 관리자가 2~3개의 검토자 집합을 정의하여 하나씩 리뷰를 완료할 수 있습니다. 단일 스테이지 리뷰에서는 모든 검토자가 같은 기간 내에 결정을 내리고 마지막에 결정을 내린 검토자의 결정이 적용됩니다. 다중 스테이지 리뷰에서는 각각 2~3개의 독립적인 검토자 집합이 각자의 스테이지 내에서 결정을 내립니다. 스테이지는 순차적으로 진행되며 이전 스테이지의 결정이 기록될 때까지 다음 스테이지가 진행되지 않습니다. 다중 스테이지 리뷰는 이후 스테이지 검토자의 부담을 줄이거나, 검토자의 에스컬레이션을 허용하거나, 독립적인 검토자 그룹이 결정에 동의하게 하는 데 사용할 수 있습니다.
참고 항목
다단계 액세스 검토에 포함된 사용자의 데이터는 리뷰 시작 시 감사 레코드의 일부입니다. 관리자는 다단계 액세스 검토 시리즈를 삭제하여 언제든지 데이터를 삭제할 수 있습니다. GDPR 및 사용자 데이터 보호에 대한 일반적인 정보는 Microsoft 보안 센터의 GDPR 섹션 및 Service Trust 포털의 GDPR 섹션을 참조하세요.
리뷰의 리소스 및 범위를 선택한 후 리뷰 탭으로 이동합니다.
다중 스테이지 리뷰 옆의 확인란을 선택합니다.
첫 번째 스테이지 리뷰 아래에서, 검토자 선택 옆의 드롭다운 메뉴에서 검토자를 선택합니다.
그룹 소유자 또는 사용자 관리자를 선택하면 대체 검토자를 추가할 수 있는 옵션이 나타납니다. 대체를 추가하려면 대체 검토자 선택을 선택하고 대체 검토자가 될 사용자를 추가합니다.
첫 번째 스테이지의 기간을 추가합니다. 기간을 추가하려면 스테이지 기간(일) 옆에 있는 필드에 숫자를 입력합니다. 이는 첫 번째 스테이지 검토자가 결정을 내릴 수 있도록 첫 번째 스테이지를 열어두는 기간입니다.
두 번째 스테이지 리뷰 아래에서, 검토자 선택 옆의 드롭다운 메뉴에서 검토자를 선택합니다. 이들 검토자는 첫 번째 스테이지 리뷰 기간이 종료된 후 리뷰를 요청받게 됩니다.
필요한 경우 대체 검토자를 추가합니다.
두 번째 스테이지의 기간을 추가합니다.
기본적으로 다중 스테이지 리뷰를 만들 때는 두 개의 스테이지가 표시됩니다. 스테이지는 최대 세 개까지 추가할 수 있습니다. 세 번째 스테이지를 추가하려면 + 스테이지 추가를 선택하고 필수 필드를 완료합니다.
두 번째 및 세 번째 스테이지 검토자가 이전 스테이지에서 내린 결정을 볼 수 있도록 허용할 수 있습니다. 이전에 내린 결정을 볼 수 있도록 허용하려면 리뷰 결과 표시 아래에서 이후 스테이지 검토자에게 이전 스테이지의 결정 표시 옆에 있는 확인란을 선택합니다. 검토자가 독립적으로 검토하게 하려는 경우 확인란을 클릭하지 말고 이 설정을 사용 중지합니다.
각 되풀이 기간은 각 스테이지에서 지정한 기간 일수의 합으로 설정됩니다.
리뷰의 리뷰 되풀이, 시작 날짜 및 종료 날짜를 지정합니다. 되풀이 유형은 되풀이의 총 기간만큼 길어야 합니다(즉, 매주 리뷰 되풀이의 최대 기간은 7일입니다).
스테이지 간 이동을 계속할 리뷰 대상자를 지정하려면 다음 스테이지로 이동할 리뷰 대상자 지정 옆에 있는 다음 옵션을 하나 이상 선택합니다.
- 승인된 리뷰 대상자 - 승인된 리뷰 대상자만 다음 스테이지로 이동합니다.
- 거부된 리뷰 대상자 - 거부된 리뷰 대상자만 다음 스테이지로 이동합니다.
- 검토되지 않은 리뷰 대상자 - 검토되지 않은 리뷰 대상자만 다음 스테이지로 이동합니다.
- "모름"으로 표시된 리뷰 대상자 - "모름"으로 표시된 리뷰 대상자만 다음 스테이지로 이동합니다.
- 모두: 모든 스테이지의 검토자가 결정을 내리도록 하려는 경우 모든 사람이 다음 스테이지로 이동합니다.
설정 탭으로 계속 이동하여 나머지 설정을 완료하고 리뷰를 만듭니다. 다음: 설정의 지침을 따릅니다.
액세스 검토에 Teams 공유 채널에 액세스하는 B2B 직접 연결 사용자 및 팀 포함
Microsoft Teams의 공유 채널을 통해 B2B 직접 연결 사용자에 대한 액세스 검토를 만들 수 있습니다. 외부에서 공동 작업할 때 Microsoft Entra 액세스 검토를 사용하여 공유 채널에 대한 외부 액세스가 최신 상태로 유지되도록 할 수 있습니다. 공유 채널의 외부 사용자를 B2B 직접 연결 사용자라고 합니다. Teams 공유 채널 및 B2B 직접 연결 사용자에 대해 자세히 알아보려면 B2B 직접 연결 문서를 참조하세요.
공유 채널이 있는 팀에 대한 액세스 검토를 만들면 검토자는 공유 채널에서 해당 외부 사용자 및 Teams의 액세스에 대한 지속적인 필요성을 검토할 수 있습니다. 동일한 리뷰에서 B2B 연결 사용자 및 기타 지원되는 B2B Collaboration 사용자 및 B2B가 아닌 내부 사용자의 액세스를 검토할 수 있습니다.
참고 항목
현재 B2B 직접 연결 사용자 및 팀은 단일 단계 리뷰에만 포함됩니다. 다중 스테이지 리뷰가 사용된 경우 B2B 직접 연결 사용자 및 팀은 액세스 검토에 포함되지 않습니다.
B2B 직접 연결 사용자 및 팀은 공유 채널이 속한 Teams 사용 Microsoft 365 그룹의 액세스 검토에 포함됩니다. 리뷰를 만들려면 사용자 관리자 또는 ID 거버넌스 관리자 역할 이상의 권한이 있어야 합니다.
공유 채널이 있는 팀에 대한 액세스 검토를 만들려면 다음 지침을 따릅니다.
최소한 ID 거버넌스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>액세스 검토로 이동합니다.
+ 새 액세스 검토를 선택합니다.
팀 + 그룹을 선택한 다음 팀 + 그룹 선택을 선택하여 리뷰 범위를 설정합니다. B2B 직접 연결 사용자 및 팀은 게스트 사용자가 있는 모든 Microsoft 365 그룹의 리뷰에 포함되지 않습니다.
1명 이상의 B2B 직접 연결 사용자 또는 Teams와 공유 채널이 있는 팀을 선택합니다.
범위를 설정합니다.
- 포함할 모든 사용자를 선택합니다.
- 모든 내부 사용자
- 팀의 구성원인 B2B Collaboration 사용자
- B2B 직접 연결 사용자
- 공유 채널에 액세스하는 Teams
- 또는 게스트 사용자만을 선택하여 B2B 직접 연결 사용자와 Teams 및 B2B Collaboration 사용자만 포함합니다.
- 포함할 모든 사용자를 선택합니다.
리뷰 탭으로 이동합니다. 리뷰를 완료할 검토자를 선택한 다음 기간 및 리뷰 되풀이를 지정합니다.
참고 항목
- 사용자가 자신의 액세스 또는 사용자 관리자를 검토하도록 선택 검토자를 설정하는 경우 B2B 직접 연결 사용자 및 Teams는 테넌트에서 자신의 액세스를 검토할 수 없습니다. 리뷰 중인 팀의 소유자는 소유자에게 B2B 직접 연결 사용자 및 Teams를 검토하도록 요청하는 이메일을 받게 됩니다.
- 사용자 관리자를 선택하면 선택한 대체 검토자가 홈 테넌트에 관리자가 없는 모든 사용자를 리뷰합니다. 여기에는 B2B 직접 연결 사용자와 관리자가 없는 Teams가 포함됩니다.
설정 탭으로 이동하여 추가 설정을 구성합니다. 그런 다음 리뷰 및 만들기 탭으로 이동하여 액세스 검토를 시작합니다. 리뷰 및 구성 설정 만들기에 대한 자세한 내용은 1단계 액세스 검토 만들기을 참조하세요.
그룹 소유자가 그룹의 액세스 검토를 만들고 관리하도록 허용
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
최소한 ID 거버넌스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>액세스 검토>설정으로 이동합니다.
액세스 검토를 만들고 관리할 수 있는 대리인 페이지에서 그룹 소유자는 자신이 소유한 그룹에 대한 액세스 검토를 만들고 관리할 수 있음을 예로 설정합니다.
참고 항목
기본적으로 설정은 아니요로 설정됩니다. 그룹 소유자가 액세스 검토를 만들고 관리하도록 허용하려면 설정을 예로 변경합니다.
프로그래밍 방식으로 액세스 검토 만들기
Microsoft Graph 또는 PowerShell을 사용하여 액세스 검토를 만들 수도 있습니다.
Graph를 사용하여 액세스 검토를 만들려면 Graph API를 호출하여 액세스 검토 일정 정의를 만듭니다. 호출자는 위임된 AccessReview.ReadWrite.All
권한이 있는 응용 프로그램 또는 AccessReview.ReadWrite.All
응용 프로그램 권한이 있는 응용 프로그램에서 적절한 역할이 있는 사용자여야 합니다. 자세한 내용은 액세스 검토 API의 개요 및 보안 그룹 구성원를 검토하는 방법 또는 Microsoft 365 그룹의 게스트를 검토하는 방법에 대한 자습서를 참조하세요.
ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈에서 New-MgIdentityGovernanceAccessReviewDefinition
cmdlet을 사용하여 PowerShell에서 액세스 검토를 만들 수도 있습니다. 자세한 내용은 예시를 참조하십시오.
액세스 검토 시작 시기
액세스 검토에 대한 설정을 지정하고 만들고 나면 액세스 검토가 해당 상태 표시기와 함께 목록에 표시됩니다.
기본적으로 Microsoft Entra ID는 일회성 리뷰 또는 되풀이 리뷰가 시작된 직후 검토자에게 이메일을 보냅니다. Microsoft Entra ID에서 이메일을 보내지 않도록 선택한 경우 검토자에게 완료할 때까지 대기 중인 액세스 검토가 있음을 알려야 합니다. 그룹 또는 응용 프로그램의 액세스 검토 방법에 관한 지침을 검토자에게 표시할 수 있습니다. 게스트가 자신의 액세스를 검토하도록 하려면 그룹 또는 응용 프로그램의 액세스 검토 방법에 관한 지침을 게스트에게 표시합니다.
검토자로 할당된 게스트는 테넌트에 대한 초대를 수락하지 않은 경우 액세스 검토에서 이메일을 받지 못합니다. 리뷰를 시작하려면 먼저 초대를 수락해야 합니다.
액세스 검토 업데이트
하나 이상의 액세스 검토가 시작된 후 기존 액세스 검토의 설정을 수정하거나 업데이트할 수 있습니다. 다음은 고려해야 할 몇 가지 일반적인 시나리오입니다.
설정 또는 검토자 업데이트: 액세스 검토가 반복되는 경우 현재 및 시리즈에 별도의 설정이 있습니다. 현재에서 설정 또는 검토자를 업데이트하면 현재 액세스 검토에만 변경사항이 적용됩니다. 시리즈에서 설정을 업데이트하면 이후의 모든 되풀이 설정이 업데이트됩니다.
검토자 추가 및 제거: 액세스 검토를 업데이트할 때 기본 검토자 외에 대체 검토자를 추가하도록 선택할 수 있습니다. 액세스 검토를 업데이트하면 기본 검토자가 제거될 수 있습니다. 대체 검토자는 설계상 제거할 수 없습니다.
참고 항목
대체 검토자는 검토자 유형이 관리자 또는 그룹 소유자인 경우에만 추가할 수 있습니다. 기본 검토자는 검토자 유형이 선택한 사용자일 때 추가할 수 있습니다.
검토자에게 미리 알림: 액세스 검토를 업데이트할 때 고급 설정에서 미리 알림 옵션을 사용하도록 선택할 수 있습니다. 그런 다음 사용자는 리뷰를 완료했는지 여부에 관계없이 리뷰 기간 중간에 이메일 알림을 받습니다.
참고 항목
액세스 검토가 시작되면 contactedReviewers API 호출을 사용하여 알림을 받은 모든 검토자 목록을 보거나, 액세스 검토를 위해 이메일을 통해 알림이 해제된 사용자를 확인할 수 있습니다. 이러한 사용자에게 알림을 받은 시간에 대한 타임스탬프도 제공됩니다.