조직에는 Microsoft Entra와 아직 통합되지 않았지만 여전히 관리해야 하는 애플리케이션이 있는 경우가 많습니다. 사용자 지정 데이터 제공 리소스를 사용하여 액세스 데이터를 카탈로그에 직접 업로드하여 연결이 끊긴 애플리케이션을 Microsoft Entra ID 액세스 검토에 포함할 수 있습니다.
이 기능을 사용하면 동일한 카탈로그 내에서 Microsoft Entra에 연결된 리소스와 사용자 지정 리소스 모두에서 UUAR(사용자 액세스 검토)을 실행할 수 있습니다. 검토자는 내 액세스 포털에서 사용자의 액세스를 쉽게 검토하고 인증하여 Microsoft Entra에 연결되어 있는지 여부에 관계없이 모든 리소스에서 일관된 거버넌스, 향상된 가시성 및 규정 준수를 보장할 수 있습니다.
라이선스 요구 사항
이 기능을 사용하려면 조직의 사용자를 위해 Microsoft Entra ID 거버넌스 또는 Microsoft Entra Suite 구독이 필요합니다. 자세한 내용은 각 기능의 문서를 참조하세요. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID 거버넌스 라이선스 기본 사항을 참조하세요.
카탈로그 만들기
카탈로그가 아직 없는 경우 새 카탈로그를 만듭니다. 카탈로그가 이미 있는 경우 다음 섹션에서 계속 진행합니다.
최소한 ID 거버넌스 관리자 또는 카탈로그 작성자로 Microsoft Entra 관리 센터에 로그인합니다.
팁 (조언)
사용자 관리자 역할에 할당된 사용자는 더 이상 카탈로그를 만들거나 소유하지 않은 카탈로그에서 액세스 패키지를 관리할 수 없습니다. 조직의 사용자가 사용자 관리자 역할에 할당되어 자격 관리에서 카탈로그, 액세스 패키지 또는 정책을 구성하는 경우 대신 이러한 사용자에게 ID 거버넌스 관리자 역할을 할당해야 합니다.
ID 거버넌스>카탈로그로 이동합니다.
새 카탈로그를 선택합니다.
카탈로그의 고유한 이름을 입력하고 설명을 제공합니다.
사용자는 액세스 패키지의 세부 정보에서 해당 정보를 볼 수 있습니다.
만들기를 선택하여 카탈로그를 만듭니다.
카탈로그를 만들고 리소스를 추가하는 방법에 대한 자세한 내용은 리소스 카탈로그 만들기 및 관리를 참조하세요.
카탈로그에 제공된 사용자 지정 데이터 리소스 추가
카탈로그를 만들면 다음 단계를 수행하여 사용자 지정 데이터 제공 리소스를 추가할 수 있습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>카탈로그로 이동합니다.
카탈로그 페이지에서 이전 섹션에서 만든 카탈로그를 엽니다.
왼쪽 메뉴에서 리소스를 선택합니다.
리소스 추가를 선택합니다.
리소스 종류( 사용자 지정 데이터 제공 리소스)를 선택합니다.
리소스 페이지에서 다음을 입력합니다.
- 리소스 이름 – 리소스의 이름입니다.
- 설명 – 리소스에 대한 설명입니다.
저장을 선택합니다.
사용자 액세스 검토 만들기
중요합니다
사용자 지정 데이터 리소스 검토는 현재 관리자가 사용 가능한 유일한 검토자인 단일 단계 검토를 지원합니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>액세스 검토>새 액세스 검토로 이동하십시오.
액세스 검토 템플릿 화면에서 카탈로그 내의 여러 리소스 유형에 대한 사용자 액세스 검토를 선택하고 카탈로그 검토 템플릿을 선택합니다.
워크플로에 대한 기본 정보를 입력하고 다음을 선택합니다.
리소스 탭에서 리소스를 추가한 카탈로그를 선택하고 다음을 선택합니다.
검토자 및 일정 탭에서 액세스 검토를 수행하려는 검토자를 선택합니다. 현재 액세스 검토 대상 사용자의 관리자를 검토자로 설정할 수 있는 단일 단계 검토만 가능합니다.
선택하고생성합니다.
Microsoft Graph를 사용하여 프로그래밍 방식으로 액세스 검토를 만들 수도 있습니다. 자세한 내용은 카탈로그에서 단일 단계 액세스 검토 만들기를 참조하세요.
Access Review 개체 및 인스턴스 ID 가져오기
카탈로그 액세스 검토를 만든 후 사용자 지정 데이터를 업로드하기 전에 Access Review 개체 ID와 Access Review 인스턴스 개체 ID를 모두 가져와야 합니다. 이 정보를 얻으려면 다음을 수행합니다.
ID 거버넌스>액세스 리뷰로 이동합니다.
생성한 카탈로그 접근 검토를 선택합니다.
액세스 검토 개요 화면에서 개체 ID를 복사합니다.
액세스 검토 개요 화면에서 액세스 검토의 현재 인스턴스를 선택합니다.
액세스 검토 인스턴스 화면에서 인스턴스 개체 ID를 저장합니다.
사용자 지정 데이터 업로드
액세스 검토 개체와 액세스 검토 인스턴스 개체 ID를 모두 복사한 후에는 액세스 검토 상태가 초기화로 표시됩니다.
만든 카탈로그로 돌아가 서 리소스를 선택합니다.
카탈로그의 리소스 화면에서 만든 사용자 지정 데이터 액세스 리소스를 선택하고 사용자 지정 액세스 데이터 업로드를 선택합니다.
기본 사항에서 사용자 지정 리소스에 대한 액세스 데이터 업로드 화면에서 액세스 검토 개체 ID와 액세스 검토 개체 가져오기 개체 및 인스턴스 ID 섹션에 있는 Access 검토 인스턴스 개체 ID를 모두 입력합니다.
업로드 파일에서 액세스 데이터에 포함할 최대 10개의 CSV를 선택하고 저장을 선택합니다.
비고
모든 CSV가 성공적으로 업로드되었는지 확인하려면 감사 로그를 확인합니다.
검토가 초기화 상태로 들어가 업로드를 완료할 때까지 최대 2시간이 걸립니다.
액세스 CSV 필드에 대한 사용자 지정 데이터
액세스 데이터에 포함할 CSV를 업로드하는 경우 템플릿에 다음 매개 변수가 포함됩니다.
비고
모든 열은 필수입니다.
| 매개 변수 | Description |
|---|---|
| PrincipalId | 액세스를 검토해야 하는 사용자의 Microsoft Entra ID 사용자 ID 입니다. 이 값은 유효한 Microsoft Entra 사용자와 일치해야 합니다. |
| PrincipalType | 주체의 유형을 지정합니다. 액세스 검토의 경우 항상 EntraIdUser입니다. |
| 권한ID (PermissionId) | 검토할 애플리케이션의 권한에 대한 고유 식별자입니다. 이렇게 하면 동일한 앱 내에서 서로 다른 사용 권한을 구분할 수 있습니다. |
| PermissionName | 애플리케이션에서 사용자가 가지고 있는 사용 권한의 표시 이름입니다. 예: 읽기, 쓰기 및 관리. |
| 권한 설명 | 이 권한이 애플리케이션 내에서 허용하는 사항에 대한 간략한 설명입니다. 이렇게 하면 액세스가 계속되어야 하는지 여부를 결정할 때 검토자에게 컨텍스트가 제공됩니다. |
| 권한 유형 | 사용 권한의 범주를 나타냅니다. |
업로드 세션을 만든 다음 CSV 파일을 업로드하여 Graph를 통해 사용자 지정 데이터를 업로드할 수도 있습니다. 자세한 내용은 customDataProvidedResourceUploadSession을 참조하세요.
활성 검토 상태
활성 단계에서:
- 검토자는 이메일 알림을 받습니다.
- 내 액세스 포털에 로그인하여 검토 결정을 보고 완료할 수 있습니다.
단계 적용
적용 단계에서 목록 결정 API 호출을 수행하여 거부된 사용자 목록을 가져올 수 있습니다.
GET https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/{access review object ID}/instances/{access review instance object ID}/decisions?$filter=(decision eq 'Deny' and resourceId eq '<custom data provided resource ID>')
각 의사 결정 항목에 대해:
사용자 고유의 시스템에서 액세스를 제거한 다음, 업데이트 accessReviewInstanceDecisionItem API 호출을 수행하여 제거 성공 또는 실패를 나타내도록 각 의사 결정 항목을 패치합니다.
PATCH https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/{access review object ID}/instances/{access review instance object ID}/decisions/{decision ID}
Content-Type: application/json
{
"applyResult": "AppliedSuccessfully",
"applyDescription": "ServiceNow ticket created"
}
제공된 모든 사용자 지정 데이터의 결정이 적용되면 검토가 적용 상태로 전환됩니다. 예를 들어 데이터에서 결정해야 하는 5가지 결정이 있는 경우 검토가 적용됨으로 전환되기 전에 5개의 의사 결정 항목 각각에 PATCH를 사용하여 적용해야 합니다.
리뷰 상태
검토자가 작업을 수행하면 검토가 여러 상태를 통해 진행됩니다.
| 검토 상태 | Description |
|---|---|
| 초기화 | 만든 인스턴스를 검토합니다. 사용자 지정 데이터 업로드를 기다리고 있습니다. |
| Active | 검토자는 내 액세스 포털에서 결정을 내릴 수 있습니다. |
| 적용 | 검토 결정이 수정되고 있습니다. |
| 적용됨 | 모든 결정은 적용된 것으로 표시됩니다. |
시간 범위 요약
| 조치 | 언제 | 기한 |
|---|---|---|
| 사용자 지정 데이터 업로드 | 초기화 중 | 2시간 이내. |
| 결정 사항 검토 | 활성 중 | 검토 종료 날짜까지. |
| 결정을 적용합니다 | 적용 중 | 30일 동안 검토는 모든 결정이 적용된 것으로 표시될 때까지 '적용 중' 상태로 유지됩니다. |