Microsoft Entra 액세스 검토 배포 계획
Microsoft Entra 액세스 검토는 리소스 액세스 수명 주기를 관리하여 조직이 엔터프라이즈의 보안을 더욱 강화하는 데 도움이 됩니다. 액세스 검토를 통해 다음을 수행할 수 있습니다.
정기적인 검토를 예약하거나 임시 검토를 수행하여 애플리케이션 및 그룹과 같은 특정 리소스에 액세스할 수 있는 사용자를 찾습니다.
정보, 규정 준수 또는 정책 이유에 대한 검토 추적
지속적인 액세스의 필요성을 자체 증명할 수 있는 특정 관리자, 비즈니스 소유자, 최종 사용자에게 검토 위임
인사이트를 사용하여 사용자가 계속 액세스 권한을 가져야 하는지 여부를 효율적으로 결정
리소스에 대한 사용자 액세스를 제거하는 등의 검토 결과 자동화
액세스 검토는 Microsoft Entra ID Governance 기능입니다. 다른 기능으로는 권한 관리, PIM(Privileged Identity Management), 수명 주기 워크플로, 프로비전 및 사용 약관이 있습니다. 다음 네 가지 질문을 해결하는 데 도움이 됩니다.
- 액세스할 수 있는 리소스 및 사용자는 무엇인가요?
- 해당 사용자가 해당 액세스를 사용하여 수행하는 작업은 무엇인가요?
- 액세스 관리를 위해 조직에서 효과적으로 제어할 수 있나요?
- 감사자는 컨트롤이 작동하는지 확인할 수 있나요?
조직의 사용자에 대해 원하는 거버넌스 전략을 달성하려면 액세스 검토 배포 계획을 세워야 합니다.
주요 이점
액세스 검토를 사용하는 경우의 주요 이점은 다음과 같습니다.
- 협업 제어: 액세스 검토를 통해 사용자에게 필요한 모든 리소스에 대한 액세스를 관리할 수 있습니다. 사용자가 공유하고 협업할 때, 권한이 부여된 사용자 간에만 정보가 있음을 확신할 수 있습니다.
- 위험 관리: 액세스 검토를 통해 조직이 데이터와 애플리케이션에 대한 액세스를 검토하여 데이터 누출 및 데이터 분산의 위험을 낮출 수 있습니다. 회사 리소스에 대한 외부 파트너의 액세스를 정기적으로 검토할 수 있습니다.
- 규정 준수 및 거버넌스 해결: 액세스 검토를 통해 그룹, 앱 및 사이트에 대한 액세스 수명 주기를 제어하고 다시 인증할 수 있습니다. 조직과 관련한 규정 준수 또는 위험에 민감한 애플리케이션에 대한 검토를 제어하고 추적할 수 있습니다.
- 비용 절감: 액세스 검토는 클라우드에서 빌드되고, 기본적으로 그룹, 애플리케이션 및 액세스 패키지와 같은 클라우드 리소스와 함께 작동합니다. 액세스 검토를 사용하면 사용자 고유의 도구를 빌드하거나 온-프레미스 도구 세트를 업그레이드하는 것보다 비용이 저렴합니다.
학습 리소스
다음 비디오는 액세스 검토에 대해 알아보는 데 도움이 됩니다.
- Microsoft Entra ID의 액세스 검토란?
- Microsoft Entra ID에서 액세스 검토를 작성하는 방법
- Microsoft Entra ID에서 Microsoft 365 그룹에 대한 액세스 권한이 있는 모든 게스트 사용자에 대한 자동 액세스 검토를 만드는 방법
- Microsoft Entra ID에서 액세스 검토를 사용하도록 설정하는 방법
- 내 액세스를 사용하여 액세스를 검토하는 방법
라이선스
이 기능을 사용하려면 조직 사용자의 경우 Microsoft Entra ID Governance 또는 Microsoft Entra Suite 구독이 필요합니다. 이 기능 내의 일부 기능은 Microsoft Entra ID P2 구독을 통해 작동할 수 있습니다. 자세한 내용은 각 기능의 문서를 참조하세요. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.
참고 항목
비활성 사용자에 대한 검토를 작성하고 사용자-그룹 연결 권장 사항을 받으려면 Microsoft Entra ID Governance 라이선스가 필요합니다.
액세스 검토 배포 프로젝트 계획
사용자 환경에서 액세스 검토를 배포하기 위한 전략을 결정하려면 조직의 요구 사항을 고려해야 합니다.
올바른 관련자 참여
기술 프로젝트가 실패하는 이유는 일반적으로 영향, 결과 및 책임에 대한 기대 수준이 일치하지 않기 때문입니다. 이러한 문제를 방지하려면 올바른 관련자를 참여시키고 프로젝트 역할을 명확하게 해야 합니다.
액세스 검토의 경우 조직 내에서 다음과 같이 팀의 담당자를 포함할 가능성이 높습니다.
IT 관리는 IT 인프라와 함께 클라우드 투자 및 SaaS(Software As a Service) 앱을 관리합니다. 이 팀은 다음을 수행합니다.
- Microsoft 365 및 Microsoft Entra ID를 포함한 인프라 및 앱에 대한 권한 있는 액세스를 검토합니다.
- 예외 목록 또는 IT 파일럿 프로젝트를 유지 관리하는 데 사용되는 그룹에 대한 액세스 검토를 예약하고 실행하여 최신 액세스 목록을 유지합니다.
- 서비스 주체를 통해 리소스에 대한 (스크립트된) 프로그래메틱 액세스를 제어하고 검토합니다.
- 사용자 온보딩 및 오프보딩, 액세스 요청, 액세스 인증과 같은 프로세스를 자동화합니다.
보안팀은 계획이 조직의 보안 요구 사항을 충족하고 제로 트러스트를 적용하는지 확인합니다. 이 팀은 다음을 수행합니다.
- 위험 감소 및 보안 강화
- 리소스 및 애플리케이션에 대한 최소 권한 액세스를 적용합니다.
- 도구를 사용하여 누가 무엇에 액세스할 수 있는지, 얼마 동안 액세스할 수 있는지에 대한 중앙 집중식 원본을 확인합니다.
개발 팀은 조직의 애플리케이션을 빌드 및 유지 관리합니다. 이 팀은 다음을 수행합니다.
- SaaS, PaaS(Platform as a Service) 및 개발된 솔루션을 구성하는 IaaS(Infrastructure as a Service) 리소스의 구성 요소에 액세스하고 관리할 수 있는 사람을 제어합니다.
- 내부 애플리케이션 개발을 위해 애플리케이션 및 도구에 액세스할 수 있는 그룹을 관리합니다.
- 고객을 위해 호스트되는 프로덕션 소프트웨어 또는 솔루션에 액세스할 수 있는 권한 있는 ID를 필요로 합니다.
비즈니스 팀은 프로젝트를 관리하고 애플리케이션을 소유합니다. 이 팀은 다음을 수행합니다.
- 내부 및 외부 사용자에 대한 그룹 및 애플리케이션에 대한 액세스를 검토 및 승인하거나 거부합니다.
- 검토를 예약하고 수행하여 비즈니스 파트너와 같은 직원 및 외부 ID의 액세스를 지속적으로 증명합니다.
- 직원이 업무에 필요한 앱에 액세스할 수 있어야 합니다.
- 부서가 사용자의 액세스를 관리할 수 있도록 허용합니다.
기업 거버넌스는 조직이 내부 정책과 규정을 준수하도록 합니다. 이 팀은 다음을 수행합니다.
- 새 액세스 검토를 요청하거나 예약합니다.
- 규정 준수에 대한 설명서 및 기록을 포함하여 액세스를 검토하기 위한 프로세스 및 절차를 평가합니다.
- 가장 중요한 리소스에 대한 이전 검토 결과를 검토합니다.
- 필수 보안 및 개인정보처리방침을 충족하기 위해 올바른 제어 기능이 마련되어 있는지 유효성을 검사합니다.
- 쉽게 감사를 수행하고 보고할 수 있는 반복 가능한 액세스 프로세스가 필요합니다.
참고 항목
수동 평가가 필요한 검토의 경우 적절한 검토자를 계획하고 정책 및 규정 준수 요구 사항을 충족하는 주기를 검토합니다. 검토 주기가 너무 잦거나 검토자가 너무 적으면 품질이 손실되거나 액세스하는 사람이 너무 많거나 적어질 수 있습니다. 액세스 검토에 참여하는 다양한 관련자와 부서에 대한 명확한 책임을 설정하는 것이 좋습니다. 참여하는 모든 팀과 개인은 최소 권한 원칙을 유지하기 위해 각자의 역할과 의무를 이해해야 합니다.
통신 계획
통신은 새로운 비즈니스 프로세스의 성공에 매우 중요합니다. 환경이 변경될 방법과 시기를 사용자에게 사전에 전달합니다. 문제가 발생하는 경우 지원을 받는 방법을 알려주세요.
책임 변경 내용에 대한 커뮤니케이션
액세스 검토는 지속적인 액세스 권한을 검토하고 조치하는 책임이 비즈니스 소유자로 이동하는 것을 지원합니다. 액세스 결정을 IT 부서에서 분리하면 보다 정확한 액세스 결정을 내릴 수 있습니다. 이는 리소스 소유자의 책임에 대한 문화적 변화에 해당합니다. 변경 사항을 능동적으로 전달하고 리소스 소유자가 교육을 받고 인사이트를 활용하여 적절한 결정을 내릴 수 있도록 합니다.
IT 부서는 모든 인프라 관련 액세스 결정 및 권한 있는 역할 할당을 계속 제어하기를 원합니다.
이메일 통신 사용자 지정
검토를 예약할 때 이 검토를 수행할 사용자를 지명합니다. 지정된 검토자는 할당된 검토가 만료되기 전에 새 검토에 대한 메일 알림과 미리 알림을 받습니다.
검토자에 전송된 메일은 검토에 대한 조치를 하도록 권장하는 짧은 메시지를 포함하도록 사용자 지정할 수 있습니다. 추가 텍스트를 사용하여 다음을 수행합니다.
검토자가 규정 준수 또는 IT 부서에서 보낸 것을 이해할 수 있도록 개인 메시지를 포함합니다.
검토의 기대 사항과 관련된 내부 정보에 대한 참조자료, 추가 참조자료, 교육 자료를 포함합니다.
검토 시작을 선택하면 검토자는 그룹 및 애플리케이션 액세스 검토를 위해 My Access 포털로 이동합니다. 포털에서는 마지막 로그인 및 액세스 정보를 기반으로 하여 검토 중인 리소스에 대한 액세스 권한이 있는 모든 사용자와 시스템 권장 사항에 대한 개요를 제공합니다.
파일럿 계획
처음에는 작은 그룹으로 액세스 검토를 파일럿하고 중요하지 않은 리소스를 대상으로 하는 것이 좋습니다. 파일럿은 필요에 따라 프로세스 및 통신을 조정하는 데 도움이 될 수 있습니다. 보안 및 규정 준수 요구 사항을 충족하는 사용자 및 검토자의 능력을 높이는 데 도움이 될 수 있습니다.
파일럿에서 다음을 수행하는 것이 좋습니다.
- 결과가 자동으로 적용되지 않는 검토부터 시작하여 그 의미를 제어할 수 있습니다.
- 모든 사용자가 Microsoft Entra ID에 나열된 유효한 이메일 주소를 가지고 있는지 확인합니다. 적절한 조치를 취하도록 메일 통신을 받는지 확인합니다.
- 신속하게 복원해야 하는 경우를 대비해 파일럿의 일부로 제거된 모든 액세스를 문서화합니다.
- 감사 로그를 모니터링하여 모든 이벤트가 제대로 감사되는지 확인합니다.
자세한 내용은 파일럿에 대한 모범 사례를 참조하세요.
액세스 검토 소개
이 섹션에서는 검토를 계획하기 전에 알고 있어야 하는 액세스 검토 개념을 소개합니다.
검토할 수 있는 리소스 종류는 무엇인가요?
사용자, 애플리케이션, 그룹 등 조직의 리소스를 Microsoft Entra ID와 통합한 후 관리하고 검토할 수 있습니다.
검토할 일반적인 목표는 다음과 같습니다.
- SaaS 및 LOB(Line of Business)와 같은 SSO(Single Sign-On)를 위해 Microsoft Entra ID와 통합된 애플리케이션.
- 그룹 멤버 자격은 Microsoft Entra ID에 동기화되거나 Microsoft Entra ID 또는 Microsoft Teams를 포함한 Microsoft 365에서 만들어집니다.
- 액세스를 관리하기 위해 리소스(그룹, 앱, 사이트)를 단일 패키지로 그룹화하는 액세스 패키지
- PIM에 정의된 Microsoft Entra 역할 및 Azure 리소스 역할.
액세스 검토를 만들고 관리하는 사람은 누구인가요?
액세스 검토를 만들기, 관리 또는 읽는 데 필요한 관리 역할은 멤버 자격을 검토 중인 리소스 형식에 따라 다릅니다. 다음 표에서는 각 리소스 유형에 필요한 역할을 나타냅니다.
리소스 종류 | 액세스 검토 생성 및 관리(작성자) | 액세스 검토 결과 읽기 |
---|---|---|
그룹 또는 애플리케이션 | 전역 관리자 사용자 관리자 Identity Governance 관리자 권한 있는 역할 관리자(Microsoft Entra 역할 할당 가능 그룹에 대한 검토만 수행) 그룹 소유자(관리자가 사용하도록 설정한 경우) |
전역 관리자 전역 판독기 사용자 관리자 Identity Governance 관리자 권한 있는 역할 관리자 보안 Reader 그룹 소유자(관리자가 사용하도록 설정한 경우) |
Microsoft Entra 역할 | 전역 관리자 권한 있는 역할 관리자 |
전역 관리자 전역 판독기 사용자 관리자 권한 있는 역할 관리자
보안 Reader |
Azure 리소스 역할 | 리소스에 대한 사용자 액세스 관리자 리소스 소유자 Microsoft.Authorization/* 권한이 있는 사용자 지정 역할. |
리소스에 대한 사용자 액세스 관리자 리소스 소유자 리소스에 대한 읽기 권한자 Microsoft.Authorization/*/read 권한이 있는 사용자 지정 역할. |
액세스 패키지 | 전역 관리자 Identity Governance 관리자 카탈로그 소유자(액세스 패키지의 경우) 액세스 패키지 관리자(액세스 패키지의 경우) |
전역 관리자 전역 판독기 사용자 관리자 Identity Governance 관리자 카탈로그 소유자(액세스 패키지의 경우) 액세스 패키지 관리자(액세스 패키지의 경우) 보안 판독기 |
자세한 내용은 Microsoft Entra ID의 관리자 역할 권한을 참조하세요.
리소스에 대한 액세스를 검토하는 사람은 누구인가요?
액세스를 누가 할지는 액세스 검토 작성자가 검토 작성 시 결정합니다. 이 설정은 검토가 시작된 후에는 변경할 수 없습니다. 검토자는 다음으로 표시됩니다.
- 리소스의 비즈니스 소유자
- 액세스 검토 관리자가 선택한 개별적으로 선택된 대리자
- 지속적인 액세스가 필요함을 자체 증명한 사용자
- 관리자는 리소스에 대한 직접 보고서의 액세스를 검토합니다.
참고 항목
리소스 소유자 또는 관리자를 선택하면 관리자는 주 연락처를 사용할 수 없는 경우 연락을 받을 대체 검토자를 지정합니다.
관리자는 액세스 검토를 만들 때 검토자를 한 명 이상 선택할 수 있습니다. 모든 검토자는 검토를 시작하고 수행할 때 리소스에 계속 액세스할 사용자를 선택하거나 제거할 수 있습니다.
액세스 검토의 구성 요소
액세스 검토를 구현하기 전에 조직과 관련된 검토 유형을 계획해야 합니다. 이를 위해서는 검토할 항목과 해당 검토에 따라 취할 작업에 대한 비즈니스 의사 결정을 해야 합니다.
액세스 검토 정책을 만들려면 다음 정보가 필요합니다.
검토할 리소스는 무엇인가요?
누구의 액세스를 검토하는 중인가요?
얼마나 자주 검토하나요?
검토는 누가 수행하나요?
- 검토에 대한 통지는 어떻게 되나요?
- 검토를 위해 적용되는 타임라인은 무엇인가요?
검토에 따라 적용해야 하는 자동 작업은 무엇인가요?
- 검토자가 시간 내에 응답하지 않으면 어떻게 되나요?
검토에 따라 수동으로 수행해야 하는 작업은 무엇인가요?
수행된 작업에 따라 전송될 통신은 무엇인가요?
액세스 검토 계획 예시
구성 요소 | 값 |
---|---|
검토할 리소스 | Microsoft Dynamics에 대한 액세스 |
검토 주기 | 매월 |
검토자 | Dynamics 비즈니스 그룹 프로그램 관리자 |
알림 | 검토를 시작할 때 별칭 Dynamics-Pms로 보낸 메일 검토자가 자신의 구매를 보호하도록 하는 사용자 지정 메시지 포함 |
시간 | 알림으로부터 48시간 이내 |
자동 작업 | 90일 이내에 대화형 로그인이 없는 모든 계정에서 액세스 권한을 제거하여 보안 그룹 Dynamics 액세스에서 사용자 제거 타임라인 내에서 검토되지 않은 경우 작업을 수행합니다. |
수동 작업 | 검토자는 원하는 경우 자동화된 작업 전에 제거 승인 수행 가능 |
액세스 검토를 기반으로 작업 자동화
리소스에 결과 자동 적용 옵션을 사용으로 설정하여 액세스 제거를 자동화하도록 선택할 수 있습니다.
검토가 완료되고 종료된 후 검토자에게 승인받지 않은 사용자는 자동으로 리소스에서 제거되거나 계속 액세스를 유지합니다. 옵션은 해당 그룹 멤버 자격 또는 애플리케이션 할당을 제거하거나, 권한 있는 역할로 승격할 수 있는 권한을 취소하는 것을 의미할 수 있습니다.
권장 사항 사용
권장 사항은 검토자 경험의 일부로 검토자에게 표시되며 테넌트에 대한 사용자의 마지막 로그인 또는 애플리케이션에 대한 마지막 액세스를 표시합니다. 해당 정보는 검토자가 올바른 액세스 결정을 내리는 데 도움을 줍니다. 액세스 검토의 권장 사항을 따르려면 권장 사항 사용을 선택합니다. 이 권장 사항은 액세스 검토가 끝났을 때 검토자가 응답하지 않은 사용자에게 시스템이 자동으로 적용합니다.
권장 사항은 액세스 검토의 조건을 기반으로 합니다. 예를 들어 90일 동안 대화형 로그인이 없는 액세스를 제거하도록 검토를 구성했다면, 권장 사항은 해당 조건에 맞는 사용자를 모두 제거합니다. Microsoft는 계속해서 권장 사항을 개선하기 위해 노력하고 있습니다.
게스트 사용자 액세스 검토
액세스 검토를 사용하여 외부 조직의 협업 파트너 ID를 검토하고 정리합니다. 파트너 당 검토를 구성하면 규정 준수 요구 사항을 충족할 수 있습니다.
외부 id에 다음과 같은 회사 리소스에 액세스 권한을 부여할 수 있습니다. 예:
- 그룹에 추가합니다.
- 팀에 초대합니다.
- 엔터프라이즈 애플리케이션 또는 액세스 패키지를 할당합니다.
- Microsoft Entra ID 또는 Azure 구독에서 권한 있는 역할을 할당했습니다.
자세한 내용은 샘플 스크립트를 참조하세요. 이 스크립트는 테넌트에 초대된 외부 id가 사용되는 위치를 보여 줍니다. Microsoft Entra ID에서 외부 사용자의 그룹 멤버 자격, 역할 할당, 애플리케이션 할당을 확인할 수 있습니다. 스크립트는 Microsoft Entra ID 외부의 할당(예: 그룹을 사용하지 않고 SharePoint 리소스에 대한 직접 권한 할당)을 표시하지 않습니다.
그룹 또는 애플리케이션에 대한 액세스 검토를 작성할 때 검토자가 모든 사용자 또는 게스트 사용자에만 집중하도록 선택할 수 있습니다. 게스트 사용자 전용을 선택하면 리소스에 액세스할 수 있는 Microsoft Entra B2B(Business to Business)의 외부 ID에 대한 집중 목록이 검토자에게 제공됩니다.
Important
멤버의 userType을 가진 외부 멤버는 포함되지 않습니다. 이 목록에는 Microsoft Entra B2B 협업 외부에서 초대된 사용자도 포함되지 않습니다. 예를 들면 SharePoint를 통해 공유 콘텐츠에 직접 액세스할 수 있는 사용자는 이 목록에 포함되지 않습니다.
액세스 패키지에 대한 액세스 검토 계획
액세스 패키지는 거버넌스 및 액세스 검토 전략을 크게 간소화할 수 있습니다. 액세스 패키지는 사용자가 프로젝트에서 작업하거나 작업을 수행하는 데 필요한 액세스 권한이 있는 모든 리소스의 번들입니다. 예를 들어 조직의 개발자가 필요로 하는 애플리케이션이나 외부 사용자가 액세스할 수 있는 애플리케이션을 모두 포함하는 액세스 패키지를 만들 수 있습니다. 관리자 또는 위임된 액세스 패키지 관리자는 리소스(그룹 또는 앱)와 해당 리소스에 대해 사용자가 필요로 하는 역할을 그룹화합니다.
액세스 패키지를 만들 때 사용자가 액세스 패키지를 요청할 수 있는 조건, 승인 프로세스의 형태 및 사용자가 액세스를 다시 요청하거나 액세스를 검토해야 하는 빈도를 설정하는 액세스 패키지 정책을 하나 이상 만들 수 있습니다. 액세스 검토는 액세스 패키지 정책을 만들거나 편집하는 동안 구성됩니다.
수명 주기 탭을 열고 아래로 스크롤하여 검토에 액세스합니다.
그룹에 대한 액세스 검토 계획
액세스 패키지 외에도 그룹 멤버 자격 검토는 액세스를 관리하는 가장 효과적인 방법입니다. 보안 그룹 또는 Microsoft 365 그룹을 통해 리소스에 대한 액세스 권한을 할당합니다. 해당 그룹에 사용자를 추가하여 액세스 권한을 얻습니다.
단일 그룹에 해당하는 모든 리소스에 대한 액세스 권한을 부여할 수 있습니다. 개별 리소스 또는 애플리케이션 및 기타 리소스를 그룹화하는 액세스 패키지에 그룹 액세스 권한을 할당할 수 있습니다. 해당 방법을 사용하여 각 애플리케이션에 대한 개별 액세스 권한이 아닌 그룹에 대한 액세스를 검토할 수 있습니다.
다음을 통해 그룹 멤버 자격을 검토할 수 있습니다.
- 관리자입니다.
- 그룹 소유자
- 검토가 생성될 때 검토 기능을 위임받은 선택된 사용자
- 자체 증명한 그룹 멤버
- 직접 보고서의 액세스를 검토하는 관리자
그룹 소유권
그룹 소유자는 액세스 권한이 필요한 사용자를 알 수 있으므로 그룹 소유자가 구성원 자격을 검토 합니다. 그룹의 소유권은 그룹의 유형과 다릅니다.
Microsoft 365 및 Microsoft Entra ID에서 만들어진 그룹에는 잘 정의된 소유자가 한 명 이상 있습니다. 대부분의 경우 소유자는 누가 액세스 권한을 가져야 하는지 알기 때문에 자신의 그룹에 대한 완벽한 검토자이기도 합니다.
예를 들어, Microsoft Teams는 기본 권한 부여 모델로 Microsoft 365 그룹을 사용하여 SharePoint, Exchange, OneNote 또는 기타 Microsoft 365 서비스에 있는 리소스에 대한 액세스 권한을 사용자에게 부여합니다. 팀의 작성자는 자동으로 소유자가 되며 해당 그룹의 멤버 자격을 증명해야 하는 책임이 있습니다.
Microsoft Entra 관리 센터에서 수동으로 만들어지거나 Microsoft Graph를 통한 스크립팅을 통해 만들어진 그룹에는 반드시 소유자가 정의되어 있지 않을 수도 있습니다. 그룹의 소유자 섹션에 있는 Microsoft Entra 관리 센터 또는 Microsoft Graph를 통해 정의합니다.
온-프레미스 Active Directory에서 동기화되는 그룹은 Microsoft Entra ID에 소유자를 가질 수 없습니다. 액세스 검토를 만드는 경우 멤버 자격을 결정하는 데 가장 적합한 개인을 선택합니다.
참고 항목
멤버 자격의 정기적인 검토에 필요한 그룹 소유권 및 책임을 명확히 할 수 있도록 그룹을 만드는 방법을 정의하는 비즈니스 정책을 정의합니다.
조건부 액세스 정책에서 제외 그룹의 멤버 자격 검토
제외된 그룹의 멤버 자격을 검토하는 방법을 알아보려면 Microsoft Entra 액세스 검토를 사용하여 조건부 액세스 정책에서 제외된 사용자 관리를 참조하세요.
게스트 사용자의 그룹 멤버 자격 검토
게스트 사용자의 그룹 멤버 자격 액세스를 검토하는 방법을 알아보려면 Microsoft Entra 액세스 검토로 게스트 액세스 관리를 참조하세요.
온-프레미스 그룹에 대한 액세스 검토
액세스 검토에서는 온-프레미스 AD에서 Microsoft Entra Connect와 동기화하는 그룹의 멤버 자격을 변경할 수 없습니다. 이러한 제한은 AD에서 시작된 그룹의 인증 원본이 온-프레미스 AD이기 때문입니다. AD 그룹 기반 앱에 대한 액세스를 제어하려면 Microsoft Entra 클라우드 동기화 그룹 쓰기 저장을 사용합니다.
그룹 쓰기 저장을 통해 Microsoft Entra 그룹으로 마이그레이션할 때까지 액세스 검토를 사용하여 기존 온-프레미스 그룹에 대한 정기 검토를 예약하고 유지할 수 있습니다. 이 경우 관리자는 각 검토가 완료된 후 온-프레미스 그룹에서 조치를 취합니다. 해당 전략에서는 액세스 검토를 모든 검토에 대한 도구로 유지합니다.
온-프레미스 그룹에 대한 액세스 검토의 결과를 사용하고 다음을 수행하여 그 결과를 추가적으로 처리할 수 있습니다.
- 액세스 검토에서 CSV 보고서를 다운로드하고 수동으로 작업을 수행합니다.
- Microsoft Graph를 사용하여 완료된 액세스 검토 결정 결과를 프로그래밍 방식으로 검색합니다.
예를 들어, Windows Server AD 관리 그룹에 대한 결과를 검색하려면 이 PowerShell 샘플 스크립트를 사용합니다. 이 스크립트는 필요한 Microsoft Graph 호출을 간략하게 설명하고 변경 내용을 수행하기 위해 Windows Server AD-PowerShell 명령을 내보냅니다.
애플리케이션에 대한 액세스 검토 계획
애플리케이션에 할당된 모든 사용자를 검토할 때 직원 ID 및 외부 ID를 포함하여 Microsoft Entra ID의 ID를 통해 해당 애플리케이션에 인증할 수 있는 사용자를 검토합니다. 특정 애플리케이션에 대한 액세스 권한이 있는 사용자를 알아야 하는 경우 액세스 패키지 또는 그룹이 아니라 애플리케이션을 검토하세요.
다음 시나리오에서는 애플리케이션에 대한 계획을 검토하세요.
- 사용자에게는 (그룹 또는 액세스 패키지 외부의) 애플리케이션에 직접 액세스할 수 있는 권한이 부여됩니다.
- 애플리케이션은 중요하거나 민감한 정보를 노출합니다.
- 애플리케이션에는 증명해야 하는 특정 규정 준수 요구 사항이 있습니다.
- 부적합한 액세스에 주의합니다.
애플리케이션에 대한 액세스 검토를 만들기 전에 애플리케이션을 테넌트의 애플리케이션으로 Microsoft Entra ID와 통합해야 하며, 사용자는 앱 역할에 할당되고 애플리케이션의 사용자 할당이 필요하나요? 옵션을 예로 설정합니다. 아니요로 설정한 경우 외부 ID를 포함하여 디렉터리의 모든 사용자가 애플리케이션에 액세스할 수 있으며 애플리케이션에 대한 액세스를 검토할 수 없습니다.
그런 다음, 액세스 권한을 검토할 사용자 및 그룹을 할당합니다.
사용자의 애플리케이션 액세스에 대한 액세스 검토를 준비하는 방법에 대해 자세히 알아보세요.
애플리케이션 검토자
액세스 검토는 애플리케이션에 할당된 그룹 구성원이거나 사용자일 수 있습니다. Microsoft Entra ID의 애플리케이션에는 반드시 소유자가 있는 것은 아니므로 애플리케이션 소유자를 검토자로 선택하는 옵션이 불가능합니다. 모든 액세스 권한을 검토하는 대신 애플리케이션에 할당된 게스트 사용자만 검토하도록 범위를 지정할 수 있습니다.
Microsoft Entra ID 및 Azure 리소스 역할에 대한 계획 검토
Privileged Identity Management는 엔터프라이즈가 Microsoft Entra ID의 리소스에 대한 권한 있는 액세스를 관리하는 방법을 간소화합니다. PIM을 사용하면 Microsoft Entra ID 및 Azure 리소스의 권한 있는 역할 목록이 더 작게 유지됩니다. 디렉터리의 전반적인 보안도 강화합니다.
액세스 검토를 통해 검토자는 사용자가 역할을 계속 맡아야 하는지를 입증할 수 있습니다. 액세스 패키지에 대한 액세스 검토와 마찬가지로 Microsoft Entra 역할 및 Azure 리소스에 대한 검토는 PIM 관리 사용자 환경에 통합됩니다.
다음 역할 할당을 정기적으로 검토합니다.
- 전역 관리자
- 사용자 관리자
- 권한 있는 인증 관리자
- 조건부 액세스 관리자
- 보안 관리자
- 모든 Microsoft 365 및 Dynamics 서비스 관리 역할
검토되는 역할에는 영구 할당 및 적격 할당이 포함됩니다.
검토자 섹션에서 모든 사용자를 검토할 한 명 이상의 사용자를 선택합니다. 또는 관리자를 선택하여 관리자가 관리하는 사람의 액세스를 검토하게 하거나, 구성원(자신)을 선택하여 구성원이 자신의 액세스를 검토하게 할 수 있습니다.
액세스 검토 배포
Microsoft Entra ID와 통합된 리소스에 대한 액세스를 검토하기 위한 전략과 계획을 준비한 후 다음 리소스를 사용하여 검토를 배포하고 관리합니다.
액세스 패키지 검토
관리자는 오래된 액세스의 위험을 줄이기 위해 액세스 패키지에 대한 활성 할당을 가진 사용자를 정기적으로 검토할 수 있습니다. 표에 있는 문서의 지침을 따릅니다.
방법 문서 | 설명 |
---|---|
액세스 검토 만들기 | 액세스 패키지의 검토를 사용하도록 설정합니다. |
액세스 검토 | 액세스 패키지에 할당된 다른 사용자에 대한 액세스 검토를 수행합니다. |
액세스 패키지에 할당된 자체 검토 | 할당된 액세스 패키지를 자체 검토합니다. |
참고 항목
자체 검토하고 더 이상 액세스하지 않아도 된다는 최종 사용자는 액세스 패키지에서 즉시 제거되지 않고, 검토가 종료되거나 관리자가 검토를 중지한 경우 액세스 패키지에서 제거됩니다.
그룹 및 앱 검토
직원 및 게스트의 그룹 및 애플리케이션에 대한 액세스는 시간이 지남에 따라 변경될 수 있습니다. 오래된 액세스 할당과 관련된 위험을 줄이기 위해 관리자는 그룹 구성원 또는 애플리케이션 액세스에 대한 검토를 만들 수 있습니다. 표에 있는 문서의 지침을 따릅니다.
방법 문서 | 설명 |
---|---|
액세스 검토 만들기 | 그룹 구성원 또는 애플리케이션 액세스 권한에 대한 액세스 검토를 하나 이상 만듭니다. |
액세스 검토 | 그룹 구성원이나 애플리케이션에 대한 액세스 권한이 있는 사용자의 액세스 검토를 수행합니다. |
액세스 권한 자체 검토 | 구성원이 그룹 또는 애플리케이션에 대한 자신의 액세스를 검토할 수 있도록 허용합니다. |
액세스 검토 완료 | 액세스 검토 보기 및 결과를 적용합니다. |
온-프레미스 그룹에 대한 작업 수행 | 온-프레미스 그룹에 대한 액세스 검토를 수행하는 샘플 PowerShell 스크립트를 사용합니다. |
Microsoft Entra 역할 검토
부실한 역할 할당과 관련된 위험을 줄이려면 권한 있는 Microsoft Entra 역할의 액세스를 정기적으로 검토합니다.
표에 있는 문서의 지침을 따릅니다.
방법 문서 | 설명 |
---|---|
액세스 검토 만들기 | PIM에서 권한 있는 Microsoft Entra 역할에 대한 액세스 검토를 만듭니다. |
액세스 권한 자체 검토 | 관리 역할에 할당된 경우 역할에 대한 액세스를 승인하거나 거부합니다. |
액세스 검토 완료 | 액세스 검토 보기 및 결과를 적용합니다. |
Azure 리소스 역할 검토
오래된 역할 할당과 관련된 위험을 줄이려면 권한 있는 Azure 리소스 역할에 대한 액세스를 정기적으로 검토해야 합니다.
표에 있는 문서의 지침을 따릅니다.
방법 문서 | 설명 |
---|---|
액세스 검토 만들기 | PIM에서 권한 있는 Azure 리소스 역할에 대한 액세스 검토를 만듭니다. |
액세스 권한 자체 검토 | 관리 역할에 할당된 경우 역할에 대한 액세스를 승인하거나 거부합니다. |
액세스 검토 완료 | 액세스 검토 보기 및 결과를 적용합니다. |
액세스 검토 API 사용
검토할 수 있는 리소스와 상호 작용하고 이를 관리하려면 그래프 API 메서드 및 역할 및 애플리케이션 권한 부여 검사를 참조하세요. Microsoft Graph API의 액세스 검토 방법은 애플리케이션 및 사용자 컨텍스트 모두에 사용할 수 있습니다. 애플리케이션 컨텍스트에서 스크립트를 실행하는 경우 API(서비스 주체)를 실행하는 데 사용되는 계정이 액세스 검토 정보를 쿼리하려면 AccessReview.Read.All 권한을 부여받아야 합니다.
Microsoft Graph API를 사용하여 자동화하는 인기 액세스 검토 작업은 다음과 같습니다.
- 액세스 검토를 만들고 시작합니다.
- 예약된 종료가 실행되기 전에 액세스 검토를 수동으로 종료합니다.
- 실행 중인 모든 액세스 검토 및 해당 상태를 나열합니다.
- 검토 시리즈의 기록과 각 검토에서 수행된 결정 및 작업을 확인합니다.
- 액세스 검토에서 결정을 수집합니다.
- 검토자가 시스템에서 권장한 것과 다른 결정을 내린 완료된 검토에서 결정을 수집합니다.
자동화를 위한 새 Microsoft Graph API 쿼리를 만들 때 Graph 탐색기를 사용하여 Microsoft Graph 쿼리를 스크립트 및 코드에 넣기 전에 빌드하고 탐색합니다. 이를 통해 쿼리를 신속하게 반복하여 스크립트 코드를 변경하지 않고도 원하는 결과를 정확하게 얻을 수 있습니다.
액세스 검토 모니터링
액세스 검토 작업은 기록되며 Microsoft Entra 감사 로그에서 확인할 수 있습니다. 범주, 활동 유형, 날짜 범위에서 감사 데이터를 필터링 할 수 있습니다. 샘플 쿼리는 다음과 같습니다.
범주 | 정책 |
---|---|
활동 유형 | 액세스 검토 생성 |
액세스 검토 업데이트 | |
액세스 검토 종료 | |
액세스 검토 삭제 | |
결정 승인 | |
결정 거부 | |
결정 다시 설정 | |
결정 적용 | |
날짜 범위 | 7일 |
액세스 검토에 대한 고급 쿼리 및 분석을 수행하고 검토 변경 및 완료를 추적하려면 Microsoft Entra 감사 로그를 Azure Log Analytics 또는 Azure Event Hubs로 내보냅니다. 로그가 Log Analytics에 저장되면 강력한 분석 언어를 사용하고 대시보드를 직접 빌드할 수 있습니다.
다음 단계
다음 관련 기술에 대해 알아봅니다.