권한 관리에서 액세스 패키지에 대한 할당 보기, 추가 및 제거
권한 관리에서는 액세스 패키지에 할당된 사용자, 해당 정책, 상태 및 사용자 수명 주기(미리 보기)를 확인할 수 있습니다. 액세스 패키지에 적절한 정책이 있는 경우 액세스 패키지에 직접 사용자를 할당할 수도 있습니다. 이 문서에서는 액세스 패키지에 대한 할당을 확인, 추가, 제거하는 방법을 설명합니다.
필수 조건
권한 관리를 사용하고 패키지에 액세스할 사용자를 할당하려면 다음 라이선스 중 하나가 있어야 합니다.
- Microsoft Entra ID P2
- EMS(Enterprise Mobility + Security) E5 라이선스
- Microsoft Entra ID 거버넌스 구독
할당이 있는 사용자 보기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
팁
이 작업을 완료할 수 있는 다른 최소 권한 역할에는 카탈로그 소유자, 액세스 패키지 관리자 및 액세스 패키지 할당 관리자가 포함됩니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
액세스 패키지 페이지에서 액세스 패키지를 엽니다.
할당을 선택하여 활성 할당 목록을 확인합니다.
특정 할당을 선택하여 추가 세부 정보를 확인합니다.
모든 리소스 역할이 제대로 프로비전되지 않은 할당 목록을 보려면 필터 상태를 선택하고 배달 중을 선택합니다.
요청 페이지에서 사용자의 해당 요청을 찾아 전송 오류에 대한 자세한 내용을 볼 수 있습니다.
만료된 할당을 보려면 필터 상태를 선택하고 만료됨을 선택합니다.
필터링된 목록의 CSV 파일을 다운로드하려면 다운로드를 선택합니다.
프로그래밍 방식으로 할당 보기
Microsoft Graph로 할당 보기
Microsoft Graph를 사용하여 액세스 패키지에서 할당을 검색할 수도 있습니다. 위임된 EntitlementManagement.Read.All
또는 EntitlementManagement.ReadWrite.All
권한이 있는 애플리케이션의 적절한 역할 사용자는 API를 호출하여 accessPackageAssignments를 나열할 수 있습니다. 애플리케이션 권한 EntitlementManagement.Read.All
또는 EntitlementManagement.ReadWrite.All
이 있는 애플리케이션도 이 API를 사용하여 모든 카탈로그에 대한 할당을 검색할 수 있습니다.
Microsoft Graph는 결과를 페이지로 반환하고 결과의 모든 페이지를 읽을 때까지 각 응답과 함께 @odata.nextLink
속성의 다음 결과 페이지에 대한 참조를 계속 반환합니다. 모든 결과를 읽으려면 앱에서 Microsoft Graph 데이터 페이징에 설명된 대로 @odata.nextLink
속성이 더 이상 반환되지 않을 때까지 각 응답에서 반환된 @odata.nextLink
속성으로 Microsoft Graph를 계속 호출해야 합니다.
ID 거버넌스 관리자가 여러 카탈로그에서 액세스 패키지를 검색하는 중에, 사용자 또는 애플리케이션 서비스 주체가 카탈로그별로 위임된 관리 역할에만 할당된 경우 요청에서 $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'
처럼 특정 액세스 패키지를 표시하는 필터를 제공해야 합니다.
PowerShell로 할당 보기
ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상 모듈 버전의 Get-MgEntitlementManagementAssignment
cmdlet을 사용하여 PowerShell에서 액세스 패키지에 대한 할당을 검색할 수도 있습니다. 이 스크립트는 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하여 특정 액세스 패키지에 대한 모든 할당을 검색하는 방법을 보여 줍니다. 이 cmdlet은 액세스 패키지 ID 매개 변수를 사용하는데, Get-MgEntitlementManagementAccessPackage
cmdlet의 응답에 포함되어 있습니다. 모든 할당 페이지가 반환되도록 하려면 Get-MgEntitlementManagementAccessPackage
cmdlet을 사용하여 -All
플래그를 포함해야 합니다.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
앞의 쿼리는 만료된 할당과 제공된 할당을 반환합니다. 액세스 패키지 ID와 할당 상태를 포함하는 필터를 사용하여 만료되었거나 배달되고 있는 할당을 제외할 수 있습니다. 이 스크립트는 필터를 사용하여 특정 액세스 패키지에 대해 상태 Delivered
의 할당만 검색하는 방법을 보여 줍니다. 그러면 스크립트는 할당마다 하나의 행이 포함된 CSV 파일 assignments.csv
를 생성합니다.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
사용자 직접 할당
경우에 따라 사용자가 액세스 패키지를 요청하는 프로세스를 진행할 필요가 없도록 특정 사용자를 액세스 패키지에 직접 할당할 수 있습니다. 사용자를 직접 할당하려면 액세스 패키지에 관리자 직접 할당을 허용하는 정책이 있어야 합니다.
참고 항목
사용자를 액세스 패키지에 할당하는 경우 관리자는 기존 정책 요구 사항에 따라 사용자가 해당 액세스 패키지에 적합한지 확인해야 합니다. 그렇지 않으면 사용자가 액세스 패키지에 성공적으로 할당되지 않습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
팁
이 작업을 완료할 수 있는 다른 최소 권한 역할에는 카탈로그 소유자, 액세스 패키지 관리자 및 액세스 패키지 할당 관리자가 포함됩니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
액세스 패키지 페이지에서 액세스 패키지를 엽니다.
왼쪽 메뉴에서 할당을 선택합니다.
새 할당을 선택하여 액세스 패키지에 사용자 추가를 엽니다.
정책 선택 목록에서 사용자의 향후 요청 및 수명 주기를 관리하고 추적하는 데 사용할 정책을 선택합니다. 선택한 사용자에게 다른 정책 설정을 사용하려는 경우 새 정책 만들기를 선택하여 새 정책을 추가할 수 있습니다.
정책을 선택한 후에는 사용자를 추가하여, 선택한 정책에서 이 액세스 패키지를 할당할 사용자를 선택할 수 있습니다.
참고 항목
질문을 포함한 정책을 선택할 경우 한 번에 한 사용자만 할당할 수 있습니다.
선택한 사용자의 할당을 시작하고 종료할 날짜 및 시간을 설정합니다. 종료 날짜를 지정하지 않으면 정책의 수명 주기 설정이 사용됩니다.
필요에 따라 레코드 보관을 위해 직접 할당의 사유를 제공합니다.
선택한 정책이 추가적인 요청자 정보를 포함할 경우 질문 보기를 선택하여 사용자를 대신에 질문에 답한 다음, 저장을 선택합니다.
추가를 선택하여 선택한 사용자를 액세스 패키지에 직접 할당합니다.
잠시 후에 새로 고침을 선택하여 할당 목록에서 사용자를 확인합니다.
참고 항목
액세스 패키지 할당 관리자는 정책에 의해 승인이 요구되는 경우 더 이상 승인 설정을 우회할 수 없습니다. 즉, 지정된 승인자의 필수 승인 없이는 사용자를 패키지에 직접 할당할 수 없습니다. 승인을 우회해야 하는 경우 승인이 필요하지 않고 액세스 권한이 필요한 사용자로만 범위가 지정된 액세스 패키지에 두 번째 정책을 만드는 것이 좋습니다.
모든 사용자 직접 할당(미리 보기)
권한 관리를 사용하면 외부 사용자를 액세스 패키지에 직접 할당하여 파트너와 더 쉽게 협업할 수도 있습니다. 이렇게 하려면 액세스 패키지에 아직 디렉터리에 없는 사용자가 액세스를 요청할 수 있는 정책이 있어야 합니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
팁
이 작업을 완료할 수 있는 다른 최소 권한 역할에는 카탈로그 소유자, 액세스 패키지 관리자 및 액세스 패키지 할당 관리자가 포함됩니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
액세스 패키지 페이지에서 액세스 패키지를 엽니다.
왼쪽 메뉴에서 할당을 선택합니다.
새 할당을 선택하여 액세스 패키지에 사용자 추가를 엽니다.
정책 선택 목록에서 디렉터리에 없는 사용자용으로 설정된 정책을 선택합니다.
모든 사용자를 선택합니다. 이 액세스 패키지에 할당할 사용자를 지정할 수 있습니다.
사용자의 이름(선택 사항) 및 사용자의 이메일 주소(필수)를 입력합니다.
참고 항목
- 추가하려는 사용자는 정책 범위 내에 있어야 합니다. 예를 들어 정책이 연결된 특정 조직으로 설정된 경우 사용자의 이메일 주소는 선택한 조직의 도메인에 있어야 합니다. 추가하려는 사용자에게 jen@foo.com 이메일 주소가 있지만 선택한 조직의 도메인이 bar.com인 경우 해당 사용자를 액세스 패키지에 추가할 수 없습니다.
- 마찬가지로 구성된 모든 연결된 조직을 포함하도록 정책을 설정한 경우 사용자의 이메일 주소는 구성된 연결 조직 중 하나에서 가져온 주소여야 합니다. 그렇지 않으면 사용자가 액세스 패키지에 추가되지 않습니다.
- 액세스 패키지에 사용자를 추가하려는 경우 정책을 구성할 때 모든 사용자(연결된 모든 조직 + 외부 사용자)를 선택해야 합니다.
선택한 사용자의 할당을 시작하고 종료할 날짜 및 시간을 설정합니다. 종료 날짜를 지정하지 않으면 정책의 수명 주기 설정이 사용됩니다.
추가를 선택하여 선택한 사용자를 액세스 패키지에 직접 할당합니다.
잠시 후에 새로 고침을 선택하여 할당 목록에서 사용자를 확인합니다.
프로그래밍 방식으로 사용자 직접 할당
Microsoft Graph로 액세스 패키지에 사용자 할당
Microsoft Graph를 사용하여 액세스 패키지에 사용자를 직접 할당할 수도 있습니다. 위임된 EntitlementManagement.ReadWrite.All
권한이 있는 애플리케이션 또는 EntitlementManagement.ReadWrite.All
애플리케이션 권한이 있는 애플리케이션에서 적절한 역할이 있는 사용자는 API를 호출하여 accessPackageAssignmentRequest를 만들 수 있습니다. 이 요청에서 requestType
속성의 값은 adminAdd
고, assignment
속성은 할당될 사용자의 targetId
를 포함하는 구조입니다.
PowerShell로 액세스 패키지에 사용자 할당
Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상에서 New-MgEntitlementManagementAssignmentRequest
cmdlet을 사용하여 PowerShell에서 액세스 패키지에 사용자를 할당할 수 있습니다. 이 스크립트는 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하는 방법을 보여 줍니다.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
애플리케이션에 할당되거나 텍스트 파일에 나열된 사용자를 포함하여 디렉터리의 기존 사용자 컬렉션에 대한 할당을 채울 수도 있습니다. 자세한 내용은 애플리케이션에 대한 액세스 권한이 이미 있는 기존 사용자의 할당 추가 및 애플리케이션에 대한 액세스 권한이 있어야 하는 추가 사용자에 대한 할당 추가를 참조하세요.
Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0 이상에서 New-MgBetaEntitlementManagementAccessPackageAssignment
cmdlet과 함께 PowerShell을 사용하여 디렉터리에 있는 여러 사용자를 액세스 패키지에 할당할 수도 있습니다. 이 cmdlet은 다음과 같은 매개 변수를 사용합니다.
Get-MgEntitlementManagementAccessPackage
cmdlet의 응답에 포함된 액세스 패키지 IDGet-MgEntitlementManagementAccessPackage
cmdlet의 응답에서assignmentpolicies
필드의 정책에 포함된 액세스 패키지 할당 정책 ID- 대상 사용자의 개체 ID로, 문자열 배열 또는
Get-MgGroupMember
cmdlet에서 반환한 사용자 멤버 목록 형태입니다.
예를 들어 현재 그룹 멤버인 모든 사용자가 액세스 패키지도 할당 받게 하려면 이 cmdlet을 사용하여 현재 할당이 없는 사용자에 대한 요청을 만들 수 있습니다. 이 cmdlet은 할당만 만듭니다. 더 이상 그룹의 멤버가 아닌 사용자의 할당은 제거하지 않습니다. 액세스 패키지의 할당이 그룹의 멤버 자격을 추적하고 시간이 지남에 따라 할당을 추가 및 제거하려면 대신 자동 할당 정책을 사용합니다.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
아직 디렉터리에 없는 사용자의 할당을 추가하려면 Identity Governance용 Microsoft Graph PowerShell cmdlet 베타 모듈 버전 2.1.x 이상의 New-MgBetaEntitlementManagementAccessPackageAssignmentRequest
cmdlet을 사용할 수 있습니다. 이 스크립트는 Microsoft Graph 프로필 및 Microsoft Graph beta
PowerShell cmdlet 모듈 버전 2.4.0을 사용하는 방법을 보여 줍니다. 이 cmdlet은 다음과 같은 매개 변수를 사용합니다.
Get-MgEntitlementManagementAccessPackage
cmdlet의 응답에 포함된 액세스 패키지 IDGet-MgEntitlementManagementAccessPackage
cmdlet의 응답에서assignmentpolicies
필드의 정책에 포함된 액세스 패키지 할당 정책 ID- 대상 사용자의 이메일 주소
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
수명 주기 워크플로의 일부로 액세스 할당 구성
Microsoft Entra 수명 주기 워크플로 기능에서 온보딩 워크플로에 사용자 액세스 패키지 할당 요청 작업을 추가할 수 있습니다. 작업은 사용자에게 있어야 하는 액세스 패키지를 지정할 수 있습니다. 사용자에 대해 워크플로가 실행되면 액세스 패키지 할당 요청이 자동으로 만들어집니다.
최소한 ID 거버넌스 관리자 및 수명 주기 워크플로 관리자 역할을 모두 사용하여 Microsoft Entra 관리 센터에 로그인합니다.로그인합니다.
ID 거버넌스>수명 주기 워크플로>워크플로로 이동합니다.
직원 온보딩 또는 이동 워크플로를 선택합니다.
작업을 선택하고 작업 추가를 선택합니다.
사용자 액세스 패키지 할당 요청을 선택하고 추가를 선택합니다.
새로 추가된 작업을 선택합니다.
액세스 패키지 선택을 선택하고 새 사용자 또는 이동 중인 사용자를 할당해야 하는 액세스 패키지를 선택합니다.
정책 선택을 선택하고 해당 액세스 패키지에서 액세스 패키지 할당 정책을 선택합니다.
저장을 선택합니다.
할당 제거
사용자 또는 관리자가 이전에 요청한 할당을 제거할 수 있습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
액세스 패키지 페이지에서 액세스 패키지를 엽니다.
왼쪽 메뉴에서 할당을 선택합니다.
액세스 패키지에서 할당을 제거할 사용자 옆에 있는 확인란을 선택합니다.
왼쪽 창의 위쪽에 있는 제거 단추를 선택합니다.
할당이 제거되었음을 알리는 알림이 표시됩니다.
프로그래밍 방식으로 할당 제거
Microsoft Graph로 할당 제거
Microsoft Graph를 사용하여 액세스 패키지에 대한 사용자 할당을 제거할 수도 있습니다. 위임된 EntitlementManagement.ReadWrite.All
권한이 있는 애플리케이션 또는 EntitlementManagement.ReadWrite.All
애플리케이션 권한이 있는 애플리케이션에서 적절한 역할이 있는 사용자는 API를 호출하여 accessPackageAssignmentRequest를 만들 수 있습니다. 이 요청에서 requestType
속성의 값은 adminRemove
고, assignment
속성은 accessPackageAssignment
제거를 식별하는 id
속성을 포함하는 구조입니다.
PowerShell로 할당 제거
Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상에서 New-MgEntitlementManagementAssignmentRequest
cmdlet을 사용하여 PowerShell에서 사용자의 할당을 제거할 수 있습니다. 이 스크립트는 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하는 방법을 보여 줍니다.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
수명 주기 워크플로의 일부로 할당 제거 구성
Microsoft Entra 수명 주기 워크플로 기능에서 오프보딩 워크플로에 사용자에 대한 액세스 패키지 할당 제거 작업을 추가할 수 있습니다. 해당 작업은 사용자를 할당할 수 있는 액세스 패키지를 지정할 수 있습니다. 사용자에 대해 워크플로가 실행되면 해당 액세스 패키지 할당이 자동으로 제거됩니다.
최소한 ID 거버넌스 관리자 및 수명 주기 워크플로 관리자 역할을 모두 사용하여 Microsoft Entra 관리 센터에 로그인합니다.로그인합니다.
ID 거버넌스>수명 주기 워크플로>워크플로로 이동합니다.
직원 오프보딩 워크플로를 선택합니다.
작업을 선택하고 작업 추가를 선택합니다.
사용자에 대한 액세스 패키지 할당 제거를 선택하고 추가를 선택합니다.
새로 추가된 작업을 선택합니다.
액세스 패키지 선택을 선택하고 오프보딩 중인 사용자가 제거되어야 하는 하나 이상의 액세스 패키지를 선택합니다.
저장을 선택합니다.