권한 관리에서 액세스 패키지 만들기

액세스 패키지를 사용하면 액세스 패키지의 수명 기간 동안 자동으로 액세스를 관리하는 리소스 및 정책의 일회성 설정을 수행할 수 있습니다. 이 문서에서는 액세스 패키지를 만드는 방법을 설명합니다.

개요

모든 액세스 패키지는 카탈로그라는 컨테이너에 있어야 합니다. 카탈로그는 액세스 패키지에 추가할 수 있는 리소스를 정의합니다. 카탈로그를 지정하지 않으면 액세스 패키지가 일반 카탈로그로 이동됩니다. 현재는 기존 액세스 패키지를 다른 카탈로그로 이동할 수 없습니다.

액세스 패키지를 사용하여 카탈로그에 있는 여러 리소스의 역할에 대한 액세스 권한을 할당할 수 있습니다. 관리자 또는 카탈로그 소유자인 경우 액세스 패키지를 만드는 동안 리소스를 카탈로그에 추가할 수 있습니다. 액세스 패키지를 만든 후 리소스를 추가할 수도 있으며 액세스 패키지에 할당된 사용자도 추가 리소스를 받게 됩니다.

액세스 패키지 관리자인 경우 소유하고 있는 리소스를 카탈로그에 추가할 수 없습니다. 카탈로그에서 사용할 수 있는 리소스만 사용하도록 제한됩니다. 카탈로그에 리소스를 추가해야 하는 경우 카탈로그 소유자에게 요청할 수 있습니다.

모든 액세스 패키지에는 해당 액세스 패키지에 할당할 사용자에 대한 하나 이상의 정책이 있어야 합니다. 정책은 승인 및 수명 주기 설정과 함께 액세스 패키지를 요청할 수 있는 사용자 또는 액세스가 자동으로 할당되는 방법을 지정합니다. 액세스 패키지를 만들 때 디렉터리에 있는 사용자, 디렉터리에 없는 사용자, 관리자 직접 할당 전용에 대한 초기 정책을 만들 수 있습니다.

다음은 초기 정책을 사용하여 액세스 패키지를 만드는 대략적인 단계입니다.

1. Identity Governance에서 액세스 패키지를 만드는 프로세스를 시작합니다.

2. 액세스 패키지를 넣을 카탈로그를 선택하고 필요한 리소스가 있는지 확인합니다.

3. 카탈로그에 있는 리소스의 리소스 역할을 액세스 패키지에 추가합니다.

4. 액세스를 요청할 수 있는 사용자에 대한 초기 정책을 지정합니다.

5. 해당 정책에서 승인 설정 및 수명 주기 설정을 지정합니다.

그런 다음 액세스 패키지가 만들어지면 숨겨진 설정을 변경하고, 리소스 역할을 추가 또는 제거하고, 더 많은 정책을 추가할 수 있습니다.

만들기 프로세스를 시작합니다.

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

   팁

   이 작업을 완료할 수 있는 기타 최소 권한 역할에는 카탈로그 소유자 또는 액세스 패키지 관리자가 포함됩니다.

2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

3. 새 액세스 패키지를 선택합니다.

   

기본 사항 구성

기본 사항 탭에서 액세스 패키지에 이름을 지정하고 액세스 패키지를 만들 카탈로그를 지정합니다.

1. 액세스 패키지의 표시 이름 및 설명을 입력합니다. 이 정보를 사용자가 액세스 패키지에 대한 요청을 제출할 때 표시됩니다.

2. 카탈로그 드롭다운 목록에서 액세스 패키지를 넣으려는 카탈로그를 선택합니다. 예를 들어 요청될 수 있는 모든 마케팅 리소스를 관리하는 카탈로그 소유자가 있을 수 있습니다. 이 경우 마케팅 카탈로그를 선택할 수 있습니다.

   액세스 패키지를 만들 권한이 있는 카탈로그만 표시됩니다. 기존 카탈로그에 액세스 패키지를 만들려면 ID 거버넌스 관리이상이어야 합니다. 또는 카탈로그 소유자이거나 해당 카탈로그의 액세스 패키지 관리자여야 합니다.

   

   ID 거버넌스 관리istrator 또는 카탈로그 작성자 이상이며 나열되지 않은 새 카탈로그에 액세스 패키지를 만들려는 경우 새 카탈로그 만들기를 선택합니다. 카탈로그 이름 및 설명을 입력한 후 만들기를 선택합니다.

   만들고 있는 액세스 패키지와 그 안에 포함된 리소스가 새 카탈로그에 추가됩니다. 나중에 카탈로그 소유자를 더 추가하거나 카탈로그에 넣은 리소스에 특성을 추가할 수 있습니다. 특정 카탈로그 리소스와 필수 조건 역할의 특성 목록을 편집하는 방법에 관한 자세한 내용은 카탈로그에서 리소스 특성 추가를 참조하세요.

3. 다음: 리소스 역할을 선택합니다.

리소스 역할을 선택합니다.

리소스 역할 탭에서 액세스 패키지에 포함할 리소스를 선택합니다. 액세스 패키지를 요청하고 받는 사용자는 액세스 패키지에서 그룹 멤버 자격과 같은 모든 리소스 역할을 받습니다.

포함할 리소스 역할을 잘 모르는 경우 액세스 패키지를 만드는 동안 리소스 역할 추가를 건너뛰고 나중에 추가할 수 있습니다.

1. 추가하려는 리소스 종류(그룹 및 팀, 애플리케이션 또는 SharePoint 사이트)를 선택합니다.

2. 표시되는 애플리케이션 선택 창의 목록에서 하나 이상의 리소스를 선택합니다.

   

   일반 카탈로그 또는 새 카탈로그에서 액세스 패키지를 만드는 경우 소유하고 있는 디렉터리에서 리소스를 선택할 수 있습니다. ID 거버넌스 관리 작성자 또는 카탈로그 작성자 이상이어야 합니다.

   참고 항목

   카탈로그 및 액세스 패키지에 동적 그룹을 추가할 수 있습니다. 그러나 액세스 패키지에서 동적 그룹 리소스를 관리하는 경우에는 소유자 역할만 선택할 수 있습니다.

   기존 카탈로그에서 액세스 패키지를 만드는 경우 해당 리소스의 소유자가 될 필요 없이 카탈로그에 이미 있는 리소스를 선택할 수 있습니다.

   ID 거버넌스 관리주체 또는 카탈로그 소유자인 경우 소유하거나 관리하지만 카탈로그에 아직 없는 리소스를 선택할 수 있는 추가 옵션이 있습니다. 디렉터리에서 리소스를 선택하지만 현재 선택한 카탈로그에 없는 경우 이러한 리소스는 다른 카탈로그 관리자가 액세스 패키지를 빌드할 수 있도록 카탈로그에 추가됩니다. 카탈로그에 추가할 수 있는 디렉터리의 모든 리소스를 보려면 패널 맨 위에 있는 모든 검사 확인란을 선택합니다. 현재 선택한 카탈로그에 있는 리소스만 선택하려면 모두 표시 확인란을 선택 취소된 상태(기본 상태)로 둡니다.

3. 역할 목록에서 리소스에 대해 사용자에게 할당할 역할을 선택합니다. 리소스에 대한 적절한 역할을 선택하는 방법에 대한 자세한 내용은 액세스 패키지에 포함할 리소스 역할을 결정하는 방법을 참조 하세요.

   

4. 다음: 요청을 선택합니다.

요청 정책 만들기

요청 탭에서 첫 번째 정책을 만들어 액세스 패키지를 요청할 수 있는 사용자를 지정합니다. 승인 설정도 구성합니다. 나중에 추가 사용자 그룹이 자신의 승인 설정을 사용하여 액세스 패키지를 요청할 수 있도록 더 많은 요청 정책을 만들 수 있습니다.

이 액세스 패키지를 요청할 수 있도록 할 사용자에 따라 다음 섹션 중 하나에 나와 있는 단계를 수행합니다.

디렉터리에 있는 사용자가 액세스 패키지를 요청할 수 있도록 허용

디렉터리에 있는 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 다음 단계를 수행합니다. 요청 정책을 정의할 때 개별 사용자 또는 더 일반적으로 사용자 그룹을 지정할 수 있습니다. 예를 들어 조직에 모든 직원과 같은 그룹이 이미 있을 수 있습니다. 해당 그룹이 액세스를 요청할 수 있는 사용자에 대한 정책에 추가되면 해당 그룹의 모든 구성원이 액세스를 요청할 수 있습니다.

1. 액세스를 요청할 수 있는 사용자 섹션에서 디렉터리에 있는 사용자의 경우를 클릭합니다.

   이 옵션을 선택하면 디렉터리에서 이 액세스 패키지를 요청할 수 있는 사용자를 더 구체화하는 새로운 옵션이 표시됩니다.

   

2. 다음 옵션 중 하나를 선택합니다.

   옵션	설명
   특정 사용자 및 그룹	디렉터리에 있는 특정한 사용자나 그룹만 액세스 패키지 요청을 할 수 있도록 허용하려면 이 옵션을 선택합니다.
   모든 구성원(게스트 제외)	디렉터리의 모든 구성원 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 이 옵션을 선택합니다. 이 옵션에는 디렉터리에 초대했을 수 있는 게스트 사용자가 포함되지 않습니다.
   모든 사용자(게스트 포함)	디렉터리의 모든 구성원 사용자와 게스트 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 이 옵션을 선택합니다.

   게스트 사용자는 Microsoft Entra B2B를 통해 디렉터리에 초대된 외부 사용자입니다. 구성원 사용자와 게스트 사용자의 차이점에 대한 자세한 내용은 Microsoft Entra ID의 기본 사용자 권한이란?을 참조하세요.

3. 특정 사용자 및 그룹을 선택한 경우 사용자 및 그룹 추가를 선택합니다.

4. 사용자 및 그룹 선택 창에서 추가하려는 사용자와 그룹을 선택합니다.

   

5. 선택을 선택하고 사용자 및 그룹을 추가합니다.

6. 승인 설정 지정 섹션으로 건너뜁니다.

디렉터리에 없는 사용자가 액세스 패키지를 요청하도록 허용

다른 Microsoft Entra 디렉터리 또는 도메인에 있는 사용자는 아직 사용자의 디렉터리에 초대되지 않았을 수 있습니다. 협업 제한 사항에서 초대를 허용하도록 Microsoft Entra 디렉터리를 구성해야 합니다. 자세한 내용은 외부 협업 설정 구성을 참조하세요.

요청이 승인되었거나 승인이 필요 없지만 디렉터리에 아직 없는 사용자를 위해 게스트 사용자 계정이 만들어집니다. 게스트는 초대되지만 초대 메일은 받지 않습니다. 대신 액세스 패키지 할당이 전달되면 이메일을 받게 됩니다. 나중에 마지막 할당이 만료되었거나 취소되어 해당 게스트 사용자에게 액세스 패키지 할당이 더 이상 없는 경우 해당 계정은 로그인이 차단되며 이후에 삭제됩니다. 차단 및 삭제는 기본적으로 발생합니다.

액세스 패키지 할당이 없는 경우에도 해당 게스트 사용자가 무기한으로 디렉터리에 남아 있게 하려면 권한 관리 구성 설정을 변경할 수 있습니다. 게스트 사용자 개체 정의에 대한 자세한 내용은 Microsoft Entra B2B 협업 사용자 속성을 참조하세요.

디렉터리에 없는 사용자가 액세스 패키지를 요청할 수 있도록 하려면 다음 단계를 수행합니다.

1. 액세스를 요청할 수 있는 사용자 섹션에서 디렉터리에 없는 사용자의 경우를 선택합니다.

   이 옵션을 선택하면 새 옵션이 표시됩니다.

   

2. 다음 옵션 중 하나를 선택합니다.

   옵션	설명
   연결된 특정 조직	관리자가 이전에 추가한 조직 목록에서 선택하려면 이 옵션을 선택합니다. 선택한 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있습니다.
   연결된 모든 조직	구성된 모든 연결된 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있는 경우 이 옵션을 선택합니다.
   모든 사용자(연결된 모든 조직 + 모든 새 외부 사용자)	모든 사용자가 이 액세스 패키지를 요청할 수 있고 B2B 허용 또는 거부 목록 설정이 새 외부 사용자에게 우선 적용되어야 하는 경우 이 옵션을 선택합니다.

   연결된 조직은 사용자와 관계가 있는 외부 Microsoft Entra 디렉터리 또는 도메인입니다.

3. 연결된 특정 조직을 선택한 경우 디렉터리 추가를 선택하여 관리자가 이전에 추가한 연결된 조직 목록에서 선택합니다.

4. 이전에 연결된 조직을 검색할 이름 또는 도메인 이름을 입력합니다.

   

   협업하려는 조직이 목록에 없는 경우 관리자에게 연결된 조직으로 추가하도록 요청할 수 있습니다. 자세한 내용은 연결된 조직 추가를 참조하세요.

5. 연결된 모든 조직을 선택한 경우 현재 구성되고 범위 내로 계획되어 있는 연결된 조직의 목록을 확인해야 합니다.

6. 모든 사용자를 선택한 경우 이 범위는 인터넷에 있는 모든 ID의 액세스 요청을 허용하므로 승인 섹션에서 승인을 구성해야 합니다.

7. 연결된 모든 조직을 선택한 후 선택을 선택합니다.

   선택한 연결된 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있습니다. 여기에는 Azure B2B 허용 목록 또는 차단 목록이 해당 도메인을 차단하지 않는 한 조직과 연결된 모든 하위 도메인의 Microsoft Entra ID 사용자가 포함됩니다. live.com과 같은 소셜 ID 공급자 도메인을 지정하면 소셜 ID 공급자의 모든 사용자가 이 액세스 패키지를 요청할 수 있습니다. 자세한 내용은 특정 조직의 B2B 사용자 초대 허용 또는 차단을 참조하세요.

8. 승인 설정 지정 섹션으로 건너뜁니다.

관리자 직접 할당만 허용

액세스 요청을 무시하고 관리자가 특정 사용자를 이 액세스 패키지에 직접 할당할 수 있게 하려면 다음 단계를 수행합니다. 사용자는 액세스 패키지를 요청할 필요가 없습니다. 수명 주기 설정은 계속 지정할 수 있지만 요청 설정이 없습니다.

1. 액세스를 요청할 수 있는 사용자 섹션에서 없음(관리자 직접 할당만 해당)을 선택합니다.

   

   액세스 패키지가 만들어지면 특정 내부 및 외부 사용자를 액세스 패키지에 직접 할당할 수 있습니다. 외부 사용자를 지정하는 경우 게스트 사용자 계정이 디렉터리에 만들어집니다. 사용자를 직접 할당하는 방법에 대한 자세한 내용은 액세스 패키지에 대한 할당 보기, 추가 및 제거를 참조하세요.

2. 요청 사용 섹션으로 건너뜁니다.

승인 설정 지정

승인 섹션에서 사용자가 이 액세스 패키지를 요청할 때 승인이 필요한지 여부를 지정합니다. 승인 설정은 다음과 같은 방식으로 작동합니다.

• 선택한 승인자 또는 대체 승인자 중 한 명만 1단계 승인 요청을 승인하면 됩니다.
• 각 단계에서 선택한 승인자 중 한 명만 2단계 승인 요청을 승인하면 됩니다.
• 승인자는 정책에 대한 액세스 거버넌스에 따라 관리자, 사용자의 스폰서, 내부 스폰서 또는 외부 스폰서일 수 있습니다.
• 1단계 또는 2단계 승인에는 선택한 모든 승인자의 승인이 필요하지 않습니다.
• 승인 결정은 먼저 요청을 검토하는 승인자가 결정합니다.

승인자를 요청 정책에 추가하는 방법에 대한 데모를 보려면 다음 비디오를 시청하세요.

다단계 승인을 요청 정책에 추가하는 방법에 대한 데모를 보려면 다음 동영상을 시청하세요.

액세스 패키지에 대한 요청의 승인 설정을 지정하려면 다음 단계를 수행합니다.

1. 선택한 사용자의 요청에 대한 승인을 요구하려면 승인 필요 토글을 예로 설정합니다. 또는 요청이 자동으로 승인되도록 하려면 토글을 아니요로 설정합니다. 정책이 조직 밖의 외부 사용자가 액세스를 요청할 수 있도록 허용하는 경우 승인이 필요하므로 조직 디렉터리에 추가되는 사용자를 감독해야 합니다.

2. 사용자에게 액세스 패키지를 요청하는 근거를 제공하도록 요구하려면 요청자 근거 필요 토글을 예로 설정합니다.

3. 요청에 단일 단계 또는 2단계 승인이 필요한지 확인합니다. 단일 단계 승인의 경우 단계 수 토글을 1로 설정하고, 2단계 승인의 경우 2로, 3단계 승인의 경우 3으로 설정합니다.

   

단계 수를 선택한 후 다음 단계를 사용하여 승인자를 추가합니다.

1단계 승인

1. 다음과 같이 첫 번째 승인자 정보를 추가합니다.

   • 정책이 디렉터리의 사용자에 대해 설정된 경우 관리자를 승인자로 선택하거나 승인자로 스폰서를 선택할 수 있습니다. 또는 특정 승인자 선택을 선택한 다음 승인자 추가를 선택하여 특정 사용자를 추가할 수 있습니다.

     스폰서를 승인 승인자로 사용하려면 Microsoft Entra ID 거버넌스 라이선스가 있어야 합니다. 자세한 내용은 일반 공급한 Microsoft Entra ID 기능 비교를 참조하세요.

     

   • 정책이 디렉터리에 없는 사용자로 설정되어 있는 경우 외부 스폰서 또는 내부 스폰서 중 하나를 선택할 수 있습니다. 또는 특정 승인자 선택을 선택한 다음 승인자 추가를 선택하여 특정 사용자를 추가할 수 있습니다.

     

2. 관리자를 첫 번째 승인자로 선택한 경우 대체 추가를 선택하여 디렉터리에서 하나 이상의 사용자 또는 그룹을 대체 승인자로 선택합니다. 권한 관리에서 액세스를 요청하는 사용자의 관리자를 찾을 수 없는 경우 대체 승인자가 요청을 받습니다.

   권한 관리는 관리자 특성을 사용하여 관리자를 찾습니다. 특성은 Microsoft Entra ID의 사용자 프로필에 있습니다. 자세한 내용은 사용자 프로필 정보 및 설정 추가 또는 업데이트를 참조하세요.

3. 스폰서를 첫 번째 승인자로 선택한 경우 대체 추가를 선택하여 디렉터리에서 하나 이상의 사용자 또는 그룹을 대체 승인자로 선택합니다. 권한 관리에서 액세스를 요청하는 사용자의 스폰서를 찾을 수 없는 경우 대체 승인자가 요청을 받습니다.

   권한 관리는 스폰서 특성을 사용하여 스폰서를 찾습니다. 특성은 Microsoft Entra ID의 사용자 프로필에 있습니다. 자세한 내용은 사용자 프로필 정보 및 설정 추가 또는 업데이트를 참조하세요.

4. 특정 승인자 선택을 선택한 경우 승인자 추가를 선택하여 디렉터리에서 하나 이상의 사용자 또는 그룹을 승인자로 선택합니다.

5. 며칠 내에 결정해야 하나요? 상자에서 승인자가 이 액세스 패키지에 대한 요청을 검토해야 하는 일수를 지정합니다.

   이 기간 내에 요청이 승인되지 않으면 해당 요청이 자동으로 거부됩니다. 사용자는 액세스 패키지에 대한 다른 요청을 제출해야 합니다.

6. 승인자가 결정에 대한 근거를 제공하도록 요구하려면 승인자 근거 필요를 예로 설정합니다.

   근거는 다른 승인자와 요청자에게 표시됩니다.

2단계 승인

2단계 승인을 선택한 경우 다음 방법으로 두 번째 승인자를 추가해야 합니다.

1. 다음과 같이 두 번째 승인자 정보를 추가합니다.

   • 사용자가 디렉터리에 있는 경우 스폰서를 승인자로 선택할 수 있습니다. 또는 드롭다운 메뉴에서 특정 승인자 선택을 선택한 후 승인자 추가를 선택하여 특정 사용자를 선택합니다.

     

   • 디렉터리에 없는 사용자인 경우 내부 스폰서 또는 외부 스폰서를 두 번째 승인자로 선택합니다. 승인자를 선택한 후 대체 승인자를 추가합니다.

     

2. 며칠 내에 결정해야 하나요? 상자에서 두 번째 승인자가 요청을 승인해야 하는 일수를 지정합니다.

3. 승인자 근거 필요 토글을 예 또는 아니요로 설정합니다.

3단계 승인

3단계 승인을 선택한 경우 다음 방법으로 세 번째 승인자를 추가해야 합니다.

1. 다음과 같이 세 번째 승인자 정보를 추가합니다.

   사용자가 디렉터리에 있는 경우 특정 승인자 선택>승인자 추가를 선택하여 특정 사용자를 세 번째 승인자로 추가합니다.

   

2. 며칠 내에 결정해야 하나요? 상자에서 두 번째 승인자가 요청을 승인해야 하는 일수를 지정합니다.

3. 승인자 근거 필요 토글을 예 또는 아니요로 설정합니다.

대체 승인자

대체 승인자는 요청을 승인할 수 있는 첫 번째 승인자와 두 번째 승인자를 지정하는 것과 비슷한 방식으로 지정할 수 있습니다. 대체 승인자가 있으면 요청이 만료(시간 제한)되기 전에 요청이 승인 또는 거부되도록 하는 데 도움이 됩니다. 2단계 승인의 경우에는 첫 번째 승인자와 두 번째 승인자에 대한 대체 승인자를 나열할 수 있습니다.

대체 승인자를 지정할 때 첫 번째 또는 두 번째 승인자가 요청을 승인하거나 거부할 수 없으면 보류 중인 요청이 대체 승인자로 전달됩니다. 요청은 정책 설정 중 지정된 전달 일정에 따라 전송됩니다. 승인자는 보류 중인 요청을 승인하거나 거부하라는 이메일을 받습니다.

요청이 대체 승인자에게 전달된 후에도 첫 번째 또는 두 번째 승인자는 해당 요청을 승인하거나 거부할 수 있습니다. 대체 승인자는 동일한 내 액세스 사이트를 사용하여 보류 중인 요청을 승인하거나 거부합니다.

승인자 및 대체 승인자가 될 사용자나 사용자 그룹을 나열할 수 있습니다. 첫 번째, 두 번째 및 대체 승인자가 될 여러 사용자 집합을 나열해야 합니다. 예를 들어 Alice와 Bob을 첫 번째 승인자로 나열한 경우 Carol과 Dave를 대체 승인자로 나열합니다.

다음 단계를 사용하여 액세스 패키지에 대한 대체 승인자를 추가합니다.

1. 첫 번째 승인자, 두 번째 승인자 또는 둘 모두의 아래에서 고급 요청 설정 표시를 선택합니다.

   

2. 작업을 수행하지 않은 경우 대체 승인자에게 전달하시겠습니까? 토글을 예로 설정합니다.

3. 대체 승인자 추가를 선택하고, 목록에서 대체 승인자를 선택합니다.

   

   관리자를 첫 번째 승인자로 선택하면 대체 승인자 상자에 두 번째 수준 관리자를 대체 승인자로라는 추가 옵션이 나타납니다. 이 옵션을 선택하는 경우 시스템에서 두 번째 수준 관리자를 찾을 수 없는 경우에 요청을 전달할 대체 승인자를 추가해야 합니다.

4. 며칠 후에 대체 승인자에게 전달하시겠습니까? 상자에서 승인자가 요청을 승인하거나 거부해야 하는 일수를 입력합니다. 요청 기간 전에 요청을 승인하거나 거부한 승인자가 없으면 요청이 만료(시간 초과)됩니다. 사용자는 액세스 패키지에 대한 다른 요청을 제출해야 합니다.

요청은 요청 기간이 반 이상 지난 후에만 대체 승인자에게 전달할 수 있습니다. 기본 승인자의 결정은 최소 4일 후에 시간 초과되어야 합니다. 요청 시간 제한이 3일 이하면 요청을 대체 승인자에게 전달할 시간이 충분하지 않습니다.

이 예에서 요청 기간은 14일입니다. 요청 기간은 7일 차에 반이 지납니다. 결과적으로 8일 차 전에는 요청이 전달될 수 없습니다.

또한 요청 기간의 마지막 날에도 요청을 전달할 수 없습니다. 결국 이 예에서 요청을 전달할 수 있는 최신 날짜는 13일입니다.

요청 사용

1. 요청 정책의 사용자가 액세스 패키지를 즉시 사용할 수 있게 하려면 새로운 요청 및 할당 사용 토글을 예로 이동합니다.

   액세스 패키지 만들기가 완료되면 나중에 언제든지 사용할 수 있습니다.

   없음(관리자 직접 할당에만 해당)을 선택하고 새로운 요청 및 할당 사용을 아니요로 설정하면 관리자가 이 액세스 패키지를 직접 할당할 수 없습니다.

   

2. 다음 섹션으로 이동하여 액세스 패키지에 확인된 ID 요구 사항을 추가하는 방법을 알아봅니다. 오류가 발생하지 않으면 다음을 선택합니다.

확인된 ID 요구 사항 추가

액세스 패키지 정책에 확인된 ID 요구 사항을 추가하려면 다음 단계를 수행합니다. 액세스 패키지에 대한 액세스를 원하는 사용자는 요청을 성공적으로 제출하려는 경우 먼저 확인된 필수 ID를 제공해야 합니다. Microsoft Entra 확인된 ID 서비스를 사용하여 테넌트를 구성하는 방법을 알아보려면 Microsoft Entra 확인된 ID 소개를 참조하세요.

액세스 패키지에 확인된 ID 요구 사항을 추가하려면 전역 관리자 역할이 있어야 합니다. Identity Governance 관리자, 사용자 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자는 아직 확인된 ID 요구 사항을 추가할 수 없습니다.

1. + 발급자 추가를 선택한 다음 Microsoft Entra Verified ID 네트워크에서 발급자를 선택합니다. 사용자 고유의 자격 증명을 발급하려면 애플리케이션에서 Microsoft Entra 확인된 ID 자격 증명 발급의 지침을 참조하세요.

   

2. 요청 프로세스 중에 사용자가 제시할 자격 증명 유형을 선택합니다.

   

   한 발급자에서 여러 자격 증명 유형을 선택하는 경우 사용자는 선택한 모든 유형의 자격 증명을 제공해야 합니다. 마찬가지로 여러 발급자를 포함하는 경우 사용자는 정책에 포함된 각 발급자의 자격 증명을 제공해야 합니다. 사용자에게 다양한 발급자의 다양한 자격 증명을 제시하는 옵션을 제공하려면 수락할 각 발급자/자격 증명 유형에 대해 별도의 정책을 구성합니다.

3. 추가를 선택하여 확인된 ID 요구 사항을 액세스 패키지 정책에 추가합니다.

액세스 패키지에 요청자 정보 추가

1. 요청자 정보 탭으로 이동하여 질문 탭을 선택합니다.

2. 질문 상자에 요청자에게 물어보려는 질문을 입력합니다. 이 질문을 표시 문자열이라고도 합니다.

3. 사용자 고유의 지역화 옵션을 추가하려면 지역화 추가를 선택합니다.

   

   질문에 대한 지역화 추가 창에서 다음을 수행합니다.

   1. 질문을 지역화할 언어에 대한 언어 코드를 선택합니다.
   2. 지역화된 텍스트 상자에 구성한 언어로 질문을 입력합니다.
   3. 필요한 모든 지역화 추가를 마치면 저장을 선택합니다.

   

4. 응답 형식의 경우 요청자가 응답할 형식을 선택합니다. 응답 형식에는 짧은 텍스트, 여러 선택 항목 및 긴 텍스트가 포함됩니다.

5. 여러 선택 항목을 선택하는 경우 편집 및 지역화 단추를 선택하여 대답 옵션을 구성합니다.

   

   질문 보기/편집 창에서 다음을 수행합니다.

   1. 응답 값 상자에 요청자가 질문에 응답할 때 제공하도록 할 응답 옵션을 입력합니다.
   2. 언어 상자에서 응답 옵션에 대한 언어를 선택합니다. 추가 언어를 선택하는 경우 응답 옵션을 지역화할 수 있습니다.
   3. 저장을 선택합니다.

   

6. 액세스 패키지에 대한 액세스를 요청할 때 요청자에게 이 질문에 응답하도록 요구하려면 필요 확인란을 선택합니다.

7. 특성 탭을 선택하여 액세스 패키지에 추가된 리소스와 연결된 특성을 봅니다.

   참고 항목

   액세스 패키지 리소스의 특성을 추가하거나 업데이트하려면 카탈로그로 이동하고 액세스 패키지와 연결된 카탈로그를 찾습니다. 특정 카탈로그 리소스와 필수 조건 역할의 특성 목록을 편집하는 방법에 관한 자세한 내용은 카탈로그에서 리소스 특성 추가를 참조하세요.

8. 다음을 선택합니다.

수명 주기를 지정합니다.

수명 주기 탭에서 액세스 패키지에 대한 사용자의 할당이 만료되는 시기를 지정합니다. 사용자가 할당을 확장할 수 있는지 여부를 지정할 수도 있습니다.

1. 만료 섹션에서 액세스 패키지 할당 만료를 날짜, 일수, 시간 또는 없음으로 설정합니다.

   • 날짜에 대해 이후의 만료 날짜를 선택합니다.
   • 일수에 0~3,660일 사이의 숫자를 지정합니다.
   • 시간에 시간을 지정합니다.

   선택 사항에 따라 액세스 패키지에 대한 사용자의 할당은 특정 날짜, 승인 후 기간(일) 또는 없음에 따라 만료됩니다.

2. 사용자가 액세스에 대한 특정 시작 및 종료 날짜를 요청하게 하려면 사용자가 특정 타임라인을 요청할 수 있음에 대해 예를 선택합니다.

3. 고급 만료 설정 표시를 선택하여 추가 설정을 표시합니다.

   

4. 사용자가 할당을 연장할 수 있도록 허용하려면 사용자가 액세스를 연장할 수 있도록 허용을 예로 설정합니다.

   정책에서 확장이 허용되는 경우 사용자는 액세스 패키지 할당이 만료되기 14일 전과 하루 전에 이메일을 받습니다. 이메일은 사용자에게 할당을 연장하라는 메시지를 표시합니다. 사용자는 확장을 요청할 때 계속 정책 범위 내에 있어야 합니다.

   또한 정책에 할당에 대한 명시적인 종료 날짜가 있고 사용자가 액세스 확장 요청을 제출하는 경우 요청의 확장 날짜는 할당이 만료되는 날짜 또는 그 이전이어야 합니다. 사용자에게 액세스 패키지에 대한 액세스 권한을 부여하는 데 사용한 정책은 확장 날짜가 할당 만료일 또는 그 이전인지 정의합니다. 예를 들어, 정책에 할당이 6월 30일에 만료되도록 설정된 것으로 표시되는 경우 사용자가 요청할 수 있는 최대 확장은 6월 30일입니다.

   사용자의 액세스 권한이 확장된 경우 지정된 확장 날짜(정책을 만든 사용자의 표준 시간대로 설정한 날짜) 이후에는 액세스 패키지를 요청할 수 없습니다.

5. 권한 연장 승인을 요청하려면 권한 연장 승인 요청을 예로 설정합니다.

   이 승인은 요청 탭에 지정한 것과 동일한 승인 설정을 사용합니다.

6. 다음 또는 업데이트를 선택합니다.

액세스 패키지 검토 및 만들기

검토 + 만들기 탭에서 설정을 검토하고 유효성 검사 오류를 확인할 수 있습니다.

1. 액세스 패키지의 설정을 검토합니다.

   

2. 만들기를 선택하여 액세스 패키지를 만듭니다.

   새 액세스 패키지가 액세스 패키지 목록에 표시됩니다.

3. 액세스 패키지가 정책 범위에 있는 모든 사용자에게 표시되도록 의도된 경우 액세스 패키지의 숨김 설정을 아니요로 둡니다. 필요에 따라 직접 링크가 있는 사용자만 액세스 패키지를 요청하도록 허용하려는 경우 액세스 패키지를 편집하여 숨긴 설정을 예로 변경합니다. 그런 다음 액세스 패키지를 요청하기 위한 링크를 복사하여 액세스가 필요한 사용자와 공유합니다.

프로그래밍 방식으로 액세스 패키지 만들기

Microsoft Graph 및 Microsoft Graph용 PowerShell cmdlet을 통해 프로그래매틱 방식으로 액세스 패키지를 만드는 두 가지 방법이 있습니다.

Microsoft Graph를 사용하여 액세스 패키지 만들기

Microsoft Graph를 사용하여 액세스 패키지를 만들 수 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션을 사용하는 적절한 역할의 사용자는 API를 호출하여 다음을 수행할 수 있습니다.

1. 카탈로그의 리소스를 나열하고 카탈로그에 아직 없는 리소스에 대한 accessPackageResourceRequest를 만듭니다.
2. 카탈로그에서 각 리소스의 역할 및 범위를 검색합니다. 그런 다음 이 역할 목록은 이후에 resourceRoleScope를 만들 때 역할을 선택하는 데 사용됩니다.
3. accessPackage를 만듭니다.
4. 액세스 패키지에 필요한 각 리소스 역할에 대한 resourceRoleScope 를 만듭니다.
5. 액세스 패키지에 필요한 각 정책에 대한 assignmentPolicy 를 만듭니다.

Microsoft PowerShell로 액세스 패키지 만들기

Id 거버넌스 모듈용 Microsoft Graph PowerShell cmdlet의 cmdlet을 사용하여 PowerShell에서 액세스 패키지를 만들 수도 있습니다.

먼저 액세스 패키지에 포함하려는 카탈로그의 ID와 해당 카탈로그의 리소스 및 해당 범위 및 역할을 검색합니다. 다음 예제와 유사한 스크립트를 사용합니다.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

그런 다음 다음과 같이 액세스 패키지를 만듭니다.

$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

액세스 패키지를 만든 후 리소스 역할을 할당합니다. 예를 들어 이전에 반환된 리소스의 첫 번째 리소스 역할을 새 액세스 패키지의 리소스 역할로 포함하려는 경우 다음과 유사한 스크립트를 사용할 수 있습니다.

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

마지막으로 정책을 만듭니다. 이 정책에서는 관리자 또는 액세스 패키지 할당 관리자만 액세스를 할당할 수 있으며 액세스 검토는 없습니다. 자세한 예제는 PowerShell을 통해 할당 정책 만들기 및 assignmentPolicy 만들기를 참조하세요.

$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

다음 단계

• 액세스 패키지를 요청하는 링크 공유
• 액세스 패키지의 리소스 역할 변경
• 사용자를 액세스 패키지에 직접 할당
• 액세스 패키지에 대한 액세스 검토 만들기