권한 관리에서 액세스 패키지의 요청 설정을 변경합니다.

액세스 패키지 관리자는 액세스 패키지 할당 요청에 대한 정책을 편집하거나 액세스 패키지에 새 정책을 추가하여 언제든지 액세스 패키지를 요청할 수 있는 ID를 변경할 수 있습니다. 이 문서에서는 기존 액세스 패키지 할당 정책의 요청 설정을 변경하는 방법을 설명합니다.

하나 또는 여러 정책 중에서 선택

정책을 사용해서 액세스 패키지를 요청할 수 있는 사용자를 지정할 수 있습니다. 액세스 패키지에서 새 정책을 만들거나 기존 정책을 편집하기 전에 액세스 패키지에 필요한 정책 수를 결정해야 합니다.

액세스 패키지를 만들 때 액세스 패키지의 첫 번째 정책에 저장되는 요청, 승인 및 수명 주기 설정을 지정할 수 있습니다. 대부분의 액세스 패키지에는 ID가 액세스를 요청하는 단일 정책이 있지만 단일 액세스 패키지에는 여러 정책이 있을 수 있습니다. 다른 요청 및 승인 설정을 사용하여 여러 ID 집합에 할당을 부여하도록 허용하려면 액세스 패키지에 대해 여러 정책을 만듭니다.

예를 들어 단일 정책을 사용하여 동일한 액세스 패키지에 내부 및 외부 ID를 할당할 수 없습니다. 그러나 동일한 액세스 패키지에 두 개의 정책을 만들 수 있습니다. 하나는 내부 ID용이고 다른 하나는 외부 ID용입니다. 요청할 사용자에게 여러 정책이 적용되는 경우 할당하려는 정책을 선택하라는 요청 시 메시지가 표시됩니다. 다음 다이어그램에서는 두 개의 정책을 포함하는 액세스 패키지를 보여 줍니다.

ID가 액세스를 요청하는 정책 외에도 자동 할당에 대한 정책과 관리자 또는 카탈로그 소유자가 직접 할당하는 정책을 사용할 수도 있습니다.

정책은 몇 개가 필요할까요?

시나리오	정책 수
내 디렉터리의 모든 ID가 액세스 패키지에 대해 동일한 요청 및 승인 설정을 갖도록 합니다.	하나
특정 연결된 조직의 모든 ID가 액세스 패키지를 요청할 수 있기를 바랍니다.	하나
내 디렉터리의 ID와 디렉터리 외부의 ID가 액세스 패키지를 요청하도록 허용하려고 합니다.	둘
일부 ID에 대해 다른 승인 설정을 지정하려고 합니다.	각 ID 그룹에 대해 하나씩
다른 ID가 액세스를 확장할 수 있는 동안 일부 ID 액세스 패키지 할당이 만료되기를 원합니다.	각 ID 그룹에 대해 하나씩
관리자가 일부 ID에 액세스 요청 권한을 부여하고, 다른 ID는 직접 관리자가 액세스 권한을 할당받도록 합니다.	둘
조직의 일부 ID가 자동으로 액세스 권한을 받도록 하고, 조직의 다른 ID를 요청할 수 있도록 하고, 관리자가 액세스 권한을 할당하도록 다른 ID를 할당하려고 합니다.	3단계

여러 정책이 적용될 때 사용되는 우선 순위 논리에 대한 자세한 내용은 여러 정책을 참조하세요.

기존 액세스 패키지를 열고 다른 요청 설정으로 새 정책 추가

다른 요청 및 승인 설정이 있어야 하는 ID 집합이 있는 경우 새 정책을 만들어야 할 수 있습니다. 기존 액세스 패키지에 새 정책 추가를 시작하려면 다음 단계를 수행합니다.

1. 최소한 ID 거버넌스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

   팁

   이 작업을 완료할 수 있는 기타 최소 권한 역할에는 카탈로그 소유자 및 액세스 패키지 관리자가 포함됩니다.

2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

3. Access 패키지 페이지에서 편집할 액세스 패키지를 엽니다.

4. 정책을 선택한 다음, 정책을 추가합니다.

5. 기본 사항 탭에서 정책에 대한 이름과 설명을 입력합니다.

   

6. 다음을 선택하여 요청 탭을 엽니다.

7. 액세스 설정을 요청할 수 있는 사용자를 변경합니다. 다음 섹션의 단계를 통해 설정을 다음 옵션 중 하나로 변경할 수 있습니다.

   • 디렉터리의 사용자, 서비스 주체 및 에이전트 ID의 경우
   • 디렉터리에 없는 사용자의 경우
   • 없음(관리자 직접 할당만 해당)

디렉터리의 사용자, 서비스 주체 및 에이전트 ID의 경우

디렉터리의 ID가 이 액세스 패키지를 요청할 수 있도록 허용하려면 다음 단계를 수행합니다. 요청 정책을 정의할 때 개별 ID 또는 더 일반적으로 ID 그룹을 지정할 수 있습니다. 조직에 모든 직원과 같은 그룹이 이미 있을 수 있습니다. 해당 그룹이 액세스를 요청할 수 있는 ID에 대한 정책에 추가되면 해당 그룹의 모든 멤버가 액세스를 요청할 수 있습니다.

1. 액세스 권한을 요청할 수 있는 사용자 섹션에서 디렉터리의 사용자, 서비스 주체 및 에이전트 ID를 선택합니다.

   이 옵션을 선택하면 디렉터리에서 이 액세스 패키지를 요청할 수 있는 사용자를 더 구체화하는 새로운 옵션이 표시됩니다.

   

2. 다음 옵션 중 하나를 선택합니다.

   	설명
   특정 사용자 및 그룹	디렉터리에 있는 특정한 사용자나 그룹만 액세스 패키지 요청을 할 수 있도록 허용하려면 이 옵션을 선택합니다.
   모든 멤버(게스트 제외)	디렉터리의 모든 구성원 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 이 옵션을 선택합니다. 이 옵션에는 디렉터리에 초대했을 수 있는 게스트 사용자가 포함되지 않습니다.
   모든 사용자(게스트 포함)	디렉터리의 모든 구성원 사용자와 게스트 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 이 옵션을 선택합니다.
   모든 서비스 주체	디렉터리의 모든 서비스 주체가 이 액세스 패키지를 요청할 수 있도록 하려면 이 옵션을 선택합니다.
   모든 에이전트	디렉터리의 모든 에이전트가 액세스 권한을 할당할 수 있도록 하려면 이 옵션을 선택합니다.

   게스트 사용자는 Microsoft Entra B2B를 사용하여 디렉터리에 초대된 외부 사용자를 참조합니다. 멤버 사용자와 게스트 사용자 간의 차이점에 대한 자세한 내용은 Microsoft Entra ID의 기본 사용자 사용 권한은 무엇인가요?를 참조하세요.

   모든 서비스 주체 및 에이전트 옵션에는 Microsoft Entra 에이전트 ID 필요합니다. 자세한 내용은 에이전트 ID 관리를 참조하세요.

3. 특정 사용자 및 그룹을 선택한 경우 사용자 및 그룹 추가를 선택합니다.

4. [사용자 및 그룹 선택] 창에서 추가하려는 사용자와 그룹을 선택합니다.

   

5. 선택 항목을 선택하여 사용자 및 그룹을 추가합니다.

6. 승인이 필요한 경우 권한 관리에서 액세스 패키지에 대한 승인 설정 변경 의 단계를 사용하여 승인 설정을 구성합니다.

7. 액세스 권한을 요청할 수 있는 사용자 섹션으로 이동합니다.

디렉터리에 없는 사용자

디렉터리에 없는 사용자는 다른 Microsoft Entra 디렉터리 또는 도메인에 있는 사용자를 참조합니다. 이러한 사용자는 아직 디렉터리에 초대되지 않았을 수 있습니다. 공동 작업 제한에서 초대를 허용하도록 Microsoft Entra 디렉터리를 구성해야 합니다. 자세한 내용은 외부 공동 작업 설정 구성을 참조하세요.

참고

요청이 승인되거나 자동으로 승인되는 게스트 사용자 계정은 디렉터리에 아직 없는 사용자에 대해 만들어집니다. 게스트는 초대되지만 초대 메일은 받지 않습니다. 대신 액세스 패키지 할당이 전달되면 이메일을 받게 됩니다. 기본적으로 나중에 해당 게스트 사용자에게 액세스 패키지 할당이 더 이상 없는 경우 마지막 할당이 만료되었거나 취소되었으므로 해당 게스트 사용자 계정이 로그인에서 차단되고 이후에 삭제됩니다. 게스트 사용자에게 패키지 할당이 없는 경우에도 해당 게스트 사용자가 무기한으로 디렉터리에 남아 있게 하려면 권한 관리 구성 설정을 변경할 수 있습니다. 게스트 사용자 개체에 대한 자세한 내용은 Microsoft Entra B2B 협업 사용자의 속성을 참조하세요.

디렉터리에 없는 사용자가 이 액세스 패키지를 요청할 수 있도록 하려면 다음 단계를 수행합니다.

1. 액세스 권한을 요청할 수 있는 사용자 섹션에서 디렉터리에 없는 사용자를 선택합니다.

   이 옵션을 선택하면 새 옵션이 표시됩니다.

   

2. 액세스를 요청할 수 있는 사용자가 기존 연결된 조직에 속해야 하는지 아니면 인터넷상의 모든 사용자가 될 수 있는지 선택합니다. 연결된 조직은 외부 Microsoft Entra 디렉터리 또는 다른 아이덴티티 공급자가 있을 수 있는 사전 존재 관계가 있는 조직입니다. 다음 옵션 중 하나를 선택합니다.

   	설명
   특정 연결된 조직	관리자가 이전에 추가한 조직 목록에서 선택하려면 이 옵션을 선택합니다. 선택한 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있습니다.
   구성된 모든 연결된 조직	구성된 모든 연결된 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있는 경우 이 옵션을 선택합니다. 구성된 연결된 조직의 사용자만 액세스 패키지를 요청할 수 있으므로 사용자가 기존 연결된 조직과 연결된 Microsoft Entra 테넌트, 도메인 또는 ID 공급자가 아닌 경우 요청할 수 없습니다.
   모든 사용자(모든 연결된 조직 + 새 외부 사용자)	인터넷의 모든 사용자가 이 액세스 패키지를 요청할 수 있어야 하는 경우 이 옵션을 선택합니다. 사용자가 디렉터리의 연결된 조직에 속해 있지 않으면 패키지를 요청할 때 연결된 조직이 자동으로 생성됩니다. 자동으로 생성된 연결된 조직이 제안된 상태입니다. 제안된 상태에 대한 자세한 내용은 연결된 조직의 상태 속성을 참조하세요.

3. 특정 연결된 조직을 선택한 경우 디렉터리 추가를 선택하여 관리자가 이전에 추가한 연결된 조직 목록에서 선택합니다.

4. 이전에 연결된 조직을 검색할 이름 또는 도메인 이름을 입력합니다.

   

   협업하려는 조직이 목록에 없는 경우 관리자에게 연결된 조직으로 추가하도록 요청할 수 있습니다. 자세한 내용은 연결된 조직 추가를 참조하세요.

5. 연결된 조직을 모두 선택한 후 선택을 선택합니다.

   참고

   선택한 연결된 조직의 모든 사용자가 이 액세스 패키지를 요청할 수 있습니다. Microsoft Entra 디렉터리가 있는 연결된 조직의 경우 Azure B2B 허용 또는 차단 목록에 의해 해당 도메인이 차단되지 않는 한 Microsoft Entra 디렉터리에 연결된 확인된 모든 도메인의 사용자가 요청할 수 있습니다. 자세한 내용은 특정 조직의 B2B 사용자에 대한 초대 허용 또는 차단을 참조하세요.

6. 다음으로, 권한 관리에서 액세스 패키지에 대한 승인 설정 변경 의 단계를 사용하여 승인 설정을 구성하여 조직에 없는 사용자의 요청을 승인할 사용자를 지정합니다.

7. 액세스 권한을 요청할 수 있는 사용자 섹션으로 이동합니다.

없음(관리자 직접 할당만 해당)

액세스 요청을 무시하고 관리자가 특정 사용자를 이 액세스 패키지에 직접 할당할 수 있게 하려면 다음 단계를 수행합니다. 사용자는 액세스 패키지를 요청할 필요가 없습니다. 수명 주기 설정은 계속 지정할 수 있지만 요청 설정이 없습니다.

1. 액세스 권한을 요청할 수 있는 사용자 섹션에서 없음(관리자 직접 할당만 해당)을 선택합니다.

   

   액세스 패키지가 만들어지면 특정 내부 및 외부 사용자를 액세스 패키지에 직접 할당할 수 있습니다. 외부 사용자를 지정하는 경우 게스트 사용자 계정이 디렉터리에 만들어집니다. 사용자를 직접 할당하는 방법에 대한 자세한 내용은 액세스 패키지에 대한 할당 보기, 추가 및 제거를 참조하세요.

2. 액세스 권한을 요청할 수 있는 사용자 섹션으로 건너뜁니다.

참고

사용자를 액세스 패키지에 할당하는 경우 관리자는 기존 정책 요구 사항에 따라 사용자가 해당 액세스 패키지에 적합한지 확인해야 합니다. 그렇지 않으면 사용자가 액세스 패키지에 성공적으로 할당되지 않습니다. 액세스 패키지가 사용자 요청 승인을 요구하는 정책을 포함하는 경우 사용자는 지정된 승인자로부터 필요한 승인 없이 패키지에 직접 할당될 수 없습니다.

기존 정책의 요청 설정 열기 및 편집

액세스 패키지에 대한 요청 및 승인 설정을 변경하려면 해당 설정으로 해당하는 정책을 열어야 합니다. 다음 단계를 수행하여 액세스 패키지 할당 정책에 대한 요청 설정을 열고 편집합니다.

1. 최소한 ID 거버넌스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

   팁

   이 작업을 완료할 수 있는 기타 최소 권한 역할에는 카탈로그 소유자 및 액세스 패키지 관리자가 포함됩니다.

2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

3. Access 패키지 페이지에서 편집하려는 정책 요청 설정을 포함하는 액세스 패키지를 엽니다.

4. 정책을 선택한 다음 편집할 정책을 선택합니다.

   정책 세부 정보 창이 페이지 맨 아래에 열립니다.

   

5. 편집을 선택하여 정책을 편집합니다.

   

6. 요청 탭 을 선택하여 요청 설정을 엽니다.

7. 필요에 따라 요청 설정을 변경하려면 이전 섹션의 단계를 사용합니다.

8. 액세스 권한을 요청할 수 있는 사용자 섹션으로 이동합니다.

액세스를 요청할 수 있는 사용자

참고

이전에는 "새 요청 및 할당 사용"이라는 설정이 셀프 서비스 액세스 요청을 제어했습니다. 이 기능은 이제 "자체" 옵션에 의해 보다 정확하게 반영됩니다.

1. 액세스 권한을 얻을 수 있는 사용자와 범위를 선택한 후 액세스 패키지에 대한 액세스를 요청할 수 있는 사용자를 지정할 수 있습니다. 여기에서 자신, 관리자 또는 매니저에게 액세스 패키지에 대한 접근 권한 요청 기능을 부여할 수 있습니다.

   액세스 패키지 만들기가 완료되면 나중에 언제든지 사용할 수 있습니다.

   없음(관리자 직접 할당만)을 선택한 경우 액세스 섹션 상자를 요청할 수 있는 사용자는 선택할 수 없습니다.

   

2. 다음을 선택합니다.

3. 액세스 패키지에 대한 액세스를 요청할 때 요청자에게 추가 정보를 제공하도록 요구하려면 권한 관리에서 액세스 패키지에 대한 승인 및 요청자 정보 설정 변경 의 단계를 사용하여 요청자 정보를 구성합니다.

4. 수명 주기 설정을 구성합니다.

5. 정책을 편집하는 경우 업데이트를 선택합니다. 새 정책을 추가하는 경우 만들기를 선택합니다.

프로그래밍 방식으로 액세스 패키지 할당 정책 만들기

Microsoft Graph 및 Microsoft Graph용 PowerShell cmdlet을 통해 프로그래밍 방식으로 액세스 패키지 할당 정책을 만드는 방법에는 두 가지가 있습니다.

Graph를 통해 액세스 패키지 할당 정책 만들기

Microsoft Graph를 사용하여 정책을 만들 수 있습니다. 적절한 역할의 사용자는 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션, 카탈로그 역할의 애플리케이션 또는 EntitlementManagement.ReadWrite.All 애플리케이션 권한을 가진 애플리케이션을 사용하여 assignmentPolicy 만들기 API를 호출할 수 있습니다.

PowerShell을 통해 액세스 패키지 할당 정책 만들기

PowerShell에서 Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상을 사용하여 액세스 패키지를 만들 수도 있습니다.

다음 스크립트는 액세스 패키지에 직접 할당하기 위한 정책을 만드는 방법을 보여 줍니다. 이 정책에서는 관리자만 액세스 권한을 할당할 수 있으며, 승인이나 액세스 검토는 없습니다. 자동 할당 정책 만들기의 예제와 assignmentPolicy 만들기의 더 많은 예시를 보려면 참고하세요.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

호환되지 않는 액세스 권한이 있는 ID의 요청 방지

요청할 수 있는 사용자에 대한 정책 검사 외에도 그룹 또는 다른 액세스 패키지를 통해 이미 액세스 권한이 있는 ID가 과도한 액세스를 얻지 못하도록 액세스를 추가로 제한할 수 있습니다.

ID가 액세스 패키지를 요청할 수 없도록 구성하려는 경우, 이미 다른 액세스 패키지에 대한 할당이 있거나 그룹의 구성원인 경우 액세스 패키지에 대한 의무 분리 확인 구성의 단계를 사용합니다.

다음 단계

• 액세스 패키지에 대한 승인 설정 변경
• 액세스 패키지의 수명 주기 설정 변경
• 액세스 패키지에 대한 요청 보기