Microsoft Entra ID와 통합된 애플리케이션에 대한 액세스를 제어하기 위한 조직 정책 배포
이전 섹션에서는 애플리케이션의 거버넌스 정책을 정의하고 해당 애플리케이션을 Microsoft Entra ID와 통합했습니다. 이 섹션에서는 애플리케이션에 대한 지속적인 액세스를 제어하도록 Microsoft Entra 조건부 액세스 및 권한 관리 기능을 구성합니다. 설정
- 사용자가 Single Sign-On을 위해 Microsoft Entra ID와 통합된 애플리케이션에 대해 Microsoft Entra ID로 인증하는 방법에 대한 조건부 액세스 정책
- 사용자가 애플리케이션 역할 및 그룹의 멤버 자격에 대한 할당을 가져오고 유지하는 방법에 대한 권한 관리 정책
- 그룹 멤버 자격을 검토하는 빈도에 대한 액세스 검토 정책
이러한 정책이 배포되면 사용자가 액세스 권한을 요청하여 애플리케이션 액세스 권한을 할당받을 때 진행되는 Microsoft Entra ID의 동작을 모니터링할 수 있습니다.
SSO 적용을 위한 조건부 액세스 정책 배포
이 섹션에서는 사용자의 인증 강도 또는 디바이스 상태와 같은 요인에 따라 권한 있는 사용자가 앱에 로그인할 수 있는지 여부를 결정하기 위한 범위 내에 있는 조건부 액세스 정책을 설정합니다.
조건부 액세스는 SSO(Single Sign-On)에 Microsoft Entra ID를 사용하는 애플리케이션에만 가능합니다. 애플리케이션을 SSO에 통합할 수 없는 경우 다음 섹션을 계속합니다.
- 필요한 경우 TOU(사용 약관) 문서를 업로드합니다. 사용자가 애플리케이션에 액세스하려면 TOU(사용 약관)에 동의하도록 요구하는 경우 조건부 액세스 정책에 포함할 수 있도록 TOU 문서를 만들고 업로드합니다.
- 사용자가 Microsoft Entra 다단계 인증을 사용할 준비가 되었는지 확인합니다. 페더레이션을 통해 통합된 중요 비즈니스용 애플리케이션에 Microsoft Entra 다단계 인증을 요구하는 것이 좋습니다. 이러한 애플리케이션의 경우 사용자가 다단계 인증 요구 사항을 충족해야만 Microsoft Entra ID가 사용자의 애플리케이션 로그인을 허용하는 정책이 있어야 합니다. 일부 조직에서는 위치에 따라 액세스를 차단하거나 사용자가 등록된 디바이스에서 액세스하도록 요구할 수도 있습니다. 인증, 위치, 디바이스 및 TOU에 필요한 조건을 포함하는 적절한 정책이 아직 없는 경우 조건부 액세스 배포에 정책을 추가합니다.
- 애플리케이션 웹 엔드포인트를 적절한 조건부 액세스 정책의 범위로 가져옵니다. 동일한 거버넌스 요구 사항이 적용되는 또 다른 애플리케이션에 대해 만들어진 기존 조건부 액세스 정책이 있는 경우 해당 정책을 업데이트하여 이 애플리케이션에도 적용할 수 있습니다. 이렇게 하면 정책이 너무 많아지지 않도록 할 수 있습니다. 업데이트를 수행한 후에는 예상한 정책이 적용되는지 확인합니다. 조건부 액세스 what if 도구를 사용하여 어떤 정책이 사용자에게 적용되는지 확인할 수 있습니다.
- 사용자에게 임시 정책 제외가 필요한 경우 되풀이 액세스 검토를 만듭니다. 경우에 따라 권한 있는 모든 사용자에게 조건부 액세스 정책을 즉시 적용하지 못할 수도 있습니다. 예를 들어 일부 사용자는 적절하게 등록된 디바이스를 갖고 있지 않을 수 있습니다. 조건부 액세스 정책에서 하나 이상의 사용자를 제외하고 액세스를 허용해야 하는 경우 조건부 액세스 정책에서 제외된 사용자 그룹의 액세스 검토를 구성합니다.
- 토큰 수명 및 애플리케이션의 세션 설정을 문서화합니다. 지속적인 액세스가 거부된 사용자가 페더레이션된 애플리케이션을 계속 사용할 수 있는 기간은 애플리케이션의 자체 세션 수명과 액세스 토큰 수명에 따라 달라집니다. 애플리케이션의 세션 수명은 애플리케이션 자체에 따라 달라집니다. 액세스 토큰의 수명을 제어하는 방법에 대한 자세한 내용은 구성 가능한 토큰 수명을 참조하세요.
액세스 할당 자동화를 위한 권한 관리 정책 배포
이 섹션에서는 사용자가 애플리케이션의 역할 또는 애플리케이션에서 사용하는 그룹에 대한 액세스 권한을 요청할 수 있도록 Microsoft Entra 권한 관리를 구성합니다. 이러한 작업을 수행하려면 전역 관리자, ID 거버넌스 관리자 역할 또는 카탈로그 작성자 및 애플리케이션 소유자로 위임되어야 합니다.
참고 항목
최소 권한 액세스에 이어 여기서는 ID 거버넌스 관리자 역할을 사용하는 것이 좋습니다.
- 관리되는 애플리케이션에 대한 액세스 패키지는 지정된 카탈로그에 있어야 합니다. 애플리케이션 거버넌스 시나리오에 대한 카탈로그가 아직 없는 경우 Microsoft Entra 권한 관리에서 카탈로그를 만듭니다. 만들 카탈로그가 여러 개 있는 경우 PowerShell 스크립트를 사용하여 각 카탈로그를 만들 수 있습니다.
- 카탈로그를 필요한 리소스로 채웁니다. 애플리케이션과 애플리케이션에서 사용하는 모든 Microsoft Entra 그룹을 해당 카탈로그의 리소스로 추가합니다. 리소스가 많은 경우 PowerShell 스크립트를 사용하여 각 리소스를 카탈로그에 추가할 수 있습니다.
- 사용자가 요청할 수 있는 각 역할 또는 그룹에 대한 액세스 패키지를 만듭니다. 각 애플리케이션 및 해당 애플리케이션 역할 또는 그룹에 대해 해당 역할 또는 그룹을 리소스로 포함하는 액세스 패키지를 만듭니다. 이러한 액세스 패키지를 구성하는 이 단계에서는 관리자만 할당을 만들 수 있도록 각 액세스 패키지의 첫 번째 액세스 패키지 할당 정책을 직접 할당 정책으로 구성합니다. 해당 정책에서는 기존 사용자(있는 경우)의 액세스 권한이 무기한 유지되지 않도록 기존 사용자에 대한 액세스 검토 요구 사항을 설정합니다. 액세스 패키지가 많은 경우 PowerShell 스크립트를 사용하여 카탈로그에 각 액세스 패키지를 만들 수 있습니다.
- 의무 분리 요구 사항을 적용하도록 액세스 패키지를 구성합니다. 의무 분리 요구 사항이 있는 경우 액세스 패키지에 대해 호환되지 않는 액세스 패키지 또는 기존 그룹을 구성합니다. 시나리오에서 의무 분리 검사를 재정의하는 기능을 요구하는 경우 이러한 재정의 시나리오에 대한 추가 액세스 패키지를 설정할 수도 있습니다.
- 애플리케이션에 대한 액세스 권한이 이미 있는 기존 사용자의 할당을 액세스 패키지에 추가합니다. 각 액세스 패키지에 대해 해당 역할의 애플리케이션 기존 사용자 또는 해당 그룹의 멤버를 액세스 패키지 및 직접 할당 정책에 할당합니다. Microsoft Entra 관리 센터를 사용하거나 Graph 또는 PowerShell을 통해 대량으로 액세스 패키지에 사용자를 직접 할당할 수 있습니다.
- 사용자가 액세스를 요청할 수 있도록 추가 정책을 만듭니다. 각 액세스 패키지에서 사용자가 액세스 권한을 요청할 수 있도록 추가 액세스 패키지 할당 정책을 만듭니다. 해당 정책에서 승인 및 되풀이 액세스 검토 요구 사항을 구성합니다.
- 애플리케이션에서 사용하는 다른 그룹에 대한 되풀이 액세스 검토를 만듭니다. 애플리케이션에서 사용하지만 액세스 패키지에 대한 리소스 역할이 아닌 그룹이 있는 경우 해당 그룹의 멤버 자격에 대한 액세스 검토를 만듭니다.
액세스 권한 보고서 보기
Azure Monitor가 포함된 Microsoft Entra ID 및 Microsoft Entra ID 거버넌스는 애플리케이션에 대한 액세스 권한을 갖고 있는 사용자와 해당 사용자가 액세스 권한을 사용하는지 파악하는 데 도움이 되는 여러 가지 보고서를 제공합니다.
- 관리자 또는 카탈로그 소유자는 Microsoft Entra 관리 센터, Graph 또는 PowerShell을 통해 액세스 패키지가 할당된 사용자 목록을 검색할 수 있습니다.
- Microsoft Entra 관리 센터 또는 PowerShell을 통해 감사 로그를 Azure Monitor로 보내고 액세스 패키지 변경 기록을 볼 수도 있습니다.
- Microsoft Entra 관리 센터의 로그인 보고서 또는 Graph를 통해 지난 30일간의 애플리케이션 로그인을 볼 수 있습니다.
- 로그인 로그를 Azure Monitor로 보내 최대 2년 동안 로그인 활동을 보관할 수도 있습니다.
지속적으로 모니터링하면서 필요한 대로 권한 관리 정책 및 액세스 권한 조정
애플리케이션에 대한 애플리케이션 액세스 권한 할당 변경량에 따라 매주, 매월, 분기별 등과 같이 정기적으로 Microsoft Entra 관리 센터를 사용하여 정책에 따라 액세스 권한을 부여합니다. 승인 및 검토가 필요한 것으로 확인된 사용자가 여전히 이러한 작업에 적합한지 확인할 수도 있습니다.
애플리케이션 역할 할당 및 그룹 멤버 자격 변경을 확인합니다. 감사 로그를 Azure Monitor로 보내도록 Microsoft Entra ID를 구성한 경우 Azure Monitor에서
Application role assignment activity
를 사용하여 권한 관리를 통해 수행되지 않은 애플리케이션 역할 할당을 모니터링 및 보고합니다. 애플리케이션 소유자가 직접 만든 역할 할당이 있는 경우 해당 애플리케이션 소유자에게 문의하여 해당 할당에 권한이 부여되었는지 확인해야 합니다. 또한 애플리케이션이 Microsoft Entra 보안 그룹을 사용하는 경우 해당 그룹의 변경 내용도 모니터링합니다.애플리케이션 내에서 직접 액세스 권한이 부여된 사용자도 감시합니다. 다음 조건이 충족되면 사용자가 Microsoft Entra ID에 포함되거나 Microsoft Entra ID에 의해 애플리케이션의 사용자 계정 저장소에 추가되지 않아도 애플리케이션에 액세스할 수 있습니다.
- 애플리케이션은 앱 내에 로컬 사용자 계정 저장소가 있습니다.
- 사용자 계정 저장소는 데이터베이스 또는 LDAP 디렉터리에 있습니다.
- 애플리케이션은 Single Sign-On을 Microsoft Entra ID에만 의존하지 않습니다.
이전 목록의 속성이 있는 애플리케이션의 경우 Microsoft Entra 프로비저닝을 통해 사용자가 애플리케이션의 로컬 사용자 저장소에만 추가되었는지 정기적으로 확인해야 합니다. 애플리케이션에서 직접 만든 사용자인 경우 애플리케이션 소유자에게 문의하여 해당 할당에 권한이 부여되었는지 확인합니다.
승인자와 검토자를 최신 상태로 유지합니다. 이전 섹션에서 구성한 각 액세스 패키지에서 액세스 패키지 할당 정책의 승인자 및 검토자가 계속 올바르도록 확인해야 합니다. 이전에 구성한 승인자와 검토자가 더 이상 조직 내에 없거나 다른 역할에 있는 경우 해당 정책을 업데이트합니다.
검토자가 검토 중에 결정을 내리는지 확인합니다. 액세스 패키지에 대한 되풀이 액세스 검토가 성공적으로 완료되는지 모니터링하여 검토자가 사용자의 지속적인 액세스 권한 요구를 승인하거나 거부하는 결정을 내리도록 합니다.
프로비저닝 및 프로비전 해제가 예상대로 작동하는지 확인합니다. 이전에 애플리케이션에 대한 사용자 프로비저닝을 구성한 경우 검토 결과가 적용되거나 사용자의 액세스 패키지 할당이 만료되면 Microsoft Entra ID는 애플리케이션에서 거부된 사용자의 프로비전 해제를 시작합니다. 사용자를 프로비전 해제하는 프로세스를 모니터링할 수 있습니다. 프로비전에서 애플리케이션 관련 오류가 표시되면 프로비전 로그를 다운로드하여 애플리케이션에 문제가 있는지 조사할 수 있습니다.
애플리케이션의 역할 또는 그룹 변경 내용으로 Microsoft Entra 구성을 업데이트합니다. 애플리케이션 관리자가 해당 매니페스트에 새 앱 역할을 추가하거나, 기존 역할을 업데이트하거나, 추가 그룹을 사용하는 경우 새 역할 또는 그룹을 고려하도록 액세스 패키지 및 액세스 검토를 업데이트해야 합니다.