Microsoft Entra ID Governance를 통해 직원 및 게스트 수명 주기 관리
조직에서는 ID 거버넌스를 통해 생산성(사용자가 조직에 가입할 때처럼 필요한 리소스에 액세스하는 속도)과 보안 - 해당하는 사람의 고용 상태의 변경 내용과 같이 시간이 지남에 따라 해당하는 액세스를 어떻게 변경해야 하나요?
ID 수명 주기 관리
ID 수명 주기 관리는 ID 거버넌스의 기반이며, 규모에 맞는 효과적인 거버넌스를 위해 애플리케이션에 대한 ID 수명 주기 관리 인프라를 현대화해야 합니다. ID 수명 주기 관리는 조직과 연결된 개인에 대한 디지털 ID 수명 주기 프로세스를 전체적으로 자동화하고 관리하는 것을 목표로 합니다.
디지털 ID란?
디지털 ID는 하나 이상의 컴퓨팅 리소스(예: 운영 체제 또는 애플리케이션)에서 사용하는 엔터티에 대한 정보입니다. 이러한 엔터티는 사람, 조직, 애플리케이션 또는 디바이스를 나타낼 수 있습니다. ID는 일반적으로 관련된 특성(예: 이름, 식별자 및 액세스 관리에 사용되는 역할)으로 설명됩니다. 이러한 특성은 시스템에서 시스템이 누가 무엇에 액세스할 수 있고 누가 해당 리소스를 사용할 수 있는지 등을 결정하는 데 도움이 됩니다.
디지털 ID의 수명 주기 관리
디지털 ID 관리는 특히 사람과 같은 실제 개체 및 조직의 직원으로서 해당 조직과의 관계를 디지털 표현과 상호 관련시키는 복잡한 작업입니다. 소규모 조직에서는 ID가 필요한 개인의 디지털 표현을 유지하는 것이 수동 프로세스일 수 있습니다. 예를 들어 누군가를 고용하거나 계약자가 도착하면 IT 전문가가 해당 계정을 디렉터리에 만들고 필요한 액세스 권한을 할당할 수 있습니다. 그러나 중간 규모 및 대규모 조직에서는 자동화를 통해 조직에서 더 효과적으로 크기를 조정하고 ID를 정확하게 유지할 수 있습니다.
조직에서 ID 수명 주기 관리를 설정하는 일반적인 프로세스는 다음 단계를 따릅니다.
조직에서 신뢰할 수 있는 것으로 처리하는 데이터 원본과 같은 레코드의 시스템이 이미 있는지 확인합니다. 예를 들어 조직에 Workday 또는 SuccessFactors와 같은 HR 시스템이 있을 수 있으며, 해당 시스템에는 현재 직원 목록과 직원 이름, 부서와 같은 일부 속성을 제공하는 권한이 있습니다. 또한 Exchange Online과 같은 전자 메일 시스템은 직원의 이메일 주소와 같은 추가 특성에 대해 권한을 가질 수 있습니다.
이러한 기록 시스템을 Microsoft Entra ID와 연결하고 Microsoft Entra ID의 기존 사용자와 기록 시스템 간의 불일치를 해결합니다. 예를 들어 Microsoft Entra ID에 더 이상 조직과 관련이 없는 이전 직원의 사용자 계정과 같이 이제 사용되지 않는 데이터가 있을 수 있습니다.
Microsoft Entra ID에 있는 사용자가 올바른지 확인한 후에는 애플리케이션에서 사용하는 하나 이상의 디렉터리 및 데이터베이스에 Microsoft Entra ID를 연결하여 해당 디렉터리와 Microsoft Entra ID 기록 데이터 시스템 복사본 간의 불일치를 해결합니다. 예를 들어 이전에 연결이 끊어진 애플리케이션의 디렉터리에 이전 직원의 계정과 같은 못쓰게 된 데이터가 있을 수 있습니다.
레코드 시스템이 없는 경우 신뢰할 수 있는 정보를 제공하는 데 사용할 수 있는 프로세스를 결정합니다. 예를 들어 방문자를 제외하고는 디지털 ID가 있지만 방문자에 대한 데이터베이스가 조직에 없는 경우 방문자의 디지털 ID가 더 이상 필요하지 않은 시기를 결정하는 다른 방법을 찾아야 할 수도 있습니다.
기록 시스템이나 기타 프로세스의 변경 내용이 업데이트가 필요한 각 디렉터리 또는 데이터베이스에 Microsoft Entra ID를 통해 복제되는지 확인합니다.
조직 관계가 있는 직원 및 기타 개인을 나타내는 ID 수명 주기 관리
직원 또는 조직 관계가 있는 다른 개인(예: 계약자 또는 학생)에 대한 ID 수명 주기 관리를 계획하는 경우 많은 조직에서 다음 프로세스에 따라 "참가, 이동 및 탈퇴"를 모델링합니다.
- 참가 - 개인이 액세스가 필요한 범위에 드는 경우 해당 애플리케이션에 ID가 필요하므로 아직 없다면 새 디지털 ID를 만들어야 할 수 있습니다.
- 이동 - 개인이 추가 액세스 권한 부여가 필요한 경계 사이를 이동하는 경우 디지털 ID에 추가하거나 제거합니다.
- 탈퇴 - 개인이 액세스가 필요한 범위에서 벗어나는 경우 액세스를 제거해야 할 수 있으며, 이후에 애플리케이션에서 감사 또는 법정 분석 목적 이외에는 ID를 더 이상 요구하지 않을 수 있습니다.
예를 들어 이전에 조직에 소속된 적이 없는 새 직원이 조직에 참가하는 경우 해당 직원에게 Microsoft Entra ID에서 사용자 계정으로 표시되는 새 디지털 ID가 필요합니다. 이 계정을 만드는 작업은 "참가자" 프로세스에 속하게 되며, 새 직원이 업무를 시작하는 시기를 나타낼 수 있는 Workday와 같은 레코드 시스템이 있으면 자동화할 수 있습니다. 나중에 조직에서 직원이 영업에서 마케팅으로 이동하는 경우 "이동자" 프로세스에 속하게 됩니다. 이 이동을 위해 영업 조직에 있는 더 이상 필요하지 않은 액세스 권한을 제거하고 마케팅 조직에서 새 요구 사항에 필요한 권한을 부여해야 합니다.
게스트에 대한 ID 수명 주기 관리
파트너, 공급업체 및 기타 게스트가 공동 작업하거나 리소스에 액세스할 수 있도록 추가 ID에 대해서도 유사한 프로세스가 필요합니다. Microsoft Entra 외부 ID 권한 관리는 Microsoft Entra B2B(기업 간)를 활용하여 조직의 리소스에 액세스해야 하는 조직 외부의 사용자와 협업하는 데 필요한 수명 주기 제어를 제공합니다. Microsoft Entra B2B를 사용하면 외부 사용자가 홈 디렉터리 또는 ID 공급자에 대해 인증되지만, 조직의 디렉터리에 표시됩니다. 조직 디렉터리의 표시를 통해 사용자에게 리소스에 대한 액세스 권한을 할당할 수 있습니다. 권한 관리를 통해 조직 외부의 개인이 액세스를 요청할 수 있고 필요에 따라 디지털 ID를 만들 수 있습니다. 이러한 디지털 ID는 사용자가 액세스 권한을 잃으면 자동으로 제거됩니다.
라이선스 요구 사항
이 기능을 사용하려면 Microsoft Entra ID Governance 또는 Microsoft Entra Suite 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기