다음을 통해 공유


Microsoft Entra ID 거버넌스를 사용하는 최소 권한 원칙

ID 거버넌스 전략을 취하기 전에 해결해야 하는 한 가지 개념은 최소 권한 원칙(PLOP)입니다. 최소 권한은 사용자 및 그룹에게 업무를 수행하는 데 필요한 최소 수준의 액세스 및 권한만 할당하는 ID 거버넌스의 원칙입니다. 이 아이디어는 사용자 또는 그룹이 작업을 완료할 수 있도록 액세스 권한을 제한하고 공격자가 악용하거나 보안 위반으로 이어질 수 있는 불필요한 권한을 최소화하는 것입니다.

Microsoft Entra ID 거버넌스와 관련하여 최소 권한 원칙을 적용하면 보안을 강화하고 위험을 완화하는 데 도움이 됩니다. 이 접근 방식을 사용하면 사용자와 그룹이 역할 및 책임과 관련된 리소스, 데이터 및 작업에만 액세스할 수 있으며, 그 외에는 아무것도 부여되지 않습니다.

최소 권한 원칙의 주요 개념

  • 필요한 리소스에만 액세스: 사용자는 작업을 수행해야 하는 경우에만 정보 및 리소스에 액세스할 수 있습니다. 이렇게 하면 중요한 데이터에 대한 무단 액세스를 방지하고 보안 위반의 잠재적 영향을 최소화할 수 있습니다. 사용자 프로비저닝을 자동화하면 불필요한 액세스 권한 부여를 줄일 수 있습니다. 수명 주기 워크플로 는 조직에서 기본 수명 주기 프로세스를 자동화하여 Microsoft Entra 사용자를 관리할 수 있도록 하는 ID 거버넌스 기능입니다.

  • RBAC(역할 기반 액세스 제어): 액세스 권한은 사용자의 특정 역할 또는 작업 기능에 따라 결정됩니다. 각 역할에는 책임을 수행하는 데 필요한 최소 권한이 할당됩니다. Microsoft Entra 역할 기반 액세스 제어 는 Microsoft Entra 리소스에 대한 액세스를 관리합니다.

  • Just-In-Time 권한: 액세스 권한은 필요한 기간 동안만 부여되며 더 이상 필요하지 않을 때 해지됩니다. 이렇게 하면 공격자가 과도한 권한을 악용할 수 있는 기회가 줄어듭니다. PIM(Privileged Identity Management) 은 Microsoft Entra ID의 서비스로, 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있으며 Just-In-Time 액세스를 제공할 수 있습니다.

  • 정기 감사 및 검토: 사용자에게 부여된 액세스 권한이 계속 필요한지 확인하기 위해 사용자 액세스 및 권한에 대한 정기적인 검토가 수행됩니다. 이렇게 하면 최소 권한 원칙의 편차를 식별하고 수정할 수 있습니다. Microsoft Entra의 일부인 Microsoft Entra ID의 액세스 검토를 통해 조직은 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리할 수 있습니다. 적절한 사용자만 계속 액세스할 수 있도록 사용자의 액세스를 정기적으로 검토할 수 있습니다.

  • 기본 거부: 기본 입장은 액세스를 거부하는 것이며, 액세스는 승인된 목적으로만 명시적으로 부여됩니다. 이는 불필요한 권한을 부여할 수 있는 "기본 허용" 접근 방식과 대조됩니다. 권한 관리는 조직이 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 대규모로 관리할 수 있도록 하는 ID 거버넌스 기능입니다.

최소 권한 원칙에 따라 조직은 보안 문제의 위험을 줄이고 액세스 제어가 비즈니스 요구 사항에 맞게 조정되도록 할 수 있습니다.

ID 거버넌스 기능에서 관리하기 위한 최소 권한 역할

ID 거버넌스에서 관리 작업을 수행할 때 최소 권한 역할을 사용하는 것이 가장 좋습니다. 이러한 작업을 수행하기 위해 필요할 때 Microsoft Entra PIM을 사용하여 역할을 활성화하는 것이 좋습니다. 다음은 ID 거버넌스 기능을 구성하는 데 필요한 최소 권한 디렉터리 역할입니다.

기능 최소 권한 역할
자격 관리 Identity Governance 관리자
액세스 검토 사용자 관리자(Azure 또는 Microsoft Entra 역할의 액세스 검토 제외. 이 작업은 권한 있는 역할 관리자가 필요)
수명 주기 워크플로 수명 주기 워크플로 관리자
Privileged Identity Management 권한 있는 역할 관리자
사용 약관 보안 관리자 또는 조건부 액세스 관리자

참고 항목

권한 관리에 대한 최소 권한 있는 역할은 사용자 관리자 역할에서 ID 거버넌스 관리자 역할로 변경되었습니다.