관리 단위 범위로 Microsoft Entra 역할 할당
Microsoft Entra ID에서 보다 세분화된 관리 제어를 위해 하나 이상의 관리 단위로 제한된 범위를 사용하여 Microsoft Entra 역할을 할당할 수 있습니다. 관리 단위의 범위에서 Microsoft Entra 역할이 할당되면 역할 권한은 관리 단위 자체의 멤버를 관리할 때만 적용되며 테넌트 전체 설정 또는 구성에는 적용되지 않습니다.
예를 들어 관리 단위의 범위에서 그룹 관리자 역할이 할당된 관리자는 관리 단위의 구성원인 그룹을 관리할 수 있지만 테넌트의 다른 그룹은 관리할 수 없습니다. 또한 만료 또는 그룹 명명 정책과 같은 그룹과 관련된 테넌트 수준 설정을 관리할 수 없습니다.
이 문서에서는 관리 단위 범위로 Microsoft Entra 역할을 할당하는 방법을 설명합니다.
필수 조건
- 각 관리 단위 관리자를 위한 Microsoft Entra ID P1 또는 P2 라이선스
- 관리 장치 멤버를 위한 Microsoft Entra ID Free 라이선스
- 권한 있는 역할 관리자
- PowerShell 사용 시 Microsoft Graph PowerShell 모듈
- Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의.
자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.
관리 단위 범위를 사용하여 할당할 수 있는 역할
관리 단위 범위로 할당할 수 있는 Microsoft Entra 역할은 다음과 같습니다. 또한 사용자 지정 역할의 권한에 사용자, 그룹 또는 디바이스와 관련된 사용 권한이 하나 이상 포함되어 있는 한 모든 사용자 지정 역할을 관리 단위 범위로 할당할 수 있습니다.
역할 | 설명 |
---|---|
인증 관리자 | 할당된 관리 단위에서만 관리 사용자가 아닌 사용자의 인증 방법 정보를 보고, 설정하고, 재설정하기 위해 액세스할 수 있습니다. |
클라우드 디바이스 관리자 | Microsoft Entra ID에서 디바이스를 관리하기 위한 액세스가 제한됩니다. |
그룹 관리자 | 할당된 관리 단위에서만 그룹의 모든 측면을 관리할 수 있습니다. |
기술 지원팀 관리자 | 할당된 관리 단위에서만 비관리자의 암호를 재설정할 수 있습니다. |
라이선스 관리자 | 관리 단위 내에서만 라이선스 할당을 할당, 제거, 업데이트할 수 있습니다. |
암호 관리자 | 할당된 관리 단위 내에서만 비관리자의 암호를 재설정할 수 있습니다. |
프린터 관리자 | 프린터 및 프린터 커넥터를 관리할 수 있습니다. 자세한 내용은 유니버설 인쇄에서 프린터 관리 위임을 참조하세요. |
권한 있는 인증 관리자 | 사용자(관리자 또는 비관리자)의 인증 방법 정보를 보고, 설정하고. 재설정하기 위해 액세스할 수 있습니다. |
SharePoint 관리자 | 할당된 관리 단위에서만 Microsoft 365 그룹을 관리할 수 있습니다. 관리 단위의 Microsoft 365 그룹과 연결된 SharePoint 사이트의 경우 Microsoft 365 관리 센터 사용하여 사이트 속성(사이트 이름, URL 및 외부 공유 정책)을 업데이트할 수도 있습니다. SharePoint 관리 센터 또는 SharePoint API를 사용하여 사이트를 관리할 수 없습니다. |
Teams 관리자 | 할당된 관리 단위에서만 Microsoft 365 그룹을 관리할 수 있습니다. 할당된 관리 단위의 그룹과 연결된 팀에 대해서만 Microsoft 365 관리 센터의 팀 구성원을 관리할 수 있습니다. Teams 관리 센터를 사용할 수 없습니다. |
Teams 디바이스 관리자 | Teams 인증 디바이스에서 관리 관련 작업을 수행할 수 있습니다. |
사용자 관리자 | 할당된 관리 단위 내에서만 제한된 관리자의 암호 재설정을 비롯하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다. 현재 사용자의 프로필 사진을 관리할 수 없습니다. |
<사용자 지정 역할> | 사용자 지정 역할의 정의에 따라 사용자, 그룹 또는 디바이스에 적용되는 작업을 수행할 수 있습니다. |
특정 역할 권한은 관리 단위의 범위로 할당될 때 관리자가 아닌 사용자에게만 적용됩니다. 즉, 관리 단위 범위 기술 지원팀 관리자는 관리자 역할이 없는 경우에만 관리 단위의 사용자에 대한 암호를 재설정할 수 있습니다. 작업의 대상이 다른 관리자인 경우 다음 사용 권한 목록이 제한됩니다.
- 사용자 인증 방법 읽기 및 수정 또는 사용자 암호 재설정
- 전화 번호, 대체 메일 주소 또는 OAuth(Open Authorization) 비밀 키와 같은 중요한 사용자 속성 수정
- 사용자 계정 삭제 또는 복원
관리 단위 범위와 함께 할당할 수 있는 보안 주체
관리 단위 범위가 있는 역할에는 다음 보안 주체를 할당할 수 있습니다.
- 사용자
- Microsoft Entra 역할 할당 가능 그룹
- 서비스 주체
서비스 주체 및 게스트 사용자
서비스 주체 및 게스트 사용자는 개체 읽기 권한이 할당되지 않은 경우 관리 단위로 범위가 지정된 역할 할당도 사용할 수 없습니다. 서비스 주체 및 게스트 사용자에게는 기본적으로 관리 작업을 수행하는 데 필요한 디렉터리 읽기 권한이 제공되지 않기 때문입니다. 서비스 주체 또는 게스트 사용자가 관리 단위로 범위가 지정된 역할 할당을 사용할 수 있도록 하려면 테넌트 범위에서 디렉터리 읽기 권한자 역할(또는 읽기 권한이 포함된 다른 역할)을 할당해야 합니다.
현재 관리 단위로 범위가 지정된 디렉터리 읽기 권한을 할당할 수 없습니다. 사용자의 기본 권한에 대한 자세한 내용은 기본 사용자 권한을 참조하세요.
관리 단위 범위가 있는 역할 할당
Microsoft Entra 관리 센터, PowerShell, Microsoft Graph를 사용하여 관리 단위 범위로 Microsoft Entra 역할을 할당할 수 있습니다.
Microsoft Entra 관리 센터
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자>관리 단위로 이동합니다.
사용자 역할 범위를 할당하려는 관리 단위를 선택합니다.
왼쪽 창에서 역할 및 관리자를 선택하여 사용 가능한 모든 역할을 나열합니다.
할당할 역할을 선택하고 할당 추가를 선택합니다.
할당 추가 창에서 역할에 할당할 사용자를 하나 이상 선택합니다.
참고 항목
Microsoft Entra PIM(Privileged Identity Management)을 사용하여 관리 단위에 역할을 할당하려면 PIM에서 Microsoft Entra 역할 할당을 참조하세요.
PowerShell
New-MgRoleManagementDirectoryRoleAssignment 명령과 DirectoryScopeId
매개 변수를 사용하여 관리 단위 범위의 역할을 할당합니다.
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
scopedRoleMember API 추가를 사용하여 관리 단위 범위가 지정된 역할을 할당합니다.
Request
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
본문
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
관리 단위 범위가 있는 역할 할당 나열
Microsoft Entra 관리 센터, PowerShell, Microsoft Graph를 사용하여 관리 단위 범위가 포함된 Microsoft Entra 역할 할당 목록을 볼 수 있습니다.
Microsoft Entra 관리 센터
Microsoft Entra 관리 센터의 관리 장치 섹션에서 관리 장치 범위로 만들어진 모든 역할 할당을 볼 수 있습니다.
Microsoft Entra 관리 센터에 로그인합니다.
ID>역할 및 관리자>관리 단위로 이동합니다.
보려는 역할 할당 목록에 대한 관리 장치를 선택합니다.
역할 및 관리자를 선택한 다음 역할을 열어 관리 단위의 할당을 확인합니다.
PowerShell
Get-MgDirectoryAdministrativeUnitScopedRoleMember 명령을 사용하여 관리 단위 범위가 있는 역할 할당을 나열합니다.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
List scopedRoleMembers API를 사용하여 관리 단위 범위가 있는 역할 할당을 나열합니다.
Request
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
본문
{}