Microsoft Entra ID에서 보다 세부적인 관리 제어를 위해 범위가 하나 이상의 관리 장치로 제한된 Microsoft Entra 역할에 사용자를 할당할 수 있습니다. 일반 작업에 대한 샘플 PowerShell 스크립트는 관리 단위 작업을 참조하세요.
일반
관리 단위를 만들 수 없는 이유는 무엇인가요?
Microsoft Entra ID에서 관리 장치를 만들려면 최소한 권한 있는 역할 관리자 역할을 할당받아야 합니다. 관리 장치를 만들려는 사용자에게 권한 있는 역할 관리자 역할이 할당되었는지 확인합니다.
관리 단위에 그룹을 추가했습니다. 그룹 구성원이 아직 표시되지 않는 이유는 무엇인가요?
관리 장치에 그룹을 추가해도 그룹의 모든 멤버가 추가되지는 않습니다. 사용자는 관리 단위에 직접 할당되어야 합니다.
관리 단위의 구성원을 추가(또는 제거)했습니다. 구성원이 사용자 인터페이스에 표시되지 않는(또는 여전히 표시되는) 이유는 무엇인가요?
관리 단위의 구성원을 한 명 이상 추가하거나 제거할 경우 관리 단위 창에 반영되는 데 몇 분 정도 걸릴 수 있습니다. 또는, 연결된 리소스의 속성으로 직접 이동하여 작업이 완료되었는지 여부를 확인할 수 있습니다. 관리 단위의 멤버에 대한 자세한 내용은 관리 단위의 사용자, 그룹 또는 디바이스 나열을 참조하세요.
저는 관리 단위의 위임된 암호 관리자입니다. 특정 사용자의 암호를 재설정할 수 없는 이유는 무엇인가요?
관리 단위의 관리자는 관리 단위에 할당된 사용자의 암호만 재설정할 수 있습니다. 암호 재설정에 실패한 사용자가 할당된 관리 단위에 속하는지 확인하세요. 사용자가 동일한 관리 단위에 속하지만 사용자의 암호를 재설정할 수 없는 경우 사용자에게 할당된 역할을 확인하세요.
권한 상승을 방지하기 위해 관리 단위 범위 관리자는 범위가 조직 전체인 역할에 할당된 사용자의 암호를 재설정할 수 없습니다.
관리 단위가 필요한 이유는 무엇인가요? 범위를 정의하는 방식으로는 보안 그룹을 사용할 수 없나요?
보안 그룹에는 기존 목적과 권한 부여 모델이 있습니다. 예를 들어, 사용자 관리자는 Microsoft Entra 조직에 있는 모든 보안 그룹의 멤버 자격을 관리할 수 있습니다. 이 역할은 그룹을 사용하여 Salesforce와 같은 애플리케이션에 대한 액세스를 관리할 수 있습니다. 사용자 관리자가 위임 모델 자체를 관리할 수 있어서는 안 됩니다. 이러한 상황은 보안 그룹이 "리소스 그룹화" 시나리오를 지원하도록 확장된 경우에 발생합니다.
Windows Server Active Directory의 조직 구성 단위와 같은 관리 단위는 광범위한 디렉터리 개체의 관리 범위를 지정하는 방식을 제공하기 위해 만들어졌습니다. 보안 그룹 자체는 리소스 범위의 구성원일 수 있습니다. 보안 그룹을 사용하여 관리자가 관리할 수 있는 보안 그룹 집합을 정의하면 혼란이 발생할 수 있습니다.
관리 단위에 그룹을 추가하는 것은 무엇을 의미하나요?
관리 단위에 그룹을 추가하면 그룹 자체가 관리 단위의 관리 범위에 포함되지만 그룹의 구성원은 포함되지 않습니다. 자세한 내용은 Microsoft Entra ID의 관리 장치를 참조하세요.
리소스(사용자, 그룹 또는 디바이스)가 둘 이상의 관리 단위의 멤버가 될 수 있나요?
예, 리소스는 둘 이상의 관리 단위 구성원일 수 있습니다. 리소스에 대한 사용 권한이 있는 모든 조직 전체 및 관리 단위 범위 관리자가 리소스를 관리할 수 있습니다.
B2C 조직에서 관리 단위를 사용할 수 있나요?
아니요, B2C 조직에서는 관리 장치를 사용할 수 없습니다.
중첩된 관리 단위가 지원되나요?
아니요, 중첩된 관리 장치는 지원되지 않습니다.
PowerShell 및 Microsoft Graph API에서 관리 장치가 지원되나요?
예. PowerShell cmdlet 설명서 및 샘플 스크립트에서 관리 단위에 대한 지원을 찾을 수 있습니다.
Microsoft Graph에서 administrativeUnit 리소스 종류에 대한 지원을 찾아보세요.
동적 관리 단위
관리 단위의 동적 멤버 자격 그룹에 대한 규칙을 방금 저장했지만 아직 채워진 사용자가 표시되지 않습니다.
관리 장치의 초기 업데이트는 테넌트 크기와 현재 Microsoft Entra ID 로드에 따라 몇 분 정도 걸릴 수 있습니다.
규칙 작성기를 사용하여 Microsoft Entra 관리 센터에서 동적 멤버 자격 그룹에 대한 규칙을 만들고 저장을 시도한 후 "관리 단위 속성을 업데이트하지 못했습니다."라는 오류가 발생합니다.
이는 일반적으로 제공된 속성 값에 문제가 있음을 의미합니다. 제공한 속성 값이 적절한 값 형식(부울, 문자열 또는 문자열 컬렉션)인지 확인합니다. 자세한 내용은 사용자 또는 디바이스에 대해 각 연산자에 허용되는 값을 참조하세요.
이 오류는 Microsoft Entra ID P1 라이선스가 없는 사람이 관리 장치에 대한 업데이트를 저장하려고 시도하는 경우에도 발생할 수 있습니다.
동적 멤버 자격 그룹에 대한 현재 규칙 외에 관리 단위에 단일 멤버를 추가하려면 어떻게 해야 하나요?
단일 사용자를 추가하려면 동적 멤버 자격 그룹에 대한 규칙에 OR 쿼리 연산자를 사용하여 적절한 식을 추가합니다.
저는 권한 있는 역할 관리자이지만 관리 장치의 멤버를 추가하거나 제거할 수 없습니다.
관리 단위가 동적 멤버 자격 그룹에 대해 구성된 경우 멤버 자격을 변경하려면 동적 멤버 자격 그룹에 대한 규칙을 편집해야 합니다.
테넌트에서 동적 멤버 자격 그룹에 대한 규칙이 있는 관리 단위는 몇 개까지 만들 수 있나요?
결합된 동적 멤버 자격 그룹 및 동적 관리 단위의 총 수는 15,000을 초과할 수 없습니다.
동적 멤버 자격 그룹에 대한 규칙의 자 수에 제한이 있나요?
예. 3,072자.
Microsoft 365 관리 센터에서 동적 멤버 자격 그룹에 대한 규칙을 사용하여 관리 단위를 만들 수 있나요?
아니요.
제한된 관리 장치(미리 보기)
나는 제한된 관리 장치의 멤버인 그룹의 소유자입니다. 내 권한은 어떤 영향을 받나요?
보호된 그룹의 소유자는 소유권만으로 그룹을 관리할 수 없습니다. 현재 보호되는 리소스를 관리하려면 보호되는 리소스의 제한된 관리 장치 범위에서 역할을 할당해야 합니다.
제한된 관리 장치를 사용하면 내 Microsoft 365 리소스가 어떤 영향을 받나요?
현재 제한된 관리 장치에서 Microsoft Entra 리소스 보안이 지원됩니다. Microsoft Entra ID 외부에서 관리되는 리소스는 지원되지 않습니다.
제한된 관리 장치의 멤버를 수정할 수 없습니다.
사용자, 그룹 또는 디바이스는 제한된 관리 장치의 멤버입니다. 관리 권한은 해당 관리 단위 범위의 관리자로 제한됩니다.