권한이 부여된 액세스 관리 시작

  • 아티클

이 문서에서는 organization 권한 있는 액세스 관리를 사용하도록 설정하고 구성하는 방법을 안내합니다. Microsoft 365 관리 센터 또는 Exchange Management PowerShell을 사용하여 권한 있는 액세스를 관리하고 사용할 수 있습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

시작하기 전에

권한 있는 액세스 관리를 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인해야 합니다.

권한 있는 액세스 관리를 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인해야 합니다. 권한 있는 액세스 관리에 액세스하고 사용하려면 organization 지원 구독 또는 추가 기능이 있어야 합니다. 자세한 내용은 권한 있는 액세스 관리에 대한 구독 요구 사항을 참조하세요.

기존 Office 365 Enterprise E5 플랜이 없고 권한 있는 액세스 관리를 시도하려는 경우 기존 Office 365 구독에 Microsoft 365를 추가하거나 Microsoft 365 Enterprise E5 평가판에 등록할 수 있습니다.

권한 있는 액세스 관리 사용 및 구성

다음 단계에 따라 organization 권한 있는 액세스를 설정하고 사용합니다.

  • 1단계: 승인자 그룹 만들기

    권한 액세스를 사용하기 전에 권한 상승 및 권한 상승 작업에 대한 액세스를 위해 수신 요청에 대해 승인 권한이 필요한 사용자를 확인하세요. 승인자 그룹의 일부인 사용자는 액세스 요청을 승인할 수 있습니다. 이 그룹은 Office 365 메일 사용 보안 그룹을 만들어 사용하도록 설정됩니다.

  • 2단계: 권한 있는 액세스 사용

    권한 있는 액세스는 Privileged Access Management 액세스 제어에서 제외할 시스템 계정 집합을 포함하여 기본 승인자 그룹이 있는 Office 365에서 명시적으로 사용하도록 설정해야 합니다.

  • 3단계: 액세스 정책 만들기

    승인 정책을 만들면 개별 작업에 범위가 있는 특정 승인 요구 사항을 정의할 수 있습니다. 승인 유형 옵션은 자동 또는 수동입니다.

  • 4단계: 권한 있는 액세스 요청 제출/승인

    권한이 부여된 경우 권한 있는 액세스에는 연결된 승인 정책이 정의된 모든 작업에 대한 승인이 필요합니다. 승인 정책에 포함된 작업의 경우 사용자는 작업을 실행하는 데 필요한 권한을 가지기 위해 액세스 승인을 요청하고 액세스 승인을 부여해야 합니다.

승인이 허가된 후 요청 사용자가 원하는 작업을 실행할 수 있으며 권한 있는 액세스 권한은 사용자를 대신하여 작업을 승인하고 실행합니다. 요청된 기간(기본 기간은 4시간)에 대해 승인이 계속 유효하고 요청한 사용자가 의도한 작업을 여러 번 실행할 수 있습니다. 이러한 모든 실행이 기록되어 보안 및 규정 준수 감사에 사용할 수 있습니다.

참고

Exchange Management PowerShell을 사용하여 권한 있는 액세스를 사용하도록 설정하고 구성하려면 Multi-Factor Authentication을 사용하여 PowerShell에 Exchange Online 연결의 단계에 따라 Office 365 자격 증명으로 Exchange Online PowerShell에 연결합니다. Exchange Online PowerShell에 연결하는 동안 권한 있는 액세스를 사용하도록 설정하는 단계를 사용하려면 organization 다단계 인증을 사용하도록 설정할 필요가 없습니다. 다단계 인증을 사용하여 연결하면 권한 있는 액세스에서 요청에 서명하는 데 사용되는 인증 토큰이 만들어집니다.

1단계: 승인자 그룹 만들기

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 그룹 그룹>추가로 이동합니다.

  3. 메일 사용 가능 보안 그룹을 선택한 다음 새 그룹의 이름, 그룹 전자 메일 주소설명 필드를 완료합니다.

  4. 그룹을 저장합니다. 그룹을 완전히 구성하고 Microsoft 365 관리 센터에 표시하는 데 몇 분 정도 걸릴 수 있습니다.

  5. 새 승인자의 그룹을 선택하고 편집 을 선택하여 그룹에 사용자를 추가합니다.

  6. 그룹을 저장합니다.

2단계: 권한 있는 액세스 사용

Microsoft 365 관리 센터에서

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 권한 있는 작업에 대한 승인 필요 컨트롤을 사용하도록 설정합니다.

  4. 1단계에서 만든 승인자의 그룹을 기본 승인자 그룹으로 할당합니다.

  5. 저장 하고 닫습니다.

Exchange 관리 PowerShell에서

권한 있는 액세스를 사용하도록 설정하고 승인자의 그룹을 할당하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

예:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

참고

시스템 계정 기능은 조직 내의 특정 자동화가 권한 있는 액세스에 대한 종속성 없이 작동할 수 있도록 하는 데 사용할 수 있지만, 이러한 제외는 예외적이고 허용되는 자동화를 정기적으로 승인하고 감사하는 것이 좋습니다.

3단계: 액세스 정책 만들기

organization 대해 최대 30개 권한 있는 액세스 정책을 만들고 구성할 수 있습니다.

Microsoft 365 관리 센터에서

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 정책 구성을 선택하고 정책 추가를 선택합니다.

  5. 드롭다운 필드에서 organization 적절한 값을 선택합니다.

    정책 유형: 작업, 역할 또는 역할 그룹

    정책 범위: Exchange

    정책 이름: 사용 가능한 정책에서 선택

    승인 유형: 수동 또는 자동

    승인 그룹: 1단계에서 만든 승인자 그룹 선택

  6. 만들기를 선택한 다음, 닫기를 선택합니다. 정책을 완전히 구성하고 사용하도록 설정하는 데 몇 분 정도 걸릴 수 있습니다.

Exchange 관리 PowerShell에서

승인 정책을 만들고 정의하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

예:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

4단계: 권한 있는 액세스 요청 제출/승인

권한 있는 작업을 실행하기 위해 권한 상승 요청

권한 있는 액세스 요청은 요청이 제출된 후 최대 24시간 동안 유효합니다. 승인되거나 거부되지 않으면 요청이 만료되고 액세스가 승인되지 않습니다.

Microsoft 365 관리 센터에서

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 새 요청을 선택합니다. 드롭다운 필드에서 organization 적절한 값을 선택합니다.

    요청 유형작업, 역할 또는 역할 그룹

    요청 범위: Exchange

    사용자: 사용 가능한 정책에서 선택

    기간(시간): 요청된 액세스 시간 수입니다. 요청할 수 있는 시간에는 제한이 없습니다.

    설명: 액세스 요청과 관련된 주석에 대한 텍스트 필드

  5. 저장을 선택한 다음, 닫기를 선택합니다. 요청은 이메일을 통해 승인자의 그룹으로 전송됩니다.

Exchange 관리 PowerShell에서

Exchange Online PowerShell에서 다음 명령을 실행하여 승인자 그룹에 승인 요청을 만들고 제출합니다.

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

예:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

권한 상승 요청 상태 보기

승인 요청을 만든 후에는 요청 ID와 연결된 를 사용하여 관리 센터 또는 Exchange Management PowerShell에서 권한 상승 요청 상태 검토할 수 있습니다.

Microsoft 365 관리 센터

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 보기를 선택하여 제출된 요청을 보류 중, 승인됨, 거부 또는 고객 Lockbox 상태 필터링합니다.

Exchange 관리 PowerShell에서

Exchange Online PowerShell에서 다음 명령을 실행하여 특정 요청 ID에 대한 승인 요청 상태 확인합니다.

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

예:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

권한 상승 권한 부여 요청 승인

승인 요청이 생성되면 관련 승인자 그룹의 구성원은 이메일 알림을 받고 요청 ID와 연결된 요청을 승인할 수 있습니다. 요청자는 전자 메일 메시지를 통해 요청 승인 또는 거부 관련 알림을 받습니다.

Microsoft 365 관리 센터

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 나열된 요청을 선택하여 세부 정보를 보고 요청에 대한 작업을 수행합니다.

  5. 승인을 선택하여 요청을 승인하거나 거부를 선택하여 요청을 거부합니다. 이전에 승인된 요청은 지를 선택하여 액세스 권한을 취소할 수 있습니다.

Exchange 관리 PowerShell에서

권한 상승 권한 부여 요청을 승인하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

예:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

권한 상승 권한 부여 요청을 거부하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

예:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Office 365 권한 있는 액세스 정책 삭제

organization 더 이상 필요하지 않은 경우 권한 있는 액세스 정책을 삭제할 수 있습니다.

Microsoft 365 관리 센터

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 정책 구성을 선택합니다.

  5. 삭제할 정책을 선택한 다음 정책 제거를 선택합니다.

  6. 닫기를 선택합니다.

Exchange 관리 PowerShell에서

권한 있는 액세스 정책을 삭제하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Office 365 권한 있는 액세스 사용 안 함

필요한 경우 organization 대한 권한 있는 액세스 관리를 사용하지 않도록 설정할 수 있습니다. 권한 있는 액세스를 사용하지 않도록 설정해도 연결된 승인 정책 또는 승인자 그룹은 삭제되지 않습니다.

Microsoft 365 관리 센터

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 권한 있는 액세스 제어에 대한 승인 필요 를 사용하도록 설정합니다.

Exchange 관리 PowerShell에서

권한 있는 액세스를 사용하지 않도록 설정하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Disable-ElevatedAccessControl