ID 거버넌스 디자인
ID 거버넌스는 보안 및 규정 요구 사항을 충족하기 위해 여러 애플리케이션 및 서비스에서 ID 및 액세스 권한을 관리하는 것입니다. Microsoft Entra ID ID 거버넌스를 사용하면 적절한 사용자가 적절한 시기에 적절한 리소스에 올바르게 액세스할 수 있도록 하여 보안과 생산성의 균형을 맞출 수 있습니다.
ID 거버넌스를 사용하면 온-프레미스와 클라우드 모두에서 서비스 및 애플리케이션에 대해 다음 작업을 관리할 수 있습니다.
ID 수명 주기를 제어합니다. 보안 및 생산성 요구 사항을 모두 충족하도록 작업 추가, 이동 및 나가기와 같은 사용자 수명 주기 이벤트를 자동화합니다.
액세스 수명 주기를 제어합니다. 셀프 서비스 요청을 사용하고 수명 주기 이벤트를 모니터링하여 액세스 권한에 대한 변경 내용을 신속하게 관리합니다.
관리를 위한 권한 있는 액세스를 보호합니다. 권한 있는 리소스에 대한 액세스를 제어하여 과도하거나 불필요하거나 오용된 권한의 위험을 완화합니다.
ID 수명 주기
교육 organization 여러 Microsoft Entra 테넌트로 확장되면 교육자 및 학생과 같은 내부 ID와 다른 학교의 직원과 같은 외부 ID가 있습니다.
- 내부 ID는 현재 관리 중인 테넌트에서 만든 ID입니다.
- 외부 ID는 현재 테넌트 외부에서 만들어지고 액세스 권한이 부여됩니다. Microsoft Entra B2B 협업을 사용하여 추가할 수 있습니다.
ID 수명 주기 관리는 ID 거버넌스의 기초를 설정하는 데 도움이 됩니다. 내부 및 외부 ID의 수명 및 리소스와의 관계를 관리해야 합니다.
organization 내의 모든 사용자는 자신의 작업에 필요한 리소스의 자체 하위 집합을 가지고 있습니다. 각 프로젝트에 필요한 각 역할에 대한 정의된 목록이 없으면 액세스 관리가 어렵습니다. 내부 또는 외부 ID가 조인하거나, 내부로 이동하거나, organization 그대로 두면 해당 ID 및 리소스 액세스가 함께 조정되어야 합니다. Microsoft Entra ID 사용자의 자동 프로비저닝은 더 나은 협업을 위해 애플리케이션 간에 사용자 ID를 생성, 유지 관리 및 궁극적인 삭제를 용이하게 하여 이 문제를 해결하는 데 도움이 될 수 있습니다.
사용자 프로비전
사용자 데이터를 동기화하기 위해 CSV 파일 또는 사용자 지정 스크립트를 업로드하는 것과 같은 기존의 프로비저닝 방법은 오류가 발생하기 쉽고 안전하지 않으며 관리하기 어렵습니다.
자동 프로비전은 사용자가 액세스해야 하는 클라우드 응용 프로그램에서 사용자 ID 및 역할을 만드는 것을 말합니다. 사용자 ID를 만드는 것 외에, 자동 프로비전에는 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리와 제거가 포함됩니다.
대규모 교육 조직에서는 자동화된 Microsoft Entra 사용자 프로비저닝 서비스를 사용하는 것이 좋습니다. 이 서비스는 Workday 및 SuccessFactors와 같은 클라우드 기반 HR(인사 관리) 애플리케이션과의 통합 을 제공하며 다음과 같은 이점을 활용할 수 있습니다.
프로비저닝 프로세스의 효율성 및 정확도 최대화
사용자 지정 개발 프로비저닝 솔루션 및 스크립트 호스팅 및 유지 관리와 관련된 비용 절감
organization 나가면 주요 SaaS 앱에서 사용자의 ID를 즉시 제거하여 organization 보호합니다.
많은 수의 사용자를 특정 SaaS 애플리케이션 또는 시스템에 쉽게 프로비전
프로비전된 사용자와 애플리케이션에 로그인할 수 있는 사용자를 결정하는 일관된 정책
인바운드 사용자 프로비저닝
인바운드 사용자 프로비저닝은 사용자 데이터가 organization HCM(Human Capital Management) 애플리케이션에서 Microsoft Entra ID 또는 온-프레미스 Active Directory 이동하는 프로세스입니다. HCM 애플리케이션이 SCIM 프로토콜을 지원하는 경우 통합이 가능합니다. 프로비저닝 API 커넥터를 제공하는 클라우드 기반 HCM 시스템과도 통합할 수 있습니다.
자세한 내용은 사용자 프로비저닝을 Microsoft Entra 클라우드 HR 애플리케이션 계획을 참조하세요.
아웃바운드 사용자 프로비저닝
아웃바운드 사용자 프로비저닝 또는 앱 프로비저닝은 사용자가 액세스해야 하는 클라우드 SaaS(Software-as-a-Service) 애플리케이션에서 사용자 ID 및 역할의 자동 생성을 나타냅니다. 앱 프로비저닝은 Microsoft Entra SaaS 앱 갤러리)의 사전 통합 애플리케이션 및 SCIM 2.0을 지원하는 애플리케이션에 사용할 수 있습니다.
자세한 내용은 자동 사용자 프로비저닝 배포 계획을 참조하세요.
액세스 수명 주기
EDU organization 초기 생성 및 프로비저닝 이외의 액세스를 관리하는 프로세스가 필요합니다. 또한 액세스 정책 및 제어를 지속적으로 개발하고 적용하기 위해 효율적으로 확장할 수 있어야 합니다.
셀프 서비스 그룹 관리
가능하면 셀프 서비스 그룹 관리를 사용하여 다음과 같은 이점을 활용합니다.
보안. 관리자는 사용자 특성에 따라 Microsoft Entra ID 만든 그룹에 대한 규칙을 설정할 수 있습니다. 이렇게 하면 멤버를 보안 그룹에 자동으로 추가하거나 보안 그룹에서 제거할 수 있습니다. 이러한 동적 그룹을 사용하여 애플리케이션 또는 클라우드 리소스에 대한 액세스를 제공하고 멤버에게 라이선스를 할당할 수 있습니다. 조건부 액세스 정책은 합법적인 사용자가 앱에 액세스하도록 하여 보안을 더욱 강화할 수 있습니다. 예를 들어 HR 앱을 클라우드 앱으로 선택할 때 HR 부서의 모든 구성원이 포함된 그룹을 선택할 수 있습니다.
비용 효율적입니다. 셀프 서비스 그룹 멤버 자격을 사용하여 IT 지원의 비용, 시간 및 워크로드를 줄입니다. 셀프 서비스 그룹 관리 기능을 사용하면 사용자에게 그룹 관리를 위임할 수 있습니다. 이 기능을 사용하면 그룹을 만들고 소유한 그룹의 멤버 자격을 관리할 수 있습니다.
셀프 서비스. 사용자에게 그룹 관리를 위임합니다. 셀프 서비스 그룹 관리 기능을 사용하면 사용자가 소유한 그룹에서 그룹을 만들고 멤버 자격을 관리할 수 있습니다. 그런 다음 이러한 그룹을 사용하여 애플리케이션에 대한 액세스를 할당할 수 있습니다. 예를 들어 교직원 부서에서 5개의 다른 SaaS 애플리케이션을 사용하도록 액세스 권한을 할당하려는 경우 교직원 부서의 사용자가 포함된 그룹을 만든 다음 해당 그룹을 교직원 부서에 필요한 5개의 SaaS 애플리케이션에 할당할 수 있습니다.
셀프 서비스 그룹 관리에 대한 자세한 내용은 Microsoft Entra Self-Service 그룹 관리 백서를 다운로드합니다.
자격 관리
테넌트 간에 내부 및 외부 사용자를 조합한 경우 대규모 EDU의 리소스에 대한 사용자 액세스를 관리하는 것은 더욱 어렵습니다. 권한 관리를 사용하면 게스트를 포함한 사용자가 그룹, 애플리케이션 및 SharePoint 사이트 간에 액세스 권한을 부여하는 액세스 패키지에 대한 액세스를 요청할 수 있습니다. 또한 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 대규모로 관리할 수 있습니다.
권한 관리를 사용하여 사용자의 액세스를 관리할 수 있는 리소스 유형은 다음과 같습니다.
Microsoft Entra 보안 그룹의 멤버 자격
Microsoft 365 그룹 및 Teams 멤버 자격
페더레이션/Single Sign-On 및/또는 프로비저닝을 지원하는 SaaS 애플리케이션 및 사용자 지정 통합 애플리케이션을 포함하여 Microsoft Entra 엔터프라이즈 애플리케이션에 할당
SharePoint Online 사이트의 멤버 자격
액세스 패키지
권한 관리를 사용하면 사용자에게 단위로 할당된 리소스 집합을 나타내는 액세스 패키지를 정의하고 유효 기간, 승인 워크플로 등을 설정할 수 있습니다. 액세스 패키지를 사용하면 액세스 패키지의 수명 동안 액세스를 자동으로 관리하는 리소스 및 정책을 일회성으로 설정할 수 있습니다.
액세스 패키지는 카탈로그라는 컨테이너에 넣어야 합니다. 카탈로그는 액세스 패키지에 추가할 수 있는 리소스를 정의합니다. 카탈로그는 위임에 사용되므로 관리자가 아닌 사용자가 고유한 액세스 패키지를 만들 수 있습니다. 카탈로그 소유자는 소유한 리소스를 카탈로그에 추가할 수 있습니다.
교육 organization 학교당 카탈로그와 해당 학년과 관련된 리소스에 대한 정책 및 액세스 권한이 포함된 모든 학년의 액세스 패키지를 만드는 것이 좋습니다. 학생이 다음 학년으로 진출하거나 교사가 다른 학년으로 이동하면 이전 학년과 관련된 액세스가 만료되는 동안 새 학년의 액세스 패키지에 대한 액세스를 요청할 수 있습니다.
액세스 패키지에는 하나 이상의 정책도 있어야 합니다. 정책은 액세스 패키지 및 승인 및 수명 주기 설정을 요청할 수 있는 사용자를 지정합니다. 권한 관리를 사용하여 비관리자에게 액세스 패키지를 만들고 사용자가 요청할 수 있는 규칙, 액세스를 승인해야 하는 사용자 및 액세스가 만료되는 시기를 사용하여 정책을 정의하는 기능을 위임하는 것이 좋습니다.
액세스 패키지는 다음과 같은 상황에서 가장 적합합니다.
사용자는 특정 작업에 대한 시간 제한 액세스 권한이 필요합니다. 예를 들어 그룹 기반 라이선스 및 동적 그룹을 사용하여 모든 직원에게 Exchange Online 사서함이 있는지 확인하고 사용자가 다른 부서의 부서 리소스를 읽는 등 추가 액세스가 필요한 상황에 대한 액세스 패키지를 사용할 수 있습니다.
액세스는 사용자의 관리자 또는 다른 지정된 개인에 의해 승인되어야 합니다.
부서에서 IT 개입 없이 리소스에 대한 자체 액세스 정책을 관리하려고 합니다.
두 개 이상의 학교가 프로젝트에 협력하고 있으며, 그 결과 한 학교의 여러 사용자가 다른 학교의 리소스에 액세스하려면 Microsoft Entra B2B를 통해 가져와야 합니다.
자세한 내용은 Microsoft Entra 권한 관리에서 새 액세스 패키지 만들기를 참조하세요.
라이선스 요구 사항
액세스 패키지를 사용하려면 Microsoft Entra ID P2 라이선스가 필요하며 다음에 필요합니다.
액세스 패키지를 요청할 수 있는 멤버 사용자입니다.
액세스 패키지를 요청하는 멤버 및 게스트 사용자입니다.
액세스 패키지에 대한 요청을 승인하는 멤버 및 게스트 사용자입니다.
액세스 패키지에 대한 직접 할당이 있는 멤버 및 게스트 사용자입니다.
Microsoft Entra ID P2 라이선스는 다음 작업에 필요하지 않습니다.
초기 카탈로그를 설정하고, 패키지 및 정책에 액세스하고, 관리 작업을 다른 사용자에게 위임하는 전역 관리자 역할이 있는 사용자입니다.
카탈로그 작성자, 카탈로그 소유자 및 액세스 패키지 관리자와 같은 관리 작업을 위임받은 사용자입니다.
액세스 패키지를 요청할 수 있지만 액세스 패키지를 요청하지 않는 게스트입니다.
참고
멤버 사용자를 위해 구매한 유료 Microsoft Entra ID P2 라이선스마다 Microsoft Entra B2B를 사용하여 최대 5명의 게스트 사용자를 초대할 수 있습니다. 이러한 게스트 사용자는 Microsoft Entra ID P2 기능을 사용할 수도 있습니다. 자세한 내용은 Microsoft Entra B2B 협업 라이선스 지침을 참조하세요.
액세스 검토
사용자가 온보딩되면 시간이 지남에 따라 요구 사항이 변경됨에 따라 사용자의 액세스 권한을 변경할 수 있는 프로세스가 필요합니다.
다음과 같은 사항을 고려해야 합니다.
새 사용자가 참가할 때 생산성을 높일 수 있는 올바른 액세스 권한이 있는지 확인하려면 어떻게 해야 할까요?
사람들이 팀을 옮기거나 학교를 떠날 때, 특히 손님과 관련된 경우 이전 액세스가 제거되도록 하려면 어떻게 해야 할까요?
과도한 액세스 권한은 액세스에 대한 제어가 부족하다는 것을 나타내기 때문에 감사 결과 및 손상으로 이어질 수 있습니다.
리소스 소유자와 사전에 협력하여 리소스에 액세스할 수 있는 사용자를 정기적으로 검토해야 합니다.
Microsoft Entra 액세스 검토를 사용하여 그룹 멤버 자격, 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리하는 것이 좋습니다. 적절한 사용자만 계속 액세스할 수 있도록 사용자의 액세스를 정기적으로 검토해야 합니다.
라이선스 요구 사항
액세스 검토를 사용하려면 Microsoft Entra ID P2 라이선스가 필요하며 다음에 필요합니다.
검토자로 할당된 멤버 및 게스트 사용자입니다.
자체 검토를 수행하는 멤버 및 게스트 사용자입니다.
액세스 검토를 수행하는 그룹 소유자입니다.
액세스 검토를 수행하는 애플리케이션 소유자입니다.
액세스 검토를 설정하거나 설정을 구성하거나 검토에서 결정을 적용하는 전역 관리자 또는 사용자 관리자 역할이 있는 사용자에게는 Microsoft Entra ID P2 라이선스가 필요하지 않습니다.
고유한 organization 사용자 중 하나에 할당하는 유료 Microsoft Entra ID P2 라이선스마다 Microsoft Entra B2B(Business-to-Business)를 사용하여 외부 사용자 허용에 따라 최대 5명의 게스트 사용자를 초대할 수 있습니다. 이러한 게스트 사용자는 Microsoft Entra ID P2 기능을 사용할 수도 있습니다. 자세한 내용은 Microsoft Entra B2B 협업 라이선스 지침을 참조하세요.
권한 있는 액세스
ID 거버넌스의 또 다른 주요 수명 주기는 사용자의 권한 있는 액세스 수명 주기입니다. 중요한 리소스에 액세스할 수 있는 사용자 수를 최소화하면 전반적인 보안 환경을 유지하는 데 도움이 되지만 여전히 관리자 권한이 필요한 사용자가 있습니다. 관리자 액세스를 제어하여 학교 또는 다른 학교에서 온 것과 관계없이 과도하거나 불필요하거나 오용된 액세스 권한의 위험을 완화합니다.
Privileged Identity Management
Microsoft Entra Privileged Identity Management(PIM)는 시간 기반 및 승인 기반 역할 활성화를 제공하여 microsoft 365 또는 같은 Microsoft Entra ID, Azure 및 기타 Microsoft Online Services의 리소스에 대한 과도한, 불필요하거나 오용된 액세스 권한의 위험을 완화합니다. Microsoft Intune. 권한의 노출 시간을 낮추고 보고서 및 경고를 통해 사용 가시성을 높여 권한 있는 계정을 보호하는 데 사용됩니다.
Privileged Identity Management 몇 가지 주요 기능은 다음과 같습니다.
Microsoft Entra ID 및 Azure 리소스에 대한 Just-In-Time 권한 있는 액세스 제공
시작 및 종료 날짜를 사용하여 리소스에 시간 바인딩된 액세스 할당
권한 있는 역할을 활성화하려면 승인 필요
다단계 인증을 적용하여 모든 역할 활성화
근거를 사용하여 사용자가 활성화하는 이유 이해
권한 있는 역할이 활성화될 때 알림 받기
액세스 검토를 수행하여 사용자에게 여전히 역할이 필요한지 확인합니다.
내부 또는 외부 감사에 대한 감사 기록 다운로드
PIM을 사용하여 organization 다음을 관리하고 제어하는 것이 좋습니다.
특정 역할에 대한 승인 사용
요청을 승인할 승인자 사용자 또는 그룹 지정
모든 권한 있는 역할에 대한 요청 및 승인 기록 보기
역할 상승 요청 승인 또는 거부(단일 및 대량)
승인 또는 거부에 대한 근거 제공
승인이 필요한 역할의 활성화 요청
라이선스 요구 사항
PIM을 사용하려면 Microsoft Entra ID P2 라이선스가 필요하며 다음에 필요합니다.
PIM을 사용하여 관리되는 Microsoft Entra ID 또는 Azure 역할에 적격으로 할당된 사용자입니다.
적격 멤버 또는 권한 있는 액세스 그룹의 소유자로 할당된 사용자입니다.
사용자는 PIM에서 활성화 요청을 승인하거나 거부할 수 있습니다.
액세스 검토에 할당된 사용자입니다.
액세스 검토를 수행하는 사용자입니다.