관리 동의가 필요한 권한 요청

이 문서에서는 개발자가 관리자 동의가 필요한 애플리케이션 권한을 요청하는 애플리케이션 코드를 작성하는 시나리오에 대한 사용 권한 및 동의 환경을 설명합니다 . 사용 권한 및 동의 대화 상자 및 Microsoft Entra 관리 센터의 예제 스크린샷은 사용자 및 테넌트 관리자가 어떤 환경을 경험하는지에 대한 아이디어를 제공합니다. 관리자와의 협업을 개선하여 애플리케이션에서 최소 권한의 제로 트러스트 원칙을 구현합니다.

애플리케이션을 개발할 때 특정 범위(또는 권한)로 액세스 토큰을 요청하여 리소스에 대한 액세스를 요청하는 코드를 작성합니다. 일부 사용자가 권한으로 설명하는 OAuth 2.0 표준에 설명된 대로 범위 매개 변수를 사용합니다. 리소스 소유자는 권한 요청을 부여하거나 거부합니다. Microsoft Entra ID에서 리소스 소유자는 앱의 사용자이거나 모든 사용자를 대신하여 해당 리소스에 대한 동의를 부여할 권한이 있는 관리자입니다.

사용자 동의 경험

애플리케이션이 리소스에 대한 액세스 권한을 요청하면 이 예제와 비슷한 사용 권한 요청 대화 상자가 표시될 수 있습니다.

위의 예제 대화 상자에서 사용자는 [취소]를 선택하여 요청 수락 또는 거부를 선택하여 앱이 대신 데이터를 읽을 수 있도록 동의를 부여합니다. 애플리케이션은 액세스 토큰을 수신하고 사용자가 동의를 부여한 후 해당 프로세스를 계속할 수 있습니다. 앱이 토큰을 받지 못할 때 정상적으로 처리할 준비가 되었는지 확인해야 합니다.

관리 동의 환경

일부 액세스 요청의 경우 관리자만 동의를 부여할 수 있습니다. 요청된 액세스 권한이 강력하거나 소유자가 현재 사용자가 아닌 리소스가 포함된 경우 관리자만 요청을 부여할 수 있도록 코드를 실행합니다.

그러나 Microsoft Entra 관리 센터의 사용자 동의 설정 예제 스크린샷과 같이 테넌트 관리자가 사용자 동의 허용 안 함(모든 사용 권한은 관리자 동의 필요)을 사용하여 테넌트를 구성할 수 있으므로 관리자 동의가 필요한 권한과 일반 사용자가 동의를 부여할 수 있는 권한을 알 수 없습니다.

관리 수도 있습니다.Microsoft Entra 관리 센터의 사용자 동의 설정에 대한 다음 예제 스크린샷에 표시된 것처럼 선택한 권한에 대해 확인된 게시자의 앱에 대한 사용자 동의를 허용합니다.

관리 수 있습니다.Microsoft Entra 관리 센터의 권한 분류에 대한 다음 예제 스크린샷과 같이 사용자가 동의할 수 있는 권한을 추가합니다.

앱이 관리자 동의가 필요한 권한을 요청하는 경우(디자인 또는 관리자 구성에 따라) 사용자에게 이 예제와 유사한 관리자 승인 필요 대화 상자가 표시될 수 있습니다.

위의 예제 대화 상자는 관리자 동의가 필요한 권한에 대한 기본(기본 제공) 환경을 보여 줍니다. 대부분의 사용자는 이 시나리오에서 무엇을 해야 할지 모릅니다. 그들은 자신의 관리자가 누구인지 모른다, 그들은 승인을 위해 가야 할 사람을 모른다. 이러한 불확실성으로 인해 사용자가 원하는 결과를 얻을 수 있는 능력이 제한될 수 있습니다.

권한 및 동의 환경 개선

권한 및 동의 환경을 개선하기 위해 테넌트 관리자는 Microsoft Entra 관리 센터의 사용자 설정에 대한 다음 예제 스크린샷과 같이 관리자 동의 워크플로를 구성할 수 있습니다.

관리 동의 요청에서 테넌트 관리자는 사용자가 동의할 수 없는 앱에 대한 관리자 동의를 요청하고 다른 관리 동의 요청 설정을 구성하여 사용자의 사용 권한 및 동의 환경을 개선할 수 있습니다.

테넌트 관리자가 사용자가 동의할 수 없는 앱에 대한 관리자 동의를 요청할 수 있고 애플리케이션에서 관리자 동의가 필요한 권한을 요청하면 사용자는 더 나은 사용자 환경을 제공하는 다음 승인 필수 대화 상자와 비슷한 것을 볼 수 있습니다.

위의 예제 대화 상자에서 사용자는 승인 요청을 선택하기 전에 이 앱을 요청하는 근거를 입력할 수 있습니다. 승인 요청은 다음 예제 스크린샷과 같이 관리 동의 요청 큐를 입력합니다. 여기서 관리자는 위험 프로필에 따라 조직에서 애플리케이션을 검토, 수락 또는 금지할 수 있는 옵션을 갖습니다.

관리자가 Microsoft Entra 관리 센터에서 동의를 구성하지 않고 관리자 동의가 필요한 애플리케이션을 실행하는 경우 관리자 사용자에게 는 다음 예제와 유사한 권한 요청 대화 상자가 표시됩니다.

위의 예제에서 관리자는 애플리케이션이 요청하는 권한에 대한 설명을 확인합니다. 관리자는 수락을 선택하여 애플리케이션을 개별적으로 실행하거나 동의를 선택하기 전에 조직 대신 동의를 선택할 수 있습니다. 관리자가 조직에 대한 동의를 부여한 후에는 관리자가 테넌트에서 동의를 제거하지 않는 한 향후 조직 사용자가 이 애플리케이션에 대한 권한을 부여할 필요가 관리 동의 요청 구성입니다.

테넌트 관리자 동의의 또 다른 방법은 관리자가 이전에 요청한 앱 권한의 세부 정보를 검토할 수 있는 Microsoft Entra 관리 센터 권한에 있습니다.

위의 사용자 동의 예제에서 관리자는 클레임, 사용 권한 유형 및 동의한 사용자에 대한 정보와 함께 앱에 대해 부여된 권한을 검토할 수 있습니다. 관리자는 관리 동의를 선택하여 관리자 동의가 필요한 부여된 권한을 검토할 수 있습니다.

사전에 관리자 동의 요청

최상의 애플리케이션 사용 권한 전략은 앱을 등록할 때 앱에 필요하거나 요청할 수 있는 모든 권한을 미리 선언하는 것입니다. 동시에 모든 권한을 요청할 필요는 없지만 앱에 필요할 수 있는 모든 권한을 선언한 후 관리자는 테넌트의 앱 구성에서 관리자 동의 부여를 선택하여 이 예제와 유사한 대화 상자를 표시할 수 있습니다.

위의 예제에서는 관리자가 사용자가 선언한 사용 권한에 사전 동의하고 사용자 및 테넌트 관리자에게 최상의 환경을 제공하는 방법을 보여 줍니다.

미리 관리자 동의를 요청하는 것은 LOB(기간 업무) 앱, 특히 조직에서 개발 중인 앱에 적합한 선택입니다. 회사에서 해당 애플리케이션을 미리 확인하여 회사의 데이터에 액세스할 수 있는지 사용자에게 묻지 않는 것이 더 쉽습니다. 앱 등록 프로세스의 일부로 관리자 동의 요청을 수행합니다.

다음 단계

• 리소스에 액세스하기 위한 권한 부여를 획득하면 애플리케이션에 대한 리소스 액세스 권한을 획득할 때 제로 트러스트 가장 잘 확인하는 방법을 이해하는 데 도움이 됩니다.
• API Protection은 등록을 통해 API를 보호하고, 사용 권한 및 동의를 정의하고, 제로 트러스트 목표를 달성하기 위해 액세스를 적용하는 모범 사례를 설명합니다.
• 권한 부여 모범 사례는 애플리케이션에 대한 최상의 권한 부여, 권한 및 동의 모델을 구현하는 데 도움이 됩니다.
• 토큰 사용자 지정은 Microsoft Entra 토큰에서 받을 수 있는 정보를 설명합니다. 최소 권한으로 애플리케이션 제로 트러스트 보안을 강화하면서 유연성과 제어를 향상시키기 위해 토큰을 사용자 지정하는 방법을 설명합니다.
• Microsoft ID 플랫폼 사용 권한 및 동의에 대한 개요는 액세스 및 권한 부여의 기본 개념을 이해하는 데 도움이 됩니다.
• 동의 및 사용 권한 개요를 통해 Microsoft Entra ID의 동의 및 사용 권한과 관련하여 기본적인 개념과 시나리오를 학습할 수 있습니다.
• 학습 모듈: 사용 권한 및 동의 프레임워크 는 사용 권한 및 동의 프레임워크 모델을 학습하는 데 도움이 됩니다.
• Learn Live: Microsoft Identity: Permissions and Consent Framework 를 사용하면 토큰, 계정 유형 및 토폴로지 등 Microsoft ID의 기본 사항을 배울 수 있습니다.