관리자 동의 워크플로 개요
최종 사용자가 회사 계정으로 만들거나 사용하는 애플리케이션에 대한 권한에 동의해야 하는 경우가 있을 수 있습니다. 그러나 관리자가 아닌 사용자는 관리자 동의가 필요한 권한에 동의할 수 없습니다. 또한 사용자의 테넌트에서 사용자 동의가 비활성화된 경우 사용자는 애플리케이션에 동의할 수 없습니다.
사용자 동의가 비활성화된 경우 관리자는 관리자 동의 워크플로를 사용하도록 설정하여 사용자에게 애플리케이션에 대한 액세스 권한을 얻기 위한 요청을 수행할 수 있는 권한을 부여할 수 있습니다. 이 문서에서는 관리자 동의 워크플로가 비활성화된 경우와 활성화된 경우의 사용자 및 관리자 환경에 대해 알아봅니다.
로그인을 시도할 때 사용자에게 다음 스크린샷과 같은 동의 프롬프트가 표시될 수 있습니다.
사용자가 액세스 권한을 부여하기 위해 누구에게 연락해야 할지 모르는 경우 애플리케이션을 사용하지 못할 수 있습니다. 또한 이 경우 관리자가 별도의 워크플로를 만들어 애플리케이션에 대한 요청을 받을 수 있는 경우 해당 요청을 추적해야 합니다. 관리자는 사용자가 애플리케이션에 동의하는 방법을 결정할 수 있는 다음 옵션이 있습니다.
- 사용자 동의를 사용하지 않습니다. 예를 들어 고등학교에서는 학교 IT 관리가 테넌트에서 사용되는 모든 애플리케이션을 완전히 제어할 수 있도록 사용자 동의를 해제할 수 있습니다.
- 사용자가 필요한 권한에 동의하도록 허용합니다. 테넌트에 중요한 데이터가 있는 경우 사용자 동의를 열어 두지 않는 것이 좋습니다.
- 특정 권한에 대한 관리자 전용 동의를 계속 유지하지만 최종 사용자가 애플리케이션을 온보딩할 수 있도록 지원하려는 경우 관리자 동의 워크플로를 사용하여 관리자 동의 요청을 평가하고 응답할 수 있습니다. 이렇게 하면 테넌트에 대한 관리자 동의에 대한 모든 요청의 큐를 가질 수 있으며 Microsoft Entra 관리 센터를 통해 직접 추적하고 응답할 수 있습니다. 관리자 동의 워크플로를 구성하는 방법을 알아보려면 관리자 동의 워크플로 구성을 참조하세요.
관리자 동의 워크플로 작동 방식
관리자 동의 워크플로를 구성하면 최종 사용자는 프롬프트를 통해 직접 동의를 요청할 수 있습니다. 사용자에게 다음 스크린샷과 같은 동의 프롬프트가 표시될 수 있습니다.
관리자가 요청에 응답하면 사용자는 요청이 처리되었음을 알리는 이메일 경고를 받습니다.
사용자가 동의 요청을 제출하면 요청이 Microsoft Entra 관리 센터의 관리자 동의 요청 페이지에 표시됩니다. 관리자 및 지정된 검토자는 로그인하여 새 요청을 보고 조치를 수행합니다. 검토자는 검토자로 지정된 이후에 생성된 동의 요청만 볼 수 있습니다. 요청은 관리자 동의 요청 블레이드의 다음 두 탭에 표시됩니다.
- 보류 중: 로그인한 사용자가 검토자로 지정된 활성 요청을 표시합니다. 검토자는 요청을 차단하거나 거부할 수 있지만 요청된 권한에 동의할 수 있는 올바른 RBAC 권한이 있는 사용자만 요청을 차단하거나 거부할 수 있습니다.
- 모두(미리 보기): 테넌트에 있는 모든 요청(활성 또는 만료됨)입니다. 각 요청에는 애플리케이션 및 애플리케이션을 요청하는 사용자에 대한 정보가 포함됩니다.
이메일 알림
구성된 경우, 모든 검토자는 다음과 같은 경우 이메일 알림을 받습니다.
- 새 요청이 만들어진 경우
- 요청이 만료된 경우
- 요청이 만료일에 가까워졌습니다.
요청자는 다음과 같은 경우 이메일 알림을 받습니다.
- 새 액세스 요청을 제출하는 경우
- 요청이 만료된 경우
- 요청이 거부 또는 차단된 경우
- 요청이 승인된 경우
감사 로그
아래 표에서는 관리자 동의 워크플로에 사용할 수 있는 시나리오 및 감사 값을 간략하게 설명합니다.
| 시나리오 | 감사 서비스 | 감사 범주 | 감사 활동 | 감사 행위자 | 감사 로그 제한 사항 |
|---|---|---|---|---|---|
| 관리자가 동의 요청 워크플로를 사용하도록 설정합니다. | 액세스 검토 | UserManagement | 거버넌스 정책 템플릿 만들기 | 앱 컨텍스트 | 현재는 사용자 컨텍스트를 찾을 수 없습니다. |
| 관리자가 동의 요청 워크플로를 사용하지 않도록 설정합니다. | 액세스 검토 | UserManagement | 거버넌스 정책 템플릿 삭제 | 앱 컨텍스트 | 현재는 사용자 컨텍스트를 찾을 수 없습니다. |
| 관리자가 동의 워크플로 구성을 업데이트합니다. | 액세스 검토 | UserManagement | 거버넌스 정책 템플릿 업데이트 | 앱 컨텍스트 | 현재는 사용자 컨텍스트를 찾을 수 없습니다. |
| 최종 사용자가 앱에 대한 관리자 동의 요청을 만듭니다. | 액세스 검토 | 정책 | 요청 만들기 | 앱 컨텍스트 | 현재는 사용자 컨텍스트를 찾을 수 없습니다. |
| 검토자가 관리자 동의 요청을 승인합니다. | 액세스 검토 | UserManagement | 비즈니스 흐름의 모든 요청 승인 | 앱 컨텍스트 | 현재는 관리자 동의가 부여된 사용자 컨텍스트 또는 앱 ID를 찾을 수 없습니다. |
| 검토자가 관리자 동의 요청을 거부합니다. | 액세스 검토 | UserManagement | 비즈니스 흐름의 모든 요청 승인 | 앱 컨텍스트 | 현재는 관리자 동의 요청을 거부한 행위자의 사용자 컨텍스트를 찾을 수 없습니다. |