Microsoft Entra ID의 사용자 계정이란?
Microsoft Entra ID에서는 모든 사용자 계정에 일련의 기본 권한이 부여됩니다. 사용자 계정 액세스는 사용자 유형, 역할 할당 및 개별 개체의 소유권으로 구성됩니다.
Microsoft Entra ID에는 다양한 형식의 사용자 계정이 있습니다. 각 형식에는 각 사용자 계정 형식으로 수행해야 하는 작업 범위에 관련된 액세스 수준이 있습니다. 관리자는 가장 높은 수준의 액세스 권한을 가지며 그다음은 Microsoft Entra 조직의 멤버 사용자 계정입니다. 그 중 게스트 사용자의 액세스 수준이 가장 제한적입니다.
권한 및 역할
Microsoft Entra ID는 권한을 사용하여 사용자 또는 그룹에 부여된 액세스 권한을 제어하는 데 도움을 줍니다. 이 작업은 역할을 통해 수행됩니다. Microsoft Entra ID에는 서로 다른 권한이 연결된 많은 역할이 있습니다. 사용자에게 특정 역할이 할당되면 사용자는 해당 역할의 권한을 상속합니다. 예를 들어 사용자 관리자 역할에 할당된 사용자는 사용자 계정을 만들고 삭제할 수 있습니다.
적합한 사용자에게 적합한 역할 유형을 할당하는 경우를 이해하는 것은 개인 정보 및 보안 준수를 유지 관리하는 기본적이고 중요한 단계입니다. 잘못된 역할이 잘못된 사용자에게 할당된 경우 해당 역할과 함께 제공되는 사용 권한으로 인해 사용자는 조직에 심각한 손상을 입힐 수 있습니다.
관리자 역할
Microsoft Entra ID의 관리자 역할을 통해 사용자의 관리자 액세스 권한으로 작업을 수행할 수 있는 사람을 제어할 수 있습니다. Microsoft Entra 조직에서 ID 작업을 관리할 제한된 그룹의 사용자에게 이 역할을 할당합니다. 사용자가 사용자 만들기 또는 편집, 다른 사람에게 관리 역할 할당, 사용자 암호 재설정, 사용자 라이선스 관리와 같은 작업을 수행하는 데 필요한 관리자 역할을 할당할 수 있습니다.
사용자 계정에 사용자 관리자 또는 전역 관리자 역할이 있는 경우 Azure Portal, Azure CLI 또는 PowerShell을 사용하여 Microsoft Entra ID에서 새 사용자를 만들 수 있습니다. PowerShell에서 cmdlet New-MgUser를 실행합니다. Azure CLI에서 az ad user create를 사용합니다.
멤버 사용자
멤버 사용자 계정은 프로필 정보를 관리할 수 있는 것과 같은 네이티브 권한 집합이 있는 Microsoft Entra 조직의 네이티브 멤버입니다. 새 사용자가 조직에 참가하는 경우 일반적으로 이 유형의 계정을 만듭니다.
게스트 사용자가 아니거나 관리자 역할이 할당되지 않은 사용자는 이 유형에 속합니다. 멤버 사용자 역할은 조직 내부로 간주되고 Microsoft Entra 조직의 멤버인 사용자를 위한 것입니다. 그러나 이 사용자는 사용자를 만들고 삭제하는 등의 방법으로 다른 사용자를 관리할 수 없습니다. 멤버 사용자에게는 일반적으로 게스트 사용자에게 적용되는 동일한 제한 사항이 적용되지 않습니다.
게스트 사용자
게스트 사용자는 Microsoft Entra 조직 권한이 제한되어 있습니다. 조직과 공동 작업할 사람을 초대하면 해당 사람을 게스트 사용자로 Microsoft Entra 조직에 추가합니다. 그런 다음, 사용 링크가 포함된 초대 메일을 보내거나 공유할 앱의 직접 링크를 보낼 수 있습니다. 게스트 사용자는 자신의 회사, 학교 또는 소셜 ID로 로그인할 수 있습니다. 기본적으로 Microsoft Entra 멤버 사용자는 게스트 사용자를 초대할 수 있습니다. 사용자 관리자 역할이 있는 사용자는 이 기본값을 사용하지 않도록 설정할 수 있습니다.
조직은 외부 파트너와 함께 작업해야 할 수 있습니다. 조직과 협업하기 위해 이러한 외부 파트너는 특정 리소스에 대한 특정 수준의 액세스 권한을 보유해야 합니다. 이와 같은 상황에서는 게스트 사용자 계정을 사용하는 것이 좋습니다. 그런 다음, 파트너가 필요한 것보다 높은 수준의 액세스 권한이 없어도 작업을 수행할 적합한 수준의 액세스 권한을 보유하는지 확인합니다.
사용자 계정 추가
Azure Portal, Azure PowerShell 또는 Azure CLI를 통해 개별 사용자 계정을 추가할 수 있습니다.
Azure CLI를 사용하려면 다음 cmdlet을 실행합니다.
# create a new user
az ad user create
이 명령은 Azure CLI를 사용하여 새 사용자를 만듭니다.
Azure PowerShell의 경우 다음 cmdlet을 실행합니다.
# create a new user
New-MgUser
멤버 사용자 및 게스트 계정을 대량으로 만들 수 있습니다. 다음 예제에서는 게스트 사용자를 대량 초대하는 방법을 보여 줍니다.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
추가하려는 모든 사용자의 목록을 사용하여 CSV(쉼표로 구분된 값) 파일을 만듭니다. 해당 CSV 파일에 있는 각 사용자에게 초대가 전송됩니다.
사용자 계정 삭제
Azure Portal, Azure PowerShell 또는 Azure CLI를 통해 사용자 계정을 삭제할 수도 있습니다. PowerShell에서 cmdlet Remove-MgUser를 실행합니다. Azure CLI에서 cmdlet az ad user delete를 실행합니다.
사용자를 삭제하면 30일 동안 계정이 일시 중단 상태로 유지됩니다. 이 30일 기간 동안 사용자 계정을 복원할 수 있습니다.