그룹 및 앱에 대한 액세스 검토 생성

  • 12분

직원 및 게스트용 그룹과 애플리케이션에 대한 액세스는 시간이 지나면 변합니다. 관리자는 Microsoft Entra ID를 사용하여 그룹 구성원 또는 애플리케이션 액세스에 대한 액세스 검토를 만들면 상태 액세스 할당과 관련된 위험을 줄일 수 있습니다. 일상적으로 액세스를 검토해야 하는 경우 되풀이 액세스 검토를 만들 수도 있습니다.

액세스 검토를 배포하고 만드는 방법에 대한 자세한 내용을 알고 싶으면 이 비디오를 시청하세요.

필수 조건

  • Microsoft Entra ID Premium P2
  • 전역 관리자 또는 사용자 관리자

하나 이상의 액세스 검토 만들기

  1. Azure Portal에 로그인하고 ID 거버넌스 페이지를 엽니다.

  2. 왼쪽 메뉴에서 액세스 검토를 선택합니다.

  3. 새 액세스 검토를 선택하여 새 액세스 검토를 만듭니다.

    Screenshot of the Access reviews pane in Identity Governance.

  4. 1단계: 검토할 항목 선택에서 검토할 리소스를 선택합니다.

    Screenshot of the Create an access review - Review name and description dialog.

  5. 1단계에서 팀 + 그룹을 선택한 경우 2단계에서 다음 두 가지 옵션을 사용할 수 있습니다.

    • 게스트 사용자가 있는 모든 Microsoft 365 그룹 조직의 모든 Microsoft Teams 및 Microsoft 365 그룹에서 모든 게스트 사용자에 대한 되풀이 검토를 만들려면 이 옵션을 선택합니다. "제외할 그룹 선택"을 선택하여 특정 그룹을 제외하도록 선택할 수 있습니다.

    • 팀 + 그룹 선택 검토할 팀 및/또는 그룹의 유한 세트를 지정하려면 이 옵션을 선택합니다. 이 옵션을 선택하면 오른쪽에 선택할 수 있는 그룹 목록이 표시됩니다.

      Screenshot of the Teams and groups settings. Pick your groups to exclude.Screenshot of the Teams and groups chosen in the user interface. Selected items are excluded.

  6. 1단계에서 애플리케이션을 선택한 경우, 2단계에서 하나 이상의 애플리케이션을 선택할 수 있습니다.

    Screenshot of The interface displayed if you chose applications rather than groups.

  7. 다음으로, 3단계에서 검토 범위를 선택할 수 있습니다. 옵션은 다음과 같습니다.

    • 게스트 사용자 한정 이 옵션을 선택하면 디렉터리의 Microsoft Entra B2B 게스트 사용자만 액세스 검토를 수행하도록 제한됩니다.

    • 모든 사람 이 옵션을 선택하면 리소스와 연결된 모든 사용자 개체에 대한 액세스 검토가 범위에 포함됩니다.

      참고

      2단계에서 게스트 사용자가 있는 모든 Microsoft 365 그룹을 선택한 경우에는 3단계에서 게스트 사용자를 검토하는 것이 유일한 옵션입니다.

  8. 다음을 선택합니다. 검토

  9. 검토자 선택 섹션에서 하나 이상의 사용자를 선택하여 액세스 검토를 수행합니다. 다음 중 하나를 선택할 수 있습니다.

    • 그룹 소유자(팀 또는 그룹에 대한 검토를 수행하는 경우에만 사용 가능)
    • 선택한 사용자 또는 그룹
    • 사용자가 자신의 액세스를 검토
    • (미리 보기) 사용자의 관리자입니다. 사용자의 관리자 또는 그룹 소유자를 선택하는 경우 대체 검토자를 지정하는 옵션도 있습니다. 사용자가 디렉터리에 관리자를 지정하지 않았거나 그룹에 소유자가 없는 경우에는 대체 검토자에게 검토를 수행하라는 메시지가 표시됩니다.

  10. 검토 되풀이 지정 섹션에서 매주, 매월, 분기별, 반기, 매년 등의 주기를 지정할 수 있습니다. 그런 다음 검토자가 검토를 입력하는 기간을 정의하는 기간을 지정합니다. 예를 들어, 검토가 겹치는 상황을 방지하기 위해 월별로 검토를 설정할 수 있는 최대 기간은 27일입니다. 검토자 입력이 빨리 적용되도록 기간을 단축하고 싶을 것입니다. 다음으로 시작 날짜종료 날짜를 선택할 수 있습니다.

    Screenshot of the Choose how often the review should happen. Admins should set a reasonable timeline.

  11. 하단에서 다음: 설정 단추를 클릭합니다(페이지 맨 아래에서).

  12. 완료 시 설정에서 검토가 완료된 후 수행되는 작업을 지정할 수 있습니다.

    Screenshot of the Create an access review - upon completion settings.

    거부된 사용자에 대한 액세스를 자동으로 제거하려면 결과를 리소스에 자동 적용사용으로 설정합니다. 검토가 완료될 때 결과를 수동으로 적용하려면 스위치를 사용 안 함으로 설정합니다. 검토자가 응답하지 않는 경우 목록을 사용하여 검토 기간 내에 검토자가 검토하지 않은 사용자를 어떻게 할 것인지 지정합니다. 이 설정은 검토자가 수동으로 검토한 사용자에게 영향을 주지 않습니다. 최종 검토자의 결정이 [거부]이면 사용자의 액세스 권한이 제거됩니다.

    • 변경 없음 - 사용자의 액세스 권한을 그대로 유지
    • 액세스 권한 제거 - 사용자의 액세스 권한을 제거
    • 액세스 권한 승인 - 사용자의 액세스 권한을 승인
    • 권장 작업 수행 - 사용자의 지속적인 액세스를 거부할 것인지 아니면 승인할 것인지에 대한 시스템의 권장 사항을 수용

    거부된 게스트 사용자에게 적용하는 작업을 사용하여 거부된 게스트 사용자에게 발생하는 작업을 지정할 수 있습니다.

    • 리소스에서 사용자의 멤버 자격 제거는 검토 중인 그룹 또는 애플리케이션에서 거부된 사용자의 액세스 권한을 제거합니다. 테넌트에는 계속 로그인 할 수 있습니다.
    • 사용자가 30일간 로그인하는 것을 차단한 후에 테넌트에서 사용자 제거는 거부된 사용자가 다른 리소스에 대한 액세스 권한 보유 여부와 관계없이 테넌트에 로그인하는 것을 차단합니다. 잘못 차단했거나 관리자가 사용자의 액세스를 다시 허용하려는 경우, 사용자가 사용할 수 없도록 설정한 후 30일 이내에 허용할 수 있습니다. 비활성화된 사용자에 대해 수행되는 작업이 없는 경우 해당 사용자는 테넌트에서 삭제됩니다.
    • 거부된 게스트 사용자에게 적용되는 작업은 게스트 사용자 이상으로 범위가 지정된 검토에 대해서는 구성할 수 없습니다. 또한 게스트 사용자가 있는 모든 Microsoft 365 그룹의 검토에도 구성할 수 없습니다. 구성할 수 없는 경우에는 거부된 사용자에게 리소스에서 사용자의 멤버 자격을 제거하는 기본 옵션이 사용됩니다.

  13. 검토 결정 도우미 사용에서 검토자가 검토 프로세스 중에 권장 구성을 사용할지를 선택합니다.

    Screenshot of the Enable decision helpers options. Offer recommendations to the reviewers.

  14. 고급 설정 섹션에서 다음을 선택할 수 있습니다.

    • 근거 필요사용으로 설정하면 검토자가 승인 근거를 입력해야 합니다.
    • 메일 알림사용으로 설정하면 Microsoft Entra ID는 액세스 검토가 시작될 때 검토자에게 메일 알림을 보내고 검토가 완료될 때 관리자에게 메일 알림을 보냅니다.
    • 미리 알림사용으로 설정하면 Microsoft Entra ID는 검토를 완료하지 않은 검토자에게 진행 중인 액세스 검토에 대한 미리 알림을 보냅니다. 해당 미리 알림은 검토 기간의 중간까지 진행됩니다.
    • 검토자에게 보낸 메일의 콘텐츠는 검토 이름, 리소스 이름, 기한 등 검토 세부 정보를 기준으로 자동 생성됩니다. 추가 지침이나 연락처 등의 추가 정보를 전달할 방법이 필요한 경우, 검토자 메일 추가 콘텐츠 섹션에 해당 세부 정보를 지정할 수 있습니다. 입력한 정보는 할당된 검토자에게 보낸 초대 및 미리 알림 메일에 포함됩니다. 아래 이미지에서 강조 표시된 섹션은 해당 정보가 표시되는 위치를 보여줍니다.

  15. 다음: 검토 + 생성을 클릭하여 다음 페이지로 이동합니다.

  16. 액세스 검토의 이름을 지정합니다. 필요한 경우 검토에 설명을 지정합니다. 이름 및 설명이 검토자에게 표시됩니다.

  17. 정보를 검토하고 만들기를 선택합니다.

    Screenshot of the create review screen. Overview of the access review that has just finished creation.

액세스 검토 시작

액세스 검토 설정을 지정한 후 시작을 선택합니다. 액세스 검토는 상태 지표를 사용하여 목록에 표시됩니다.

Screenshot of the List of access reviews and their status. Review the status of each item.

검토가 시작되면 Microsoft Entra ID에서 기본적으로 검토자에게 메일을 보냅니다. Microsoft Entra ID에서 메일을 보내지 않도록 선택한 경우 검토자에게 완료할 때까지 대기 중인 액세스 검토가 있음을 알려야 합니다. 그룹 또는 애플리케이션의 액세스 검토 방법에 대한 지침을 보여 줄 수 있습니다. 게스트가 자신의 액세스를 검토하는 것으로 확인되는 경우 그룹 또는 애플리케이션의 액세스를 검토하는 방법에 대한 지침을 표시합니다.

검토 전에 초대를 먼저 수락해야 하므로 게스트를 검토자로 할당했는데도 초대를 수락하지 않은 경우, 액세스 검토에서 메일을 받지 못합니다.

액세스 검토 상태 테이블

상태 정의
NotStarted 검토를 만들었습니다. 사용자 검색이 시작되기를 기다리고 있습니다.
초기화 중 검토에 포함된 모든 사용자를 식별하기 위해 사용자 검색이 진행 중입니다.
시작 중 검토를 시작하는 중입니다. 메일 알림을 사용하도록 설정하면 메일이 검토자에게 전송됩니다.
InProgress 검토가 시작되었습니다. 메일 알림을 사용하도록 설정하면 메일이 검토자에게 전송됩니다. 검토자는 기한까지 결정을 제출할 수 있습니다.
완성 검토가 완료되고 메일이 검토 소유자에게 전송됩니다.
자동 검토 검토가 시스템 검토 단계에 있습니다. 시스템은 권장 사항 또는 미리 구성된 결정에 따라 검토되지 않은 사용자에 대한 결정을 기록합니다.
자동 검토 검토하지 않은 모든 사용자에 대해 시스템에서 결정을 기록했습니다. 자동 적용이 사용하도록 설정된 경우 검토를 적용으로 진행할 준비가 되었습니다.
적용 승인된 사용자에 대한 액세스는 변경되지 않습니다.
적용됨 거부된 사용자가 있는 경우 리소스 또는 디렉터리에서 제거되었습니다.
실패 검토를 진행할 수 없습니다. 이 오류는 테넌트 삭제, 라이선스 변경 또는 기타 내부 테넌트 변경 내용과 관련이 있을 수 있습니다.

API를 통해 검토 만들기

API를 사용하여 액세스 검토를 만들 수도 있습니다. Azure Portal에서 그룹 및 애플리케이션 사용자의 액세스 검토를 관리하기 위해 하는 일은 Microsoft Graph API를 사용하여 할 수도 있습니다.