액세스 검토 프로그램 만들기 및 구성

  • 3분

Microsoft Entra 액세스 검토는 Microsoft Entra ID Governance의 기능입니다. 액세스 검토는 올바른 ID가 조직의 올바른 리소스에 대한 올바른 액세스 권한을 갖고 있는지 확인하는 데 도움이 됩니다. 액세스 검토는 Microsoft Graph의 액세스 검토 API를 사용하여 프로그래밍 방식으로 구현할 수 있습니다.

Microsoft Entra 액세스 검토 데이터 모델

Microsoft Entra 액세스 검토 기능은 다음과 같은 리소스 유형을 추가합니다.

리소스 종류 설명
accessReview 컨테이너는 액세스 검토를 나타냅니다. 일회성 검토, 되풀이 검토 시리즈 또는 되풀이 검토의 인스턴스일 수 있습니다.
businessFlowTemplate 비즈니스 흐름에 대한 템플릿은 액세스 검토를 수행할 형식 리소스를 결정합니다. 그룹의 게스트 멤버를 검토하는 것과 같은 템플릿의 식별자는 액세스 검토를 만들 때 호출자가 제공합니다. (비즈니스 흐름 템플릿 개체는 읽기 전용이며 전역 관리자가 액세스 검토 기능을 사용하기 위해 테넌트를 온보딩할 때 자동으로 생성됩니다. 다른 비즈니스 흐름 템플릿은 만들 수 없습니다.)
프로그램 Microsoft Entra 액세스 검토 프로그램을 나타냅니다. 프로그램은 프로그램 컨트롤을 보유하는 컨테이너입니다. 테넌트에는 하나 이상의 프로그램이 있을 수 있습니다. 각 컨트롤은 관련 액세스 검토를 더 쉽게 찾을 수 있도록 액세스 검토를 프로그램에 연결합니다. 온보딩된 Microsoft Entra 액세스 검토가 있는 각 테넌트에는 하나의 프로그램인 Default program이 있습니다. 전역 관리자는 예를 들어 규정 준수 이니셔티브를 나타내는 다른 프로그램을 만들 수 있습니다.
programControl 액세스 검토를 특정 프로그램에 연결하는 컨트롤을 나타냅니다.
programControlType 프로그램 컨트롤 형식은 컨트롤을 프로그램에 연결할 때 컨트롤의 액세스 검토 유형을 나타내는 데 사용됩니다. (프로그램 컨트롤 형식 개체는 읽기 전용이며 전역 관리자가 액세스 검토 기능을 사용하기 위해 테넌트를 온보딩할 때 자동으로 생성됩니다. 다른 프로그램 컨트롤 형식은 만들 수 없습니다.)

Graph에서 액세스 검토 API를 호출할 수 있는 권한이 있는 Microsoft Entra ID 애플리케이션을 등록합니다.

Graph 권한 부여 모델을 사용하려면 애플리케이션이 조직의 데이터에 액세스하기 전에 사용자 또는 관리자의 동의를 얻어야 합니다.

  1. 전역 관리자로 Azure Portal을 엽니다.

  2. Microsoft Entra ID 확장으로 이동하고 관리 섹션에서 앱 등록을 선택하여 앱 등록 페이지로 이동합니다.

  3. 페이지 상단에서 새 애플리케이션 등록 단추를 선택합니다.

  4. 테넌트 디렉터리의 다른 애플리케이션과 다른 애플리케이션의 이름을 제공합니다(예: = graphsample).

  5. 애플리케이션 유형을 네이티브로 변경하고 리디렉션 URI로 urn:ietf:wg:oauth:2.0:oob을(를) 입력합니다.

  6. “만들기”를 선택합니다.

  7. 애플리케이션이 등록되면 애플리케이션 ID 값을 복사하고 나중에 사용할 수 있는 값을 저장합니다.

  8. 설정을 선택한 다음, 필요한 권한을 선택합니다.

  9. 추가를 선택합니다. API 선택, Microsoft Graph, 선택을 차례로 선택합니다.

  10. Microsoft Entra 액세스 검토는 다음과 같은 위임된 권한을 사용합니다.

    • 사용자가 액세스할 수 있는 모든 액세스 검토 읽기
    • 사용자가 액세스할 수 있는 모든 액세스 검토 관리
    • 사용자가 액세스할 수 있는 모든 프로그램 읽기
    • 사용자가 액세스할 수 있는 모든 프로그램 관리 이 예제 애플리케이션에는 다음 권한만 필요합니다. 사용자가 액세스할 수 있는 모든 액세스 검토 읽기사용자가 액세스할 수 있는 모든 프로그램 읽기

  11. 이 두 권한 옆의 확인란을 선택하고 선택을 선택합니다.

  12. “완료”를 선택합니다.

액세스 검토 API의 구성 요소

액세스 검토 API는 논리적으로 구성되며 다음 구성 요소로 구성됩니다.

  1. 액세스 검토 일정 정의

    • 액세스 검토 및 해당 인스턴스의 설정을 포함하는 논리적 청사진입니다. 이러한 설정은 다음과 같습니다.

      • 액세스되는 리소스입니다.
      • 리소스에 액세스하는 보안 주체입니다.
      • 보안 주체가 리소스에 대한 액세스를 유지 관리해야 한다는 것을 증명한 검토자입니다.
      • 액세스 검토 빈도입니다.
      • 액세스 검토의 단계입니다(다단계 액세스 검토용).

  2. 액세스 검토 인스턴스

    • 검토자가 결정을 내리는 단일 검토 활동 또는 발생을 나타냅니다. 되풀이 검토의 경우와 마찬가지로 액세스 검토 정의에는 여러 인스턴스가 있을 수 있습니다. 일회성 리뷰에는 정확히 하나의 인스턴스가 있습니다. 다단계 액세스 검토의 경우 각 인스턴스에는 최대 3단계가 포함됩니다.

  3. 검토를 위해 기록된 의사 결정 항목

    • 타임스탬프 및 결정의 근거를 포함하여 검토자가 인스턴스에 대해 내린 결정을 나타냅니다. 각 검토 인스턴스에는 검토 중인 보안 주체 수만큼 많은 결정이 있습니다. 결정된 사항이 없는 경우, 즉 검토자가 검토에 응답하지 않은 경우 인스턴스에 대한 의사 결정 개체가 없습니다.