다음은 Microsoft Entra 그룹에 Microsoft Entra 역할을 할당하기 위한 몇 가지 일반적인 질문과 문제 해결 팁입니다.
그룹 관리자이지만 ‘Microsoft Entra 역할을 그룹에 할당할 수 있음’ 스위치가 보이지 않습니다.
권한 있는 역할 관리자 또는 전역 관리자만 역할 할당이 가능한 그룹을 만들 수 있습니다. 이러한 역할의 사용자만 이 컨트롤을 볼 수 있습니다.
Microsoft Entra 역할에 할당된 그룹의 멤버 자격을 수정할 수 있는 사람은 누구인가요?
기본적으로 권한 있는 역할 관리자 및 전역 관리자만 역할 할당 가능 그룹의 멤버 자격을 관리하지만, 그룹 소유자를 추가하여 역할 할당 가능 그룹의 관리를 위임할 수 있습니다.
소속 조직의 기술 지원팀 관리자인데, 디렉터리 읽기 권한자인 사용자의 암호를 업데이트할 수 없습니다. 그 이유는 무엇인가요?
사용자가 역할 할당 가능 그룹을 통해 디렉터리 읽기 권한자를 얻었을 수 있습니다. 역할 할당 가능 그룹의 모든 멤버와 소유자는 보호됩니다. 권한 있는 인증 관리자 또는 전역 관리자 역할의 사용자만 보호된 사용자에 대한 자격 증명을 재설정할 수 있습니다.
사용자 암호를 업데이트할 수 없습니다. 사용자에게 더 높은 권한의 역할이 할당되지 않았습니다. 이유가 무엇인가요?
사용자가 역할 할당 가능 그룹의 소유자일 수 있습니다. 권한 상승을 방지하기 위해 역할 할당 가능 그룹의 소유자는 보호를 받습니다. 예컨대 그룹 Contoso_Security_Admins가 보안 관리자 역할에 할당된 경우, Bob이 그룹 소유자이고 Alice가 조직의 암호 관리자일 수 있습니다. 이 보호가 없으면 Alice가 Bob의 자격 증명을 재설정하고 Bob의 ID를 취득할 수 있습니다. 그러면 Alice가 Contoso_Security_Admins 그룹에 본인이나 다른 사람을 추가하여 조직의 보안 관리자가 될 수 있습니다. 사용자가 그룹 소유자인지 확인하려면 해당 사용자의 소유 개체 목록을 가져오고 isAssignableToRole이 true로 설정된 그룹이 있는지 확인합니다. 그렇다면 해당 사용자는 보호를 받고 그 동작은 의도된 것입니다. 소유 개체를 가져오려면 다음 설명서를 참조하세요.
Microsoft Entra 역할에 할당될 수 있는 그룹에서 액세스 검토를 만들 수 있나요(특히 isAssignableToRole 속성이 true로 설정된 그룹)?
예, 가능합니다. 전역 관리자 및 권한 있는 역할 관리자만 역할 할당 가능 그룹에서 액세스 검토를 만들 수 있습니다.
액세스 패키지를 만들고 Microsoft Entra 역할에 할당될 수 있는 그룹을 배치할 수 있나요?
예, 가능합니다. 전역 관리자 및 사용자 관리자는 액세스 패키지에 모든 그룹을 배치할 수 있습니다. 전역 관리자에 대한 변경 사항은 없지만, 사용자 관리자 역할 권한은 약간 변경됩니다. 액세스 패키지에 역할 할당 가능 그룹을 배치하려면 사용자 관리자 겸 역할 할당 가능 그룹의 소유자여야 합니다. 다음은 엔터프라이즈 라이선스 관리에서 액세스 패키지를 만들 수 있는 사람을 보여 주는 전체 표입니다.
| Microsoft Entra 디렉터리 역할 | 권한 관리 역할 | 보안 그룹 추가 가능* | Microsoft 365 그룹 추가 가능* | 앱 추가 가능 | SharePoint Online 사이트 추가 가능 |
|---|---|---|---|---|---|
| 전역 관리자 | 해당 없음 | ✔️ | ✔️ | ✔️ | ✔️ |
| 사용자 관리자 | 해당 없음 | ✔️ | ✔️ | ✔️ | |
| Intune 관리자 | 카탈로그 소유자 | ✔️ | ✔️ | ||
| Exchange 관리자 | 카탈로그 소유자 | ✔️ | |||
| Teams 서비스 관리자 | 카탈로그 소유자 | ✔️ | |||
| SharePoint 관리자 | 카탈로그 소유자 | ✔️ | ✔️ | ||
| 애플리케이션 관리자 | 카탈로그 소유자 | ✔️ | |||
| 클라우드 애플리케이션 관리자 | 카탈로그 소유자 | ✔️ | |||
| 사용자 | 카탈로그 소유자 | 그룹 소유자인 경우에만 해당 | 그룹 소유자인 경우에만 해당 | 앱 소유자인 경우에만 해당 |
*그룹은 역할을 할당할 수 없습니다. 즉, isAssignableToRole = false입니다. 그룹이 역할 할당 가능인 경우 액세스 패키지를 만드는 사람도 역할 할당 가능 그룹의 소유자여야 합니다.
"할당된 역할"에서 "할당 제거" 옵션을 찾을 수 없습니다. 사용자에 대한 역할 할당을 삭제하려면 어떻게 해야 하나요?
이 답변은 Microsoft Entra ID P1 조직에만 적용됩니다.
- 최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- ID>사용자>모든 사용자로 이동합니다.
- 사용자를 선택합니다.
- 할당된 역할을 선택합니다.
- 제거할 역할 할당을 클릭합니다.
- 할당 제거를 선택하여 직접 역할 할당을 제거합니다.
간접 역할 할당을 제거하려면, 역할이 할당된 그룹에서 사용자를 제거합니다.
역할 할당이 가능한 그룹을 모두 보려면 어떻게 해야 하나요?
다음 단계를 수행하세요.
- Microsoft Entra 관리 센터에 로그인합니다.
- ID>그룹>모든 그룹으로 이동합니다.
- 필터 추가를 선택합니다.
- 역할 할당 가능으로 필터링합니다.
보안 주체에 직간접적으로 할당되는 역할을 알아보려면 어떻게 해야 하나요?
다음 단계를 수행하세요.
- Microsoft Entra 관리 센터에 로그인합니다.
- ID>사용자>모든 사용자로 이동합니다.
- 사용자를 선택합니다.
- 할당된 역할을 선택합니다.
- Microsoft Entra ID P1 라이선스가 있는 경우 할당 경로 열을 봅니다.
- Microsoft Entra ID P2 라이선스가 있는 경우 멤버 자격 열을 봅니다.
역할에 할당하기 위해 새 그룹을 만들어야 하는 이유는 무엇인가요?
역할에 기존 그룹을 할당하는 경우, 새 멤버가 자신이 역할을 갖게 될 것을 모르는 상태에서 그룹 소유자가 이 그룹에 다른 멤버를 추가할 수 있습니다. 역할 할당 가능 그룹은 강력하기 때문에 이를 보호하기 위한 제한을 많이 두고 있습니다. 그룹을 관리하는 사용자가 놀랄 만한 변화를 그룹에 주고 싶어 하지는 않습니다.