Azure Active Directory 그룹을 사용하여 앱 및 리소스 액세스 관리Manage app and resource access using Azure Active Directory groups

Azure AD(Azure Active Directory) 그룹은 조직의 그룹을 사용하여 클라우드 기반 앱, 온-프레미스 앱 및 리소스를 관리하는 데 유용합니다.Azure Active Directory (Azure AD) helps you to manage your cloud-based apps, on-premises apps, and your resources using your organization's groups. 사용자 리소스는 디렉터리에서 역할을 통해 개체를 관리하는 권한과 같은 디렉터리에 포함되거나, SaaS(Software as a Service) 앱, Azure 서비스, SharePoint 사이트 및 온-프레미스 리소스와 같은 디렉터리의 외부에 있을 수 있습니다.Your resources can be part of the directory, such as permissions to manage objects through roles in the directory, or external to the directory, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

참고

Azure Active Directory를 사용하려면 Azure 계정이 필요합니다.To use Azure Active Directory, you need an Azure account. 계정이 없으면 무료 Azure 계정을 등록할 수 있습니다.If you don't have an account, you can sign up for a free Azure account.

Azure AD에서 액세스 관리는 어떻게 작동합니까?How does access management in Azure AD work?

Azure AD는 단일 사용자 또는 전체 Azure AD 그룹에게 액세스 권한을 제공하여 조직의 리소스에 액세스하는 데 유용합니다.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. 그룹을 사용하면 리소스 소유자(또는 Azure AD 디렉터리 소유자)가 구성원 한 명씩에게 권한을 제공하는 대신 액세스 권한 집합을 그룹의 모든 구성원에게 할당할 수 있습니다.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. 리소스 또는 디렉터리 소유자는 부서 관리자 또는 기술 지원팀 관리자와 같은 다른 담당자에게 구성원 목록에 대한 관리 권한을 부여하면서, 해당 담당자가 필요에 따라 구성원을 추가하고 제거하도록 할 수 있습니다.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. 그룹 소유자 관리 방법에 대한 자세한 내용은 그룹 소유자 관리를 참조For more information about how to manage group owners, see Manage group owners

Azure Active Directory 액세스 관리 다이어그램

액세스 권한을 할당하는 방법Ways to assign access rights

사용자에게 리소스 액세스 권한을 할당하는 방법은 다음과 같이 네 가지가 있습니다.There are four ways to assign resource access rights to your users:

  • 직접 할당.Direct assignment. 리소스 소유자는 사용자를 리소스에 직접 할당합니다.The resource owner directly assigns the user to the resource.

  • 그룹 할당.Group assignment. 리소스 소유자는 Azure AD 그룹을 리소스에 할당하여 자동으로 모든 그룹 구성원에게 리소스에 대한 액세스 권한을 부여합니다.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. 그룹 구성원 자격은 그룹 소유자 및 리소스 소유자 모두에 의해 관리되고,두 소유자 중 하나가 그룹에서 구성원을 추가하거나 제거할 수 있습니다.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. 그룹 멤버 자격 추가 또는 제거에 대한 자세한 내용은 방법: Azure Active Directory 포털을 사용하여 다른 그룹에서 그룹 추가 또는 제거를 참조하세요.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • 규칙 기반 할당.Rule-based assignment. 리소스 소유자는 그룹을 만들고 규칙을 사용하여 특정 리소스에 할당되는 사용자를 정의합니다.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. 규칙은 개별 사용자에게 할당되는 특성을 따릅니다.The rule is based on attributes that are assigned to individual users. 리소스 소유자는 규칙을 관리하며, 리소스에 대한 액세스를 허용하는 데 필요한 특성 및 값을 결정합니다.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. 자세한 내용은 동적 그룹 만들기 및 상태 확인을 참조하세요.For more information, see Create a dynamic group and check status.

    동적 그룹 만들기 및 사용 방법에 대한 빠른 설명은 이 짧은 비디오를 시청하면 됩니다.You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • 외부 기관 할당.External authority assignment. 온-프레미스 디렉터리 또는 SaaS 앱 등의 외부 소스에서 액세스가 제공됩니다.Access comes from an external source, such as an on-premises directory or a SaaS app. 이 상황에서 리소스 소유자가 리소스에 대한 액세스 권한을 제공하는 그룹을 할당한 다음, 외부 소스가 그룹 구성원을 관리합니다.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    액세스 관리 다이어그램의 개요

사용자는 할당되지 않고 그룹에 조인할 수 있나요?Can users join groups without being assigned?

그룹 소유자는 사용자가 자신의 그룹을 할당하지 않고 조인할 자신의 그룹을 찾도록 할 수 있습니다.The group owner can let users find their own groups to join, instead of assigning them. 소유자는 조인하는 모든 사용자를 자동으로 수용하거나 승인이 필요하도록 그룹을 설정할 수도 있습니다.The owner can also set up the group to automatically accept all users that join or to require approval.

사용자가 그룹에 조인을 요청하면 해당 요청은 그룹 소유자에게 전달됩니다.After a user requests to join a group, the request is forwarded to the group owner. 필요한 경우 소유자는 요청을 승인할 수 있으며, 사용자는 그룹 구성원 자격을 통보받습니다.If it's required, the owner can approve the request and the user is notified of the group membership. 그러나 소유자가 여러 명이고 그 중 한 명이 승인하지 않으면 사용자는 통보는 받지만 그룹에 추가되지는 않습니다.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. 사용자가 그룹에 조인을 요청하게 하는 방법에 대한 자세한 내용 및 지침은 사용자가 그룹에 조인을 요청할 수 있도록 Azure AD 설정을 참조For more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

다음 단계Next steps

그룹을 사용하여 액세스를 관리하는 방법에 대해 어느 정도 소개했으므로 이제 리소스 및 앱을 관리하는 방법을 시작합니다.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.