Azure AD 액세스 검토란?What are Azure AD access reviews?

Azure AD (Azure Active Directory) 액세스 검토를 사용 하면 조직에서 그룹 멤버 자격, 엔터프라이즈 응용 프로그램에 대 한 액세스 및 역할 할당을 효율적으로 관리할 수 있습니다.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. 사용자의 액세스는 정기적으로 검토하여 적합한 사용자만 계속 액세스할 수 있도록 합니다.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

다음은 액세스 검토의 빠른 개요를 제공하는 비디오입니다.Here's a video that provides a quick overview of access reviews:

액세스 검토가 중요한 이유는 무엇인가요?Why are access reviews important?

Azure AD를 사용하면 조직 내에서 내부적으로, 또한 파트너와 같은 외부 조직의 사용자와 공동 작업을 수행할 수 있습니다.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. 사용자는 그룹에 가입하고, 게스트를 초대하고, 클라우드 앱에 연결하고, 해당 회사 또는 개인 디바이스에서 원격으로 작업할 수 있습니다.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. 셀프 서비스 기능을 활용할 수 있는 편의성으로 인해 더 나은 액세스 관리 기능이 필요하게 되었습니다.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • 새로운 직원이 참여했을 때 생산성을 높일 수 있는 적절한 액세스 권한을 어떻게 보장할 수 있나요?As new employees join, how do you ensure they have the right access to be productive?
  • 사람들이 팀을 이동하거나 회사를 떠날 때, 특히 게스트가 포함된 경우 해당 사용자의 이전 액세스 권한이 제거되었는지 어떻게 보장할 수 있나요?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • 과도한 액세스 권한은 액세스에 대한 제어가 부족함을 나타내므로 결과 및 손상에 대한 감사로 이어질 수 있습니다.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • 해당 리소스에 대한 액세스 권한이 있는 사용자를 정기적으로 검토하도록 리소스 소유자와 사전에 협의해야 합니다.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

언제 액세스 검토를 사용하나요?When to use access reviews?

  • 권한 있는 역할의 사용자가 너무 많음: 관리 작업을 수행 하도록 할당 된 후에 제거 되지 않은 초대 된 게스트 또는 파트너가 있는지 확인 하는 것이 좋습니다 .이는 관리자 액세스 권한이 있는 사용자 수를 확인 하는 것입니다.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. 전역 관리자와 같은 AZURE AD 역할 또는 Azure AD Privileged Identity Management (PIM) 환경에서 사용자 액세스 관리자와 같은 azure 리소스 역할 의 역할 할당 사용자를 다시 인증할 수 있습니다.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • 자동화가 불가능 한 경우: 보안 그룹 또는 Office 365 그룹에 대 한 동적 멤버 자격에 대 한 규칙을 만들 수 있습니다. 그러나 HR 데이터가 Azure AD에 없는 경우 또는 사용자가 계속 해 서 그룹을 사용 하 여 대체를 학습 한 후 액세스 해야 하는 경우는 어떻게 되나요?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 Groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? 해당 그룹에서 검토를 만들어서 계속 액세스 권한이 필요한 사용자가 계속 액세스할 수 있도록 합니다.You can then create a review on that group to ensure those who still need access should have continued access.
  • 새로운 목적을 위해 그룹이 사용되는 경우: Azure AD에 동기화될 그룹이 있거나 판매 팀 그룹의 모든 사용자에 대해 애플리케이션 Salesforce를 사용하도록 설정하려는 경우 그룹이 다른 위험 콘텐츠에서 사용되기 전에 그룹 소유자에게 다른 그룹 멤버 자격을 검토하도록 요청하는 것이 유용합니다.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • 비즈니스에 중요 한 데이터 액세스: 특정 리소스의 경우 외부 사용자에 게 정기적으로 로그 아웃 하 고 감사 목적으로 액세스 해야 하는 이유에 대 한 근거를 제공 해야 할 수 있습니다.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • 정책의 예외 목록을 유지 관리 하려면 다음을 수행 합니다. 이상적인 세계에서는 모든 사용자가 액세스 정책을 따라 조직의 리소스에 안전 하 게 액세스할 수 있습니다.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. 그러나 경우에 따라 예외가 있는 비즈니스 사례가 있습니다.However, sometimes there are business cases that require you to make exceptions. IT 관리자로서, 이 작업을 관리하고, 정책 예외 감시를 방지하며, 이러한 예외를 정기적으로 검토했음에 대한 증명을 감사자에게 제공할 수 있습니다.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • 그룹 소유자에 게 해당 그룹에서 게스트를 계속 필요로 하는지 확인 합니다. 직원 액세스는 일부 온-프레미스 IAM으로 자동화 될 수 있지만 초대 된 게스트는 사용할 수 없습니다.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. 그룹이 게스트에게 비즈니스상 중요한 콘텐츠에 대한 액세스 권한을 부여한 경우 게스트에게 액세스에 대한 합법적인 비즈니스 요구가 여전히 있는지를 확인할 책임은 그룹 소유자에게 있습니다.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • 검토를 주기적으로 반복되도록 함: 주간, 월별, 분기별 또는 연간과 같이 설정된 주기로 사용자의 액세스 검토 반복을 설정할 수 있으며, 검토자는 각 검토 시작 시 알림을 받게 됩니다.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. 검토자는 친숙한 인터페이스를 사용하거나 스마트 권장 사항을 활용하여 액세스를 승인하거나 거부할 수 있습니다.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

검토는 어디에서 만드나요?Where do you create reviews?

검토 하려는 내용에 따라 Azure AD 액세스 검토, Azure AD enterprise apps (미리 보기) 또는 Azure AD PIM에서 액세스 검토를 만듭니다.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

사용자의 액세스 권한Access rights of users 검토자는 다음을 수행할 수 있음Reviewers can be 검토 생성 위치Review created in 검토자 경험Reviewer experience
보안 그룹 멤버Security group members
사무실 그룹 멤버Office group members
지정된 검토자Specified reviewers
그룹 소유자Group owners
자동 검토Self-review
Azure AD 액세스 검토Azure AD access reviews
Azure AD 그룹Azure AD groups
액세스 패널Access panel
연결된 앱에 할당됨Assigned to a connected app 지정된 검토자Specified reviewers
자동 검토Self-review
Azure AD 액세스 검토Azure AD access reviews
Azure AD 엔터프라이즈 앱(미리 보기)Azure AD enterprise apps (in preview)
액세스 패널Access panel
Azure AD 역할Azure AD role 지정된 검토자Specified reviewers
자동 검토Self-review
Azure AD PIMAzure AD PIM Azure PortalAzure portal
Azure 리소스 역할Azure resource role 지정된 검토자Specified reviewers
자동 검토Self-review
Azure AD PIMAzure AD PIM Azure PortalAzure portal

액세스 검토 등록Onboard access reviews

액세스 검토를 등록 하려면 다음 단계를 수행 합니다.To onboard access reviews, follow these steps.

  1. 전역 관리자 또는 사용자 관리자는 액세스 검토를 사용 하려는 Azure Portal 에 로그인 합니다.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. 왼쪽 탐색 메뉴에서 Azure Active Directory를 클릭합니다.In the left navigation, click Azure Active Directory.

  3. 왼쪽 메뉴에서 Id 거 버 넌 스를 클릭 합니다.In the left menu, click Identity Governance.

  4. 액세스 검토를 클릭 합니다.Click Access reviews.

    액세스 검토 시작 페이지

  5. 페이지에서 지금 등록 단추를 클릭 합니다.On the page, click the Onboard now button.

    액세스 검토 온보드

액세스 검토에 대 한 자세한 정보Learn about access reviews

액세스 검토를 만들고 수행하는 데 관해 자세히 알아보려면 다음 짧은 데모를 시청하세요.To learn more about creating and performing access reviews, watch this short demo:

조직에서 액세스 검토를 배포할 준비가 경우 비디오의 단계에 따라 등록하고, 관리자를 교육하고, 첫 번째 액세스 검토를 만드세요!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

라이선스 요구 사항License requirements

이 기능을 사용하려면 Azure AD Premium P2 라이선스가 필요합니다.Using this feature requires an Azure AD Premium P2 license. 요구 사항에 적합한 라이선스를 찾으려면  Free, Basic 및 Premium 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

어떤 사용자에게 라이선스가 있어야 하나요?Which users must have licenses?

액세스 검토와 상호 작용 하는 각 사용자에 게는 유료 Azure AD Premium P2 라이선스가 있어야 합니다.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. 다음은 이러한 템플릿의 예입니다.Examples include:

  • 액세스 검토를 만드는 관리자Administrators who create an access review
  • 액세스 검토를 수행 하는 그룹 소유자Group owners who perform an access review
  • 검토자로 할당 된 사용자Users assigned as reviewers
  • 자체 검토를 수행 하는 사용자Users who perform a self-review

게스트 사용자에게 자신의 액세스 권한을 검토하도록 요청할 수도 있습니다.You can also ask guest users to review their own access. 자신의 조직 사용자 중 하나에 할당 하는 각 유료 Azure AD Premium P2 라이선스에 대해 Azure AD B2B (기업 간)를 사용 하 여 외부 사용자 수에서 최대 5 명의 게스트 사용자를 초대할 수 있습니다.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. 이러한 게스트 사용자는 Azure AD Premium P2 기능도 사용할 수 있습니다.These guest users can also use Azure AD Premium P2 features. 자세한 내용은 AZURE AD B2B 공동 작업 라이선스 지침을 참조 하세요.For more information, see Azure AD B2B collaboration licensing guidance.

다음은 보유 해야 하는 라이선스 수를 결정 하는 데 도움이 되는 몇 가지 예제 시나리오입니다.Here are some example scenarios to help you determine the number of licenses you must have.

시나리오Scenario 계산Calculation 필요한 라이선스 수Required number of licenses
관리자가 500 사용자로 그룹 A에 대 한 액세스 검토를 만듭니다.An administrator creates an access review of Group A with 500 users. 3 개의 그룹 소유자를 검토자로 할당 합니다.Assigns 3 group owners as reviewers. 각 그룹 소유자에 대 한 관리자 + 3 라이선스에 대 한 라이선스 1 개 (검토자)1 license for the administrator + 3 licenses for each group owner as reviewers. 44
관리자가 500 사용자로 그룹 A에 대 한 액세스 검토를 만듭니다.An administrator creates an access review of Group A with 500 users. 자체 검토를 수행 합니다.Makes it a self-review. 각 사용자의 관리자 + 500 라이선스에 대 한 라이선스 1 개 (자체 검토자)1 license for the administrator + 500 licenses for each user as self-reviewers. 501501
관리자는 5 명의 사용자와 25 명의 게스트 사용자를 사용 하 여 그룹 B에 대 한 액세스 검토를 만듭니다.An administrator creates an access review of Group B with 5 users and 25 guest users. 자체 검토를 수행 합니다.Makes it a self-review. 각 사용자의 관리자 + 5 라이선스에 대 한 라이선스 1 개 (자체 검토자)1 license for the administrator + 5 licenses for each user as self-reviewers.
(게스트 사용자는 필요한 1:5 비율로 적용 됩니다.)(guest users are covered in the required 1:5 ratio)
66
관리자가 사용자 5 명 및 108 게스트 사용자를 사용 하 여 그룹 C에 대 한 액세스 검토를 만듭니다.An administrator creates an access review of Group C with 5 users and 108 guest users. 자체 검토를 수행 합니다.Makes it a self-review. 1 각 사용자의 관리자 + 5 라이선스에 대 한 라이선스는 모든 108 게스트 사용자에 게 필요한 1:5 비율의 모든 게스트 사용자를 처리할 수 있는 자체 검토자 + 16 추가 라이선스입니다.1 license for the administrator + 5 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio.
1 + 5 = 6 라이선스 (5 @ no__t-06 = 30 게스트 사용자)를 포함 합니다.1+5=6 licenses, which cover 5*6=30 guest users. 나머지 (108-5 @ no__t-06) = 78 게스트 사용자의 경우 78/5 = 16 추가 라이선스가 필요 합니다.For the remaining (108-5*6)=78 guest users, 78/5=16 additional licenses are required. 따라서 총 6 + 16 = 22 개의 라이선스가 필요 합니다.Thus in total, 6+16=22 licenses are required.
2222

사용자에게 라이선스를 할당하는 방법에 대한 내용은 Azure Active Directory 포털을 사용하여 라이선스 할당 또는 제거를 참조하세요.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

다음 단계Next steps