권한 관리에서 액세스 패키지에 대한 자동 할당 정책 구성

  • 아티클

Microsoft Entra의 일부인 Microsoft Entra ID에서는 규칙을 사용하여 사용자 속성에 따라 액세스 패키지 할당을 결정할 수 있습니다. 권한 관리에서 액세스 패키지에는 여러 정책이 있을 수 있으며 각 정책은 사용자가 액세스 패키지에 할당을 받는 방법과 기간을 설정합니다. 관리자는 자격 관리가 할당을 자동으로 만들고 제거하는 데 따르는 멤버 자격 규칙을 제공하여 자동 할당에 대한 정책을 설정할 수 있습니다. 동적 그룹과 마찬가지로 자동 할당 정책이 만들어지면 사용자 특성이 정책의 멤버 관리 규칙과 일치하는지 평가됩니다. 사용자의 특성이 변경되면 액세스 패키지의 이러한 자동 할당 정책 규칙이 멤버 자격 변경에 대해 처리됩니다. 그런 다음 규칙 조건을 충족하는지 여부에 따라 사용자에 대한 할당이 추가되거나 제거됩니다.

액세스 패키지에는 최대 하나의 자동 할당 정책이 있을 수 있으며 정책은 관리자만 만들 수 있습니다. (카탈로그 소유자 및 액세스 패키지 관리자는 자동 할당 정책을 만들 수 없습니다.)

이 문서에서는 기존 액세스 패키지에 대한 액세스 패키지 자동 할당 정책을 만드는 방법에 대해 설명합니다.

시작하기 전에

액세스가 할당되는 범위에 있는 사용자에 대한 특성이 채워져야 합니다. 액세스 패키지 할당 정책의 규칙 조건에서 사용할 수 있는 특성은 확장 특성 및 사용자 지정 확장 특성과 함께 지원되는 속성에 나열된 특성입니다. 이러한 특성은 사용자, SuccessFactors, Microsoft Entra 커넥트 클라우드 동기화 또는 Microsoft Entra 커넥트 Sync와 같은 HR 시스템을 패치 하여 Microsoft Entra ID로 가져올 수 있습니다. 규칙은 정책당 최대 5,000명의 사용자를 포함할 수 있습니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID Governance 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.

자동 할당 정책 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

액세스 패키지에 대한 정책을 만들려면 액세스 패키지의 정책 탭에서 시작해야 합니다. 액세스 패키지에 대한 새 자동 할당 정책을 만들려면 다음 단계를 따릅니다.

전제 역할: 전역 관리자 또는 ID 거버넌스 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. Access 패키지 페이지에서 액세스 패키지를 엽니다.

  4. 정책을 클릭한 다음 자동 할당 정책 추가를 선택하여 새 정책을 만듭니다.

  5. 첫 번째 탭에서 규칙을 지정합니다. 편집을 선택합니다.

  6. 멤버 관리 규칙 작성기를 사용하거나 규칙 구문 텍스트 상자에서 편집을 클릭하여 동적 멤버 관리 규칙을 제공합니다.

    참고 항목

    규칙 작성기는 텍스트 상자에 생성된 일부 규칙을 표시하지 못할 수 있으며, 현재 규칙의 유효성을 검사하려면 전역 관리자 역할에 있어야 합니다. 자세한 내용은 Microsoft Entra 관리 센터의 규칙 작성기를 참조하세요.

    Screenshot of an access package automatic assignment policy rule configuration.

  7. 동적 멤버십 관리 규칙 편집기를 닫으려면 저장을 선택합니다.

  8. 기본적으로 할당을 자동으로 만들고 제거하는 확인란은 선택된 상태로 유지되어야 합니다.

  9. 사용자가 범위를 벗어난 후에도 제한된 시간 동안 액세스 권한을 보존하도록 하려면 기간을 시간 또는 일 단위로 지정할 수 있습니다. 예를 들어 직원이 영업 부서를 떠날 때 영업 앱을 사용하고 해당 앱의 리소스 소유권을 다른 직원에게 이전할 수 있도록 7일 동안 액세스를 계속 유지하도록 허용할 수 있습니다.

  10. 다음을 선택하여 사용자 지정 확장 탭을 엽니다.

  11. 정책이 액세스 권한을 할당하거나 제거할 때 실행하려는 카탈로그에 사용자 지정 확장이 있는 경우 이 정책에 추가할 수 있습니다. 그런 다음 검토 탭을 열려면 다음을 선택합니다.

  12. 정책의 이름과 설명을 입력합니다.

    Screenshot of an access package automatic assignment policy review tab.

  13. 정책을 저장하려면 만들기를 선택합니다.

    참고 항목

    이때 이 미리 보기에서 권한 관리는 범위 내 사용자를 평가하기 위해 각 정책에 해당하는 동적 보안 그룹을 자동으로 만듭니다. 권한 관리 자체를 제외하고 이 그룹을 수정해서는 안 됩니다. 권한 관리에서 이 그룹을 자동으로 수정하거나 삭제할 수도 있으므로 다른 애플리케이션이나 시나리오에는 이 그룹을 사용하지 마세요.

  14. Microsoft Entra ID는 이 규칙의 범위에 있는 조직의 사용자를 평가하고 액세스 패키지에 대한 할당이 아직 없는 사용자에 대한 할당을 만듭니다. 정책에는 최대 5,000명의 사용자가 해당 규칙에 포함될 수 있습니다. 평가가 수행되거나 사용자의 특성에 대한 후속 업데이트가 액세스 패키지 할당에 반영되는 데 몇 분 정도 걸릴 수 있습니다.

프로그래밍 방식으로 자동 할당 정책 만들기

Microsoft Graph 및 Microsoft Graph용 PowerShell cmdlet을 통해 프로그래밍 방식으로 자동 할당에 대한 액세스 패키지 할당 정책을 만드는 방법에는 두 가지가 있습니다.

Graph를 통해 액세스 패키지 할당 정책 만들기

Microsoft Graph를 사용하여 정책을 만들 수 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션 또는 카탈로그 역할 또는 사용 권한이 있는 애플리케이션이 있는 적절한 역할의 EntitlementManagement.ReadWrite.All 사용자는 assignmentPolicy API 만들기를 호출할 수 있습니다. 요청 페이로드에 정책의 displayName, description, specificAllowedTargets, automaticRequestSettingsaccessPackage 속성을 포함합니다.

PowerShell을 통해 액세스 패키지 할당 정책 만들기

Identity Governance용 Microsoft Graph PowerShell cmdlet 모듈 버전 1.16.0 이상에서 cmdlet을 사용하여 PowerShell에서 정책을 만들 수도 있습니다.

아래 스크립트는 v1.0 프로필을 사용하여 액세스 패키지에 자동 할당하기 위한 정책을 만드는 방법을 보여 줍니다. 자세한 예제는 assignmentPolicy 만들기를 참조하세요.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

다음 단계