자습서: 권한 관리에서 리소스에 대한 액세스 관리

  • 아티클

직원에게 필요한 모든 리소스(예: 그룹, 애플리케이션 및 사이트)에 대한 액세스를 관리하는 것은 조직에 중요한 기능입니다. 생산성 향상에 필요한 올바른 수준의 액세스 권한을 직원에게 부여했다가 더 이상 필요가 없으면 액세스 권한을 제거하는 것이 좋습니다.

이 자습서에서는 Woodgrove Bank에 IT관리자로 근무한다고 가정합니다. 내부 사용자가 셀프 서비스를 요청할 수 있는 마케팅 캠페인용 리소스 패키지를 생성하라는 요청을 받았습니다. 요청에는 승인이 필요하지 않으며 사용자의 액세스 권한은 30일 후에 만료됩니다. 이 자습서의 경우 마케팅 캠페인 리소스는 단일 그룹의 멤버 자격뿐이지만, 그룹, 애플리케이션 또는 SharePoint Online 사이트의 컬렉션일 수도 있습니다.

Diagram that shows the scenario overview.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 그룹을 리소스로 사용하여 액세스 패키지 만들기
  • 디렉터리의 사용자가 액세스를 요청할 수 있도록 허용
  • 내부 사용자가 액세스 패키지를 요청하는 방법 보여주기

첫 번째 액세스 패키지 만들기를 포함하여 Microsoft Entra 권한 관리 배포 프로세스에 대한 단계별 데모를 보려면 다음 동영상을 시청합니다.

이 문서의 나머지 부분에서는 Microsoft Entra 관리 센터를 사용하여 권한 관리를 구성하고 시연합니다.

필수 조건

권한 관리를 사용하려면 다음 라이선스 중 하나가 있어야 합니다.

  • Microsoft Entra ID P2 또는 Microsoft Entra ID 거버넌스
  • EMS(Enterprise Mobility + Security) E5 라이선스

자세한 내용은 라이선스 요구 사항을 참조하세요.

1단계: 사용자 및 그룹 설정

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

리소스 디렉터리에는 공유할 리소스가 하나 이상 있습니다. 이 단계에서는 Woodgrove Bank 디렉터리에 아케팅 리소스라는 그룹을 만듭니다. 이것이 권한 관리에 대한 대상 리소스입니다. 내부 요청자도 설정합니다.

필수 역할: 전역 관리자 또는 ID 거버넌스 관리자

Diagram that shows the users and groups for this tutorial.

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. 두 사용자를 만듭니다. 다음 이름 또는 다른 이름을 사용합니다.

    이름 디렉터리 역할
    Admin1 전역 관리자 또는 ID 거버넌스 관리자입니다. 이 사용자는 현재 로그인된 사용자일 수 있습니다.
    Requestor1 사용자

  4. 멤버 자격 형식이 할당됨마케팅 리소스라는 Microsoft Entra 보안 그룹을 만듭니다. 이 그룹은 권한 관리에 대한 대상 리소스입니다. 그룹은 시작 시 멤버가 비어 있어야 합니다.

2단계: 액세스 패키지 만들기

액세스 패키지는 팀 또는 프로젝트에 필요한 리소스의 번들로, 정책에 따라 관리됩니다. 액세스 패키지는 카탈로그(catalogs)라는 컨테이너에 정의됩니다. 이 단계에서는 일반 카탈로그에 마케팅 캠페인 액세스 패키지를 만듭니다.

필수 역할: 전역 관리자, ID 거버넌스 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자

Diagram that describes the relationship between the access package elements.

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. 액세스 패키지 페이지에서 액세스 패키지를 엽니다.

  4. 액세스 패키지를 열 때 액세스 거부됨이 표시되면 Microsoft Entra ID P2 또는 Microsoft Entra ID Governance 라이선스가 디렉터리에 있는지 확인합니다.

  5. 새 액세스 패키지를 선택합니다.

    Screenshots that shows how to create an access package.

  6. 기본 사항 탭에서 이름에는 마케팅 캠페인 액세스 패키지를 입력하고 설명에는 캠페인에 대한 리소스에 액세스를 입력합니다.

  7. 카탈로그 드롭다운 목록은 일반으로 둡니다.

    Screenshot showing how to set the basic of the access policy.

  8. 다음을 선택하여 리소스 역할 탭을 엽니다. 이 탭에서 액세스 패키지에 포함할 리소스 및 리소스 역할을 선택합니다. 그룹 및 팀, 애플리케이션 및 SharePoint Online 사이트에 대해 액세스를 관리하도록 선택할 수 있습니다. 이 시나리오에서는 그룹 및 팀을 선택합니다.

    Screenshot showing how to select groups and teams.

  9. 그룹 선택 창에서 앞서 만든 마케팅 리소스 그룹을 찾아서 선택합니다.

    기본적으로 일반 카탈로그 내에 그룹이 표시됩니다. 모두 보기 확인란을 선택하면 볼 수 있는 일반 카탈로그 외부의 그룹을 선택하면 일반 카탈로그에 추가됩니다.

    Screenshot that shows how to select the groups

  10. 선택을 선택해서 목록에 그룹을 추가합니다.

  11. 역할 드롭다운 목록에서 멤버를 선택합니다. 소유자 역할을 선택하면 사용자가 다른 멤버 또는 소유자를 추가하거나 제거할 수 있습니다. 리소스에 대한 적절한 역할을 선택하는 방법에 대한 자세한 내용은 리소스 역할 추가를 참조하세요.

    Screenshot the shows how to select the member role.

    Important

    액세스 패키지에 추가되는 역할 할당 가능 그룹역할에 할당 가능한 하위 유형을 사용하여 표시됩니다. 자세한 내용은 역할 할당 가능 그룹 만들기 문서를 확인하세요. 역할 할당 가능 그룹이 액세스 패키지 카탈로그에 있으면 전역 관리주체 역할의 사용자, ID 거버넌스 관리이스트레이터 역할의 사용자 및 카탈로그의 카탈로그 소유자를 포함하여 권한 관리에서 관리할 수 있는 관리 사용자는 카탈로그의 액세스 패키지를 제어할 수 있습니다. 을 사용하여 해당 그룹에 추가할 수 있는 사용자를 선택할 수 있습니다. 추가하려는 역할 할당 가능 그룹이 표시되지 않거나 추가할 수 없는 경우 이 작업을 수행하는 데 필요한 Microsoft Entra 역할 및 권한 관리 역할이 있는지 확인합니다. 필요한 역할을 가진 사용자에게 카탈로그에 리소스를 추가하도록 요청해야 할 수 있습니다. 자세한 내용은 카탈로그에 리소스를 추가하는 데 필요한 역할를 참조하세요.

    참고 항목

    동적 그룹을 사용하면 소유자 외에 다른 역할은 사용할 수 없습니다. 이것은 의도적인 것입니다. Screenshots that shows a dynamic group available roles.

  12. 다음을 선택하여 요청 탭을 엽니다. 요청 탭에서 요청 본문을 만듭니다. 정책(policy)은 액세스 패키지에 액세스하기 위한 규칙 또는 보호책을 정의합니다. 리소스 디렉터리의 특정 사용자가 액세스 패키지를 요청할 수 있도록 허용하는 정책을 만듭니다.

  13. 액세스를 요청할 수 있는 사용자 섹션에서 디렉터리에 있는 사용자를 선택한 다음, 특정 사용자 및 그룹을 선택합니다.

    Screenshot of the access package requests tab.

  14. 사용자 및 그룹 추가를 선택합니다.

  15. 사용자 및 그룹 선택 창에서 앞서 만든 Requestor1 사용자를 선택합니다.

    Screenshot of select users and groups.

  16. 선택을 선택하여 목록에 사용자를 추가합니다.

  17. 승인요청 사용 섹션까지 아래로 스크롤합니다.

  18. 승인 필요아니오로 설정합니다.

  19. 요청 사용에 대해 를 선택하여 액세스 패키지가 생성되는 즉시 요청되도록 설정합니다.

  20. 조직이 확인된 ID를 받도록 설정된 경우 요청자에게 확인된 ID를 제공하도록 요구하도록 액세스 패키지를 구성하는 옵션이 있습니다. 자세한 내용은 권한 관리에서 액세스 패키지에 대한 확인된 ID 설정 구성(미리 보기)을 참조하세요.

    Screenshot of the Verified ID picker selection.

  21. 다음을 선택하여 요청자 정보 탭을 엽니다.

    Screenshots of the requests tab approval and enable requests settings.

  22. 요청 정보 탭에서 질문을 통해 요청자에게서 추가 정보를 수집할 수 있습니다. 이러한 질문은 요청자의 요청 양식에 표시되며, 필수로 설정할 수도 있고 선택 사항으로 설정할 수도 있습니다. 이 시나리오에서는 이 액세스 패키지에 대한 요청자 정보를 포함하라는 요청을 받지 않았으므로 해당 상자를 비워 두어도 됩니다. 다음을 선택하여 수명 주기 탭을 엽니다.

  23. 수명 주기 탭에서 액세스 패키지에 대한 사용자의 할당이 만료되는 시기를 지정합니다. 사용자가 할당을 확장할 수 있는지 여부를 지정할 수도 있습니다. 만료 섹션에서 다음을 수행합니다.

    1. 액세스 패키지 할당 만료일 수로 설정합니다.
    2. 다음 이후에 할당 만료30일로 설정합니다.
    3. 사용자는 특정 타임라인을 요청할 수 있습니다.를 기본값 로 둡니다.
    4. 액세스 검토 필요아니요로 설정합니다.

    Screenshot of the access package lifecycle tab

  24. 사용자 지정 확장 단계를 건너뜁니다.

  25. 다음을 선택하여 검토 + 만들기 탭을 선택합니다.

  26. 검토 + 만들기 탭에서 만들기를 선택합니다. 잠시 후 액세스 패키지를 성공적으로 만들었다는 알림이 표시됩니다.

  27. 마케팅 캠페인 액세스 패키지의 왼쪽 메뉴에서 개요를 선택합니다.

  28. 내 액세스 포털 링크를 복사합니다.

    이 링크는 다음 단계에서 사용됩니다.

    Screenshot that demonstrates how to copy the link to the access policy.

3단계: 액세스 요청

이 단계에서는 내부 요청자로 단계를 수행하면서 액세스 패키지에 대한 액세스 권한을 요청합니다. 요청자는 내 액세스 포털이라는 사이트를 사용하여 요청을 제출합니다. 내 액세스 포털에서는 요청자가 액세스 패키지에 대한 요청을 제출할 수 있고, 이미 액세스 권한이 있는 액세스 패키지를 확인하고 요청 기록을 볼 수 있습니다. 새 게스트가 MyAccess에서 액세스 패키지를 요청하면 요청 시 MyAccess 브라우저 언어에 따라 기본 설정 언어가 스탬프됩니다. 이렇게 하면 새 게스트가 이해하는 언어로 전자 메일 통신을 받을 수 있습니다.

전제 역할: 내부 요청자

  1. Microsoft Entra 관리 센터에서 로그아웃합니다.

  2. 새 브라우저 창에서, 이전 단계에서 복사한 내 액세스 포털 링크로 이동합니다.

  3. 내 액세스 포털에 Requestor1으로 로그인합니다.

    마케팅 캠페인 액세스 패키지가 표시되어야 합니다.

  4. 비즈니스 타당성 상자에서 타당성에 새 마케팅 캠페인 작업을 진행 중입니다라고 입력합니다.

    Screenshot of the My Access portal listing the access packages.

  5. 제출을 선택합니다.

  6. 왼쪽 메뉴에서 요청 기록을 선택하여 요청이 전송되었는지 확인합니다. 자세한 내용을 보려면 보기를 선택하세요.

    Screenshot of the My Access portal request history.

4단계: 액세스 권한이 할당되었는지 유효성을 검사

이 단계에서는 내부 요청자에게 액세스 패키지가 할당되었으며, 이제 마케팅 리소스라는 그룹의 멤버라는 것을 확인합니다.

필수 역할: 전역 관리자, ID 거버넌스 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자

  1. 내 액세스 포털에서 로그아웃합니다.

  2. Microsoft Entra 관리 센터Admin1로 로그인합니다.

  3. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  4. 마케팅 캠페인 액세스 패키지를 찾아서 선택합니다.

  5. 왼쪽 메뉴에서 요청을 선택합니다.

    Requestor1과 상태가 배달됨인 내부 정책이 표시됩니다.

  6. 요청을 선택하여 요청 세부 정보를 봅니다.

    Screenshot of the access package request details.

  7. 왼쪽 탐색 메뉴에서 ID를 선택합니다.

  8. 그룹을 선택하고 마케팅 리소스 그룹을 엽니다.

  9. 구성원을 선택합니다.

    Requestor1이 멤버로 나열된 것이 보입니다.

    Screenshot shows the requestor one has been added to the marketing resources group.

5단계: 리소스 정리

이 단계에서는 변경한 내용을 제거하고 마케팅 캠페인 액세스 패키지를 삭제합니다.

필수 역할: 전역 관리자 또는 ID 거버넌스 관리자

  1. Microsoft Entra 관리 센터의 ID 거버넌스.

  2. 마케팅 캠페인 액세스 패키지를 엽니다.

  3. 할당을 선택합니다.

  4. Requestor1에 대해 줄임표(...)를 선택한 다음, 액세스 제어를 선택합니다. 표시되는 메시지에서 를 선택합니다.

    몇 분 후 상태가 배달됨에서 만료됨으로 변경됩니다.

  5. 리소스 역할을 선택합니다.

  6. 마케팅 리소스에 대해 줄임표(...)를 선택한 다음, 리소스 역할 제거를 선택합니다. 표시되는 메시지에서 를 선택합니다.

  7. 액세스 패키지 목록을 엽니다.

  8. 마케팅 캠페인에 대해 줄임표(...)를 선택한 다음, 삭제를 선택합니다. 표시되는 메시지에서 를 선택합니다.

  9. ID에서 Requestor1Admin1과 같이 만든 모든 사용자를 삭제합니다.

  10. 마케팅 리소스 그룹을 삭제합니다.

다음 단계

다음 문서로 이동하면 권한 관리의 일반적인 시나리오 단계에 대해 알아볼 수 있습니다.

일반적인 시나리오