권한 관리에서 액세스 패키지에 대한 리소스 역할 변경

  • 아티클

액세스 패키지 관리자는 새 리소스에 대한 사용자의 액세스 권한을 프로비전하거나 이전 리소스에서 액세스 권한을 제거하는 것에 대한 걱정 없이 언제든지 액세스 패키지의 리소스를 변경할 수 있습니다. 이 문서에서는 기존 액세스 패키지의 리소스 역할을 변경하는 방법을 설명합니다.

이 비디오는 액세스 패키지를 변경하는 방법의 개요를 제공합니다.

리소스의 카탈로그 확인

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

액세스 패키지에 리소스를 추가해야 하는 경우 액세스 패키지의 카탈로그에서 필요한 리소스를 사용할 수 있는지 확인해야 합니다. 액세스 패키지 관리자인 경우 리소스를 소유하고 있더라도 카탈로그에 추가할 수 없습니다. 카탈로그에서 사용할 수 있는 리소스만 사용하도록 제한됩니다.

필수 역할: 전역 관리자, Identity Governance 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. Access 패키지 페이지에서 검사 액세스 패키지를 열어 카탈로그에 필요한 리소스가 있는지 확인합니다.

  4. 왼쪽 메뉴에서 카탈로그를 선택한 다음 카탈로그를 엽니다.

  5. 왼쪽 메뉴에서 리소스를 선택하면 이 카탈로그의 리소스 목록을 볼 수 있습니다.

    카탈로그의 리소스 목록

  6. 리소스가 아직 카탈로그에 없고 관리자 또는 카탈로그 소유자인 경우 리소스를 카탈로그에 추가할 수 있습니다. 추가할 수 있는 리소스 유형은 그룹, 디렉터리와 통합한 애플리케이션 및 SharePoint Online 사이트입니다. 예시:

    • 그룹은 클라우드에서 만들어진 Microsoft 365 그룹이거나 클라우드에서 만들어진 Microsoft Entra 보안 그룹일 수 있습니다. 온-프레미스 Active Directory 시작된 그룹은 Microsoft Entra ID에서 소유자 또는 멤버 특성을 변경할 수 없으므로 리소스로 할당할 수 없습니다. 사용자에게 AD 보안 그룹 멤버 자격을 사용하는 애플리케이션에 대한 액세스 권한을 부여하려면 Microsoft Entra ID에서 새 그룹을 만들고, AD에 그룹 쓰기 저장을 구성하고, 해당 그룹을 AD에 쓸 수 있도록 설정합니다. Exchange Online에서 배포 그룹으로 시작된 그룹도 Microsoft Entra ID에서 수정할 수 없습니다.
    • 애플리케이션은 SaaS(Software as a Service) 애플리케이션, 다른 디렉터리 또는 데이터베이스를 사용하는 온-프레미스 애플리케이션 및 Microsoft Entra ID와 통합된 사용자 고유의 애플리케이션을 포함하는 Microsoft Entra 엔터프라이즈 애플리케이션일 수 있습니다. 애플리케이션이 아직 Microsoft Entra 디렉터리와 통합되지 않은 경우 사용자 환경의 애플리케이션에 대한 액세스 제어 및 Microsoft Entra ID애플리케이션 통합을 참조하세요.
    • 사이트는 SharePoint Online 사이트 또는 SharePoint Online 사이트 모음일 수 있습니다.

  7. 액세스 패키지 관리자이고 카탈로그에 리소스를 추가해야 하는 경우 카탈로그 소유자에게 리소스 추가를 요청할 수 있습니다.

액세스 패키지에 포함할 리소스 역할 결정

리소스 역할은 리소스와 연결되고 리소스에 의해 정의된 권한의 컬렉션입니다. 각 카탈로그 리소스의 리소스 역할을 액세스 패키지에 추가하는 경우 사용자에게 리소스를 할당할 수 있습니다. 그룹, 팀, 애플리케이션, SharePoint 사이트에 의해 제공되는 리소스 역할을 추가할 수 있습니다. 사용자가 액세스 패키지에 대한 할당을 받으면 액세스 패키지의 모든 리소스 역할에 추가됩니다.

액세스 패키지 할당이 손실되면 액세스 패키지의 모든 리소스 역할에서 제거됩니다.

참고 항목

사용자가 권한 관리 이외의 리소스에 추가되었으며 나중에 액세스 패키지 assignemtsn을 받고 액세스 패키지 할당이 만료되더라도 액세스를 유지해야 하는 경우 액세스 패키지에 리소스 역할을 추가하지 마세요.

일부 사용자가 다른 사용자와 다른 리소스 역할을 받도록 하려면 카탈로그에 각 리소스 역할에 대해 별도의 액세스 패키지를 사용하여 여러 액세스 패키지를 만들어야 합니다. 또한 사용자가 과도한 액세스 권한을 부여하는 액세스 패키지에 대한 액세스를 요청할 수 없도록 액세스 패키지를 서로 호환되지 않는 것으로 표시할 수 있습니다.

특히 애플리케이션에는 여러 앱 역할이 있을 수 있습니다. 애플리케이션의 앱 역할을 리소스 역할로 액세스 패키지에 추가하는 경우 해당 애플리케이션에 둘 이상의 앱 역할이 있는 경우 액세스 패키지에서 해당 사용자에게 적절한 역할을 지정해야 합니다.

참고 항목

애플리케이션에 여러 앱 역할이 있고 해당 애플리케이션의 역할이 둘 이상 액세스 패키지에 있는 경우 사용자는 해당 애플리케이션의 포함된 모든 역할을 받게 됩니다. 대신 사용자가 애플리케이션의 역할 중 일부만 갖도록 하려면 카탈로그에 각 앱 역할에 대한 별도의 액세스 패키지를 사용하여 여러 액세스 패키지를 만들어야 합니다.

또한 애플리케이션은 권한을 표현하기 위해 보안 그룹을 사용할 수도 있습니다. 예를 들어 애플리케이션에는 단일 앱 역할이 User 있을 수 있으며 그룹 및 Administrative Access 그룹이라는 두 그룹의 Ordinary Users 멤버 자격도 검사 수 있습니다. 애플리케이션의 사용자는 정확히 두 그룹 중 하나의 구성원이어야 합니다. 사용자가 두 권한 중 하나를 요청할 수 있도록 구성하려는 경우 카탈로그에 애플리케이션, 그룹 Ordinary Users 및 그룹의 Administrative Access세 가지 리소스를 입력합니다. 그런 다음, 해당 카탈로그에 두 개의 액세스 패키지를 만들고 각 액세스 패키지가 다른 액세스 패키지와 호환되지 않음 을 나타냅니다.

  • 두 개의 리소스 역할, 애플리케이션의 앱 역할 User 및 그룹의 멤버 자격이 있는 첫 번째 액세스 패키지 Ordinary Users
  • 두 개의 리소스 역할, 즉 애플리케이션의 앱 역할 User 및 그룹의 멤버 자격이 있는 두 번째 액세스 패키지 Administrative Access

사용자가 이미 리소스 역할에 할당되었는지 확인

관리자가 리소스 역할을 액세스 패키지에 추가하면 해당 리소스 역할에 이미 있지만 액세스 패키지에 대한 할당이 없는 사용자는 리소스 역할에 다시 기본 액세스 패키지에 할당되지 않습니다. 예를 들어 사용자가 그룹의 멤버이고 액세스 패키지가 만들어지고 해당 그룹의 멤버 역할이 액세스 패키지에 추가되는 경우 사용자는 액세스 패키지에 대한 할당을 자동으로 받지 않습니다.

리소스 역할 멤버 자격을 가진 사용자를 액세스 패키지에 할당하려는 경우 Microsoft Entra 관리 센터를 사용하거나 Graph 또는 PowerShell을 통해 대량으로 액세스 패키지에 사용자를 직접 할당할 수 있습니다. 그러면 액세스 패키지에 할당하는 사용자는 액세스 패키지의 다른 리소스 역할에 대한 액세스 권한도 받게 됩니다. 그러나 리소스 역할에 있던 사용자는 액세스 패키지에 추가되기 전에 액세스 권한이 이미 있으므로 액세스 패키지 할당이 제거되면 해당 리소스 역할에서 제거됩니다.

리소스 역할 추가

필수 역할: 전역 관리자, ID 거버넌스 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. Access 패키지 페이지에서 리소스 역할을 추가할 액세스 패키지를 엽니다.

  4. 왼쪽 메뉴에서 리소스 역할을 선택합니다.

  5. 리소스 역할 추가를 선택하여 액세스 패키지에 리소스 역할 추가 페이지를 엽니다.

    액세스 패키지 - 리소스 역할 추가

  6. 그룹 또는 팀의 멤버 자격을 추가할지 여부에 따라 애플리케이션, SharePoint 사이트 또는 Microsoft Entra 역할(미리 보기)에 대한 액세스 권한은 다음 리소스 역할 섹션 중 하나에서 단계를 수행합니다.

그룹 또는 팀 리소스 역할 추가

사용자에게 액세스 패키지가 할당된 경우 권한 관리가 자동으로 Microsoft Teams의 그룹 또는 Teams에 사용자를 자동으로 추가하도록 할 수 있습니다.

  • 그룹 또는 팀의 멤버 자격이 액세스 패키지의 일부인 리소스 역할이고 사용자가 해당 액세스 패키지에 할당된 경우 사용자는 아직 없는 경우 해당 그룹 또는 팀의 구성원으로 추가됩니다.
  • 사용자의 액세스 패키지 할당이 만료되는 경우 사용자에게 그룹 또는 팀을 포함하는 다른 액세스 패키지에 대한 할당이 현재 있지 않으면 해당 사용자는 해당 그룹 또는 팀에서 제거됩니다.

Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹을 선택할 수 있습니다. 그룹을 관리할 수 있는 관리자 역할의 사용자는 카탈로그에 모든 그룹을 추가할 수 있습니다. 카탈로그 소유자는 그룹의 소유자인 경우 카탈로그에 그룹을 추가할 수 있습니다. 그룹을 선택할 때 다음 Microsoft Entra 제약 조건을 염두에 두세요.

  • 게스트를 비롯하여 그룹 또는 팀에 멤버로 추가되는 사용자는 해당 그룹 또는 팀의 다른 모든 멤버를 볼 수 있습니다.
  • Microsoft Entra ID는 Microsoft Entra Connect를 사용하여 Windows Server Active Directory에서 동기화되었거나 Exchange Online에서 배포 그룹으로 만들어진 그룹의 멤버 자격을 변경할 수 없습니다. AD 보안 그룹을 사용하는 애플리케이션에 대한 액세스를 관리하려는 경우 권한 관리를 사용하여 그룹 쓰기 저장을 설정하는 방법을 참조하세요.
  • 동적 그룹의 멤버 자격은 멤버 자격을 추가하거나 제거하여 업데이트할 수 없으므로 동적 그룹 멤버 자격은 권한 관리에 사용하기에 적합하지 않습니다.
  • Microsoft 365 그룹에는 그룹당 소유자 100명 제한, 그룹 대화에 동시에 액세스할 수 있는 멤버 수 제한, 구성원당 7,000개 그룹을 포함하여 관리자를 위한 Microsoft 365 그룹 개요에 설명된 추가 제약 조건이 있습니다.

자세한 내용은 그룹 비교Microsoft 365 그룹 및 Microsoft Teams를 참조하세요.

  1. 액세스 패키지에 리소스 역할 추가 페이지에서 그룹 및 Teams을 선택하여 그룹 선택 창을 엽니다.

  2. 액세스 패키지에 포함하려는 그룹 및 팀을 선택합니다.

    액세스 패키지 - 리소스 역할 추가 - 그룹 선택

  3. 선택을 선택합니다.

    그룹이나 팀을 선택하면 하위 유형 열에 다음 하위 유형 중 하나가 나열됩니다.

    하위 유형 설명
    보안 리소스에 대한 액세스 권한을 부여하는 데 사용됩니다.
    배포 사용자 그룹에 알림을 보내는 데 사용됩니다.
    Microsoft 365 Teams를 지원하지 않는 Microsoft 365 그룹입니다. 회사 내부 및 외부의 사용자 간 협업에 사용됩니다.
    Teams가 지원되는 Microsoft 365 그룹입니다. 회사 내부 및 외부의 사용자 간 협업에 사용됩니다.

  4. 역할 목록에서 소유자 또는 멤버를 선택합니다.

    일반적으로 멤버 역할을 선택합니다. 소유자 역할을 선택하면 사용자가 그룹의 소유자가 되어 해당 사용자가 다른 구성원 또는 소유자를 추가하거나 제거할 수 있습니다.

    액세스 패키지 - 그룹 또는 팀에 대한 리소스 역할 추가

  5. 추가를 선택합니다.

    액세스 패키지에 대한 기존 할당을 가진 사용자는 추가된 후 이 그룹 또는 팀의 구성원(또는 소유자)이 됩니다. 자세한 내용은 변경 내용이 적용되는 시기를 참조하세요.

애플리케이션 리소스 역할 추가

Microsoft Entra ID는 사용자에게 액세스 패키지가 할당될 때 SaaS 애플리케이션, 온-프레미스 애플리케이션 및 Microsoft Entra ID와 통합된 조직의 애플리케이션을 포함하여 Microsoft Entra 엔터프라이즈 애플리케이션에 대한 액세스 권한을 자동으로 할당하도록 할 수 있습니다. 페더레이션된 Single Sign-On을 통해 Microsoft Entra ID와 페더레이션되는 애플리케이션의 경우 Microsoft Entra ID는 애플리케이션에 할당된 사용자에 대해 페더레이션된 토큰을 발급합니다.

애플리케이션이 아직 Microsoft Entra 디렉터리와 통합되지 않은 경우 사용자 환경의 애플리케이션에 대한 액세스 제어 및 Microsoft Entra ID애플리케이션 통합을 참조하세요.

애플리케이션은 매니페스트에 정의되고 앱 역할 UI를 통해 관리되는 여러 앱 역할을 가질 수 있습니다. 애플리케이션의 앱 역할을 액세스 패키지에 리소스 역할로 추가하는 경우 해당 애플리케이션에 둘 이상의 앱 역할이 있는 경우 해당 액세스 패키지에서 해당 사용자에게 적절한 역할을 지정해야 합니다. 애플리케이션을 개발 중인 경우 방법: 엔터프라이즈 애플리케이션용 SAML 토큰에서 발급된 역할 클레임 구성에서 애플리케이션에 해당 역할을 추가하는 방법에 대해 자세히 알아볼 수 있습니다. Microsoft 인증 라이브러리를 사용하는 경우 액세스 제어에 앱 역할을 사용하는 방법에 대한 코드 샘플있습니다.

참고 항목

애플리케이션에 여러 앱 역할이 있고 해당 애플리케이션의 역할이 둘 이상 액세스 패키지에 있는 경우 사용자는 해당 애플리케이션의 포함된 모든 역할을 받게 됩니다. 대신 사용자가 애플리케이션의 역할 중 일부만 갖도록 하려면 카탈로그에 각 앱 역할에 대한 별도의 액세스 패키지를 사용하여 여러 액세스 패키지를 만들어야 합니다.

앱 역할이 액세스 패키지의 리소스가 되면 다음을 수행합니다.

  • 사용자에게 액세스 패키지가 할당되면 사용자가 해당 앱 역할에 추가됩니다(아직 없는 경우). 애플리케이션에 특성이 필요한 경우 요청에서 수집된 특성의 값이 사용자에게 기록됩니다.
  • 사용자의 액세스 패키지 할당이 만료되면 해당 앱 역할을 포함하는 다른 액세스 패키지에 대한 할당이 없는 한 해당 액세스 권한이 애플리케이션에서 제거됩니다. 애플리케이션에 특성이 필요한 경우 해당 특성이 사용자에서 제거됩니다.

다음은 애플리케이션을 선택할 때 고려해야 할 몇 가지 사항입니다.

  • 애플리케이션에는 앱 역할에도 할당된 그룹이 있을 수 있습니다. 액세스 패키지에서 애플리케이션 및 해당 역할 대신 그룹을 추가하도록 선택할 수 있지만 애플리케이션은 내 액세스 포털에서 액세스 패키지의 일부로 사용자에게 표시되지 않습니다.
  • Microsoft Entra 관리 센터는 애플리케이션으로 선택할 수 없는 서비스에 대한 서비스 주체를 표시할 수도 있습니다. 특히 Exchange OnlineSharePoint Online은 디렉터리에 리소스 역할이 있는 애플리케이션이 아니라 서비스이므로 액세스 패키지에 포함될 수 없습니다. 대신 그룹 기반 라이선스를 사용하여 해당 서비스에 액세스해야 하는 사용자에게 적절한 라이선스를 설정합니다.
  • 인증을 위해 개인 Microsoft 계정 사용자만 지원하고 디렉터리의 조직 계정을 지원하지 않는 애플리케이션은 애플리케이션 역할이 없으며 액세스 패키지 카탈로그에 추가할 수 없습니다.

  1. 액세스 패키지에 리소스 역할 추가 페이지에서 애플리케이션을 선택하여 애플리케이션 선택 창을 엽니다.

  2. 액세스 패키지에 포함하려는 애플리케이션을 선택합니다.

    액세스 패키지 - 리소스 역할 추가 - 애플리케이션 선택

  3. 선택을 선택합니다.

  4. 역할 목록에서 앱 역할을 선택합니다.

    액세스 패키지 - 애플리케이션에 대한 리소스 역할 추가

  5. 추가를 선택합니다.

    액세스 패키지에 대한 기존 할당이 있는 사용자에게는 애플리케이션이 추가될 때 이 애플리케이션에 대한 액세스 권한이 자동으로 부여됩니다. 자세한 내용은 변경 내용이 적용되는 시기를 참조하세요.

SharePoint 사이트 리소스 역할 추가

Microsoft Entra ID는 사용자에게 액세스 패키지가 할당될 때 SharePoint Online 사이트 또는 SharePoint Online 사이트 모음에 대한 액세스 권한을 자동으로 할당할 수 있습니다.

  1. 액세스 패키지에 리소스 역할 추가 페이지에서 SharePoint 사이트를 선택하여 SharePoint Online 사이트 선택 창을 엽니다.

    액세스 패키지 - 리소스 역할 추가 - SharePoint 사이트 선택 - 포털 보기

  2. 액세스 패키지에 포함하려는 SharePoint Online 사이트를 선택합니다.

    액세스 패키지 - 리소스 역할 추가 - SharePoint Online 사이트 선택

  3. 선택을 선택합니다.

  4. 역할 목록에서 SharePoint Online 사이트 역할을 선택합니다.

    액세스 패키지 - SharePoint Online 사이트에 대한 리소스 역할 추가

  5. 추가를 선택합니다.

    액세스 패키지에 대한 기존 할당이 있는 사용자에게는 SharePoint Online 사이트가 추가될 때 이 사이트에 대한 액세스 권한이 자동으로 부여됩니다. 자세한 내용은 변경 내용이 적용되는 시기를 참조하세요.

Microsoft Entra 역할 할당 추가

사용자가 조직의 리소스에 액세스하기 위해 추가 권한이 필요한 경우 액세스 패키지를 통해 Microsoft Entra 역할을 할당하여 해당 권한을 관리할 수 있습니다. 자격 관리를 사용하여 직원 및 게스트에게 Microsoft Entra 역할을 할당하면 사용자의 자격을 확인하여 해당 사용자에게 할당된 역할을 신속하게 확인할 수 있습니다. 액세스 패키지에 Microsoft Entra 역할을 리소스로 포함하는 경우 해당 역할 할당이 "적격" 또는 "활성"인지 여부를 지정할 수도 있습니다.

액세스 패키지를 통해 Microsoft Entra 역할을 할당하면 대규모로 역할 할당을 효율적으로 관리하고 역할 할당 수명 주기를 개선하는 데 도움이 됩니다.

참고 항목

권한 있는 ID 관리를 사용하여 상승된 권한이 필요한 작업을 수행하기 위해 사용자에게 Just-In-Time 액세스를 제공하는 것이 좋습니다. 이러한 권한은 Microsoft Entra 기본 제공 역할 설명서에서 "privileged"로 태그가 지정된 Microsoft Entra 역할을 통해 제공됩니다. 권한 관리는 사용자에게 작업을 수행하는 데 필요한 Microsoft Entra 역할을 포함할 수 있는 리소스 번들을 할당하는 데 더 적합합니다. 패키지에 액세스하도록 할당된 사용자는 리소스에 더 오래 액세스할 수 있는 경향이 있습니다. Privileged Identity Management를 통해 높은 권한의 역할을 관리하는 것이 좋지만 권한 관리의 액세스 패키지를 통해 해당 역할에 대한 자격을 설정할 수 있습니다.

액세스 패키지에 Microsoft Entra 역할을 리소스로 포함하려면 다음 단계를 수행합니다.

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. 액세스 패키지 페이지에서 리소스 역할을 추가할 액세스 패키지를 열고 리소스 역할을 선택합니다.

  4. 패키지에 액세스할 리소스 역할 추가 페이지에서 Microsoft Entra 역할(미리 보기)을 선택하여 Microsoft Entra 역할 선택 창을 엽니다.

  5. 액세스 패키지에 포함할 Microsoft Entra 역할을 선택합니다. 액세스 패키지에 대한 역할을 선택하는 스크린샷

  6. 역할 목록에서 적격 멤버 또는 활성 멤버 선택합니다. 액세스 패키지에서 리소스 역할에 대한 역할을 선택하는 스크린샷

  7. 추가를 선택합니다.

참고 항목

적격을 선택하면 사용자는 해당 역할에 대한 자격을 갖출 수 있으며 Microsoft Entra 관리 센터에서 Privileged Identity Management를 사용하여 할당을 활성화할 수 있습니다. 활성을 선택하면 사용자는 액세스 패키지에 더 이상 액세스할 수 없을 때까지 활성 역할 할당을 갖게 됩니다. "privileged"태그가 지정된 Entra 역할의 경우 적격 역할만 선택할 수 있습니다. 권한 있는 역할 목록은 Microsoft Entra 기본 제공 역할에서 찾을 수 있습니다.

프로그래밍 방식으로 Microsoft Entra 역할을 추가하려면 다음을 참조 하세요. Microsoft Entra 역할을 프로그래밍 방식으로 액세스 패키지에 리소스로 추가합니다.

프로그래밍 방식으로 리소스 역할 추가

Microsoft Graph 및 Microsoft Graph용 PowerShell cmdlet을 통해 프로그래밍 방식으로 액세스 패키지에 리소스 역할을 추가하는 방법에는 두 가지가 있습니다.

Microsoft Graph를 사용하여 액세스 패키지에 리소스 역할 추가

Microsoft Graph를 사용하여 액세스 패키지에 리소스 역할을 추가할 수 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션을 사용하는 적절한 역할의 사용자는 API를 호출하여 다음을 수행할 수 있습니다.

  1. 카탈로그의 리소스를 나열하고 카탈로그에 아직 없는 리소스에 대한 accessPackageResourceRequest를 만듭니다.
  2. 카탈로그에서 각 리소스의 역할 및 범위를 검색합니다. 그런 다음 이 역할 목록은 이후에 resourceRoleScope를 만들 때 역할을 선택하는 데 사용됩니다.
  3. 액세스 패키지에 필요한 각 리소스 역할에 대한 resourceRoleScope 를 만듭니다.

Microsoft PowerShell을 사용하여 액세스 패키지에 리소스 역할 추가

Id 거버넌스 모듈 버전 2.1.x 이상 모듈 버전에 대한 Microsoft Graph PowerShell cmdlet의 cmdlet을 사용하여 PowerShell의 액세스 패키지에 리소스 역할을 추가할 수도 있습니다.

먼저 액세스 패키지에 포함하려는 카탈로그의 ID와 해당 카탈로그의 리소스 및 해당 범위 및 역할을 검색합니다. 다음 예제와 유사한 스크립트를 사용합니다. 카탈로그에 단일 애플리케이션 리소스가 있다고 가정합니다.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

그런 다음 해당 리소스의 리소스 역할을 액세스 패키지에 할당합니다. 예를 들어 이전에 반환된 리소스의 첫 번째 리소스 역할을 액세스 패키지의 리소스 역할로 포함하려는 경우 다음과 유사한 스크립트를 사용합니다.

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

리소스 역할 제거

필수 역할: 전역 관리자, ID 거버넌스 관리자, 카탈로그 소유자 또는 액세스 패키지 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

  3. Access 패키지 페이지에서 리소스 역할을 제거할 액세스 패키지를 엽니다.

  4. 왼쪽 메뉴에서 리소스 역할을 선택합니다.

  5. 리소스 역할 목록에서 제거하려는 리소스 역할을 찾습니다.

  6. 줄임표(...)를 선택한 다음 리소스 역할 제거를 선택합니다.

    액세스 패키지에 대한 기존 할당이 있는 사용자는 이 리소스 역할이 제거될 때 이 리소스 역할에 대한 액세스 권한이 자동으로 철회됩니다.

변경 내용 적용 시기

권한 관리에서 Microsoft Entra ID는 하루에 여러 번 액세스 패키지의 할당 및 리소스에 대한 대량 변경 내용을 처리합니다. 따라서 할당을 하거나 액세스 패키지의 리소스 역할을 변경하는 경우 Microsoft Entra ID에서 해당 변경을 수행하는 데 최대 24시간이 걸릴 수 있으며, 여기에 이러한 변경 내용을 다른 Microsoft Online Services 또는 연결된 SaaS 애플리케이션에 전파하는 시간이 추가됩니다. 변경 내용이 몇 가지 개체에만 영향을 미치는 경우 변경 내용이 Microsoft Entra ID에 적용되는 데 몇 분 밖에 걸리지 않습니다. 그 후 다른 Microsoft Entra 구성 요소가 해당 변경 내용을 검색하고 SaaS 애플리케이션을 업데이트합니다. 변경 내용이 수천 개의 개체에 영향을 미치는 경우 변경 시간이 더 오래 걸립니다. 예를 들어 애플리케이션 2개와 사용자 할당이 100개인 액세스 패키지가 있고 액세스 패키지에 SharePoint 사이트 역할을 추가하기로 결정한 경우 모든 사용자가 해당 SharePoint 사이트 역할의 일부가 될 때까지 지연이 있을 수 있습니다. Microsoft Entra 감사 로그, Microsoft Entra 프로비전 로그 및 SharePoint 사이트 감사 로그를 통해 진행률을 모니터링할 수 있습니다.

팀의 멤버를 제거하면 Microsoft 365 그룹에서도 제거됩니다. 팀 채팅 기능을 제거하면 작업이 지연될 수 있습니다. 자세한 내용은 그룹 멤버 자격을 참조하세요.

다음 단계