권한 관리에서 리소스 카탈로그 만들기 및 관리

이 문서에서는 자격 관리에서 리소스 및 액세스 패키지의 카탈로그를 만들고 관리하는 방법을 보여 줍니다.

카탈로그 만들기

카탈로그는 리소스 및 액세스 패키지의 컨테이너입니다. 관련 리소스 및 액세스 패키지를 그룹화하려는 경우 카탈로그를 생성합니다. 관리자는 카탈로그를 만들 수 있습니다. 또한 카탈로그 작성자 역할을 위임받은 사용자는 자신이 소유한 리소스에 대한 카탈로그를 만들 수 있습니다. 카탈로그를 만든 비관리자가 첫 번째 카탈로그 소유자가 됩니다. 카탈로그 소유자는 더 많은 사용자, 사용자 그룹 또는 애플리케이션 서비스 주체를 카탈로그 소유자로 추가할 수 있습니다.

필수 역할: 전역 관리자, ID 거버넌스 관리자 또는 카탈로그 생성자

참고 항목

사용자 관리자 역할이 할당된 사용자는 더 이상 카탈로그를 만들거나 소유하지 않은 카탈로그에서 액세스 패키지를 관리할 수 없습니다. 조직의 사용자에게 권한 관리에서 카탈로그, 액세스 패키지 또는 정책을 구성할 수 있는 사용자 관리자 역할이 할당된 경우 대신 이러한 사용자에게 ID 거버넌스 관리자 역할을 할당해야 합니다.

카탈로그를 만들려면 다음을 수행합니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>카탈로그를 찾아보세요.

   

3. 새 카탈로그를 선택합니다.

4. 카탈로그의 고유 이름을 입력하고 설명을 입력합니다.

   사용자는 액세스 패키지의 세부 정보에서 해당 정보를 볼 수 있습니다.

5. 이 카탈로그의 액세스 패키지를 만드는 즉시 사용자가 요청할 수 있게 하려면 사용을 예로 설정합니다.

6. 연결된 조직의 외부 디렉터리에 있는 사용자가 이 카탈로그의 액세스 패키지를 요청할 수 있도록 허용하려면 외부 사용자에 대해 사용을 예로 설정합니다. 액세스 패키지에는 연결된 조직의 사용자가 요청할 수 있도록 허용하는 정책도 있어야 합니다. 이 카탈로그의 액세스 패키지가 이미 디렉터리에 있는 사용자만을 위한 것이라면 외부 사용자에 대해 사용을 아니요로 설정합니다.

   

7. 만들기를 선택하여 카탈로그를 만듭니다.

프로그래매틱 방식으로 카탈로그 만들기

카탈로그를 프로그래밍 방식으로 만드는 방법에는 두 가지가 있습니다.

Microsoft Graph로 카탈로그 만들기

Microsoft Graph를 사용하여 카탈로그를 만들 수 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션 또는 EntitlementManagement.ReadWrite.All 애플리케이션 권한이 있는 적절한 역할의 사용자는 API를 호출하여 카탈로그를 만들 수 있습니다.

PowerShell로 카탈로그 만들기

ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.2.0 이상에서 New-MgEntitlementManagementCatalog cmdlet을 사용하여 PowerShell에서 카탈로그를 만들 수도 있습니다.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

카탈로그에 리소스를 추가합니다.

액세스 패키지에 리소스를 포함하려면 리소스가 카탈로그에 있어야 합니다. 카탈로그를 추가할 수 있는 리소스 유형은 그룹, 애플리케이션, SharePoint Online 사이트입니다.

• 그룹은 클라우드에서 만들어진 Microsoft 365 그룹이거나 클라우드에서 만들어진 Microsoft Entra 보안 그룹일 수 있습니다.

  • Microsoft Entra ID에서 소유자 또는 구성원 특성을 변경할 수 없으므로 온-프레미스 Active Directory에서 발생하는 그룹을 리소스로 할당할 수 없습니다. 사용자에게 AD 보안 그룹 멤버 자격을 사용하는 애플리케이션에 대한 액세스 권한을 부여하려면 Microsoft Entra ID에서 새 보안 그룹을 만들고, AD에 대한 그룹 쓰기 저장을 구성하고, AD 기반 애플리케이션이 클라우드에서 만든 그룹을 사용할 수 있도록 해당 그룹을 AD에 쓸 수 있도록 합니다.

  • Exchange Online에서 배포 그룹으로 시작된 그룹은 Microsoft Entra ID에서도 수정할 수 없으므로 카탈로그에 추가할 수 없습니다.

• 애플리케이션은 SaaS(Software as a Service) 애플리케이션, 온-프레미스 애플리케이션 및 Microsoft Entra ID와 통합된 고유한 애플리케이션을 포함하는 Microsoft Entra 엔터프라이즈 애플리케이션일 수 있습니다.

  • 애플리케이션이 아직 Microsoft Entra ID와 통합되지 않은 경우 사용자 환경의 애플리케이션에 대한 액세스 제어를 참조하고 애플리케이션을 Microsoft Entra ID와 통합하고 애플리케이션을 카탈로그에 추가하기 전에 디렉터리에 추가합니다.

  • 여러 역할이 있는 애플리케이션에 적합한 리소스를 선택하는 방법에 대한 자세한 내용은 액세스 패키지에 포함할 리소스 역할을 결정하는 방법을 참조 하세요.

• 사이트는 SharePoint Online 사이트 또는 SharePoint Online 사이트 모음일 수 있습니다.

참고 항목

검색 상자는 대/소문자를 구분하기 때문에 사이트 이름 또는 정확한 URL로 SharePoint 사이트를 검색합니다.

필수 역할:카탈로그에 리소스를 추가하는 데 필요한 역할을 참조하세요.

카탈로그에 리소스를 추가하려면 다음을 수행합니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>카탈로그를 찾아보세요.

3. 카탈로그 페이지에서 리소스를 추가하려는 카탈로그를 엽니다.

4. 왼쪽 메뉴에서 리소스를 선택합니다.

5. 리소스 추가를 선택합니다.

6. 그룹과 팀, 애플리케이션, SharePoint 사이트와 같은 리소스 종류를 선택합니다.

   추가하려는 리소스가 표시되지 않거나 리소스를 추가할 수 없는 경우 필수 Microsoft Entra 디렉터리 역할 및 권한 관리 역할이 있는지 확인합니다. 필요한 역할을 가진 사용자에게 카탈로그에 리소스를 추가하도록 요청해야 할 수 있습니다. 자세한 내용은 카탈로그에 리소스를 추가하는 데 필요한 역할를 참조하세요.

7. 카탈로그에 추가할 종류의 리소스를 하나 이상 선택합니다.

   

8. 작업을 마쳤으면 추가를 선택합니다.

   해당 리소스는 이제 카탈로그 내에서 액세스 패키지에 포함될 수 있습니다.

카탈로그에서 리소스 특성 추가

특성은 요청자에게 액세스 요청을 제출하기 전에 응답하도록 요청하는 필수 필드입니다. 이러한 특성에 대한 답변은 승인자에게 표시되며 Microsoft Entra ID의 사용자 개체에도 표시됩니다.

참고 항목

리소스를 포함하는 액세스 패키지에 대한 요청을 제출하려면 먼저 리소스에 설정된 모든 특성에 대해 응답이 필요합니다. 요청자가 응답이 제공하지 않으면 해당 요청이 처리되지 않습니다.

액세스 요청에 대한 특성을 요구하려면 다음을 수행합니다.

1. 왼쪽 메뉴에서 리소스를 클릭합니다. 그러면 이 카탈로그의 리소스 목록이 표시됩니다.

2. 특성을 추가하려는 리소스 옆에 있는 줄임표를 선택하고 특성 필요(미리 보기)를 선택합니다.

   

3. 특성 유형을 선택합니다.

   1. 기본 제공에는 Microsoft Entra 사용자 프로필 특성이 포함되어 있습니다.
   2. 디렉터리 스키마 확장 은 Microsoft Entra 사용자에게 더 많은 데이터를 저장하는 방법을 제공합니다. 확장 특성을 만들어 스키마 를 확장할 수 있습니다. 사용자 개체에 대한 이러한 확장 특성을 사용하여 프로비전 또는 Single Sign-On 중에 애플리케이션에 클레임을 보낼 수 있습니다.

4. 기본 제공을 선택한 경우 드롭다운 목록에서 특성을 선택합니다. 디렉터리 스키마 확장을 선택한 경우 텍스트 상자에 특성 이름을 입력합니다.

   참고 항목

   User.mobilePhone 특성은 일부 관리자만 업데이트할 수 있는 중요한 속성입니다. 중요한 사용자 특성을 업데이트할 수 있는 사람에서 자세히 알아보세요.

5. 요청자가 응답에 사용하게 하려는 응답 형식을 선택합니다. 응답 형식에는 짧은 텍스트, 다중 선택 및 긴 텍스트가 포함됩니다.

6. 다중 선택을 선택하는 경우 편집 및 지역화를 선택하여 응답 옵션을 구성합니다.

   1. 나타나는 질문 보기/편집 창의 응답 값 상자에 질문에 대답할 때 요청자에게 제공하려는 응답 옵션을 입력합니다.
   2. 응답 옵션에 대한 언어를 선택합니다. 더 많은 언어를 선택하는 경우 응답 옵션을 지역화할 수 있습니다.
   3. 필요한 만큼 응답을 입력한 다음, 저장을 선택합니다.

7. 직접 할당 및 셀프 서비스 요청 중에 특성 값을 편집하려면 예를 선택합니다.

   참고 항목

   

   • 특성 값이 편집 가능함 상자에서 아니요를 선택하고 특정 값이 비어 있는 경우 사용자가 해당 특성의 값을 입력할 수 있습니다. 저장한 후에는 값을 편집할 수 없습니다.
   • 특성 값이 편집 가능함 상자에서 아니요를 선택하고 특성 값이 비어 있지 않은 경우 사용자는 직접 할당 및 셀프 서비스 요청 중에 기존 값을 편집할 수 없습니다.

   

8. 지역화를 추가하려면 지역화 추가를 선택합니다.

   1. 질문에 대한 지역화 추가 창에서 선택한 특성과 관련된 질문을 지역화할 언어의 언어 코드를 선택합니다.

   2. 구성한 언어로, 지역화된 텍스트 상자에 질문을 입력합니다.

   3. 필요한 지역화를 모두 추가한 후에 저장을 선택합니다.

      

9. 특성 필요 페이지에서 모든 특성 정보를 완료한 후 저장을 선택합니다.

다중 지역 SharePoint 사이트 추가

1. SharePoint에 다중 지역을 사용하도록 설정한 경우 사이트를 선택할 환경을 선택합니다.

   

2. 그런 다음, 카탈로그에 추가할 사이트를 선택합니다.

프로그래밍 방식으로 카탈로그에 리소스 추가

Microsoft Graph를 사용하여 카탈로그에 리소스를 추가할 수도 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션이 있는 적절한 역할의 사용자 또는 카탈로그 및 리소스 소유자는 API를 호출하여 resourceRequest를 만들 수 있습니다. 애플리케이션 권한이 EntitlementManagement.ReadWrite.All이고 리소스를 변경할 수 있는 권한(예: Group.ReadWrite.All)이 있는 애플리케이션은 카탈로그에 리소스를 추가할 수도 있습니다.

PowerShell을 사용하여 카탈로그에 리소스 추가

ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈 버전 2.1.x 이상 모듈 버전의 New-MgEntitlementManagementResourceRequest cmdlet을 사용하여 PowerShell의 카탈로그에 리소스를 추가할 수도 있습니다. 다음 예에서는 Microsoft Graph PowerShell cmdlet 모듈 버전 2.4.0을 사용하여 리소스로 카탈로그에 그룹을 추가하는 방법을 보여 줍니다.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

카탈로그에서 리소스 제거

카탈로그에서 리소스를 제거할 수 있습니다. 리소스는 카탈로그의 액세스 패키지에서 사용되지 않는 경우에만 카탈로그에서 제거할 수 있습니다.

필수 역할:카탈로그에 리소스를 추가하는 데 필요한 역할을 참조하세요.

카탈로그에서 리소스를 제거하려면 다음을 수행합니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>카탈로그를 찾아보세요.

3. 카탈로그 페이지에서 리소스를 제거하려는 카탈로그를 엽니다.

4. 왼쪽 메뉴에서 리소스를 선택합니다.

5. 이동하려는 리소스를 선택합니다.

6. 제거를 선택합니다. 필요에 따라 줄임표(...)를 선택한 다음, 리소스 제거를 선택합니다.

더 많은 카탈로그 소유자 추가

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

카탈로그를 만든 사용자가 첫 번째 카탈로그 소유자가 됩니다. 카탈로그 관리를 위임하려면 카탈로그 소유자 역할에 사용자를 추가합니다. 카탈로그 소유자를 더 추가하면 카탈로그 관리 책임을 공유하는 데 도움이 됩니다.

필수 역할: 전역 관리자, ID 거버넌스 관리자 또는 카탈로그 소유자

카탈로그 소유자 역할에 사용자를 할당하려면 다음을 수행합니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>카탈로그로 이동합니다.

3. 카탈로그 페이지에서 관리자를 추가하려는 카탈로그를 엽니다.

4. 왼쪽 메뉴에서 역할 및 관리자를 선택합니다.

   

5. 소유자 추가를 선택하여 해당 역할의 멤버를 선택합니다.

6. 해당 멤버를 추가하려면 선택을 선택합니다.

카탈로그 편집

카탈로그의 이름 및 설명을 편집할 수 있습니다. 사용자는 액세스 패키지의 세부 정보에서 해당 정보를 볼 수 있습니다.

필수 역할: 전역 관리자, ID 거버넌스 관리자 또는 카탈로그 소유자

카탈로그를 편집하려면 다음을 수행합니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>카탈로그를 찾아보세요.

3. 카탈로그 페이지에서 편집하려는 카탈로그를 엽니다.

4. 카탈로그의 개요 페이지에서 편집을 클릭합니다.

5. 카탈로그의 이름, 설명 또는 사용 설정을 편집합니다.

   

6. 저장을 선택합니다.

카탈로그 삭제

카탈로그를 삭제할 수 있지만 액세스 패키지가 없는 경우에만 삭제할 수 있습니다.

필수 역할: 전역 관리자, ID 거버넌스 관리자 또는 카탈로그 소유자

카탈로그를 삭제하려면 다음을 수행합니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>카탈로그를 찾아보세요.

3. 카탈로그 페이지에서 삭제하려는 카탈로그를 엽니다.

4. 카탈로그의 개요 페이지에서 삭제를 클릭합니다.

5. 표시되는 메시지 상자에서 예를 선택합니다.

프로그래밍 방식으로 카탈로그 삭제

Microsoft Graph를 사용하여 카탈로그를 삭제할 수도 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션을 사용하는 적절한 역할의 사용자는 이 API를 호출하여 accessPackageCatalog 삭제를 수행합니다.

다음 단계

액세스 패키지 관리자에 액세스 거버넌스 위임