Azure AD 권한 관리란?

Azure AD(Azure Active Directory) 권한 관리는 조직에서 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 규모에 맞게 관리할 수 있도록 지원하는 ID 거버넌스 기능입니다.

조직의 직원은 다양한 그룹, 애플리케이션 및 사이트에 액세스하여 자신의 업무를 수행해야 합니다. 요구 사항이 변경되면 새 애플리케이션이 추가되거나 사용자에게 추가 액세스 권한이 필요하므로 이 액세스를 관리하는 것이 어렵습니다. 외부 조직과 협업하는 경우 이 시나리오는 더 복잡해집니다. 조직의 리소스에 액세스해야 하는 다른 조직의 사용자를 모를 수 있으며, 조직에서 사용하는 애플리케이션, 그룹 또는 사이트를 모를 수도 있습니다.

Azure AD 권한 관리를 사용하면 이러한 리소스에 액세스해야 하는 내부 사용자 및 조직 외부 사용자의 그룹, 애플리케이션 및 SharePoint Online 사이트에 대한 액세스를 더 효율적으로 관리할 수 있습니다.

권한 관리를 사용하는 이유는 무엇일까요?

기업 조직에서는 리소스에 액세스하는 직원을 관리할 때 다음과 같은 문제에 직면하는 경우가 많습니다.

  • 사용자가 자신에게 필요한 액세스 권한을 모를 수 있으며, 그렇지 않고 알고 있더라도 자신의 액세스를 승인할 수 있는 올바른 개인을 찾는 데 어려움이 있을 수 있습니다.
  • 사용자가 리소스에 대한 액세스 권한을 찾고 받은 후에는 업무상 필요한 것보다 더 오래 액세스할 수 있습니다.

공급망 조직 또는 다른 비즈니스 파트너의 외부 사용자와 같이 다른 조직에서 액세스해야 하는 사용자의 경우 이러한 문제는 더 복잡합니다. 예를 들면 다음과 같습니다.

  • 한 사용자가 다른 조직의 디렉터리에 있는 특정 사용자를 모두 초대할 수 있다는 것을 알지 못할 수 있습니다.
  • 이러한 사용자를 초대할 수 있는 경우에도 해당 조직의 사용자가 모든 사용자의 액세스를 일관되게 관리해야 한다는 것을 기억하지 못할 수 있습니다.

Azure AD 권한 관리는 이러한 문제를 해결하는 데 도움이 될 수 있습니다. 고객이 Azure AD 권한 관리를 사용하는 방법에 대해 자세히 알아보려면 Avanade 사례 연구Centrica 사례 연구를 참조하세요. 다음 비디오에서는 권한 관리 및 그 가치에 대해 간략히 설명합니다.

권한 관리를 통해 무엇을 할 수 있을까요?

몇 가지 권한 관리 기능은 다음과 같습니다.

  • 관리자가 아닌 사용자에게 액세스 패키지를 만들 수 있는 권한을 위임합니다. 이러한 액세스 패키지에는 사용자가 요청할 수 있는 리소스가 포함되어 있으며, 위임된 액세스 패키지 관리자는 사용자가 요청할 수 있는 규칙, 액세스를 승인해야 하는 사용자 및 액세스가 만료되는 시기에 대한 정책을 정의할 수 있습니다.
  • 사용자가 액세스를 요청할 수 있는 연결된 조직을 선택합니다. 아직 디렉터리에 없는 사용자가 액세스를 요청하고 승인되면 해당 사용자가 자동으로 디렉터리로 초대되고 액세스 권한이 할당됩니다. 액세스가 만료되면 다른 액세스 패키지 할당이 없는 경우 디렉터리의 B2B 계정이 자동으로 제거될 수 있습니다.

참고

자격 관리를 시도할 준비가 되었으면 첫 번째 액세스 패키지 만들기 자습서를 시작할 수 있습니다.

또한 다음을 포함하여 일반적인 시나리오를 참조하거나 비디오를 시청할 수 있습니다.

액세스 패키지는 무엇이며, 이를 통해 관리할 수 있는 리소스는 무엇일까요?

권한 관리는 액세스 패키지 개념을 Azure AD에 도입합니다. 액세스 패키지는 사용자가 프로젝트에서 작업하거나 작업을 수행하는 데 필요한 액세스 권한이 있는 모든 리소스의 번들입니다. 액세스 패키지는 내부 직원 및 조직 외부 사용자의 액세스를 제어하는 데 사용됩니다.

권한 관리를 통해 사용자의 액세스를 관리할 수 있는 리소스의 종류는 다음과 같습니다.

  • Azure AD 보안 그룹의 멤버 자격
  • Microsoft 365 그룹 및 팀의 멤버 자격
  • Azure AD 엔터프라이즈 애플리케이션에 할당(페더레이션, Single Sign-On 및/또는 프로비저닝을 지원하는 SaaS 애플리케이션 및 사용자 지정 통합 애플리케이션 포함)
  • SharePoint Online 사이트의 멤버 자격

또한 Azure AD 보안 그룹 또는 Microsoft 365 그룹을 사용하는 다른 리소스에 대한 액세스를 제어할 수 있습니다. 예를 들면 다음과 같습니다.

  • 액세스 패키지에서 Azure AD 보안 그룹을 사용하고 해당 그룹에 대한 그룹 기반 라이선스를 구성하여 사용자에게 Microsoft 365에 대한 라이선스를 제공할 수 있습니다.
  • 액세스 패키지에서 Azure AD 보안 그룹을 사용하고 해당 그룹에 대한 Azure 역할 할당을 만들어 사용자에게 Azure 리소스를 관리할 수 있는 액세스 권한을 부여할 수 있습니다.
  • 액세스 패키지에서 Azure AD 역할에 할당할 수 있는 그룹을 사용하여 Azure AD 역할을 관리하고 해당 그룹에 Azure AD 역할을 할당하여 Azure AD 역할을 관리하는 액세스 권한을 사용자에게 부여할 수 있습니다.

액세스 권한을 얻는 사용자를 제어하려면 어떻게 할까요?

액세스 패키지를 사용하면 관리자 또는 위임된 액세스 패키지 관리자에서 리소스(그룹, 앱 및 사이트) 및 해당 리소스에 대해 사용자에게 필요한 역할을 나열합니다.

또한 액세스 패키지에는 하나 이상의 정책 이 포함됩니다. 정책은 액세스 패키지에 할당할 규칙 또는 가드 레일을 정의합니다. 각 정책을 사용하여 적절한 사용자만 액세스를 요청할 수 있고, 해당 요청에 대한 승인자가 있으며, 해당 리소스에 대한 액세스 시간이 제한되고, 갱신되지 않으면 만료되도록 보장할 수 있습니다.

액세스 패키지 및 정책

각 정책 내에서 관리자 또는 액세스 패키지 관리자는 다음을 정의합니다.

  • 액세스를 요청할 수 있는 기존 사용자(일반적으로 직원 또는 이미 초대된 게스트) 또는 외부 사용자의 파트너 조직
  • 승인 프로세스 및 액세스를 승인하거나 거부할 수 있는 사용자
  • 승인된 사용자의 할당 만료 이전의 액세스 할당 기간

다음 다이어그램에서는 권한 관리의 다양한 요소에 대한 예를 보여 줍니다. 여기에는 두 개의 액세스 패키지 예가 포함된 하나의 카탈로그가 있습니다.

  • 액세스 패키지 1 에는 단일 그룹이 리소스로 포함되어 있습니다. 액세스는 디렉터리의 사용자 세트에서 액세스를 요청할 수 있도록 하는 정책으로 정의됩니다.
  • 액세스 패키지 2 에는 그룹, 애플리케이션 및 SharePoint Online 사이트가 리소스로 포함되어 있습니다. 액세스는 두 개의 서로 다른 정책으로 정의됩니다. 첫 번째 정책을 사용하면 디렉터리의 사용자 세트에서 액세스를 요청할 수 있습니다. 두 번째 정책을 사용하면 외부 디렉터리의 사용자가 액세스를 요청할 수 있습니다.

권한 관리 개요

액세스 패키지는 언제 사용해야 하나요?

액세스 패키지는 액세스 할당을 위해 다른 메커니즘을 대체하지 않습니다. 다음과 같은 상황에서 가장 적합합니다.

  • 직원에게는 특정 작업에 대해 시간이 제한된 액세스가 필요합니다. 예를 들어 그룹 기반 라이선스 및 동적 그룹을 사용하여 모든 직원에게 Exchange Online 사서함이 있는지 확인한 다음, 직원에게 다른 부서의 부서 리소스를 읽는 등의 추가 액세스가 필요한 상황에서 액세스 패키지를 사용할 수 있습니다.
  • 직원의 관리자 또는 기타 지정된 개인의 승인이 필요한 액세스입니다.
  • 각 부서에서 IT의 개입 없이 리소스에 대한 자체의 액세스 정책을 관리하려고 합니다.
  • 둘 이상의 조직에서 프로젝트를 협업하고 있으며, 그 결과로 Azure AD B2B를 통해 한 조직의 여러 사용자를 호출하여 다른 조직의 리소스에 액세스해야 합니다.

액세스를 위임하려면 어떻게 할까요?

액세스 패키지는 카탈로그(catalogs)라는 컨테이너에 정의됩니다. 하나의 카탈로그를 모든 액세스 패키지에 사용하거나, 고유한 카탈로그를 만들고 소유할 수 있는 개인을 지정할 수 있습니다. 관리자는 리소스를 모든 카탈로그에 추가할 수 있지만, 관리자가 아닌 사용자는 자신이 소유한 리소스만 카탈로그에 추가할 수 있습니다. 카탈로그 소유자는 다른 사용자를 카탈로그 공동 소유자 또는 액세스 패키지 관리자로 추가할 수 있습니다. 이러한 시나리오는 Azure AD 권한 관리의 위임 및 역할 문서에서 자세히 설명하고 있습니다.

용어 요약

다음에 나오는 용어 목록은 권한 관리 및 해당 설명서를 더 잘 이해하기 위해 다시 참조할 수 있습니다.

용어 Description
액세스 패키지 팀 또는 프로젝트에 필요하고 정책으로 관리되는 리소스의 번들입니다. 액세스 패키지는 항상 카탈로그에 포함되어 있습니다. 사용자가 액세스를 요청해야 하는 시나리오에 맞는 새 액세스 패키지를 만듭니다.
액세스 요청 액세스 패키지의 리소스에 액세스하기 위한 요청입니다. 요청은 일반적으로 승인 워크플로를 통해 수행됩니다. 승인되면 요청하는 사용자가 액세스 패키지 할당을 받습니다.
할당 사용자에게 액세스 패키지를 할당하면 해당 액세스 패키지의 모든 리소스 역할이 사용자에게 할당됩니다. 액세스 패키지 할당에는 일반적으로 만료되기 전의 시간 제한이 있습니다.
카탈로그 관련 리소스 및 액세스 패키지로 구성된 컨테이너입니다. 카탈로그는 위임하는 데 사용되므로 관리자가 아닌 사용자는 자신의 액세스 패키지를 만들 수 있습니다. 카탈로그 소유자는 자신이 소유한 리소스를 카탈로그에 추가할 수 있습니다.
카탈로그 작성자 새 카탈로그를 만들 수 있는 권한이 있는 사용자의 컬렉션입니다. 카탈로그 작성자 권한이 있는 관리자가 아닌 사용자는 새 카탈로그를 만드는 경우 자동으로 해당 카탈로그의 소유자가 됩니다.
연결된 조직 관계가 있는 외부 Azure AD 디렉터리 또는 도메인입니다. 연결된 조직의 사용자는 정책에서 액세스를 요청할 수 있도록 지정할 수 있습니다.
policy 사용자가 액세스하는 방법, 승인할 수 있는 사용자 및 할당을 통해 사용자가 액세스할 수 있는 기간과 같은 액세스 수명 주기를 정의하는 규칙 세트입니다. 정책은 액세스 패키지에 연결됩니다. 예를 들어 액세스 패키지에는 직원이 액세스를 요청하고, 외부 사용자가 액세스를 요청하는 두 개의 정책이 있을 수 있습니다.
resource 사용자에게 권한을 부여할 수 있는 역할이 있는 자산입니다(예: Office 그룹, 보안 그룹, 애플리케이션 또는 SharePoint Online 사이트).
리소스 디렉터리 공유할 하나 이상의 리소스가 있는 디렉터리입니다.
리소스 역할 리소스에서 연결하고 정의한 권한의 컬렉션입니다. 그룹에는 멤버 및 소유자의 두 가지 역할이 있습니다. SharePoint 사이트에는 일반적으로 세 개의 역할이 있지만, 추가 사용자 지정 역할도 있을 수 있습니다. 애플리케이션에는 사용자 지정 역할이 있을 수 있습니다.

라이선스 요구 사항

이 기능을 사용하려면 Azure AD Premium P2 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 무료, Office 365 앱 및 Premium 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.

Azure 독일, Azure 중국 21Vianet과 같은 특수 클라우드는 현재 사용할 수 없습니다.

필요한 라이선스 수는 어떻게 되나요?

디렉터리에는 다음을 고려한 개수 이상의 Azure AD Premium P2 라이선스가 있어야 합니다.

  • 액세스 패키지를 요청할 수 있는 멤버 사용자의 수
  • 액세스 패키지를 요청하는 멤버 사용자의 수.
  • 액세스 패키지에 대한 요청을 승인하는 멤버 사용자의 수.
  • 액세스 패키지에 대한 할당을 검토하는 멤버 사용자의 수.
  • 액세스 패키지에 대한 직접 할당이 있는 멤버 사용자의 수.

게스트 사용자의 경우 라이선스 요구 사항은 사용 중인 라이선스 모델에 따라 달라집니다. 그러나 아래 게스트 사용자의 작업은 Azure AD Premium P2 사용으로 간주됩니다.

  • 액세스 패키지를 요청하는 게스트 사용자의 수.
  • 액세스 패키지에 대한 요청을 승인하는 게스트 사용자의 수.
  • 액세스 패키지에 대한 할당을 검토하는 게스트 사용자의 수.
  • 액세스 패키지에 대한 직접 할당이 있는 게스트 사용자의 수.

Azure AD Premium P2 라이선스가 필요하지 않은 작업은 다음과 같습니다.

  • 초기 카탈로그, 패키지 및 정책을 설정하고 다른 사용자에게 관리 작업을 위임할 수 있는 전역 관리자 역할이 있는 사용자에게는 라이선스가 필요하지 않습니다.
  • 카탈로그 작성자, 카탈로그 소유자 및 액세스 패키지 관리자와 같은 관리 작업을 위임받은 사용자에게는 라이선스가 필요하지 않습니다.
  • 액세스 패키지를 요청할 수 있는 권한 이 있지만 패키지를 요청하도록 선택하지 않은 게스트에게는 라이선스가 필요하지 않습니다.

라이선스에 대한 자세한 내용은 Azure Active Directory 포털을 사용하여 라이선스 할당 또는 제거를 참조하세요.

라이선스 시나리오 예

필요한 라이선스 수를 결정하는 데 도움이 되는 몇 가지 라이선스 시나리오 예는 다음과 같습니다.

시나리오 계산 라이선스 수
Woodgrove Bank의 전역 관리자가 초기 카탈로그를 만들고, 다른 6명의 사용자에게 관리 작업을 위임합니다. 정책 중 하나에서 모든 직원(2,000명)이 특정 액세스 패키지 세트를 요청할 수 있도록 지정합니다. 150명의 직원이 액세스 패키지를 요청합니다. 액세스 패키지를 요청할 수 있는 2,000명의 직원 2,000
Woodgrove Bank의 전역 관리자가 초기 카탈로그를 만들고, 다른 6명의 사용자에게 관리 작업을 위임합니다. 정책 중 하나에서 모든 직원(2,000명)이 특정 액세스 패키지 세트를 요청할 수 있도록 지정합니다. 다른 정책에서 Contoso 파트너의 사용자(게스트) 중 일부 사용자가 승인을 전제로 하여 동일한 액세스 패키지를 요청할 수 있도록 지정합니다. Contoso에는 30,000명의 사용자가 있습니다. 150명의 직원이 액세스 패키지를 요청하고, 10,500명의 Contoso 사용자가 액세스를 요청합니다. 2,000명 직원 + 1:5 비율을 초과하는 500명 Contoso 게스트 사용자(10,500 - (2000 * 5)) 2,500

다음 단계