그룹에 대한 PIM 설정 구성
Microsoft Entra ID의 그룹에 대한 PIM(Privileged Identity Management)에서 역할 설정은 멤버 자격 또는 소유권 할당 속성을 정의합니다. 이러한 속성에는 활성화를 위한 다단계 인증 및 승인 요구 사항, 할당 최대 기간 및 알림 설정이 포함됩니다. 이 문서에서는 역할 설정을 구성하고 승인 워크플로를 설정하여 권한 상승 요청을 승인하거나 거부할 수 있는 사용자를 지정하는 방법을 보여 줍니다.
설정을 관리하려면 그룹 관리 권한이 필요합니다. 역할 할당 가능 그룹의 경우 전역 관리자 또는 권한 있는 역할 관리자 역할이 있거나 그룹의 소유자여야 합니다. 역할을 할당할 수 없는 그룹의 경우 전역 관리자, 디렉터리 작성자, 그룹 관리자, ID 관리 관리자 또는 사용자 관리자 역할이 있거나 그룹의 소유자여야 합니다. 관리자에 대한 역할 할당 범위는 관리 장치 수준이 아닌 디렉터리 수준으로 할당되어야 합니다.
참고 항목
그룹을 관리할 수 있는 권한이 있는 다른 역할(예: 역할 할당이 불가능한 Microsoft 365 그룹의 Exchange 관리자) 및 관리 장치 수준으로 범위가 할당된 할당이 있는 관리자는 그룹 API/UX를 통해 그룹을 관리하고 Microsoft Entra Privileged Identity Management에서 변경한 내용을 재정의할 수 있습니다.
역할 설정은 그룹별 역할별로 정의됩니다. 동일한 그룹의 동일한 역할(멤버 또는 소유자)에 대한 모든 할당은 동일한 역할 설정을 따릅니다. 한 그룹의 역할 설정은 다른 그룹의 역할 설정과 독립적입니다. 한 역할(멤버)에 대한 역할 설정은 다른 역할(소유자)에 대한 역할 설정과 독립적입니다.
역할 설정 업데이트
그룹 역할에 대한 설정을 열려면:
Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>Privileged Identity Management>그룹으로 이동합니다.
역할 설정을 구성하려는 그룹을 선택합니다.
설정을 선택합니다.
역할 설정을 구성해야 하는 역할을 선택합니다. 옵션은 멤버 또는 소유자입니다.
현재 역할 설정을 검토합니다.
편집을 선택하여 역할 설정을 업데이트합니다.
업데이트를 선택합니다.
역할 설정
이 섹션에서는 역할 설정 옵션에 대해 설명합니다.
최대 활성화 기간
활성화 최대 기간 슬라이더를 사용하여 역할 할당에 대한 활성화 요청이 만료되기 전에 활성 상태로 유지되는 최대 시간(시간)을 설정합니다. 이 값은 1~24시간일 수 있습니다.
활성화 시 다단계 인증이 필요합니다.
역할에 적합한 사용자가 활성화되기 전에 Microsoft Entra ID의 다단계 인증 기능을 사용하여 자신이 누구인지 증명하도록 요구할 수 있습니다. 다단계 인증은 데이터 및 애플리케이션에 대한 액세스를 보호하는 데 도움이 됩니다. 두 번째 인증 형식을 사용하여 또 다른 보안 계층을 제공합니다.
사용자가 강력한 자격 증명으로 인증했거나 이 세션 초기에 다단계 인증을 제공한 경우 다단계 인증을 묻는 메시지가 표시되지 않을 수 있습니다. 활성화 중에 사용자가 인증을 제공하도록 하는 것이 목표라면 인증 강도와 함께 활성화 시 Azure AD 조건부 액세스 인증 컨텍스트 필요를 사용할 수 있습니다.
사용자는 활성화 중에 컴퓨터에 로그인하는 데 사용한 것과 다른 방법을 사용하여 인증해야 합니다. 예를 들어, 사용자가 비즈니스용 Windows Hello를 사용하여 컴퓨터에 로그인하는 경우 활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요 및 인증 강도를 사용하여 사용자가 역할을 활성화할 때 Microsoft Authenticator로 암호 없이 로그인하도록 요구할 수 있습니다.
이 예에서 사용자가 Microsoft Authenticator를 사용하여 암호 없는 로그인을 한 번 제공한 후에는 다른 인증 없이 이 세션에서 다음 활성화를 수행할 수 있습니다. Microsoft Authenticator를 사용한 암호 없는 로그인은 이미 토큰의 일부입니다.
모든 사용자에 대해 Microsoft Entra ID의 다단계 인증 기능을 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 Microsoft Entra 다단계 인증 배포 계획을 참조하세요.
활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트가 필요합니다.
조건부 액세스 정책 요구 사항을 충족하기 위해 역할에 적합한 사용자에게 요구할 수 있습니다. 예를 들어, 사용자에게 인증 강도를 통해 적용되는 특정 인증 방법을 사용하도록 요구하고, Intune 호환 디바이스에서 역할을 승격하고, 사용 약관을 준수하도록 할 수 있습니다.
이 요구 사항을 적용하려면 조건부 액세스 인증 컨텍스트를 만듭니다.
이 인증 컨텍스트에 대한 요구 사항을 적용하는 조건부 액세스 정책을 구성합니다.
조건부 액세스 정책의 범위에는 그룹 멤버 자격/소유권에 대한 모든 사용자 또는 적합 사용자가 포함되어야 합니다. 인증 컨텍스트와 그룹으로 범위가 지정된 조건부 액세스 정책을 동시에 만들지 마세요. 활성화하는 동안 사용자는 아직 그룹 멤버 자격이 없으므로 조건부 액세스 정책이 적용되지 않습니다.
역할에 대한 PIM 설정에서 인증 컨텍스트를 구성합니다.
PIM 설정에 활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요가 구성된 경우 조건부 액세스 정책은 액세스 요구 사항을 충족하기 위해 사용자가 충족해야 하는 조건을 정의합니다.
즉, 조건부 액세스 관리자 또는 보안 관리자와 같은 조건부 액세스 정책을 관리할 수 있는 권한이 있는 보안 주체는 요구 사항을 변경하거나 제거하거나 자격이 있는 사용자가 그룹 멤버 자격/소유권을 활성화하지 못하도록 차단할 수 있습니다. 조건부 액세스 정책을 관리할 수 있는 보안 주체는 높은 권한이 부여된 것으로 간주되고 그에 따라 보호되어야 합니다.
PIM 설정에서 인증 컨텍스트를 구성하기 전에 인증 컨텍스트에 대한 조건부 액세스 정책을 만들고 사용하도록 설정하는 것이 좋습니다. 백업 보호 메커니즘으로, 그룹 멤버 자격/소유권 활성화 중에 PIM 설정에 구성된 인증 컨텍스트를 대상으로 하는 테넌트에 조건부 액세스 정책이 없는 경우 활성화 시 다단계 인증 필요 설정이 지정되므로 Microsoft Entra의 다단계 인증 기능이 필요합니다.
이 백업 보호 메커니즘은 구성 실수로 인해 조건부 액세스 정책이 만들어지기 전에 PIM 설정이 업데이트된 시나리오에서만 보호하도록 설계되었습니다. 조건부 액세스 정책이 꺼져 있거나, 보고 전용 모드이거나, 적합 사용자가 정책에서 제외된 경우에는 이 백업 보호 메커니즘이 트리거되지 않습니다.
활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요 설정은 사용자가 그룹 멤버 자격/소유권을 활성화할 때 충족해야 하는 인증 컨텍스트 요구 사항을 정의합니다. 그룹 멤버 자격/소유권이 활성화되면 사용자는 그룹 멤버 자격/소유권을 사용하기 위해 다른 탐색 세션, 디바이스 또는 위치를 사용할 수 있습니다.
예를 들어, 사용자는 Intune 호환 디바이스를 사용하여 그룹 멤버 자격/소유권을 활성화할 수 있습니다. 그런 다음 역할이 활성화된 후 Intune과 호환되지 않는 다른 디바이스에서 동일한 사용자 계정에 로그인하고 거기에서 이전에 활성화된 그룹 소유권/멤버 자격을 사용할 수 있습니다.
이러한 상황을 방지하려면 조건부 액세스 정책의 범위를 지정하여 적합 사용자에게 특정 요구 사항을 직접 적용할 수 있습니다. 예를 들어, 특정 그룹 멤버 자격/소유권이 있는 사용자에게 항상 Intune 호환 디바이스를 사용하도록 요구할 수 있습니다.
조건부 액세스 인증 컨텍스트에 대한 자세한 내용은 조건부 액세스: 클라우드 앱, 작업, 인증 컨텍스트를 참조하세요.
활성화에 대한 근거 필요
적합 할당을 활성화할 때 사용자에게 비즈니스 타당성을 입력하도록 요구할 수 있습니다.
활성화 시 티켓 정보 필요
사용자가 적합 할당을 활성화할 때 지원 티켓을 입력하도록 요구할 수 있습니다. 이 옵션은 정보 전용 필드입니다. 티켓팅 시스템의 정보와의 상관 관계는 적용되지 않습니다.
활성화할 승인 필요
적합 할당을 활성화하려면 승인이 필요할 수 있습니다. 승인자는 그룹 멤버이나 소유자일 필요는 없습니다. 이 옵션을 사용하는 경우 승인자를 한 명 이상 선택해야 합니다. 승인자를 두 명 이상 선택하는 것이 좋습니다. 기본 승인자가 없습니다.
승인에 대한 자세한 내용은 그룹 멤버 및 소유자를 위한 PIM 활성화 요청 승인을 참조하세요.
할당 기간
역할에 대한 설정을 구성할 때 각 할당 형식에 대해 두 가지 할당 기간 옵션(적합 및 활성) 중에서 선택할 수 있습니다. 사용자가 Privileged Identity Management의 역할에 할당된 경우 이러한 옵션은 기본 최대 기간이 됩니다.
다음 적합 할당 기간 옵션 중 하나를 선택할 수 있습니다.
| 설정 | 설명 |
|---|---|
| 영구 적격 할당 허용 | 리소스 관리자는 영구 적합 할당 자격을 할당할 수 있습니다. |
| 다음 시간 후에 적격 할당 만료 | 리소스 관리자는 모든 적격 할당에 시작 및 종료 날짜가 지정되도록 요구할 수 있습니다. |
또한 이러한 활성 할당 기간 옵션 중 하나를 선택할 수도 있습니다.
| 설정 | 설명 |
|---|---|
| 영구 활성 할당 허용 | 리소스 관리자는 영구 활성 할당 자격을 할당할 수 있습니다. |
| 다음 시간 후에 활성 할당 만료 | 리소스 관리자는 모든 활성 할당에 시작 및 종료 날짜가 지정되도록 요구할 수 있습니다. |
리소스 관리자는 지정된 종료 날짜가 있는 모든 할당을 갱신할 수 있습니다. 또한 사용자는 역할 할당을 확장 또는 갱신하도록 셀프 서비스 요청을 시작할 수 있습니다.
활성 할당 시 Multi-Factor Authentication 필요
관리자 또는 그룹 소유자가 활성(적합이 아닌) 할당을 만들 때 다단계 인증을 제공하도록 요구할 수 있습니다. 사용자가 할당된 순간부터 역할에서 이미 활성 상태이므로 해당 사용자가 자신의 역할 할당을 사용할 때 Privileged Identity Management에서 다단계 인증을 적용할 수 없습니다.
관리자 또는 그룹 소유자가 강력한 자격 증명으로 인증했거나 이 세션 초기에 다단계 인증을 제공한 경우 다단계 인증을 묻는 메시지가 표시되지 않을 수 있습니다.
활성 할당에 대한 근거 필요
사용자가 활성(적격이 아닌) 할당을 만들 때 비즈니스 타당성을 입력하도록 요구할 수 있습니다.
역할 설정 페이지의 알림 탭에서 Privileged Identity Management를 사용하면 알림을 받는 사람과 수신하는 알림을 세밀하게 제어할 수 있습니다. 다음과 같은 옵션이 있습니다.
- 메일 끄기: 기본 수신자 확인란을 선택 취소하고 다른 수신자를 삭제하여 특정 메일을 비활성화할 수 있습니다.
- 지정된 메일 주소로 메일 제한: 기본 수신자 확인란을 선택을 취소하여 기본 수신자에게 보낸 메일을 비활성화할 수 있습니다. 그런 다음, 다른 이메일 주소를 수신자로 추가할 수 있습니다. 이메일 주소를 둘 이상 추가하려면 세미콜론(;)을 사용하여 구분합니다.
- 기본 수신자와 추가 수신자 모두에게 이메일 보내기: 기본 수신자와 다른 수신자 모두에게 이메일을 보낼 수 있습니다. 기본 수신자 확인란을 선택하고 다른 수신자의 이메일 주소를 추가합니다.
- 중요한 메일만: 각 메일 형식의 확인란을 선택하여 중요 메일을 받을 수 있습니다. Privileged Identity Management는 이메일에 즉각적인 작업이 필요한 경우에만 지정된 수신자에게 이메일을 계속 보냅니다. 예를 들어, 사용자에게 역할 할당 연장을 요청하는 이메일은 트리거되지 않습니다. 관리자가 확장 요청을 승인하도록 요구하는 이메일이 트리거됩니다.
참고 항목
Privileged Identity Management의 한 이벤트는 담당자, 승인자 또는 관리자 등 여러 수신자에게 이메일 알림을 생성할 수 있습니다. 하나의 이벤트당 전송되는 최대 알림 수는 1000개입니다. 수신자 수가 1000명을 초과하는 경우 처음 1000명의 수신자만 이메일 알림을 받게 됩니다. 이는 다른 담당자, 관리자 또는 승인자가 Microsoft Entra ID 및 Privileged Identity Management에서 자신의 권한을 사용하는 것을 막지는 않습니다.
Microsoft Graph를 사용하여 역할 설정 관리
Microsoft Graph에서 PIM API를 사용하여 그룹의 역할 설정을 관리하려면 unifiedRoleManagementPolicy 리소스 종류 및 관련 메서드를 사용합니다.
Microsoft Graph에서는 역할 설정을 규칙이라고 합니다. 컨테이너 정책을 통해 그룹에 할당됩니다. 그룹 및 각 정책으로 범위가 지정된 모든 정책을 검색할 수 있습니다. $expand 쿼리 매개 변수를 사용하여 연관된 규칙 컬렉션을 쿼리합니다. 요청 구문은 다음과 같습니다.
GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules
Microsoft Graph에서 PIM API를 통해 역할 설정을 관리하는 방법에 대한 자세한 내용은 역할 설정 및 PIM을 참조하세요. 규칙을 업데이트하는 방법에 대한 예는 Microsoft Graph를 사용하여 PIM에서 규칙 업데이트를 참조하세요.