Privileged Identity Management에서 Microsoft Entra 역할 설정 구성

  • 아티클

Microsoft Entra의 일부인 Microsoft Entra ID의 PIM(Privileged Identity Management)에서 역할 설정은 역할 할당 속성을 정의합니다. 이러한 속성에는 활성화를 위한 다단계 인증 및 승인 요구 사항, 할당 최대 기간 및 알림 설정이 포함됩니다. 이 문서에서는 역할 설정을 구성하고 승인 워크플로를 설정하여 권한 상승 요청을 승인하거나 거부할 수 있는 사용자를 지정하는 방법을 보여 줍니다.

Microsoft Entra 역할에 대한 PIM 역할 설정을 관리하려면 전역 관리자 또는 권한 있는 역할 관리자 역할이 있어야 합니다. 역할 설정은 역할별로 정의됩니다. 동일한 역할에 대한 모든 할당은 동일한 역할 설정을 따릅니다. 한 역할의 역할 설정은 다른 역할의 역할 설정과는 별개입니다.

PIM 역할 설정을 "PIM 정책”이라고도 합니다.

역할 설정 열기

Microsoft Entra 역할에 대한 설정을 열려면:

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>Privileged Identity Management>Microsoft Entra 역할>역할로 이동합니다.

  3. 이 페이지에는 기본 제공 역할과 사용자 지정 역할을 포함하여 테넌트에서 사용할 수 있는 Microsoft Entra 역할 목록이 표시됩니다. 기본 제공 역할과 사용자 지정 역할을 포함하여 테넌트에서 사용할 수 있는 Microsoft Entra 역할 목록을 보여 주는 스크린샷.

  4. 설정을 구성하려는 역할을 선택합니다.

  5. 역할 설정을 선택합니다. 역할 설정 페이지에서 선택한 역할에 대한 현재 PIM 역할 설정을 볼 수 있습니다.

    할당 및 활성화 설정 업데이트 옵션이 포함된 역할 설정 페이지를 보여 주는 스크린샷.

  6. 편집을 선택하여 역할 설정을 업데이트합니다.

  7. 업데이트를 선택합니다.

역할 설정

이 섹션에서는 역할 설정 옵션에 대해 설명합니다.

최대 활성화 기간

활성화 최대 기간 슬라이더를 사용하여 역할 할당에 대한 활성화 요청이 만료되기 전에 활성 상태로 유지되는 최대 시간(시간)을 설정합니다. 이 값은 1~24시간일 수 있습니다.

활성화 시 다단계 인증이 필요합니다.

역할에 적합한 사용자가 활성화되기 전에 Microsoft Entra ID의 다단계 인증 기능을 사용하여 자신이 누구인지 증명하도록 요구할 수 있습니다. 다단계 인증은 데이터 및 애플리케이션에 대한 액세스를 보호하는 데 도움이 됩니다. 두 번째 인증 형식을 사용하여 또 다른 보안 계층을 제공합니다.

사용자가 강력한 자격 증명으로 인증했거나 이 세션 초기에 다단계 인증을 제공한 경우 다단계 인증을 묻는 메시지가 표시되지 않을 수 있습니다.

활성화 중에 사용자가 인증을 제공하도록 하는 것이 목표라면 인증 강도와 함께 활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요를 사용할 수 있습니다. 이러한 옵션을 사용하려면 사용자가 활성화 중에 컴퓨터에 로그인하는 데 사용한 것과 다른 방법을 사용하여 인증해야 합니다.

예를 들어, 사용자가 비즈니스용 Windows Hello를 사용하여 컴퓨터에 로그인하는 경우 활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요인증 강도를 사용할 수 있습니다. 이 옵션을 사용하려면 사용자가 역할을 활성화할 때 Microsoft Authenticator를 사용하여 암호 없이 로그인해야 합니다.

이 예에서 사용자는 Microsoft Authenticator를 사용하여 암호 없는 로그인을 한 번 제공한 후 다른 인증 없이 이 세션에서 다음 활성화를 수행할 수 있습니다. Microsoft Authenticator를 사용한 암호 없는 로그인은 이미 토큰의 일부입니다.

모든 사용자에 대해 Microsoft Entra ID의 다단계 인증 기능을 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 Microsoft Entra 다단계 인증 배포 계획을 참조하세요.

활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트가 필요합니다.

조건부 액세스 정책 요구 사항을 충족하기 위해 역할에 적합한 사용자에게 요구할 수 있습니다. 예를 들어, 사용자에게 인증 강도를 통해 적용되는 특정 인증 방법을 사용하도록 요구하고, Intune 호환 디바이스에서 역할을 승격하고, 사용 약관을 준수하도록 할 수 있습니다.

이 요구 사항을 적용하려면 조건부 액세스 인증 컨텍스트를 만듭니다.

  1. 이 인증 컨텍스트에 대한 요구 사항을 적용하는 조건부 액세스 정책을 구성합니다.

    조건부 액세스 정책의 범위에는 역할에 대한 모든 사용자 또는 적합 사용자가 포함되어야 합니다. 인증 컨텍스트와 디렉터리 역할로 범위가 지정된 조건부 액세스 정책을 동시에 만들지 마세요. 활성화 중에는 사용자에게 아직 역할이 없으므로 조건부 액세스 정책이 적용되지 않습니다.

    두 가지 조건부 액세스 정책이 필요할 수 있는 상황에 대해서는 이 섹션 끝에 있는 단계를 참조하세요. 하나는 인증 컨텍스트로 범위가 지정되어야 하고 다른 하나는 역할로 범위가 지정되어야 합니다.

  2. 역할에 대한 PIM 설정에서 인증 컨텍스트를 구성합니다.

    역할 설정 편집 - 특성 정의 관리자 페이지를 보여 주는 스크린샷.

PIM 설정에 활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요가 구성된 경우 조건부 액세스 정책은 액세스 요구 사항을 충족하기 위해 사용자가 충족해야 하는 조건을 정의합니다.

즉, 조건부 액세스 관리자 또는 보안 관리자와 같은 조건부 액세스 정책을 관리할 수 있는 권한이 있는 보안 주체는 요구 사항을 변경하거나 제거하거나 자격이 있는 사용자가 역할을 활성화하지 못하도록 차단할 수 있습니다. 조건부 액세스 정책을 관리할 수 있는 보안 주체는 높은 권한이 부여된 것으로 간주되고 그에 따라 보호되어야 합니다.

PIM 설정에서 인증 컨텍스트를 구성하기 전에 인증 컨텍스트에 대한 조건부 액세스 정책을 만들고 사용하도록 설정하는 것이 좋습니다. 백업 보호 메커니즘으로, PIM 설정에 구성된 인증 컨텍스트를 대상으로 하는 조건부 액세스 정책이 테넌트에 없는 경우 활성화 시 다단계 인증 필요 설정이 지정되므로 Microsoft Entra ID의 다단계 인증 기능이 필요합니다.

이 백업 보호 메커니즘은 구성 실수로 인해 조건부 액세스 정책이 만들어지기 전에 PIM 설정이 업데이트된 시나리오에서만 보호하도록 설계되었습니다. 조건부 액세스 정책이 꺼져 있거나, 보고 전용 모드이거나, 적합 사용자가 정책에서 제외된 경우에는 이 백업 보호 메커니즘이 트리거되지 않습니다.

활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요 설정은 사용자가 역할을 활성화할 때 충족해야 하는 인증 컨텍스트 요구 사항을 정의합니다. 역할이 활성화된 후에는 사용자가 권한을 사용하기 위해 다른 탐색 세션, 디바이스 또는 위치를 사용할 수 있습니다.

예를 들어, 사용자는 Intune 호환 디바이스를 사용하여 역할을 활성화할 수 있습니다. 그런 다음 역할이 활성화된 후 Intune과 호환되지 않는 다른 디바이스에서 동일한 사용자 계정에 로그인하고 해당 위치에서 이전에 활성화된 역할을 사용할 수 있습니다.

이러한 상황을 방지하려면 두 가지 조건부 액세스 정책을 만듭니다.

  1. 첫 번째 조건부 액세스 정책은 인증 컨텍스트를 대상으로 합니다. 해당 범위에 모든 사용자 또는 적합 사용자가 있어야 합니다. 이 정책은 사용자가 역할을 활성화하기 위해 충족해야 하는 요구 사항을 지정합니다.
  2. 두 번째 조건부 액세스 정책은 디렉터리 역할을 대상으로 합니다. 이 정책은 사용자가 활성화된 디렉터리 역할로 로그인하기 위해 충족해야 하는 요구 사항을 지정합니다.

두 정책 모두 요구 사항에 따라 동일하거나 다른 요구 사항을 적용할 수 있습니다.

또 다른 옵션은 특정 요구 사항을 적합 사용자에게 직접 적용하는 조건부 액세스 정책의 범위를 지정하는 것입니다. 예를 들어, 특정 역할에 대한 자격이 있는 사용자에게 항상 Intune 호환 디바이스를 사용하도록 요구할 수 있습니다.

조건부 액세스 인증 컨텍스트에 대한 자세한 내용은 조건부 액세스: 클라우드 앱, 작업, 인증 컨텍스트를 참조하세요.

활성화에 대한 근거 필요

적합 할당을 활성화할 때 사용자에게 비즈니스 타당성을 입력하도록 요구할 수 있습니다.

활성화 시 티켓 정보 필요

적합 할당을 활성화할 때 사용자에게 지원 티켓 번호를 입력하도록 요구할 수 있습니다. 이 옵션은 정보 전용 필드입니다. 티켓팅 시스템의 정보와의 상관 관계는 적용되지 않습니다.

활성화할 승인 필요

적합 할당을 활성화하려면 승인이 필요할 수 있습니다. 승인자는 역할을 가질 필요가 없습니다. 이 옵션을 사용하는 경우 승인자를 한 명 이상 선택해야 합니다. 승인자를 두 명 이상 선택하는 것이 좋습니다. 특정 승인자를 선택하지 않으면 권한 있는 역할 관리자/전역 관리자가 기본 승인자가 됩니다.

승인에 대해 자세히 알아보려면 Privileged Identity Management에서 Microsoft Entra 역할 요청 승인 또는 거부를 참조하세요.

할당 기간

역할에 대한 설정을 구성할 때 각 할당 형식에 대해 두 가지 할당 기간 옵션(적합활성) 중에서 선택할 수 있습니다. 사용자가 Privileged Identity Management의 역할에 할당된 경우 이러한 옵션은 기본 최대 기간이 됩니다.

다음 적합 할당 기간 옵션 중 하나를 선택할 수 있습니다.

설정 설명
영구 적격 할당 허용 리소스 관리자는 영구 적합 할당 자격을 할당할 수 있습니다.
다음 시간 후에 적격 할당 만료 리소스 관리자는 모든 적격 할당에 시작 및 종료 날짜가 지정되도록 요구할 수 있습니다.

또한 이러한 활성 할당 기간 옵션 중 하나를 선택할 수도 있습니다.

설정 설명
영구 활성 할당 허용 리소스 관리자는 영구 활성 할당 자격을 할당할 수 있습니다.
다음 시간 후에 활성 할당 만료 리소스 관리자는 모든 활성 할당에 시작 및 종료 날짜가 지정되도록 요구할 수 있습니다.

할당된 종료 날짜가 있는 모든 할당은 전역 관리자 및 권한 있는 역할 관리자가 갱신할 수 있습니다. 또한 사용자는 역할 할당을 확장 또는 갱신하도록 셀프 서비스 요청을 시작할 수 있습니다.

활성 할당 시 Multi-Factor Authentication 필요

관리자가 활성(적합이 아닌) 할당을 만들 때 다단계 인증을 제공하도록 요구할 수 있습니다. 사용자가 할당된 순간부터 역할에서 이미 활성 상태이므로 해당 사용자가 자신의 역할 할당을 사용할 때 Privileged Identity Management에서 다단계 인증을 적용할 수 없습니다.

관리자가 강력한 자격 증명으로 인증했거나 이 세션 이전에 다단계 인증을 제공한 경우 다단계 인증에 대한 메시지가 표시되지 않을 수 있습니다.

활성 할당에 대한 근거 필요

사용자가 활성(적격이 아닌) 할당을 만들 때 비즈니스 타당성을 입력하도록 요구할 수 있습니다.

역할 설정 페이지의 알림 탭에서 Privileged Identity Management를 사용하면 알림을 받는 사람과 수신하는 알림을 세밀하게 제어할 수 있습니다. 다음과 같은 옵션이 있습니다.

  • 메일 끄기: 기본 수신자 확인란을 선택 취소하고 다른 수신자를 삭제하여 특정 메일을 비활성화할 수 있습니다.
  • 지정된 메일 주소로 메일 제한: 기본 수신자 확인란을 선택을 취소하여 기본 수신자에게 보낸 메일을 비활성화할 수 있습니다. 그런 다음, 다른 이메일 주소를 수신자로 추가할 수 있습니다. 이메일 주소를 둘 이상 추가하려면 세미콜론(;)을 사용하여 구분합니다.
  • 기본 수신자와 추가 수신자 모두에게 이메일 보내기: 기본 수신자와 다른 수신자 모두에게 이메일을 보낼 수 있습니다. 기본 수신자 확인란을 선택하고 다른 수신자의 이메일 주소를 추가합니다.
  • 중요한 메일만: 각 메일 형식의 확인란을 선택하여 중요 메일을 받을 수 있습니다. 이 옵션을 사용하면 Privileged Identity Management는 이메일에 즉각적인 작업이 필요한 경우에만 지정된 수신자에게 이메일을 계속 보냅니다. 예를 들어, 사용자에게 역할 할당 연장을 요청하는 이메일은 트리거되지 않습니다. 관리자가 확장 요청을 승인하도록 요구하는 이메일이 트리거됩니다.

참고 항목

Privileged Identity Management의 한 이벤트는 담당자, 승인자 또는 관리자 등 여러 수신자에게 이메일 알림을 생성할 수 있습니다. 하나의 이벤트당 전송되는 최대 알림 수는 1000개입니다. 수신자 수가 1000명을 초과하는 경우 처음 1000명의 수신자만 이메일 알림을 받게 됩니다. 이는 다른 담당자, 관리자 또는 승인자가 Microsoft Entra ID 및 Privileged Identity Management에서 자신의 권한을 사용하는 것을 막지는 않습니다.

Microsoft Graph를 사용하여 역할 설정 관리

Microsoft Graph에서 PIM API를 사용하여 Microsoft Entra 역할 설정을 관리하려면 unifiedRoleManagementPolicy 리소스 종류 및 관련 메서드를 사용합니다.

Microsoft Graph에서는 역할 설정을 규칙이라고 합니다. 컨테이너 정책을 통해 Microsoft Entra 역할에 할당됩니다. 각 Microsoft Entra 역할에는 특정 정책 개체가 할당됩니다. Microsoft Entra 역할로 범위가 지정된 모든 정책을 검색할 수 있습니다. 각 정책에 대해 $expand 쿼리 매개 변수를 사용하여 연관된 규칙 컬렉션을 쿼리할 수 있습니다. 요청 구문은 다음과 같습니다.

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

Microsoft Graph에서 PIM API를 통해 역할 설정을 관리하는 방법에 대한 자세한 내용은 역할 설정 및 PIM을 참조하세요. 규칙을 업데이트하는 방법에 대한 예는 Microsoft Graph를 사용하여 PIM에서 규칙 업데이트를 참조하세요.

다음 단계