권한이 부여된 액세스 관리 시작

  • 아티클
  • 읽는 데 8분 걸림

이 문서에서는 조직에서 권한 있는 액세스 관리를 사용하도록 설정하고 구성하는 방법을 안내합니다. Microsoft 365 관리 센터 또는 Exchange Management PowerShell을 사용하여 권한 있는 액세스를 관리하고 사용할 수 있습니다.

시작하기 전에

권한 있는 액세스 관리를 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인해야 합니다. 권한 있는 액세스 관리에 액세스하고 사용하려면 조직에 다음 구독 또는 추가 기능 중 하나가 있어야 합니다.

  • Microsoft 365 E5 구독(유료 또는 평가판 버전)
  • Microsoft 365 E3 구독(또는 Office 365 E3 구독 + Enterprise Mobility and Security E3 구독) + Microsoft 365 E5 Compliance 추가 기능
  • Microsoft 365, Office 365, Exchange, SharePoint 또는 비즈니스용 OneDrive 구독 + Microsoft 365 E5 Insider Risk Management 추가 기능
  • Microsoft 365 A5 구독(유료 또는 평가판 버전)
  • Microsoft 365 A3 구독(또는 Office 365 A3 구독 + Enterprise Mobility 및 Security A3 구독) + Microsoft A5 규정 준수 추가 기능
  • 모든 Microsoft 365, Office 365, Exchange, SharePoint 또는 OneDrive for Education 구독 + Microsoft 365 A5 참가자 위험 관리 추가 기능
  • Office 365 Enterprise E5 구독(유료 또는 평가판 버전)
  • Office 365 Enterprise E3 구독 + Office 365 Advanced Compliance 추가 기능(새 구독에 더 이상 사용할 수 없음, 참고 참조)

권한 있는 액세스 관리 요청을 제출하고 응답하는 사용자에게 위의 라이선스 중 하나가 할당되어야 합니다.

중요

Office 365 Advanced Compliance 더 이상 독립 실행형 구독으로 판매되지 않습니다. 현재 구독이 만료되면 고객은 동일하거나 추가적인 규정 준수 기능을 포함하는 위의 구독 중 하나로 전환해야 합니다.

기존 Office 365 Enterprise E5 계획이 없고 권한 있는 액세스 관리를 시도하려는 경우 기존 Office 365 구독에 Microsoft 365를 추가하거나 Microsoft 365 Enterprise E5 평가판에 등록할 수 있습니다.

권한 있는 액세스 관리 사용 및 구성

다음 단계에 따라 조직에서 권한 있는 액세스를 설정하고 사용합니다.

  • 1단계: 승인자 그룹 만들기

    권한 액세스를 사용하기 전에 권한 상승 및 권한 상승 작업에 대한 액세스를 위해 수신 요청에 대해 승인 권한이 필요한 사용자를 확인하세요. 승인자 그룹의 일부인 사용자는 액세스 요청을 승인할 수 있습니다. 이 그룹은 Office 365 메일 사용 보안 그룹을 만들어 사용할 수 있습니다.

  • 2단계: 권한 있는 액세스 사용

    권한 있는 액세스는 Privileged Access Management 액세스 제어에서 제외할 시스템 계정 집합을 포함하여 기본 승인자 그룹이 있는 Office 365에서 명시적으로 사용하도록 설정해야 합니다.

  • 3단계: 액세스 정책 만들기

    승인 정책을 만들면 개별 작업에 범위가 있는 특정 승인 요구 사항을 정의할 수 있습니다. 승인 유형 옵션은 자동 또는 수동 입니다.

  • 4단계: 권한 있는 액세스 요청 제출/승인

    권한이 부여된 경우 권한 있는 액세스에는 연결된 승인 정책이 정의된 모든 작업에 대한 승인이 필요합니다. 승인 정책에 포함된 작업의 경우 사용자는 작업을 실행하는 데 필요한 권한을 가지기 위해 액세스 승인을 요청하고 액세스 승인을 부여해야 합니다.

승인이 허가된 후 요청 사용자가 원하는 작업을 실행할 수 있으며 권한 있는 액세스 권한은 사용자를 대신하여 작업을 승인하고 실행합니다. 요청된 기간(기본 기간은 4시간)에 대해 승인이 계속 유효하고 요청한 사용자가 의도한 작업을 여러 번 실행할 수 있습니다. 이러한 모든 실행이 기록되어 보안 및 규정 준수 감사에 사용할 수 있습니다.

참고

Exchange Management PowerShell을 사용하여 권한 있는 액세스를 사용하도록 설정하고 구성하려면 Multi-Factor Authentication을 사용하여 PowerShell을 Exchange Online 연결의 단계에 따라 Office 365 자격 증명으로 Exchange Online PowerShell에 연결합니다. Exchange Online PowerShell에 연결하는 동안 권한 있는 액세스를 사용하도록 설정하는 단계를 사용하려면 조직에서 다단계 인증을 사용하도록 설정할 필요가 없습니다. 다단계 인증을 사용하여 연결하면 권한 있는 액세스에서 요청에 서명하는 데 사용되는 인증 토큰이 만들어집니다.

1단계: 승인자 그룹 만들기

  1. 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 그룹추가 그룹으로 > 이동합니다.

  3. 메일 사용 가능 보안 그룹을 선택한 다음 새 그룹의 이름, 그룹 전자 메일 주소설명 필드를 완료합니다.

  4. 그룹을 저장합니다. 그룹을 완전히 구성하고 Microsoft 365 관리 센터에 표시하는 데 몇 분 정도 걸릴 수 있습니다.

  5. 새 승인자 그룹을 선택하고 편집 을 선택하여 그룹에 사용자를 추가합니다.

  6. 그룹을 저장합니다.

2단계: 권한 있는 액세스 사용

Microsoft 365 관리 센터에서

  1. 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정 > 조직 설정 > 보안 & 개인 정보 권한 > 있는 액세스로 이동합니다.

  3. 권한 있는 작업 제어에 대한 승인 필요 를 사용하도록 설정합니다.

  4. 1단계에서 만든 승인자의 그룹을 기본 승인자 그룹으로 할당합니다.

  5. 저장 하고 닫습니다.

Exchange Management PowerShell에서

권한 있는 액세스를 사용하도록 설정하고 승인자의 그룹을 할당하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

예제:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

참고

조직 내의 특정 자동화가 권한 있는 액세스에 종속되지 않고 작동할 수 있도록 시스템 계정 기능을 사용할 수 있지만 이러한 제외는 예외적이고 허용된 자동화는 정기적으로 승인 및 감사하는 것이 좋습니다.

3단계: 액세스 정책 만들기

조직에 대해 최대 30개 권한 있는 액세스 정책을 만들고 구성할 수 있습니다.

Microsoft 365 관리 센터에서

  1. 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정 > 조직 설정 > 보안 & 개인 정보 권한 > 있는 액세스 로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 정책 구성 을 선택하고 정책 추가를 선택합니다.

  5. 드롭다운 필드에서 조직에 적합한 값을 선택합니다.

    정책 유형: 작업, 역할 또는 역할 그룹

    정책 범위: Exchange

    정책 이름: 사용 가능한 정책에서 선택

    승인 유형: 수동 또는 자동

    승인 그룹: 1단계에서 만든 승인자 그룹 선택

  6. 만들기 를 선택한 다음 닫기를 선택합니다. 정책을 완전히 구성하고 사용하도록 설정하는 데 몇 분 정도 걸릴 수 있습니다.

Exchange Management PowerShell에서

승인 정책을 만들고 정의하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

예제:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

4단계: 권한 있는 액세스 요청 제출/승인

권한 있는 작업을 실행하기 위해 권한 상승 요청

권한 있는 액세스 요청은 요청이 제출된 후 최대 24시간 동안 유효합니다. 승인되거나 거부되지 않은 요청은 만료되며 액세스가 승인되지 않습니다.

Microsoft 365 관리 센터에서

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정 > 조직 설정 > 보안 & 개인 정보 권한 > 있는 액세스 로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 새 요청을 선택합니다. 드롭다운 필드에서 조직에 적합한 값을 선택합니다.

    요청 유형 작업, 역할 또는 역할 그룹

    요청 범위: Exchange

    사용자: 사용 가능한 정책에서 선택

    기간(시간): 요청된 액세스 시간 수입니다. 요청할 수 있는 시간에는 제한이 없습니다.

    설명: 액세스 요청과 관련된 주석에 대한 텍스트 필드

  5. 저장 을 선택한 다음 닫기를 선택합니다. 요청은 이메일을 통해 승인자의 그룹으로 전송됩니다.

Exchange Management PowerShell에서

Exchange Online PowerShell에서 다음 명령을 실행하여 승인자 그룹에 승인 요청을 만들고 제출합니다.

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

예제:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

권한 상승 요청 상태 보기

승인 요청이 생성되면 관리자 센터 또는 Exchange Management PowerShell에서 요청 ID와 연결된 권한 상승 요청 상태를 검토할 수 있습니다.

Microsoft 365 관리 센터

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정 > 조직 설정 > 보안 & 개인 정보 권한 > 있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 보기를 선택하여 보류 중, 승인됨, 거부 됨 또는 고객 Lockbox 상태별로 제출 요청을 필터링합니다.

Exchange Management PowerShell에서

Exchange Online PowerShell에서 다음 명령을 실행하여 특정 요청 ID에 대한 승인 요청 상태를 확인합니다.

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

예제:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

권한 상승 권한 부여 요청 승인

승인 요청이 생성되면 관련 승인자 그룹의 구성원은 이메일 알림을 받고 요청 ID와 연결된 요청을 승인할 수 있습니다. 요청자는 전자 메일 메시지를 통해 요청 승인 또는 거부 관련 알림을 받습니다.

Microsoft 365 관리 센터

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정 > 조직 설정 > 보안 & 개인 정보 권한 > 있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 나열된 요청을 선택하여 세부 정보를 보고 요청에 대한 작업을 수행합니다.

  5. 승인을 선택하여 요청을 승인하거나 거부 를 선택하여 요청을 거부합니다. 이전에 승인된 요청은 지를 선택하여 액세스 권한을 취소할 수 있습니다.

Exchange Management PowerShell에서

권한 상승 권한 부여 요청을 승인하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

예제:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

권한 상승 권한 부여 요청을 거부하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

예제:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Office 365 권한 있는 액세스 정책 삭제

조직에서 더 이상 필요하지 않은 경우 권한 있는 액세스 정책을 삭제할 수 있습니다.

Microsoft 365 관리 센터

  1. 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정 > 조직 설정 > 보안 & 개인 정보 권한 > 있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 정책 구성 을 선택합니다.

  5. 삭제할 정책을 선택한 다음 정책 제거 를 선택합니다.

  6. 닫기 를 선택합니다.

Exchange Management PowerShell에서

권한 있는 액세스 정책을 삭제하려면 Exchange Online Powershell에서 다음 명령을 실행합니다.

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Office 365 권한 있는 액세스 사용 안 함

필요한 경우 조직에 대한 권한 있는 액세스 관리를 사용하지 않도록 설정할 수 있습니다. 권한 있는 액세스를 사용하지 않도록 설정해도 연결된 승인 정책 또는 승인자 그룹은 삭제되지 않습니다.

Microsoft 365 관리 센터

  1. 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정 > 조직 설정 > 보안 & 개인 정보 권한 > 있는 액세스 로 이동합니다.

  3. 권한 있는 액세스 제어에 대한 승인 필요를 사용하도록 설정합니다.

Exchange Management PowerShell에서

권한 있는 액세스를 사용하지 않도록 설정하려면 Exchange Online Powershell에서 다음 명령을 실행합니다.

Disable-ElevatedAccessControl