모든 Azure 구독 및 관리 그룹을 관리할 수 있도록 액세스 권한 상승

Microsoft Entra ID의 전역 관리자는 테넌트에서 모든 구독 및 관리 그룹에 액세스할 수 없습니다. 이 문서에서는 모든 구독 및 관리 그룹에 대한 액세스 권한을 상승시킬 수 있는 방법을 설명합니다.

참고 항목

개인 데이터를 보거나 삭제하는 방법에 대한 자세한 내용은 특정 영역 및 요구 사항에 따라 GDPR에 대한 일반 데이터 주체 요청, GDPR에 대한 Azure 데이터 주체 요청 또는 GDPR에 대한 Windows 데이터 주체 요청을 참조하세요. GDPR에 대한 자세한 내용은 Microsoft Trust Center의 GDPR 섹션 및 Service Trust 포털의 GDPR 섹션을 참조하세요.

액세스 권한을 상승시켜야 하는 이유는 무엇인가요?

전역 관리자인 경우 다음 작업을 수행해야 하는 경우가 있습니다.

• 사용자가 액세스 권한을 상실할 때 Azure 구독 또는 관리 그룹에 대한 액세스 권한 다시 얻기
• 다른 사용자에게 Azure 구독 또는 관리 그룹에 대한 액세스 권한 부여
• 조직에서 모든 Azure 구독 또는 관리 그룹 확인
• 자동화 앱(예: 송장 또는 감사 앱)이 모든 Azure 구독 또는 관리 그룹에 액세스하도록 허용

상승된 액세스 권한은 어떻게 작동하나요?

Microsoft Entra ID 및 Azure 리소스는 서로 독립적으로 보호됩니다. 즉, Microsoft Entra 역할을 할당해도 Azure 리소스에 대한 액세스가 부여되지 않고, Azure 역할을 할당해도 Microsoft Entra ID에 대한 액세스가 부여되지 않습니다. 그러나 Microsoft Entra ID의 전역 관리자 인 경우 테넌트에서 모든 Azure 구독 및 관리 그룹에 대한 액세스 권한을 자신에게 할당할 수 있습니다. 가상 머신이나 스토리지 계정 같은 Azure 구독 리소스에 액세스할 수 없고, 글로벌 관리자 권한을 사용하여 이러한 리소스에 대한 액세스 권한을 얻고 싶으면 이 기능을 사용하세요.

액세스 권한을 상승하면 루트 범위(/)에서 Azure에서 사용자 액세스 관리자 역할이 할당됩니다. 이렇게 하면 모든 리소스를 보고 테넌트에 있는 모든 구독 또는 관리 그룹에서 액세스를 할당할 수 있습니다. 사용자 액세스 관리자 역할 할당은 Azure PowerShell, Azure CLI 또는 REST API를 사용하여 제거할 수 있습니다.

루트 범위에서 필요한 변경 작업을 마친 후에는 상승된 액세스 권한을 제거해야 합니다.

루트 범위에서 단계 수행

Azure Portal

1단계: 전역 관리자에 대한 액세스 권한 상승

다음 단계에 따라 Azure Portal을 사용하여 전역 관리자에 대한 액세스 권한을 상승시킵니다.

1. Azure Portal에 전역 관리자로 로그인합니다.

   Microsoft Entra Privileged Identity Management를 사용하는 경우 전역 관리자 역할 할당을 활성화합니다.

2. Microsoft Entra ID>관리>속성으로 찾습니다.

   

3. Azure 리소스에 대한 액세스 관리에서 토글을 예로 설정합니다.

   

   토글을 예로 설정하면 루트 범위(/)에서 Azure RBAC의 사용자 액세스 관리자 역할이 할당됩니다. 이렇게 하면 이 Microsoft Entra 테넌트와 연결된 모든 Azure 구독 및 관리 그룹에서 역할을 할당할 수 있는 권한이 부여됩니다. 이 토글은 Microsoft Entra ID에서 글로벌 관리자 역할이 할당된 사용자만 사용할 수 있습니다.

   토글을 아니요로 설정하면 Azure RBAC의 사용자 액세스 관리자 역할이 사용자 계정에서 제거됩니다. 이 Microsoft Entra 테넌트와 연결된 모든 Azure 구독 및 관리 그룹에서 더 이상 역할을 할당할 수 없습니다. 액세스 권한이 부여된 Azure 구독 및 관리 그룹만 살펴보고 관리할 수 있습니다.

   참고 항목

   Privileged Identity Management를 사용하는 경우 역할 할당을 비활성화해도 Azure 리소스에 대한 액세스 관리 토글이 아니요로 변경되지 않습니다. 최소 권한 있는 액세스를 유지 관리하려면 역할 할당을 비활성화하기 전에 이 토글을 아니요로 설정하는 것이 좋습니다.

4. 저장을 선택하여 설정을 저장합니다.

   이 설정은 글로벌 속성이 아니며 현재 로그인된 사용자에게만 적용됩니다. 글로벌 관리자 역할의 모든 멤버에 대한 액세스 권한을 상승시킬 수 없습니다.

5. 로그아웃하고 다시 로그인하여 액세스를 새로 고칩니다.

   이제 테넌트에서 모든 구독 및 관리 그룹에 액세스할 수 있습니다. 액세스 제어(IAM) 페이지를 보면 루트 범위에서 사용자 액세스 관리자 역할이 할당된 것을 알 수 있습니다.

   

6. 상승된 액세스 권한으로 수행해야 하는 변경을 수행합니다.

   역할 할당에 관한 자세한 내용은 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요. Privileged Identity Management를 사용하는 경우 관리할 Azure 리소스 검색 또는 Azure 리소스 역할 할당을 참조하세요.

7. 다음 섹션의 단계를 수행하여 상승된 액세스 권한을 제거합니다.

2단계: 관리자 권한 제거

루트 범위(/)에서 사용자 액세스 관리자 역할 할당을 제거하려면 다음 단계를 수행합니다.

1. 액세스 권한을 상승시키는 데 사용된 것과 동일한 사용자로 로그인합니다.

2. Microsoft Entra ID>관리>속성으로 찾습니다.

3. Azure 리소스에 대한 액세스 관리 토글을 다시 아니요로 설정합니다. 사용자별 설정이므로 액세스 권한을 상승시키는 데 사용했던 동일한 사용자로 로그인해야 합니다.

   액세스 제어(IAM) 페이지에서 사용자 액세스 관리자 역할 할당을 제거하려고 하면 다음 메시지가 표시됩니다. 역할 할당을 제거하려면 토글을 다시 아니요로 설정하거나 Azure PowerShell, Azure CLI 또는 REST API를 사용해야 합니다.

   

4. 전역 관리자로 로그아웃합니다.

   Privileged Identity Management를 사용하는 경우 전역 관리자 역할 할당을 비활성화합니다.

   참고 항목

   Privileged Identity Management를 사용하는 경우 역할 할당을 비활성화해도 Azure 리소스에 대한 액세스 관리 토글이 아니요로 변경되지 않습니다. 최소 권한 있는 액세스를 유지 관리하려면 역할 할당을 비활성화하기 전에 이 토글을 아니요로 설정하는 것이 좋습니다.

PowerShell

1단계: 전역 관리자에 대한 액세스 권한 상승

Azure Portal 또는 REST API를 사용하여 전역 관리자에 대한 액세스 권한을 상승합니다.

2단계: 루트 범위에서 역할 할당 나열(/)

액세스 권한이 상승되면 루트 범위()/에서 사용자에 대한 사용자 액세스 관리자 역할 할당을 나열하려면 Get-AzRoleAssignment 명령을 사용합니다.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

3단계: 관리자 권한 제거

루트 범위(/)에서 자신 또는 다른 사용자의 사용자 액세스 관리자 역할 할당을 제거하려면 다음 단계를 수행합니다.

1. 상승된 액세스 권한을 제거할 수 있는 사용자로 로그인합니다. 이는 액세스 권한을 상승시키는 데 사용했던 동일한 사용자이거나 루트 범위에서 상승된 액세스 권한이 있는 다른 전역 관리자일 수 있습니다.

2. Remove-AzRoleAssignment 명령을 사용하여 사용자 액세스 관리자 역할 할당을 제거합니다.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

1단계: 전역 관리자에 대한 액세스 권한 상승

다음 기본 단계에 따라 Azure CLI를 사용하여 전역 관리자의 액세스 권한을 상승시킵니다.

1. az rest 명령을 사용하여 elevateAccess 엔드포인트를 호출하면 루트 범위(/)에서 사용자 액세스 관리자 역할이 부여됩니다.

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. 상승된 액세스 권한으로 수행해야 하는 변경을 수행합니다.

   역할 할당에 관한 자세한 내용은 Azure CLI를 사용하여 Azure 역할 할당을 참조하세요.

3. 이후 섹션의 단계를 수행하여 상승된 액세스 권한을 제거합니다.

2단계: 루트 범위에서 역할 할당 나열(/)

액세스 권한이 상승되면 루트 범위()/에서 사용자에 대한 사용자 액세스 관리자 역할 할당을 나열하려면 az role assignment list 명령을 사용합니다.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

3단계: 관리자 권한 제거

루트 범위(/)에서 자신 또는 다른 사용자의 사용자 액세스 관리자 역할 할당을 제거하려면 다음 단계를 수행합니다.

1. 상승된 액세스 권한을 제거할 수 있는 사용자로 로그인합니다. 이는 액세스 권한을 상승시키는 데 사용했던 동일한 사용자이거나 루트 범위에서 상승된 액세스 권한이 있는 다른 전역 관리자일 수 있습니다.

2. az role assignment delete 명령을 사용하여 사용자 액세스 관리자 역할 할당을 제거합니다.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

필수 조건

다음 버전을 사용해야 합니다.

• 역할 할당을 나열하고 제거하는 2015-07-01 이상
• 액세스 권한을 높이기 위한 2016-07-01 이상
• 거부 할당을 나열하는 2018-07-01-preview 이상

자세한 내용은 Azure RBAC REST API의 API 버전을 참조하세요.

1단계: 전역 관리자에 대한 액세스 권한 상승

다음과 같은 기본 단계를 사용하여 REST API를 사용하는 전역 관리자에 대한 액세스 권한을 상승시킵니다.

1. REST를 사용하여 elevateAccess를 호출하면 루트 범위(/)에서 사용자 액세스 관리자 역할이 부여됩니다.

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. 상승된 액세스 권한으로 수행해야 하는 변경을 수행합니다.

   역할 할당에 관한 자세한 내용은 REST API를 사용하여 Azure 역할 할당을 참조하세요.

3. 이후 섹션의 단계를 수행하여 상승된 액세스 권한을 제거합니다.

2단계: 루트 범위에서 역할 할당 나열(/)

상승된 액세스 권한이 있으면 루트 범위(/)에서 사용자에 대한 모든 역할 할당을 나열할 수 있습니다.

• {objectIdOfUser}가 역할 할당을 검색하려는 사용자의 개체 ID인 경우 역할 할당 - 범위 목록을 호출합니다.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

3단계: 루트 범위에서 거부 할당 나열(/)

상승된 액세스 권한이 있으면 루트 범위(/)에서 사용자에 대한 모든 거부 할당을 나열할 수 있습니다.

• 거부 할당 호출 - 검색하려는 거부 할당을 가진 사용자의 개체 ID가 있는 {objectIdOfUser} 범위 목록입니다.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

4단계: 관리자 권한 제거

elevateAccess를 호출하면 자신의 역할 할당을 만드는 것이므로 해당 권한을 취소하려면 루트 범위(/)에서 자신의 사용자 액세스 관리자 역할 할당을 제거해야 합니다.

1. roleName이 사용자 액세스 관리자인 역할 정의 - 가져오기를 호출하여 사용자 액세스 관리자 역할의 ID 이름을 확인합니다.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 같은 경우에 name 매개 변수의 ID를 저장합니다.

2. 또한 테넌트 범위에서 테넌트 관리자에 대한 역할 할당을 나열해야 합니다. 권한 상승 액세스 호출을 수행한 테넌트 관리자의 테넌트 범위에 principalId 있는 모든 할당을 나열합니다. 그러면 objectid에 대한 테넌트의 모든 할당이 나열됩니다.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   참고 항목

   테넌트 관리자는 할당이 많지 않아야 합니다. 이전 쿼리가 너무 많은 할당을 반환하는 경우 테넌트 범위에서만 모든 할당을 쿼리한 다음 결과를 필터링할 수도 있습니다. GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. 이전 호출은 역할 할당 목록을 반환합니다. 범위가 "/"이고 roleDefinitionId가 1단계에서 찾은 역할 이름 ID로 끝나는 역할 할당을 찾고 principalId가 테넌트 관리자의 objectId와 일치합니다.

   샘플 역할 할당:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   다시, name 매개 변수의 ID를 저장합니다(이 경우 11111111-1111-1111-1111-111111111111).

4. 마지막으로 역할 할당 ID를 사용하여 elevateAccess에 의해 추가된 할당을 제거합니다.

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

관리자 권한으로 사용자 보기

높은 액세스 권한이 있는 사용자가 있는 경우 Azure Portal의 몇 위치에 배너가 표시됩니다. 이 섹션에서는 테넌트에 상승된 액세스 권한이 있는 사용자가 있는지 확인하는 방법을 설명합니다. 이 기능은 단계적으로 배포되고 있으므로 테넌트에서 아직 사용할 수 없습니다.

옵션 1

1. Azure Portal에서 Microsoft Entra ID>관리>속성으로 이동합니다.

2. Azure 리소스에 대한 액세스 관리에서 다음 배너를 찾습니다.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. 관리자 권한 액세스 사용자 관리 링크를 선택하여 상승된 액세스 권한이 있는 사용자 목록을 봅니다.

옵션 2

1. Azure Portal에서 구독으로 이동합니다.

2. 액세스 제어(IAM) 를 선택합니다.

3. 페이지 맨 위에서 다음 배너를 찾습니다.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. 역할 할당 보기 링크를 선택하여 상승된 액세스 권한이 있는 사용자 목록을 봅니다.

사용자에 대한 상승된 액세스 제거

높은 액세스 권한이 있는 사용자가 있는 경우 즉각적인 조치를 취하고 해당 액세스를 제거해야 합니다. 이러한 역할 할당을 제거하려면 관리자 권한도 있어야 합니다. 이 섹션에서는 Azure Portal을 사용하여 테넌트에서 사용자에 대한 상승된 액세스를 제거하는 방법을 설명합니다. 이 기능은 단계적으로 배포되고 있으므로 테넌트에서 아직 사용할 수 없습니다.

1. Azure Portal에 전역 관리자로 로그인합니다.

2. Microsoft Entra ID>관리>속성으로 찾습니다.

3. Azure 리소스에 대한 액세스 관리에서 1단계: 전역 관리자에 대한 액세스 권한 상승의 앞부분에서 설명한 대로 토글을 예로 설정합니다.

4. 관리자 권한 액세스 사용자 관리 링크를 선택합니다.

   상승된 액세스 권한이 있는 사용자가 나타나는 창에는 테넌트에서 상승된 액세스 권한이 있는 사용자 목록이 표시됩니다.

   

5. 사용자에 대한 상승된 액세스를 제거하려면 사용자 옆에 확인 표시를 추가하고 제거를 선택합니다.

디렉터리 활동 로그에서 권한 상승 액세스 로그 항목 보기

액세스 권한이 상승되면 항목이 로그에 추가됩니다. Microsoft Entra ID의 전역 관리자로서 액세스 권한이 상승된 시기와 액세스 권한을 부여한 사용자를 확인할 수 있습니다. 액세스 권한 상승 로그 항목은 표준 활동 로그에 표시되지 않고 대신 디렉터리 활동 로그에 표시됩니다. 이 섹션에서는 액세스 권한 상승 로그 항목을 볼 수 있는 다양한 방법을 설명합니다.

Azure Portal을 사용하여 액세스 권한 상승 로그 항목 보기

1. Azure Portal에 전역 관리자로 로그인합니다.

2. 활동 로그 모니터링>을 찾습니다.

3. 활동 목록을 디렉터리 작업으로 변경합니다.

4. 액세스 권한 상승 작업을 나타내는 다음 작업을 검색합니다.

   Assigns the caller to User Access Administrator role

   

Azure CLI를 사용하여 액세스 권한 상승 로그 항목 보기

1. az login 명령을 사용하여 전역 관리자로 로그인합니다.

2. az rest 명령을 사용하여 타임스탬프 예제에 표시된 대로 날짜를 기준으로 필터링하고 로그를 저장할 파일 이름을 지정해야 하는 다음 호출을 수행합니다.

   url은 API를 호출하여 Microsoft.Insights에서 로그를 검색합니다. 출력이 파일에 저장됩니다.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. 출력 파일에서 elevateAccess를 검색합니다.

   로그는 작업이 발생한 시기와 호출한 사람의 타임스탬프를 볼 수 있는 다음과 유사합니다.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Azure CLI를 사용하여 액세스 권한 상승 로그 항목을 보려면 그룹에 대한 액세스 권한을 위임합니다.

액세스 권한 상승 로그 항목을 주기적으로 가져올 수 있게 하려면 그룹에 대한 액세스 권한을 위임한 다음, Azure CLI를 사용할 수 있습니다.

1. Microsoft Entra ID>그룹으로 찾습니다.

2. 새 보안 그룹을 만들고 그룹 개체 ID를 기록해 둡니다.

3. az login 명령을 사용하여 전역 관리자로 로그인합니다.

4. az role assignment create 명령을 사용하여 테넌트 수준에서Microsoft/Insights만 로그를 읽을 수 있는 그룹에 읽기 권한자 역할을 할당합니다.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. 이전에 만든 그룹에 로그를 읽을 사용자를 추가합니다.

이제 그룹의 사용자가 az rest 명령을 주기적으로 실행하여 액세스 권한 상승 로그 항목을 볼 수 있습니다.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

다음 단계

• 여러 역할의 이해
• REST API를 사용하여 Azure 역할 할당