Microsoft Entra ID의 그룹 및 액세스 권한에 대해 알아보기

Microsoft Entra ID는 리소스, 애플리케이션 및 작업에 대한 액세스를 관리하는 여러 가지 방법을 제공합니다. Microsoft Entra 그룹을 사용하면 액세스 및 권한을 각 개별 사용자 대신 사용자 그룹에 부여할 수 있습니다. Microsoft Entra 리소스에 대한 액세스를 액세스가 필요한 사용자로만 제한하는 것은 제로 트러스트의 핵심 보안 원칙 중 하나입니다.

이 문서에서는 그룹과 액세스 권한을 함께 사용하여 Microsoft Entra 사용자를 더 쉽게 관리하는 동시에 보안 모범 사례를 적용하는 방법에 대해 간략히 설명합니다.

Microsoft Entra ID를 사용하면 그룹을 사용하여 애플리케이션, 데이터 및 리소스에 대한 액세스를 관리할 수 있습니다. 리소스는 다음과 같습니다:

• Microsoft Entra ID의 역할을 통해 개체를 관리할 수 있는 권한과 같은 Microsoft Entra 조직의 일부
• SaaS(Software as a Service) 앱과 같은 조직 외부
• Azure 서비스
• SharePoint 사이트
• 온-프레미스 리소스

일부 그룹은 Azure Portal에서 관리할 수 없습니다.

• 온-프레미스 Active Directory에서 동기화된 그룹은 온-프레미스 Active Directory에서만 관리할 수 있습니다.
• 배포 목록 및 메일 사용 가능 보안 그룹은 Exchange 관리 센터 또는 Microsoft 365 관리 센터에서만 관리됩니다. 이러한 그룹을 관리하려면 Exchange 관리 센터 또는 Microsoft 365 관리 센터에 로그인해야 합니다.

그룹을 만들기 전에 알아야 할 사항

두 가지 그룹 유형과 세 가지 그룹 멤버 유형이 있습니다. 옵션을 검토하여 시나리오에 적합한 조합을 찾습니다.

그룹 유형:

보안: 공유 리소스에 대한 사용자 및 컴퓨터 액세스를 관리하는 데 사용됩니다.

예를 들어 모든 그룹 멤버가 동일한 보안 권한 세트를 갖도록 보안 그룹을 만들 수 있습니다. 보안 그룹의 멤버는 액세스 정책 및 권한을 정의하는 사용자, 디바이스, 서비스 주체 및 다른 그룹(중첩된 그룹이라고도 함)을 포함할 수 있습니다. 보안 그룹의 소유자는 사용자와 서비스 주체를 포함할 수 있습니다.

참고 항목

기존 보안 그룹을 다른 보안 그룹에 중첩하면 부모 그룹의 멤버만 공유 리소스 및 애플리케이션에 액세스할 수 있습니다. 중첩된 그룹의 멤버에게 할당되는 멤버 자격은 부모 그룹 멤버와 동일하지 않습니다. 중첩된 그룹을 관리하는 방법에 대한 자세한 내용은 그룹을 관리하는 방법을 참조하세요.

Microsoft 365: 그룹 멤버에게 공유 사서함, 일정, 파일, SharePoint 사이트 등에 대한 액세스 권한을 부여하여 협업 기회를 제공합니다.

이 옵션을 통해 조직 외부에 있는 사용자에게 그룹에 대한 액세스를 제공할 수 있습니다. Microsoft 365 그룹의 멤버는 사용자만 포함할 수 있습니다. Microsoft 365 그룹의 소유자는 사용자 및 서비스 주체를 포함할 수 있습니다. Microsoft 365 그룹에 대한 자세한 내용은 Microsoft 365 그룹에 대해 알아보세요를 참조하세요.

멤버 자격 유형:

• 할당된 그룹: 특정 사용자를 그룹의 멤버로 추가하고 고유한 권한을 가질 수 있습니다.

• 사용자용 동적 멤버 자격 그룹: 사용자에 대한 규칙을 사용하여 사용자를 자동으로 멤버로 추가하고 제거할 수 있습니다. 멤버의 특성이 변경되면 시스템은 디렉터리에서 동적 멤버 자격 그룹에 대한 규칙을 확인합니다. 시스템은 멤버가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.

• 디바이스용 동적 멤버 자격 그룹: 디바이스에 대한 규칙을 사용하여 디바이스를 자동으로 멤버로 추가하고 제거할 수 있습니다. 디바이스의 특성이 변경되면 시스템은 디렉터리의 동적 멤버 자격 그룹 규칙을 확인하여 디바이스가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.

  Important

  디바이스 또는 사용자 중 하나의 동적 그룹만 만들 수 있습니다. 디바이스 소유자의 특성을 기반으로 하는 디바이스 그룹은 만들 수 없습니다. 디바이스 멤버 자격 규칙은 디바이스 특성만 참조할 수 있습니다. 사용자 및 디바이스에 대한 동적 그룹을 만드는 방법에 대한 자세한 내용은 동적 그룹 만들기 및 상태 확인을 참조하세요.

액세스 권한을 그룹에 추가하기 전에 알아야 할 사항

Microsoft Entra 그룹이 만들어지면 적절한 액세스 권한을 부여해야 합니다. 액세스 권한이 다른 권한과 동일하지 않을 수 있으므로 이 액세스 권한이 필요한 각 애플리케이션, 리소스 및 서비스는 별도로 관리해야 합니다. 최소 권한 원칙을 사용하여 액세스 권한을 부여하면 공격 또는 보안 위반의 위험을 줄이는 데 도움이 됩니다.

Microsoft Entra ID의 액세스 관리 작동 방식

Microsoft Entra ID는 단일 사용자 또는 전체 Microsoft Entra 그룹에게 액세스 권한을 제공하여 조직의 리소스에 액세스하는 데 유용합니다. 그룹을 사용하면 리소스 소유자 또는 Microsoft Entra 디렉터리 소유자가 그룹의 모든 멤버에게 액세스 권한 세트를 할당할 수 있습니다. 또한 리소스 또는 디렉터리 소유자는 부서 관리자 또는 기술 지원팀 관리자와 같은 다른 사용자에게 관리 권한을 부여하여 해당 사용자가 멤버를 추가하고 제거하도록 할 수 있습니다. 그룹 소유자를 관리하는 방법에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.

액세스 권한을 할당하는 방법

그룹이 만들어지면 액세스 권한을 할당하는 방법을 결정해야 합니다. 액세스 권한을 할당하는 방법을 검색하여 시나리오에 가장 적합한 프로세스를 결정합니다.

• 직접 할당. 리소스 소유자는 사용자를 리소스에 직접 할당합니다.

• 그룹 할당. 리소스 소유자는 Microsoft Entra 그룹을 리소스에 할당하여 자동으로 모든 그룹 구성원에게 리소스에 대한 액세스 권한을 부여합니다. 그룹 소유자와 리소스 소유자 모두 그룹 멤버 자격을 관리하며, 두 소유자 모두 그룹에서 멤버를 추가하거나 제거할 수 있습니다. 그룹 멤버 자격 관리에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.

• 규칙 기반 할당. 리소스 소유자는 그룹을 만들고 규칙을 사용하여 특정 리소스에 할당되는 사용자를 정의합니다. 규칙은 개별 사용자에게 할당되는 특성을 따릅니다. 리소스 소유자는 규칙을 관리하며, 리소스에 대한 액세스를 허용하는 데 필요한 특성 및 값을 결정합니다. 자세한 내용은 동적 그룹 만들기 및 상태 확인을 참조하세요.

• 외부 기관 할당. 온-프레미스 디렉터리 또는 SaaS 앱 등의 외부 소스에서 액세스가 제공됩니다. 이 상황에서 리소스 소유자가 리소스에 대한 액세스 권한을 제공하는 그룹을 할당한 다음, 외부 소스가 그룹 구성원을 관리합니다.

  

사용자는 할당되지 않고 그룹에 조인할 수 있나요?

그룹 소유자는 사용자가 자신의 그룹을 할당하지 않고 조인할 자신의 그룹을 찾도록 할 수 있습니다. 소유자는 조인하는 모든 사용자를 자동으로 수용하거나 승인이 필요하도록 그룹을 설정할 수도 있습니다.

사용자가 그룹에 조인을 요청하면 해당 요청은 그룹 소유자에게 전달됩니다. 필요한 경우 소유자는 요청을 승인할 수 있으며, 사용자는 그룹 멤버 자격을 통보받습니다. 여러 명의 소유자가 있고 그 중 한 명이 승인하지 않으면 사용자는 알림을 받지만 그룹에 추가되지는 않습니다. 사용자가 그룹에 조인을 요청하게 하는 방법에 대한 자세한 내용 및 지침은 사용자가 그룹에 조인을 요청할 수 있도록 Microsoft Entra ID 설정을 참조하세요.

클라우드에서 그룹을 관리하기 위한 모범 사례

다음은 클라우드에서 그룹을 관리하는 모범 사례입니다.

• Self-Service 그룹 관리 사용: 사용자가 자신의 Microsoft 365(M365) 그룹을 만들고 관리할 수 있도록 허용합니다. 이를 통해 팀은 IT에 대한 관리 부담을 줄이면서 스스로 구성할 수 있습니다. 그룹 명명 정책을 적용하여 제한된 단어의 사용을 차단하고 일관성을 보장합니다. 그룹 만료 정책을 사용하도록 설정하여 비활성 그룹이 남아 있는 것을 방지합니다. 이렇게 하면 그룹 소유자가 갱신하지 않는 한 지정된 기간 후에 사용되지 않는 그룹이 자동으로 삭제됩니다. 자세한 내용은 Microsoft Entra ID 셀프 서비스 그룹 관리 설정을 참조하세요.
• 민감도 레이블 활용 : 민감도 레이블을 사용하여 보안 및 규정 준수 요구 사항에 따라 M365 그룹을 분류하고 관리합니다. 이렇게 하면 세분화된 액세스 제어가 제공되고 중요한 리소스가 보호됩니다. 자세한 내용은 Microsoft Entra ID Microsoft 365 그룹에 민감도 레이블 할당을 참조하세요.
• 동적 그룹을 사용하여 멤버 자격 자동화: 동적 멤버 자격 규칙을 구현하여 부서, 위치 또는 직위와 같은 특성에 따라 그룹에서 사용자 및 디바이스를 자동으로 추가하거나 제거합니다. 이렇게 하면 수동 업데이트가 최소화되고 액세스가 오래 지속될 위험이 줄어듭니다. 이 기능은 M365 그룹 및 보안 그룹에 적용됩니다.
• 정기 액세스 검토 수행: Entra ID 거버넌스 기능을 사용하여 정기적인 액세스 검토를 예약합니다. 이렇게 하면 할당된 그룹의 멤버 자격이 시간이 지남에 따라 정확하고 관련성이 유지됩니다. 자세한 내용은 Microsoft Entra ID에서 동적 멤버 자격 그룹 만들기 또는 업데이트()를 참조하세요.
• 액세스 패키지로 멤버 자격 관리: Entra ID 거버넌스를 사용하여 액세스 패키지를 만들어 여러 그룹 멤버 자격 관리를 간소화합니다. 액세스 패키지는 다음을 수행할 수 있습니다.
  • 멤버 자격에 대한 승인 워크플로 포함
  • 액세스 만료에 대한 조건 정의
  • 그룹 및 애플리케이션에서 액세스 권한을 부여, 검토 및 취소하는 중앙 집중식 방법을 제공하세요. 자세한 내용은 권한 관리 액세스 패키지 만들기를 참조하세요.
• 여러 그룹 소유자 할당: 그룹에 두 명 이상의 소유자를 할당하여 연속성을 보장하고 단일 개인에 대한 종속성을 줄입니다. 자세한 내용은 Microsoft Entra 그룹 및 그룹 멤버 자격 관리 참조하세요.
• 그룹 기반 라이선스 사용: 그룹 기반 라이선스는 사용자 프로비저닝을 간소화하고 일관된 라이선스 할당을 보장합니다. 동적 멤버 자격 그룹을 사용하여 특정 조건을 충족하는 사용자의 라이선스를 자동으로 관리할 수도 있습니다. 자세한 내용은 Microsoft Entra ID의 그룹 기반 라이선스란?을 참조하세요.
• RBAC(역할 기반 액세스 제어) 적용): 역할을 할당(예: 그룹 관리자)하여 그룹을 관리할 수 있는 사용자를 제어합니다. RBAC는 권한 오용 위험을 줄이고 그룹 관리를 간소화합니다. 자세한 내용은 microsoft Entra ID 역할 기반 액세스 제어 개요를 참조하세요.

다음 단계

• Microsoft Entra 그룹 및 그룹 멤버 자격 만들기 및 관리
• Microsoft Entra ID의 그룹 기반 라이선스에 대해 알아보기
• 그룹을 사용하여 SaaS 앱에 대한 액세스 관리
• 동적 멤버 자격 그룹에 대한 규칙 관리
• Microsoft Entra 역할에 대한 새 PIM(Privileged Identity Management)에 대해 알아보기