그룹 유형, 멤버 자격 유형 및 액세스 관리에 대해 알아보기
Microsoft Entra ID는 리소스, 애플리케이션 및 작업에 대한 액세스를 관리하는 여러 가지 방법을 제공합니다. Microsoft Entra 그룹을 사용하면 각 개별 사용자 대신 사용자 그룹에 액세스 권한과 권한을 부여할 수 있습니다. Microsoft Entra 리소스에 대한 액세스를 액세스가 필요한 사용자로만 제한하는 것은 제로 트러스트의 핵심 보안 원칙 중 하나입니다.
이 문서에서는 그룹 및 액세스 권한을 함께 사용하여 Microsoft Entra 사용자를 더 쉽게 관리하는 동시에 보안 모범 사례를 적용하는 방법에 대한 개요를 제공합니다.
참고 항목
일부 그룹은 Azure Portal 또는 Microsoft Entra 관리 센터에서 관리할 수 없습니다.
- 온-프레미스 Active Directory에서 동기화된 그룹은 온-프레미스에서만 관리할 수 있습니다.
- 배포 목록 및 메일로 활성화된 보안 그룹은 Exchange 관리 센터 또는 Microsoft 365 관리 센터에서만 관리할 수 있습니다. 로그인하고 해당 관리 센터에서 해당 그룹을 관리할 수 있는 적절한 권한이 있어야 합니다.
Microsoft Entra 그룹 개요
그룹을 효과적으로 사용하면 개별 사용자에게 역할 및 사용 권한을 할당하는 등의 수동 작업을 줄일 수 있습니다. 그룹에 역할을 할당하고 해당 직무 또는 부서에 따라 그룹에 구성원을 할당할 수 있습니다. 그룹에 적용되는 조건부 액세스 정책을 만든 다음 그룹에 정책을 할당할 수 있습니다. 그룹에 대한 잠재적인 사용으로 인해 그룹의 작동 방식과 관리 방법을 이해하는 것이 중요합니다.
그룹 형식
Microsoft Entra 관리 센터에서 다음 두 가지 유형의 그룹을 관리할 수 있습니다.
보안 그룹: 공유 리소스에 대한 액세스를 관리하는 데 사용됩니다.
- 보안 그룹의 구성원은 사용자, 디바이스, 서비스 주체포함할 수 있습니다.
- 그룹은 중첩된 그룹이라고도 하는 다른 그룹의 멤버일 수 있습니다. 참고를 참조하세요.
- 사용자 및 서비스 주체는 보안 그룹의 소유자가 될 수 있습니다.
Microsoft 365 그룹: 협업 기회를 제공합니다.
- Microsoft 365 그룹의 멤버는 사용자만 포함할 수 있습니다.
- 사용자 및 서비스 주체는 Microsoft 365 그룹의 소유자가 될 수 있습니다.
- 조직 외부의 사용자는 그룹의 구성원일 수 있습니다.
- 자세한 내용은 Microsoft 365 그룹에 관한 자세한 정보를 참조하세요.
참고 항목
기존 보안 그룹을 다른 보안 그룹에 중첩하는 경우 부모 그룹의 멤버만 공유 리소스 및 애플리케이션에 액세스할 수 있습니다. 중첩된 그룹을 관리하는 방법에 대한 자세한 내용은 그룹을 관리하는 방법을 참조하세요.
멤버 자격 유형
- 할당된 그룹: 특정 사용자를 그룹의 멤버로 추가하고 고유한 권한을 가질 수 있습니다.
- 사용자에 대한 동적 멤버 그룹: 규칙을 사용하여 사용자를 구성원으로 자동으로 추가하고 제거할 수 있습니다. 멤버의 특성이 변경되면 시스템은 디렉터리에서 동적 멤버 자격 그룹에 대한 규칙을 확인합니다. 시스템은 멤버가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.
- 디바이스에 대한 동적 멤버 자격 그룹: 규칙을 사용하여 자동으로 디바이스를 구성원으로 추가하고 제거할 수 있습니다. 디바이스의 특성이 변경되면 시스템은 디렉터리의 동적 멤버 자격 그룹 규칙을 확인하여 디바이스가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.
Important
디바이스 또는 사용자 중 하나의 동적 그룹만 만들 수 있습니다. 디바이스 소유자의 특성을 기반으로 하는 디바이스 그룹은 만들 수 없습니다. 디바이스 멤버 자격 규칙은 디바이스 특성만 참조할 수 있습니다. 자세한 내용은 동적 그룹만들기를 참조하세요.
액세스 관리
Microsoft Entra ID를 사용하면 단일 사용자 또는 그룹에 대한 액세스 권한을 제공하여 조직의 리소스에 대한 액세스 권한을 부여할 수 있습니다. 그룹을 사용하면 리소스 소유자 또는 Microsoft Entra 디렉터리 소유자가 그룹의 모든 구성원에게 액세스 권한 집합을 할당할 수 있습니다. 리소스 또는 디렉터리 소유자는 부서 관리자 또는 지원 센터 관리자와 같은 사람에게 그룹 관리 권한을 부여할 수도 있습니다. 그러면 해당 사용자가 구성원을 추가하고 제거할 수 있습니다. 그룹 소유자를 관리하는 방법에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.
Microsoft Entra 그룹이 액세스를 관리할 수 있는 리소스는 다음과 같습니다.
- 사용자, 애플리케이션, 청구 및 기타 개체를 관리할 수 있는 권한과 같은 Microsoft Entra 조직의 일부입니다.
- 조직 외부(예: 비 Microsoft SaaS(Software as a Service) 앱)
- Azure 서비스
- SharePoint 사이트
- 온-프레미스 리소스
액세스 권한이 다른 권한과 동일하지 않을 수 있으므로 이 액세스 권한이 필요한 각 애플리케이션, 리소스 및 서비스는 별도로 관리해야 합니다. 최소 권한 원칙을 사용하여 액세스 권한을 부여하면 공격 또는 보안 위반의 위험을 줄이는 데 도움이 됩니다.
할당 유형
그룹을 만든 후에는 해당 액세스를 관리하는 방법을 결정해야 합니다.
직접 할당. 리소스 소유자는 사용자를 리소스에 직접 할당합니다.
그룹 할당. 리소스 소유자는 Microsoft Entra 그룹을 리소스에 할당하여 자동으로 모든 그룹 구성원에게 리소스에 대한 액세스 권한을 부여합니다. 그룹 소유자와 리소스 소유자 모두 그룹 멤버 자격을 관리하며, 두 소유자 모두 그룹에서 멤버를 추가하거나 제거할 수 있습니다. 그룹 멤버 자격 관리에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.
규칙 기반 할당. 리소스 소유자는 그룹을 만들고 규칙을 사용하여 특정 리소스에 할당되는 사용자를 정의합니다. 규칙은 개별 사용자에게 할당되는 특성을 따릅니다. 리소스 소유자는 규칙을 관리하며, 리소스에 대한 액세스를 허용하는 데 필요한 특성 및 값을 결정합니다. 자세한 내용은 동적 그룹만들기를 참조하세요.
외부 기관 할당. 온-프레미스 디렉터리 또는 SaaS 앱 등의 외부 소스에서 액세스가 제공됩니다. 이 상황에서 리소스 소유자가 리소스에 대한 액세스 권한을 제공하는 그룹을 할당한 다음, 외부 소스가 그룹 구성원을 관리합니다.
클라우드에서 그룹을 관리하기 위한 모범 사례
다음은 클라우드에서 그룹을 관리하는 모범 사례입니다.
-
셀프 서비스 그룹 관리 사용: 사용자가 그룹을 검색 및 조인하거나 고유한 Microsoft 365 그룹을 만들고 관리할 수 있도록 허용합니다.
- 팀이 IT에 대한 관리 부담을 줄이면서 스스로 구성할 수 있습니다.
- 그룹 명명 정책 적용하여 제한된 단어의 사용을 차단하고 일관성을 보장합니다.
- 그룹 소유자가 갱신하지 않는 한 지정된 기간 후에 사용하지 않는 그룹을 자동으로 삭제하는 그룹 만료 정책을 사용하도록 설정하여 비활성 그룹이 남아 있지 않도록 합니다.
- 조인하거나 승인이 필요한 모든 사용자를 자동으로 수락하도록 그룹을 구성합니다.
- 자세한 내용은 Microsoft Entra ID셀프 서비스 그룹 관리 설정을 참조하세요.
-
민감도 레이블 활용: 민감도 레이블을 사용하여 보안 및 규정 준수 요구 사항에 따라 Microsoft 365 그룹을 분류하고 관리합니다.
- 세분화된 액세스 제어를 제공하고 중요한 리소스가 보호되도록 합니다.
- 자세한 내용은 Microsoft Entra ID Microsoft 365 그룹에 민감도 레이블 할당을 참조하세요.
-
동적 그룹을 사용하여 멤버 자격 자동화: 동적 멤버 자격 규칙을 구현하여 부서, 위치 또는 직위와 같은 특성에 따라 그룹에서 사용자 및 디바이스를 자동으로 추가하거나 제거합니다.
- 수동 업데이트를 최소화하고 느린 액세스 위험을 줄입니다.
- 이 기능은 Microsoft 365 그룹 및 보안 그룹에 적용됩니다.
-
정기 액세스 검토 수행: Microsoft Entra ID 거버넌스 기능을 사용하여 정기적인 액세스 검토를 예약합니다.
- 할당된 그룹의 멤버 자격이 시간이 지남에 따라 정확하고 관련성이 유지되도록 합니다.
- 자세한 내용은 Microsoft Entra ID에서 동적 멤버 자격 그룹 만들기 또는 업데이트()를 참조하세요.
-
액세스 패키지로 멤버 자격 관리: Microsoft Entra Identity Governance를 사용하여 액세스 패키지를 만들어 여러 그룹 멤버 자격 관리를 간소화합니다. 액세스 패키지는 다음을 수행할 수 있습니다.
- 멤버 자격에 대한 승인 워크플로 포함
- 액세스 만료에 대한 조건 정의
- 그룹 및 애플리케이션에서 액세스 권한을 부여, 검토 및 취소하는 중앙 집중식 방법 제공
- 자세한 내용은 권한 관리 액세스 패키지 만들기를 참조하세요.
-
여러 그룹 소유자 할당: 그룹에 두 명 이상의 소유자를 할당하여 연속성을 보장하고 단일 개인에 대한 종속성을 줄입니다.
- 자세한 내용은 Microsoft Entra 그룹 및 그룹 멤버 자격 관리 참조하세요.
-
그룹 기반 라이선스 사용: 그룹 기반 라이선스는 사용자 프로비저닝을 간소화하고 일관된 라이선스 할당을 보장합니다.
- 동적 멤버 자격 그룹을 사용하여 특정 조건을 충족하는 사용자의 라이선스를 자동으로 관리합니다.
- 자세한 내용은 Microsoft Entra ID의 그룹 기반 라이선스란?을 참조하세요.
- RBAC(역할 기반 액세스 제어) 적용): 그룹을 관리할 수 있는 사용자를 제어하는 역할을 할당합니다.